Andmekaitsealane mõjuhinnang on kirjalik hinnang, mille teie organisatsioon peaks tegema, et hinnata kavandatava töötlemistoimingu mõju. See aitab teil kindlaks teha asjakohased meetmed riskide maandamiseks ja nõuetele vastavuse tõendamiseks.
Kuigi andmekaitsealase mõjuhinnangu tegemisega on alati soovitatav prognoosida teie organisatsiooni kavandatavate töötlemistoimingute mõju, on andmekaitsealane mõjuhinnang kohustuslik, kui töötlemine toob tõenäoliselt kaasa suure ohu üksikisikute õigustele ja vabadustele.
Täpsemalt on see nii juhul, kui kavandatav töötlemine hõlmab järgmist:

• delikaatsete isikuandmete või süüdimõistvate kohtuotsustega seotud andmete ulatuslik töötlemine;
• isiku isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automatiseeritud töötlemisel, sealhulgas profiilianalüüsil, ning millel põhinevad otsused, millel on asjaomase isiku jaoks õiguslikud tagajärjed või mis mõjutavad oluliselt üksikisikuid;
• üldsusele kättesaadava ala süstemaatiline ulatuslik seire.

Euroopa Andmekaitsenõukogu (EAKN) on välja töötanud suunised, milles loetletakse kriteeriumid, mida peate andmekaitsealase mõjuhinnangu kohustuslikkuse hindamisel arvesse võtma. Andmekaitseasutused on avaldanud ka loetelu töötlemistoimingutest, mille suhtes kohaldatakse andmekaitsealast mõjuhinnangut. Lisaks on mitu andmekaitseasutust töötanud välja juhendeid, tarkvara või enesehindamise vahendeid, et aidata teil oma hinnangut anda.

Lisateave:

• Vastavus nõuetele

IKÜM-ga antakse üksikisikutele kontroll oma isikuandmete töötlemise üle. Selleks on oluline läbipaistvus. See tähendab, et peate teavitama üksikisikuid, kelle andmeid te töötlete, oma töötlemistoimingutest ja eesmärkidest. Teisisõnu peate selgitama, kes nende andmeid töötleb, aga ka seda, kuidas ja miks. Ainult juhul, kui isikuandmete kasutamine on asjaosaliste jaoks läbipaistev, saavad nad hinnata võimalikke riske ja teha otsuseid oma isikuandmete kohta.

IKÜM-i kohaselt olete kohustatud jagama üksikisikutega järgmist teavet:

• vastutava töötleja nimi ja kontaktandmed;
• töötlemise eesmärgid;
• töötlemise õiguslik alus (kui õigustatud huvi, konkreetne teave selle kohta, millised õigustatud huvid on konkreetse töötlemisega seotud ja milline üksus taotleb iga õigustatud huvi).
• vastutava töötleja kontaktandmed;
• andmekaitsespetsialisti kontaktandmed (kui ametnik on olemas);
• andmete vastuvõtjad või vastuvõtjate kategooriad;
• Teave selle kohta, kas andmeid edastatakse väljapoole Euroopa Majanduspiirkonda (EMP) (vajaduse korral: kaitse piisavuse otsuse olemasolu või puudumine või viide asjakohastele kaitsemeetmetele ning selle teabe kättesaadavaks tegemine andmesubjektidele);
• töödeldavate isikuandmete kategooriad, kui andmed ei ole saadud üksikisikult.

Lisaks nõutakse IKÜM-s, et teie organisatsioon esitaks õiglase ja läbipaistva töötlemise tagamiseks järgmise teabe:

• säilitamisaeg või kui see ei ole võimalik, selle ajavahemiku kindlaksmääramiseks kasutatud kriteeriumid;
• õigus taotleda isikuandmetega tutvumist, nende kustutamist, parandamist, piiramist, vaidlustamist ja ülekantavust;
• õigus esitada kaebus andmekaitseasutusele;
• kui töötlemise õiguslik alus on nõusolek: õigus nõusolek igal ajal tagasi võtta;
• automatiseeritud otsuste tegemise korral asjakohane teave isikuandmete töötlemise alusloogika ja kavandatud tagajärgede kohta andmesubjektile;
• isikuandmete allikas (kui te ei saanud neid otse asjaomaselt isikult);
• kas isik on kohustatud esitama isikuandmeid (seaduse või lepingu alusel või sõlmima lepingu) ja millised on andmete andmisest keeldumise tagajärjed.

Lisateave:

• Üksikisikute õiguste austamine

Isikuandmete töötlemine on mis tahes liiki toiming (töötlemistoiming), mis toimub üksikisikute isikuandmetega või nendega koos. See hõlmab isikuandmete kogumist, salvestamist, korrastamist, struktureerimist, säilitamist, kohandamist või muutmist, väljavõtete tegemist, päringuid, päringuid, kasutamist, edastamise, levitamise või muul viisil kättesaadavaks tegemise teel avalikustamist, ühitamist või ühendamist, piiramist, kustutamist või hävitamist.

Andmekaitsespetsialistid (AKS)võivad täita organisatsioonis muid ülesandeid, kuid see ei tohi põhjustada huvide konflikti. See tähendab, et AKS ei saa olla olukorras, kus ta määrab kindlaks töötlemistoimingute eesmärgid ja vahendid. Vastuoluliste ülesannete hulka kuuluvad peamiselt juhtivad ametikohad (juht, tegevjuht, finantsjuht, personalijuht, IT-juht, tegevdirektor), kuid võivad hõlmata ka muid ülesandeid, kui nende tulemusel määratakse kindlaks töötlemise eesmärgid ja vahendid.
AKS peab olema võimeline täitma oma kohustusi ja ülesandeid sõltumatult. See tähendab, et teie organisatsioon:

• ei tohi anda AKS-le juhiseid seoses tema AKS-i ülesannete täitmisega;
• ei tohi AKS-i tema ülesannete täitmise eest karistada ega ametist vabastada.

Lisateave:

• Andmekaitsespetsialist

IKÜM-i kohaselt on vastutava töötleja ja volitatud töötleja vaheline kehtiv leping kohustuslik. Rikkumise eest võib määrata haldustrahvi kuni 10 miljoni euro ulatuses või kuni 2 % ulatuses äriühingu aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Selleks, et aidata teid vastutava töötleja ja volitatud töötleja vahelise lepingu sõlmimisel, on Taani ja Sloveenia andmekaitseasutused ning Euroopa Komisjon välja töötanud näidislepingud.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Andmekaitsespetsialisti ülesanne on muu hulgas:

• teavitada ja nõustada organisatsiooni ja selle töötajaid andmekaitsenõuete järgimisel;
• jälgida andmekaitsenõuete järgimist;
• anda nõu andmekaitsealase mõjuhinnanguga seotud taotluste kohta;
• tegutseda andmekaitseasutuse kontaktpunktina ja teha selle andmekaitseasutusega koostööd;
• tegutseda üksikisikute kontaktpunktina.

Lisaks on andmekaitsespetsialisti kohalolek üldiselt soovitatav, kui tehakse otsuseid, millel on mõju andmekaitsele. Andmekaitsespetsialisti tuleks viivitamata konsulteerida ka siis, kui andmetega seotud rikkumine või mõni muu intsident on aset leidnud.

Lisateave:

• Andmekaitsespetsialist

IKÜM-i järgimist jälgivad riiklikud andmekaitseasutused. Andmekaitseasutused võivad korraldada uurimisi ja määrata vajaduse korral sanktsioone. Andmekaitseasutuste käsutuses on mitu vahendit, sealhulgas trahvid kuni 20 miljonit eurot või 4 % ülemaailmsest aastakäibest, olenevalt sellest, kumb summa on suurem, noomitused ning ajutised või alalised töötlemiskeelud.

Kõigi Euroopa Majanduspiirkonna (EMP) andmekaitseasutuste kontaktandmed leiate Euroopa Andmekaitsenõukogu veebisaidilt: Liikmed

Lisateave:

• Andmekaitseasutus ja teie

Vastutavad töötlejad võivad isikuandmeid töödelda ainult ühel järgmistest asjaoludest:

• asjaomaste isikute nõusolekul;
• kui töötlemine on vajalik lepingu (teie organisatsiooni ja üksikisiku vaheline leping) täitmiseks;
• täita EL-i või siseriiklikest õigusaktidest tulenevat juriidilist kohustust;
• kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks EL-i või siseriiklike õigusaktide alusel;
• kaitsta üksikisiku elulisi huve;
• teie organisatsiooni õigustatud huvides – välja arvatud juhul, kui üksikisikute õigused ja vabadused neid kaaluvad üles.

Lisaks kehtestatakse IKÜM-s täiendavad tingimused tundlike andmete töötlemiseks.

Lisateave:

• Töötle isikuandmeid seaduslikult

• Isikuandmete töötlemine peab olema seaduslik, õiglane ja läbipaistev.
• Isikuandmeid koguda ainult kindlaksmääratud, selgesõnalistel ja õiguspärastel eesmärkidel. Üksikisiku andmete töötlemine peab rangelt piirduma algselt kehtestatud eesmärgiga ja seetõttu ei tohi seda töödelda hilisema(te)l või muudel eesmärkidel, mis ei ole algsete eesmärkidega kooskõlas.
• Töödelda üksnes isikuandmeid, mis on kavandatud eesmärki silmas pidades vajalikud ja proportsionaalsed.
• Kõik teie töödeldavad isikuandmed peavad olema täpsed ja ajakohased. Ebatäpsed isikuandmed tuleb parandada või kustutada.
• Üksikisikute isikuandmete säilitamine peab olema ajaliselt piiratud, võttes arvesse nende kogumise ja töötlemise eesmärki. Seega tuleb üksikisikute isikuandmed kustutada või anonüümseks muuta, kui need andmed ei ole enam vajalikud.
• Üksikisikute andmeid tuleb töödelda turvaliselt. Sellega seoses tuleb kehtestada tugev küberturvalisuse kontroll, et tagada üksikisikute andmete piisav kaitse.

Lõpuks vastutab vastutav töötleja. See tähendab, et ta vastutab eespool nimetatud põhimõtete järgimise eest ja peab suutma seda tõendada.

Lisateave:

• Andmekaitse põhialused

IKÜM-s kehtestatakse kohustused kõigile isikuandmeid töötlevatele organisatsioonidele, olenemata sellest, kas nad on vastutavad töötlejad või volitatud töötlejad.
Eelkõige peaksite:

• Küsima endalt, kas isikuandmete kogumise eesmärk on õigustatud ja koguma ainult isikuandmeid, mis on vajalikud konkreetse(te)ks kavandatud eesmärkideks;
• Hoidma üksikisikute isikuandmed täpsed ja ajakohased ning kustutama andmed, kui need ei ole enam vajalikud;
• Austama üksikisikute õigusi, teavitades neid sellest, kuidas ja miks nende andmeid töödeldakse ning võimaldama neil oma õigusi kasutada;
• Kontrollige, kas teil on isikuandmete töötlemiseks sobiv õiguslik alus. Kui kavatsete tugineda üksikisikute nõusolekule, küsige enne isikuandmete töötlemist nõusolekut;
• Tagama  üksikisikute isikuandmete turvalise käitlemise;
• Pidama arvestust töötlemistoimingute üle.

Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi ning nad ei tohi töödelda andmeid muul viisil, kui vastutava töötleja juhiste kohaselt.
 

Lisateave:

• Nõuetele vastamine
• Vastutav töötleja või volitatud töötleja
• Andmekaitse põhitõed