Kui eelmises blogipostis rääkisin, keda GDPR puudutab, siis nüüd vaatame selguse mõttes üle, mis olukordades selle seadusel mõju ei ole. Hoolimata esmamuljest, et GDPR tuleb mängu pea igas elusituatsioonis, siis on olemas kindlad valdkonnad, mis on GDPR mõjualast väljas ja kus seda ei kohaldata.
Andmete isiklikuks tarbeks kasutamine on OK
“Füüsiline isik töötleb isikuandmeid ainult isiklike või koduste tegevuste käigus ja seega väljaspool ametialast või äritegevust.” See tähendab, et ainult omaenda tarbeks võid sinu käsutuses olevate andmetega teha mida soovid, aga ainult senikaua kui sa ei kasuta neid muul eesmärgil, ei avalikusta, ei müü jne.
Isiklik tegevus hõlmab nt kirjavahetust ja aadresside loetelu või tegevust suhtlusvõrgustikes ja internetis jms. Kui aga pakud isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid, siis oled kas vastutav või volitatud töötleja ja sinu tegevus kuulub GDPRi alla.
Juriidilisel isikul ei ole GDPR õiguseid
Juhul kui sa oled mõnda teenust kasutades ettevõtte või organisatsiooni esindaja rollis, nt kontaktisik, juhatuse liige vm siis sulle GDPR õigused ei kehti. GDPR loob eraisikutele õigused ja ettevõttetele ja organisatsioonidele kohustused.
Täiendatud: Ettevõtetel küll GDPR õiguseid ei ole, aga ettevõtte esindaja andmeid loetakse siiski isikuandmeteks. Nt töötaja meiliaadress mari.kask@ettevote.ee kuulub isikuandmete hulka ja seda tuleb käsitleda vastavalt GDPR nõuetele.
Politsei ja julgeoleku asutustel on oma seadus
Juhul kui tegu on asutusega, mis tegeleb süütegude uurimise, karistamise, julgeolekut ähvardavate ohtude eest kaitsmise jm sarnastel eesmärkidel, siis ei ole nende tegevus reguleeritud mitte GDPR-iga vaid eraldi seadusandlusega.
Eestis kehtib täna Politsei ja piirivalve seadus, mis käsitleb ka tegevuse käigus isikuandmete töötlemise nõudeid. Euroopa andmekaitse reformi raames on kõrvuti GDPR-ga võetud vastu uus Politseidirektiiv (Directive EU 2016/680) mis ütleb, kuidas tuleb isikuandmeid töödelda politsei ja julgeoleku asutustes. EU riigid peavad Politseidirektiivi oma seadustesse sisse viima hiljemalt 6.maiks 2018.
Kokkuvõttes, GDPR on üldine ja kõigile mõeldud seadus, Politseidirektiiv on aga loodud spetsiaalselt politseile jt sarnastele asutustele.
EL piirikontrolli-, varjupaiga- ja sisserändepoliitika tegevused ei kuulu GDPR alla
GDPR seadus ei mõju, kui isikuandmeid töödeldakse Euroopa Liidu piirikontrolli-, varjupaiga- ja sisserändepoliitika raames (ELi lepingu V jaotise 2. Peatükk)
Muud erijuhud
Eraldi seadustega on juba varem reguleeritud kuidas peavad isikuandmeid kaitsma, töötlema ja omavahel vahetama kõik Euroopa Liidu institutsioonid ja asutused (2001 aastal EU 45/2001) ning tervishoiuteenust pakkuvad asutused. Kõik need eriseadused viiakse samuti GDPR põhimõtetega kooskõlla.
Osa erijuhtumeid on GDPR-is ka välja toodud: 9. peatükis “Isikuandmete töötlemise eriolukordi käsitlevad sätted” on muuhulgas räägitud nt sõna- ja teabevabadusest, ajakirjandusvabadusest ja kirjanduslikust eneseteostusest.