Isikuandmed on igasugune teave tuvastatud või tuvastatava isiku kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada. Isikuandmete hulka võivad kuuluda ka erinevad kogutud andmed, mis võivad viia konkreetse isiku tuvastamiseni.
Isikuandmete näited on järgmised:

• ees- ja perekonnanimi;
• kodune aadress;
• e-posti aadress;
• ID-kaardi number;
• asukohaandmed;
• internetiprotokolli (IP) aadress;
• küpsise ID;
• pangakontod;
• maksuaruanded;
• biomeetrilised andmed (nt sõrmejäljed);
• sotsiaalkindlustusnumber;
• passi number;
• katsetulemused;
• klassid koolis;
• sirvimise ajalugu;
• isiku foto;
• sõiduki registreerimisnumber jne.
   

Lisateave:

• Andmekaitse põhitõed

Kui isikuandmeid kogutakse otse asjaomastelt üksikisikutelt, peavad organisatsioonid töötlemistoimingute kohta kokkuvõtlikult ja läbipaistvalt teavet andma, kasutades arusaadavat, kergesti kättesaadavat ning selget ja lihtsat keelt. Seda saab teha kirjalikult (nt pakkumuse tagaküljel) või elektrooniliselt (nt veebisaidil). Kui asjaomane isik seda taotleb, võite selle teabe esitada ka suuliselt, kuid te peate seda hiljem tõendama.

Isegi kui andmeid koguti kaudselt, st kui te ei kogu isikuandmeid otse üksikisikult endalt, vaid näiteks kolmanda isiku kaudu, peate esitama sama üksikasjaliku teabe üksikisikutele.

Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks töötlemise eesmärgi ja vahendid, käsitatakse neid kaasvastutavate töötlejatena. Nad otsustavad koos töödelda isikuandmeid ühisel eesmärgil. Kaasvastutav vastutus võib esineda mitmes vormis ja erinevate vastutavate töötlejate osalemine võib olla ebavõrdne. Seetõttu peavad kaasvastutavad töötlejad määrama kindlaks oma kohustused IKÜM-i järgimisel.
Oluline on märkida, et kaasvastutav vastutus toob kaasa ühise vastutuse töötlemistoimingu eest.

• Näide kaasvastutusest: Ettevõtted A ja B on käivitanud kaaskaubamärgiga toote ja soovivad korraldada üritust selle toote reklaamimiseks. Selleks otsustavad nad jagada oma klientide ja potentsiaalsete klientide andmebaaside andmeid ning otsustada selle alusel üritusele kutsutavate nimekirja. Samuti lepivad nad kokku, kuidas saata üritusele kutseid, kuidas ürituse ajal tagasisidet koguda ja turundustegevust jätkata. Äriühinguid A ja B võib pidada reklaamiürituse korraldamisega seotud isikuandmete töötlemisel kaasvastutavateks töötlejateks, kuna nad otsustavad ühiselt selles kontekstis andmetöötluse ühiselt määratletud eesmärgi ja oluliste vahendite üle.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Andmekaitsealane mõjuhinnang on kirjalik hinnang, mille teie organisatsioon peaks tegema, et hinnata kavandatava töötlemistoimingu mõju. See aitab teil kindlaks teha asjakohased meetmed riskide maandamiseks ja nõuetele vastavuse tõendamiseks.
Kuigi andmekaitsealase mõjuhinnangu tegemisega on alati soovitatav prognoosida teie organisatsiooni kavandatavate töötlemistoimingute mõju, on andmekaitsealane mõjuhinnang kohustuslik, kui töötlemine toob tõenäoliselt kaasa suure ohu üksikisikute õigustele ja vabadustele.
Täpsemalt on see nii juhul, kui kavandatav töötlemine hõlmab järgmist:

• delikaatsete isikuandmete või süüdimõistvate kohtuotsustega seotud andmete ulatuslik töötlemine;
• isiku isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automatiseeritud töötlemisel, sealhulgas profiilianalüüsil, ning millel põhinevad otsused, millel on asjaomase isiku jaoks õiguslikud tagajärjed või mis mõjutavad oluliselt üksikisikuid;
• üldsusele kättesaadava ala süstemaatiline ulatuslik seire.

Euroopa Andmekaitsenõukogu (EAKN) on välja töötanud suunised, milles loetletakse kriteeriumid, mida peate andmekaitsealase mõjuhinnangu kohustuslikkuse hindamisel arvesse võtma. Andmekaitseasutused on avaldanud ka loetelu töötlemistoimingutest, mille suhtes kohaldatakse andmekaitsealast mõjuhinnangut. Lisaks on mitu andmekaitseasutust töötanud välja juhendeid, tarkvara või enesehindamise vahendeid, et aidata teil oma hinnangut anda.

Lisateave:

• Vastavus nõuetele

IKÜM-ga antakse üksikisikutele kontroll oma isikuandmete töötlemise üle. Selleks on oluline läbipaistvus. See tähendab, et peate teavitama üksikisikuid, kelle andmeid te töötlete, oma töötlemistoimingutest ja eesmärkidest. Teisisõnu peate selgitama, kes nende andmeid töötleb, aga ka seda, kuidas ja miks. Ainult juhul, kui isikuandmete kasutamine on asjaosaliste jaoks läbipaistev, saavad nad hinnata võimalikke riske ja teha otsuseid oma isikuandmete kohta.

IKÜM-i kohaselt olete kohustatud jagama üksikisikutega järgmist teavet:

• vastutava töötleja nimi ja kontaktandmed;
• töötlemise eesmärgid;
• töötlemise õiguslik alus (kui õigustatud huvi, konkreetne teave selle kohta, millised õigustatud huvid on konkreetse töötlemisega seotud ja milline üksus taotleb iga õigustatud huvi).
• vastutava töötleja kontaktandmed;
• andmekaitsespetsialisti kontaktandmed (kui ametnik on olemas);
• andmete vastuvõtjad või vastuvõtjate kategooriad;
• Teave selle kohta, kas andmeid edastatakse väljapoole Euroopa Majanduspiirkonda (EMP) (vajaduse korral: kaitse piisavuse otsuse olemasolu või puudumine või viide asjakohastele kaitsemeetmetele ning selle teabe kättesaadavaks tegemine andmesubjektidele);
• töödeldavate isikuandmete kategooriad, kui andmed ei ole saadud üksikisikult.

Lisaks nõutakse IKÜM-s, et teie organisatsioon esitaks õiglase ja läbipaistva töötlemise tagamiseks järgmise teabe:

• säilitamisaeg või kui see ei ole võimalik, selle ajavahemiku kindlaksmääramiseks kasutatud kriteeriumid;
• õigus taotleda isikuandmetega tutvumist, nende kustutamist, parandamist, piiramist, vaidlustamist ja ülekantavust;
• õigus esitada kaebus andmekaitseasutusele;
• kui töötlemise õiguslik alus on nõusolek: õigus nõusolek igal ajal tagasi võtta;
• automatiseeritud otsuste tegemise korral asjakohane teave isikuandmete töötlemise alusloogika ja kavandatud tagajärgede kohta andmesubjektile;
• isikuandmete allikas (kui te ei saanud neid otse asjaomaselt isikult);
• kas isik on kohustatud esitama isikuandmeid (seaduse või lepingu alusel või sõlmima lepingu) ja millised on andmete andmisest keeldumise tagajärjed.

Lisateave:

• Üksikisikute õiguste austamine

Isikuandmete töötlemine on mis tahes liiki toiming (töötlemistoiming), mis toimub üksikisikute isikuandmetega või nendega koos. See hõlmab isikuandmete kogumist, salvestamist, korrastamist, struktureerimist, säilitamist, kohandamist või muutmist, väljavõtete tegemist, päringuid, päringuid, kasutamist, edastamise, levitamise või muul viisil kättesaadavaks tegemise teel avalikustamist, ühitamist või ühendamist, piiramist, kustutamist või hävitamist.

Andmekaitsespetsialistid (AKS)võivad täita organisatsioonis muid ülesandeid, kuid see ei tohi põhjustada huvide konflikti. See tähendab, et AKS ei saa olla olukorras, kus ta määrab kindlaks töötlemistoimingute eesmärgid ja vahendid. Vastuoluliste ülesannete hulka kuuluvad peamiselt juhtivad ametikohad (juht, tegevjuht, finantsjuht, personalijuht, IT-juht, tegevdirektor), kuid võivad hõlmata ka muid ülesandeid, kui nende tulemusel määratakse kindlaks töötlemise eesmärgid ja vahendid.
AKS peab olema võimeline täitma oma kohustusi ja ülesandeid sõltumatult. See tähendab, et teie organisatsioon:

• ei tohi anda AKS-le juhiseid seoses tema AKS-i ülesannete täitmisega;
• ei tohi AKS-i tema ülesannete täitmise eest karistada ega ametist vabastada.

Lisateave:

• Andmekaitsespetsialist

IKÜM-i kohaselt on vastutava töötleja ja volitatud töötleja vaheline kehtiv leping kohustuslik. Rikkumise eest võib määrata haldustrahvi kuni 10 miljoni euro ulatuses või kuni 2 % ulatuses äriühingu aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Selleks, et aidata teid vastutava töötleja ja volitatud töötleja vahelise lepingu sõlmimisel, on Taani ja Sloveenia andmekaitseasutused ning Euroopa Komisjon välja töötanud näidislepingud.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Andmekaitsespetsialisti ülesanne on muu hulgas:

• teavitada ja nõustada organisatsiooni ja selle töötajaid andmekaitsenõuete järgimisel;
• jälgida andmekaitsenõuete järgimist;
• anda nõu andmekaitsealase mõjuhinnanguga seotud taotluste kohta;
• tegutseda andmekaitseasutuse kontaktpunktina ja teha selle andmekaitseasutusega koostööd;
• tegutseda üksikisikute kontaktpunktina.

Lisaks on andmekaitsespetsialisti kohalolek üldiselt soovitatav, kui tehakse otsuseid, millel on mõju andmekaitsele. Andmekaitsespetsialisti tuleks viivitamata konsulteerida ka siis, kui andmetega seotud rikkumine või mõni muu intsident on aset leidnud.

Lisateave:

• Andmekaitsespetsialist

IKÜM-i järgimist jälgivad riiklikud andmekaitseasutused. Andmekaitseasutused võivad korraldada uurimisi ja määrata vajaduse korral sanktsioone. Andmekaitseasutuste käsutuses on mitu vahendit, sealhulgas trahvid kuni 20 miljonit eurot või 4 % ülemaailmsest aastakäibest, olenevalt sellest, kumb summa on suurem, noomitused ning ajutised või alalised töötlemiskeelud.

Kõigi Euroopa Majanduspiirkonna (EMP) andmekaitseasutuste kontaktandmed leiate Euroopa Andmekaitsenõukogu veebisaidilt: Liikmed

Lisateave:

• Andmekaitseasutus ja teie