Ühendatud toode ja seotud teenus
Andmemäärus annab tarbijatele ja muudele kasutajatele õiguse saada juurdepääs andmetele, mida nende kasutatav ühendatud toode (nt nutiseade, sõiduk, turvakaamera) loob. Selliste seadmete andmed võivad sisaldada ka isikuandmeid, mistõttu tuleb nende töötlemisel arvestada isikuandmete kaitse üldmäärusega (üldmäärus).
Ühendatud tooted tähendab tooteid, mis saavad, loovad või koguvad oma komponentide või operatsioonisüsteemide abil andmeid toote toimivuse, kasutamise või keskkonna kohta ning mis on võimelised edastama kõnealuseid andmeid elektroonilise sideteenuse, füüsilise ühenduse või sisseehitatud juurdepääsu kaudu, mida sageli nimetatakse asjade internetiks (IoT). Selliste elektroonilise side teenuste hulka kuuluvad näiteks maapealsed telefonivõrgud, televisiooni kaabelvõrgud, satelliidipõhised võrgud (nt GPS) ja lähiväljaside võrgud (NFC).
Ühendatud tooted ei ole tooted, mille funktsiooniks on peamiselt andmete kogumine, töötlemine või edastamine (nt serverid ja ruuterid).
Mis andmetele andmemäärus kohaldub?
Andmemäärus ei kohaldu vaid tahtlikult salvestatud andmetele, vaid ka kaudselt tuletatud andmetele. Näiteks kui on olemas kodune turvakaamera, salvestab kaamera liikumise koos ajatempliga (tahtlikult salvestatud), aga samas võib kaamera tuletada ka aktiivsemat kodusveetmise aega (kaudselt tuletatud).
Sarnaselt kohaldub andmemäärus ka nii toorandmetele kui ka eeltöödeldud andmetele. Näiteks võib toatemperatuuri andur koguda andmeid igal sekundil (toorandmed) kui ka arvutada välja 10 minuti keskmine toatemperatuur (eeltöödeldud andmed).
Mõistet „eeltöödeldud andmed“ ei tohiks tõlgendada nii, et see kohustaks andmevaldajat tegema märkimisväärseid investeeringuid andmete puhastamisse ja teisendamisse.
Viimaseks kohaldub andmemäärus ka metaandmetele, milleks on näiteks ajatempel.
Andmemäärus ei kohaldu andmetele, mida on märkimisväärselt muudetud.
Andmemäärus ei kohaldu tekstilistele, visuaalsetele ja audioandmetele, mis võivad olla kaetud autoriõiguste või muu intellektuaalse omandi õigustega. Andmemääruse eesmärk on avada turule andmed, millel on mitteloominguline väärtus.
-
Ühendatud toodete tootjatele ja tarnijatele. Tootjad peavad tagama, et ühendatud toodete andmetele on võimalik ligi pääseda.
-
Seotud teenuse osutajatele. Teenuseosutajatel on sarnaselt ühendatud toodete tootjatele kohustus võimaldada andmetele ligipääsu.
-
Andmevaldajatele. Andmevaldaja ei pea olema tootja või teenuseosutaja, vaid näiteks platvorm, kes andmeid haldab. Andmevaldajal on andmemääruse kohaselt kohustus teha toote kasutamisel loodud andmed ja seotud teenuse kasutamisel loodud andmed kasutajale kättesaadavaks.
-
Kolmandad isikutele. Andmevaldajal on kohustus kasutaja taotlusel teha andmed kättesaadavaks kolmandatele isikutele. Kolmas isik ei tohi kasutada andmeid näiteks sellise toote välja töötamiseks, mis konkureerib ühendatud tootega, millest andmed pärinevad.
-
Andmetöötlusteenuse osutajatele. Viimati nimetatud teenuse osutajad peavad tagama, et kliendid võivad minna üle andmetöötlusteenusele, mida osutab teine andmetöötlusteenuse osutaja. Üle minekuks ei ole teenuseosutajal õigus kasutada tõkendeid.
Väikesed ja keskmise suurusega ettevõtted (SME) ei ole kohustatud tagama andmetele juurdepääsu. Selline kohustus ei laiene sellistele SMEdele, kes on osa suuremast kontsernist.
Andmetele on õigus juurde pääseda ühendatud toote kasutajal.
Euroopa Komisjon on selgitanud, et pseudonümiseerimise ja muude privaatsust parandavate tehnoloogiate abil saadud andmeid ei tohiks pidada järeldatud või tuletatud andmeteks „lihtsalt seetõttu, et neid tehnoloogiaid rakendatakse“.
Euroopa Komisjon on viidanud võimalusele, kus anonüümsed andmed jäävad määruse kohaldamisalast välja, kuivõrd täielik anonüümimine nõuab meetodeid, mis ulatuvad kaugemale pelgast puhastamisest, teisendamisest või ümbervormindamisest, mida tavaliselt kasutatakse „eeltöödeldud“ andmete loomiseks.
Ühendatud toote kasutaja võib olla ettevõtja, tarbija või avaliku sektori asutus sõltuvalt sellest, kas ta on ühendatud toote omanik; tal on teatud ajutised õigused rendi- või liisingulepingu alusel või osutab ühendatud tootega seotud teenuseid.
Eraisikul ehk tarbijal on õigus saada juurdepääs kõikidele andmetele, mis on loodud tema isiklike toodete kasutamise käigus.
Eraisikul on õigus anda juurdepääs oma isikuandmetele kolmandatele isikutele. Kolmandad isikud võivad olla näiteks remonditöökojad, teadusasutused, meditsiiniasutused. Piiranguna ei saa kolmandateks isikuteks olla digiturgude määruses sätestatud pääsuvalitsejad (näiteks Meta, Google, TikTok).
Kui eraisik kasutab ühendatud toodet, mis ei kuulu talle, vaid mõnele ettevõtjale, on ka nimetatud ettevõtjal õigus isikuandmetele juurdepääsuks. Näiteks kasutades rendiautot lühiajalise rendilepingu alusel on andmetele juurdepääsuõigus nii eraisikul (kuivõrd tegemist on isikuandmetega) kui ka rendiauto ettevõtjast omanikul.
Ettevõtja võib osutada ka ühendatud tootega seotud teenust. Ka sellisel juhul on ettevõtjal õigus pääseda ligi andmetele. Näiteks kui eraisikul on tark kodu seinapaneel, mille kaudu on võimalik temperatuuri muuta, on ühendatud toote andmeteks temperatuuri muutmise fakt. Sellistele andmetele on teenuseosutajal ligipääsuõigus.
Avaliku sektori asutus võib saada ühendatud toote isikuandmeid näiteks juhul, kui ta on tööandja rollis. Näiteks kui avaliku sektori asutuse ametnik kasutab ametiautot, mis läheb ühendatud toote mõiste alla, on avaliku sektori asutusel õigus ka toote kasutamisel loodud isikuandmetele.
Jah, näiteks juhul, kui kasutate lühiajalise sõidu tarbeks rendiautot, on teil kui tarbijal ajutised õigused rendilepingu alusel, kuid rendiautot haldaval ettevõttel on õigused omandisuhte alusel.
Juurdepääs ühendatud toote kasutamisel loodud isikuandmetele
Tarbijast kasutajal peab olema võimalus ise oma isikuandmetele ligi pääseda, kuid talle peab jääma ka õigus neid edastada kolmandatele isikutele. See tugevdab isiku õigust andmete ülekandmisele, mida üldmäärus artiklis 20 juba ette näeb, ning laiendab seda praktikas ühendatud toodetega seotud isikuandmete kontekstis. Oluline on, et juurdepääsu andmise protsess oleks turvaline ning et isikuandmete edastamine ei looks riske andmete terviklusele ega konfidentsiaalsusele.
Andmevaldajad, kes ei ole ühendatud toote kasutajaks, võivad edastada isikuandmeid vaid juhul, kui selline õigus on ette nähtud liidu või siseriikliku õigusega.
Tarbijal peab olema võimalik oma isikuandmetele ligi pääseda näiteks otse rakenduse kaudu või taotleda andmevaldajalt andmetele ligipääsu.
Kasutajaid, andmevaldajaid ja kolmandaid isikuid, kellel on ligipääs või kellele tehakse ligipääs isikuandmetele, loetakse isikuandmete kaitse üldmääruse mõttes vastutavateks andmetöötlejateks.
Tarbijast kasutajal on õigus andmeid edastada kolmandatele isikutele või esitada andmevaldajale taotlus andmete edastamiseks.
Õigus andmeid edastada on vaid sellistele kolmandatele isikutele, kes asuvad Euroopa Liidus.
Kolmandateks isikuteks ei või olla pääsuvalitsejad digiturgude määruse alusel.
Kuigi määrus kohustab andmevaldajaid (isiku)andmeid edastama, peab igal andmeedastusel olema õiguslik alus. Näiteks võib õiguslikuks aluseks olla nõusolek.
Nõusolek võib olla andmete edastamise alus näiteks juhul, kui isikuandmeid soovib andmevaldajalt ühendatud toote kasutaja, kes ei ole tarbija. Andmevaldajal on kohustus enne andmete edastamist mõistlikul viisil nõusoleku olemasolu kontrollida.
Andmemäärus ise õiguslikku alust andmete edastamiseks ei anna.
Andmevaldajate kohustused seoses isikuandmetega
Andmevaldaja, kes valdab ühendatud toote andmeid, on kohustatud esitama enne ostu, renti või liisimist tarbijale andmed säilitatavate andmete kohta. Näiteks peab andmevaldaja teavitama, milliseid andmeid ühendatud toode suudab luua, kuidas ja kus andmeid säilitatakse ja kuidas saab andmetele juurde pääseda.
Kui andmevaldaja on seotud teenuse osutaja, peab andmevaldaja teavitama tarbijale näiteks teenuse kasutamisel loodud ja eeldatavalt saadavate andmete mahu, laadi ja kogumise sageduse.
Ettevõtted, kes valdavad seadmete või teenuste poolt loodud isikuandmeid, peavad andmete jagamisel järgima läbipaistvuse ja õigluse põhimõtteid. Kui andmed sisaldavad isikuandmeid, on kohustus tagada seaduslik alus töötlemiseks, rakendada andmekaitse põhimõtteid (nt andmete minimaalsus, eesmärgikohasus) ning anda kasutajatele selged selgitused, kuidas nende andmeid kasutatakse ja jagatakse.
Avaliku sektori erakorraline vajadus andmetele ligipääsuks
Andmemäärus võimaldab avaliku sektori asutustel teatud juhtudel, näiteks hädaolukorras või eriülesande täitmiseks, saada juurdepääsu erasektori andmetele.
Hädaolukorraks on näiteks looduskatastroofid, kliimamuutused, inimtegevusest tingitud katastroofid. Erasektoril on kohustus andmed väljastada pärast avaliku sektori põhjendatud andmete kättesaadavaks tegemise taotlust (vaata taotluse tingimusi andmemääruse artiklist 17). Hädaolukorra puhul võib avalik sektor taotleda ka isikuandmeid.
Piiriülese hädaolukorra puhul Eesti ettevõttelt andmete taotlemisel peab teise liikmesriigi avaliku sektori asutus teavitama andmete taotlemisest ka AKI-t juhul, kui taotletavad andmed sisaldavad isikuandmeid.
Eriülesande täitmiseks (ehk juhtudel, kui ei ole tegemist hädaolukorraga) isikuandmeid taotleda ei tohi.
Avaliku sektori erakorralise vajaduse puhul tehtud andmete kättesaadavaks tegemise taotlused peab andmekoordinaator internetis avalikustama.
Andmete edastamine kolmandatele riikidele
Andmemäärus sätestab täiendavad kaitsemeetmed olukordadeks, kus andmeid edastatakse väljapoole Euroopa Liitu. Isikuandmeid kolmandatele riikidele edastada ei tohi. Muus osas võib andmeid edastada vaid juhul, kui ELi riigi ning vastava kolmanda riigi vahel kehtib mõni rahvusvaheline kokkulepe.
Last updated: 05.01.2026