Isikuandmete kaitse üldmäärus (inglise keeles General Data Protection Regulation, lüh GDPR; EL 2016/679) ehk Euroopa Liidu isikuandmete kaitse üldmäärus (lühendina ELIKÜM[1]) on Euroopa Liidu määrus, mis loob isikuandmete kaitse normidele õigusliku raamistiku, millega kehtestatakse suunised isikuandmete töötlemiseks Euroopa Liidus ja teatud tingimustel ka väljaspool Euroopa Liidu territooriumi. Määruse eesmärk on tugevdada, lihtsustada ja ühendada Euroopa Liidu isikuandmete kaitse norme, andes üksikisikutele suuremad õigused kontrollida, kuidas eraisikud, ettevõtted ja riigiasutused nende isikuandmeid töötlevad.
Isikuandmete kaitse üldmäärus asendab ja muudab kehtetuks enam kui 20 aastat seda valdkonda reguleerinud Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.[2][3] Seni oli see kõige olulisem isikuandmete kaitset puudutav Euroopa Liidu õigusakt.
Euroopa Liidu üldmääruse eeskujul on ka mitmed teised riigid vastu võtnud sarnased õigusaktid.
Mitmetele ettevõttele on määratud trahve andmekaitsereeglite rikkumise eest, millest suurimad on 1,2 miljardit eurot Metale, 746 miljonit Amazonile ja 530 miljonit sotsiaalmeediaplatvormi TikTok omanikule ByteDance.[4]
ELi andmekaitse reform sai alguse 2012. aasta jaanuaris, kui Euroopa Komisjon esitles uute andmekaitse reeglite raamistikku, mille põhieesmärgiks seadis üksikisikute õiguste tugevdamise digitaalse infovahetuse ajastul, kus andmete suuremahuline töötlemine ja ligipääsetavus andmepilvedes seab ohtu üksikisiku põhiõiguste tagamise nagu isikuandmete ja eraelu kaitse (ELi põhiõiguste harta, artikkel 7 ja 8).[5]
Reformi teiseks oluliseks eesmärgiks sai andmetöötluse reeglite lihtsustamine ettevõtete jaoks, et luua paremad tingimused ELi digitaalse ühisturu arenguks ja muuta ühisturg konkurentsivõimelisemaks vastukaaluks Ameerika Ühendriikides asuvatele internetis valitsevatele teenuseosutajatele nagu Google, Facebook, Amazon, Microsoft, Apple jt.
Pärast mitmeaastast arutelu ELi institutsioonides võeti määrus Euroopa Parlamendi poolt vastu 14. aprillil 2016. Määrus jõustus 24. mail 2016 (kahekümnendal päeval pärast selle avaldamist ELi Teatajas) ja hakkas pärast kaheaastast üleminekuperioodi kehtima 25. mail 2018.
Ei ole veel selge, kuidas GDPR muudab andmetöötluse reegleid ja praktikaid, kuid oma osa hakkab siis arvatavasti mängima ka kohtupraktika. Näiteks andis Austria juristi Max Schremsi asutatud mittetulundusühing noyb.eu kõigest mõned minutid pärast GDPRi kehtima hakkamist sisse kaebused Google’i, Facebooki, WhatsAppi ja Instagrami vastu.[6]
Võrreldes seni kehtinud regulatsiooniga on olulisemateks muudatusteks:
Eestis on nimetatud järelevalveasutuseks Andmekaitse Inspektsioon.
Isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi “andmesubjekt”) kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilise, füsioloogilise, vaimse, majandusliku, kultuurilise või sotsiaalse identiteedi joone põhjal.[7]
Euroopa Liidu põhiõiguste harta artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele. Füüsiliste isikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks nende kodakondsusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele.
