Frequently Asked Questions
Kas ma saan isikuandmeid edastada väljapoole Euroopa Majanduspiirkonda (EMP)?
IKÜM-i kohaselt on põhimõtteliselt kaks peamist viisi isikuandmete edastamiseks EMP-välisele riigile või rahvusvahelisele organisatsioonile. Edastamine võib toimuda kaitse piisavuse otsuse alusel või sellise otsuse puudumisel asjakohaste kaitsemeetmete alusel, sealhulgas üksikisikute kohtulikult kaitstavate õiguste ja õiguskaitsevahendite alusel.
Lisateave:
Kas minu organisatsioon peab järgima isikuandmete kaitse üldmäärust (IKÜM)?
Kõik organisatsioonid, olenemata nende suurusest või sektorist, mis on asutatud Euroopa Majanduspiirkonnas (EMP) või pakuvad tooteid või teenuseid üksikisikutele EMP-s, töötlevad isikuandmeid, olgu need automatiseeritud või mitte, peavad järgima IKÜM-i. Isegi kui IKÜM on peamiselt seotud isikuandmete automatiseeritud töötlemisega, kohaldatakse IKÜM-i ka käsitsi tehtavate töötlemistoimingute suhtes alates hetkest, mil pabertoimikud on süstemaatiliselt korraldatud, nt tähestikulise järjestamisega toimikukapis.
Töötlemistoimingud on näiteks üksikisikute isikuandmete kogumine, salvestamine, korraldamine, kasutamine, modifitseerimine, säilitamine, avaldamine, muutmine ja kustutamine.
IKÜM-i kohaldamist kohandatakse siiski vastavalt tehtud töötlemistoimingute laadile, kontekstile, eesmärkidele ja riskidele. Väike- ja keskmise suurusega ettevõtete (VKE) puhul, kelle põhitegevus ei ole isikuandmete töötlemine, võivad kohustused olla leebemad kui suurtel ettevõtetel.
Lisateave:
Kas mul on vaja saada andmekaitsespetsialistiks (AKS)?
Ei, te ei pea olema sertifitseeritud, et saada andmekaitsespetsialistiks.
Andmekaitsespetsialistid peavad siiski suutma tõendada, et neil on IKÜM-s nõutud vajalik kvalifikatsioon, näiteks eksperditeadmised andmekaitsealaste õigusaktide ja tavade kohta.
Lisateave:
Kas peaksin määrama andmekaitsespetsialisti (AKS)?
Andmekaitsespetsialisti (AKS) määramine on kohustuslik kolmel järgmisel juhul:
- organisatsioon on avaliku sektori asutus;
- organisatsiooni põhitegevus hõlmab üksikisikute korrapärast ja süstemaatilist ulatuslikku jälgimist, näiteks asukohatuvastust mobiilirakenduse kaudu või ostukeskuste ja avalike ruumide jälgimist videovalve kaudu;
- organisatsiooni põhitegevus hõlmab delikaatsete andmete või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist.
AKS-i võite alati määrata vabatahtlikkuse alusel, isegi kui see ei ole seadusega nõutav. Sellisel juhul peate järgima kõiki IKÜM-i sätteid, mis käsitlevad andmekaitsespetsiaisti ametikohta ja ülesandeid.
Lisateave:
Kas volitatud töötlejad peavad järgima ka IKÜM-i?
Jah, volitatud töötlejatel (st isikutel või asutustel, kes töötlevad andmeid vastutava töötleja nimel) on IKÜM-st tulenevad kohustused. Vastutavate töötlejate ja volitatud töötlejate vastutuses on siiski mõningaid erinevusi.
Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi, milles kirjeldatakse üksikasjalikult töötlemistoiminguid ja isikuandmete töötlemise vahendeid. Näiteks peab volitatud töötleja tegema töötlemistoimingud asjakohaste tehniliste ja korralduslike meetmetega vastavalt vastutava töötleja juhistele. Seejuures abistab volitatud töötleja vastutavat töötlejat IKÜM-i järgimisel.
Lisateave:
Korraldan ürituse osana oma äritegevusest, kas saan teha fotosid ja videosid üritusest ja kohalviibijatest?
Jah, kuid selleks peate kõigepealt kindlaks määrama seda liiki isikuandmete töötlemise õigusliku aluse. Näiteks võib töötlemist pidada teie organisatsiooni õigustatud huviks. Isikuandmete töötlemisel õigustatud huvi alusel on alati vaja läbi viia tasakaalustav test, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisikute õigused, eriti kui tegemist on lastega.
Sellise töötlemise teine võimalik õiguslik alus võiks olla nõusolek. Igal juhul tuleks üksikisikuid alati eelnevalt teavitada sellest, et sündmust pildistatakse või filmitakse.
Lisateave:
- Töötle isikuandmeid seaduslikult
Mida peaks sisaldama vastutava töötleja ja volitatud töötleja vaheline leping?
Vastutava töötleja ja volitatud töötleja vahelises lepingus tuleb sätestada, et volitatud töötleja:
- töötleb isikuandmeid ainult vastutava töötleja juhiste kohaselt, sealhulgas seoses isikuandmete edastamisega EMP-välisesse riiki;
- tagab, et andmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsust või neil on asjakohane seadusjärgne konfidentsiaalsuskohustus;
- tagab töötlemise turvalisuse;
- ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva eri- või üldise kirjaliku loata;
- abistab vastutavat töötlejat vastutava töötleja kohustuste täitmisel, et vastata üksikisiku taotlustele oma õiguste kasutamiseks;
- abistab vastutavat töötlejat töötlemise tagamisel, andmetega seotud rikkumistest teavitamisel ja andmekaitsealaste mõjuhinnangute tegemisel;
- kustutab või tagastab vastutava töötleja valikul kõik isikuandmed pärast teenuste osutamise lõppu vastutavale töötlejale;
- teeb vastutavale töötlejale kättesaadavaks kogu vajaliku teabe, et tõendada IKÜM-st tulenevate kohustuste täitmist;
- võimaldab ja aitab auditeid, sealhulgas kontrolle, mida viib läbi vastutav töötleja või vastutav töötleja volitatud muu audiitor.
Lisaks teavitab volitatud töötleja viivitamata vastutavat töötlejat, kui tema arvates rikuvad juhised IKÜM-i, muid EL-i või riiklikke andmekaitsesätteid.
Lisateave:
Mida tähendab isikuandmete töötlemine?
Isikuandmete töötlemine on mis tahes liiki toiming (töötlemistoiming), mis toimub üksikisikute isikuandmetega või nendega koos. See hõlmab isikuandmete kogumist, salvestamist, korrastamist, struktureerimist, säilitamist, kohandamist või muutmist, väljavõtete tegemist, päringuid, päringuid, kasutamist, edastamise, levitamise või muul viisil kättesaadavaks tegemise teel avalikustamist, ühitamist või ühendamist, piiramist, kustutamist või hävitamist.
Mida teha, kui volitatud töötleja ei soovi allkirjastada vastutava töötleja ja volitatud töötleja lepingut?
IKÜM-i kohaselt on vastutava töötleja ja volitatud töötleja vaheline kehtiv leping kohustuslik. Rikkumise eest võib määrata haldustrahvi kuni 10 miljoni euro ulatuses või kuni 2 % ulatuses äriühingu aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
Selleks, et aidata teid vastutava töötleja ja volitatud töötleja vahelise lepingu sõlmimisel, on Taani ja Sloveenia andmekaitseasutused ning Euroopa Komisjon välja töötanud näidislepingud.
Lisateave:
Millised on andmekaitsespetsialisti ülesanded?
Andmekaitsespetsialisti ülesanne on muu hulgas:
- teavitada ja nõustada organisatsiooni ja selle töötajaid andmekaitsenõuete järgimisel;
- jälgida andmekaitsenõuete järgimist;
- anda nõu andmekaitsealase mõjuhinnanguga seotud taotluste kohta;
- tegutseda andmekaitseasutuse kontaktpunktina ja teha selle andmekaitseasutusega koostööd;
- tegutseda üksikisikute kontaktpunktina.
Lisaks on andmekaitsespetsialisti kohalolek üldiselt soovitatav, kui tehakse otsuseid, millel on mõju andmekaitsele. Andmekaitsespetsialisti tuleks viivitamata konsulteerida ka siis, kui andmetega seotud rikkumine või mõni muu intsident on aset leidnud.
Lisateave: