Andmemäärus

Andmemääruse II peatüki kohaldamisalast jäävad üldjuhul välja järeldatud või tuletatud andmed ning tugevalt rikastatud andmed. Samuti ei hõlma see loomingulist või audiovisuaalset sisu kui sellist. Määrust kohaldatakse lisaks intellektuaalomandiõigusi kahjustamata. 

1. Ühendatud toodete tootjatele ja tarnijatele. Tootjad peavad tagama, et toote või teenuse kasutamise käigus tekkinud andmed oleksid määruses sätestatud tingimustel kättesaadavad. 

2. Seotud teenuse osutajatele. Teenuseosutajatel on sarnaselt ühendatud toodete tootjatele kohustus võimaldada andmetele ligipääsu. 

3. Andmevaldajatele. Andmevaldaja ei pea olema tootja või teenuseosutaja, vaid näiteks platvorm, kes andmeid haldab. Andmevaldajal on andmemääruse kohaselt kohustus teha toote kasutamisel loodud andmed ja seotud teenuse kasutamisel loodud andmed kasutajale kättesaadavaks.  

4. Kolmandad isikutele. Andmevaldajal on kohustus kasutaja taotlusel teha andmed kättesaadavaks kolmandatele isikutele. Selline kolmas isik ei tohi siiski olla digiturgude määruse tähenduses pääsuvalitseja. Kolmas isik ei tohi kasutada andmeid näiteks sellise toote välja töötamiseks, mis konkureerib ühendatud tootega, millest andmed pärinevad. 

5. Andmetöötlusteenuse osutajatele. Viimati nimetatud teenuse osutajad peavad tagama, et kliendid võivad minna üle andmetöötlusteenusele, mida osutab teine andmetöötlusteenuse osutaja. Üleminekuks ei ole teenuseosutajal õigus kasutada tõkendeid. 

Väikesed ja keskmise suurusega ettevõtted (SME) ei ole kohustatud tagama andmetele juurdepääsu. Selline kohustus ei laiene sellistele SMEdele, kes on osa suuremast kontsernist. 

Andmetele on õigus juurde pääseda ühendatud toote kasutajal.  

Euroopa Komisjoni selgituste kohaselt ei tähenda pseudonüümimise, anonüümimise või muude privaatsust parandavate tehnoloogiate kasutamine iseenesest seda, et tegemist oleks järeldatud või tuletatud andmetega. Andmemääruse põhjenduse 15 kohaselt on järeldatud või tuletatud andmete kaitse eesmärk kaitsta eelkõige selliseid lisainvesteeringuid, mille käigus andmetele omistatakse täiendavaid väärtusi või neist saadakse uusi teadmisi. Privaatsust parandavate tehnoloogiate kasutamise eesmärk on seevastu eelkõige võimaldada andmete kasutamist viisil, mis toetab eraelu puutumatuse ja isikuandmete kaitset. 

Pseudonüümimine või anonüümimine võib olla asjakohane näiteks olukorras, kus andmevaldaja peab vastama andmemääruse artikli 4 või 5 alusel esitatud taotlusele, kuid andmete taotleja ei ole ise andmesubjekt. Samuti võib see olla oluline juhtudel, kus sama ühendatud tootega on seotud mitu andmesubjekti. Sellistes olukordades võivad privaatsust parandavad tehnoloogiad aidata kaasa sellele, et andmete kättesaadavaks tegemine toimuks kooskõlas IKÜMiga. 

Samas ei tähenda anonüümimise, pseudonüümimise, krüpteerimise või muude sarnaste meetodite kasutamine automaatselt seda, et andmed jäävad andmemääruse kohaldamisalast välja või et andmevaldaja vabaneb andmete jagamise kohustusest. Selliseid meetmeid ei tohiks kasutada andmete kättesaadavaks tegemise kohustuste vältimiseks. 

Kui andmeid edastatakse ühendatud tootest andmevaldaja taustsüsteemi, peaks kasutajal ja tema määratud kolmandal isikul olema mõistlik võimalus saada koopia toote kasutamise käigus tekkinud andmetest enne seda, kui andmed anonüümitakse või krüpteeritakse. Lisaks, kui andmeid on võimalik ilma märkimisväärsete süsteemimuudatuste või kuludeta uuesti seostada konkreetse kasutaja või ühendatud tootega, võib neid jätkuvalt pidada andmevaldaja jaoks hõlpsasti kättesaadavateks andmeteks. 

Anonüümitud andmete puhul tuleb alati hinnata, kas andmed on tegelikult pöördumatult anonüümsed. Kui füüsilist isikut on võimalik täiendava teabe abil uuesti tuvastada, ei ole andmed anonüümsed ning neile kohaldub jätkuvalt IKÜM. Pseudonüümitud andmed jäävad üldjuhul samuti isikuandmeteks. 

Ühendatud toote kasutaja võib olla ettevõtja, tarbija või avaliku sektori asutus sõltuvalt sellest, kas ta on ühendatud toote omanik; tal on teatud ajutised õigused rendi- või liisingulepingu alusel või osutab ühendatud tootega seotud teenuseid.  

Mõnes olukorras võib samade andmete suhtes olla rohkem kui ühel isikul õigusi või õigustatud huve. Täpne rollijaotus sõltub siiski alati konkreetsest õiguslikust ja lepingulisest raamistikust.  

Eraisikul ehk tarbijal on õigus saada juurdepääs kõikidele andmetele, mis on loodud tema isiklike toodete kasutamise käigus.  

Eraisikul on õigus anda juurdepääs oma isikuandmetele kolmandatele isikutele. Kolmandad isikud võivad olla näiteks remonditöökojad, teadusasutused, meditsiiniasutused. Piiranguna ei saa kolmandateks isikuteks olla digiturgude määruses sätestatud pääsuvalitsejad (näiteks Meta, Google, TikTok).  

Kui eraisik kasutab ühendatud toodet, mis ei kuulu talle, vaid mõnele ettevõtjale, on ka nimetatud ettevõtjal õigus isikuandmetele juurdepääsuks. Näiteks kasutades rendiautot lühiajalise rendilepingu alusel on andmetele juurdepääsuõigus nii eraisikul (kuivõrd tegemist on isikuandmetega) kui ka rendiauto ettevõtjast omanikul.  

Ettevõtja võib osutada ka ühendatud tootega seotud teenust. Ka sellisel juhul on ettevõtjal õigus pääseda ligi andmetele. Näiteks kui eraisikul on tark kodu seinapaneel, mille kaudu on võimalik temperatuuri muuta, on ühendatud toote andmeteks temperatuuri muutmise fakt. Sellistele andmetele on teenuseosutajal ligipääsuõigus. 

Avaliku sektori asutus võib saada ühendatud toote isikuandmeid näiteks juhul, kui ta on tööandja rollis. Näiteks kui avaliku sektori asutuse ametnik kasutab ametiautot, mis läheb ühendatud toote mõiste alla, on avaliku sektori asutusel õigus ka toote kasutamisel loodud isikuandmetele.  

Jah, näiteks juhul, kui kasutate lühiajalise sõidu tarbeks rendiautot, on teil kui tarbijal ajutised õigused rendilepingu alusel, kuid rendiautot haldaval ettevõttel on õigused omandisuhte alusel.  

Kasutaja võib taotleda, et andmevaldaja edastaks asjaomased andmed kolmandale isikule või teeks need kolmandale isikule otse kättesaadavaks. See võimalus kehtib andmemääruse alusel ainult Euroopa Liidus asutatud kolmandate isikute suhtes. 

Tarbijast kasutajal on õigus andmeid edastada kolmandatele isikutele või esitada andmevaldajale taotlus andmete edastamiseks.   

Kui kasutaja ei ole ise andmesubjekt, kelle andmeid taotletakse, võib isikuandmete kättesaadavaks tegemine sõltuda näiteks sellest, kas olemas on kehtiv nõusolek või muu asjakohane õiguslik alus.  

Kui tegemist on isikuandmetega, ei piisa üksnes sellest, et andmemäärus näeb ette andmete kättesaadavaks tegemise võimaluse. Isikuandmete töötlemiseks ja edastamiseks peab olema olemas ka IKÜMi kohane õiguslik alus.  

Oluline on märkida, et andmemäärus ei kujuta endast isikuandmete töötlemise õiguslikku alust. 

Kolmandateks isikuteks ei või olla pääsuvalitsejad digiturgude määruse alusel.  

Kuigi määrus kohustab andmevaldajaid (isiku)andmeid edastama, peab igal andmeedastusel olema õiguslik alus. Näiteks võib õiguslikuks aluseks olla nõusolek.  

Nõusolek võib olla andmete edastamise alus näiteks juhul, kui isikuandmeid soovib andmevaldajalt ühendatud toote kasutaja, kes ei ole tarbija. Andmevaldajal on kohustus enne andmete edastamist mõistlikul viisil nõusoleku olemasolu kontrollida.  

Andmemäärus ise õiguslikku alust andmete edastamiseks ei anna.