Frequently Asked Questions

Kui isikuandmeid kogutakse otse asjaomastelt üksikisikutelt, peavad organisatsioonid töötlemistoimingute kohta kokkuvõtlikult ja läbipaistvalt teavet andma, kasutades arusaadavat, kergesti kättesaadavat ning selget ja lihtsat keelt. Seda saab teha kirjalikult (nt pakkumuse tagaküljel) või elektrooniliselt (nt veebisaidil). Kui asjaomane isik seda taotleb, võite selle teabe esitada ka suuliselt, kuid te peate seda hiljem tõendama.

Isegi kui andmeid koguti kaudselt, st kui te ei kogu isikuandmeid otse üksikisikult endalt, vaid näiteks kolmanda isiku kaudu, peate esitama sama üksikasjaliku teabe üksikisikutele.

Üksikisikutel on õigus nõuda enda isikuandmete kustutamist ja sellisel juhul on vastutav töötleja kohustatud isikuandmed kustutama. Te peaksite vastama põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul pärast taotluse saamist. Seda tähtaega võib pikendada veel kahe kuu võrra, kui taotlus on liiga keeruline ja taotluse täitmiseks on vaja rohkem aega, tingimusel, et üksikisikut teavitatakse sellest ühe kuu jooksul pärast taotluse saamist.
Oluline on märkida, et õigus andmete kustutamisele ei ole absoluutne. Seda ei kohaldata, kui kõnealused andmed on vajalikud:

• sõna- ja teabevabaduse õiguse kasutamisel (nt ajakirjanduslikel eesmärkidel);
• juriidilise kohustuse mis nõuab isikuandmete töötlemist, täitmisel,  (nt töötajate tööaja andmete töötlemine);
• avaliku huvi põhjuse rahvatervise valdkonnas
• avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil; 
• õigusnõuete koostamisel, esitamisel või kaitsmisel.

Kui kustutatavad isikuandmed edastati varem teistele organisatsioonidele, peate teavitama neid vastuvõtjaid sellest, et isik on taotlenud kustutamist, välja arvatud juhul, kui see osutub võimatuks või nõuaks ebaproportsionaalseid jõupingutusi.
 

Lisateave:

• Üksikisikute õiguste austamine

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Jah, teie kliente tuleb telefonikõne tegemisel teavitada salvestamise eesmärkidest, salvestiste saajatest, nende õigusest esitada vastuväiteid ja nende õigusest salvestistele juurde pääseda.

Lisateave:

• Töötle isikuandmeid seaduslikult

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

• your habitual residence;
• your place of work; or
• the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

• data processing takes place in more than one country;
• or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Isikuandmete töötlemine on mis tahes liiki toiming (töötlemistoiming), mis toimub üksikisikute isikuandmetega või nendega koos. See hõlmab isikuandmete kogumist, salvestamist, korrastamist, struktureerimist, säilitamist, kohandamist või muutmist, väljavõtete tegemist, päringuid, päringuid, kasutamist, edastamise, levitamise või muul viisil kättesaadavaks tegemise teel avalikustamist, ühitamist või ühendamist, piiramist, kustutamist või hävitamist.

Ei, delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud väga konkreetsetel asjaoludel:

• Isik on andnud selgesõnalise nõusoleku oma delikaatsete andmete töötlemiseks.
• Tundlike andmete töötlemine on vajalik, et vastutav töötleja saaks täita oma kohustusi, eelkõige tööhõive, sotsiaalkindlustuse ja sotsiaalkaitse valdkonnas. Näiteks võib vastutaval töötlejal olla vaja töödelda isiku tundlikke andmeid, et teha kindlaks, kas tal on õigus teatavatele sotsiaalkindlustushüvitistele või tööhõivetoetustele.
• Delikaatsete andmete töötlemine on vajalik isiku eluliste huvide kaitsmiseks, kui isik ei ole füüsiliselt või õiguslikult võimeline nõusolekut andma. Näiteks kui inimene jääb õnnetuse tagajärjel teadvuseta ja vajab kohest arstiabi, võib olla vaja töödelda tema terviseandmeid, et saada asjakohast arstiabi.
• Delikaatseid andmeid töödeldakse sihtasutuse, ühenduse või muu mittetulundusliku organisatsiooni õiguspärase tegevuse raames, millel on poliitiline, filosoofiline, usuline või ametiühingu eesmärk, ning üksnes nende liikmete, endiste liikmete või nendega regulaarselt kontaktis olevate isikute isikuandmete töötlemiseks.
• Delikaatsed andmed avalikustasid ilmselgelt üksikisikud.
• Tundlike andmete töötlemine on vajalik kohtumenetluse kontekstis.
• Tundlike andmete töötlemine on vajalik avalikku huvi pakkuvates küsimustes.
• Delikaatsete andmete töötlemine on vajalik ennetus- või töömeditsiini kontekstis. Näiteks võib olla vajalik hinnata isiku tundlikke andmeid, näiteks meditsiinilisi andmeid, et määrata kindlaks tema töövõime töötajana.
• Tundlike andmete töötlemine on vajalik rahvatervisega seotud küsimustes EL-i või siseriikliku õiguse alusel. Näiteks võib üksikisikute tundlike andmete töötlemine olla vajalik selleks, et tagada tervishoiu ja meditsiinitoodete kõrge kvaliteet või võidelda tõsiste terviseohtude, näiteks viiruste vastu.
• Tundlike andmete töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Näiteks võib tundlike andmete töötlemine olla vajalik, et anda täpset statistikat riigi olukorra kohta konkreetses valdkonnas. 

Lisateave:

• Töötle isikuandmeid seaduslikult 

IKÜM-i kohaselt on vastutava töötleja ja volitatud töötleja vaheline kehtiv leping kohustuslik. Rikkumise eest võib määrata haldustrahvi kuni 10 miljoni euro ulatuses või kuni 2 % ulatuses äriühingu aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Selleks, et aidata teid vastutava töötleja ja volitatud töötleja vahelise lepingu sõlmimisel, on Taani ja Sloveenia andmekaitseasutused ning Euroopa Komisjon välja töötanud näidislepingud.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Üksikisikud võivad teilt küsida, kas te nende andmeid töötlete ja kui see on nii, siis on neil õigus nendele andmetele juurde pääseda. Kui see juhtub ja kui teie nende andmeid töötlete, peaksite tasuta esitama näiteks nende isikuandmete koopia koos mis tahes vajaliku lisateabega. Kui taotlus esitatakse elektrooniliselt, peaks teie organisatsioon esitama nõutava teabe üldkasutatavas elektroonilises vormingus, välja arvatud juhul, kui individuaalsed taotlused on esitatud teisiti.

Lisateave:

• Üksikisikute õiguste austamine

Te peaksite vastama põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul pärast taotluse saamist. Seda tähtaega võib pikendada veel kahe kuu võrra, kui taotlus on liiga keeruline ja vastamiseks on vaja rohkem aega, tingimusel, et üksikisikut teavitatakse sellest ühe kuu jooksul pärast taotluse saamist.

Sa pead seda tasuta tegema.

Lisateave:

• Üksikisikute õiguste austamine

Võtame teadmiseks Teie soovituse Euroopa Andmekaitsenõukogule kaaluda seda küsimust edasiste suuniste andmiseks. Euroopa Andmekaitsenõukogu tööprogrammis praegu sisalduvate teemadega saate tutvuda meie veebisaidil: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_et.

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision¹. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

IKÜM-i kohaldatakse küpsiste kasutamise suhtes, kui neid kasutatakse isikuandmete töötlemiseks, kuid küpsiste kohta kehtivad ka täpsemad eeskirjad, mis hõlmavad e-privaatsuse direktiivi.

Küpsise salvestamine või juba salvestatud küpsisele juurdepääsu saamine kasutaja lõppseadmesse on lubatud ainult tingimusel, et asjaomast abonenti või kasutajat on piisavalt teavitatud (eelkõige töötlemise eesmärkidest) ja ta on andnud selleks oma nõusoleku.

Ainsaks erandiks on tehniliselt vajalikud küpsised. Organisatsioonid ei pea küsima nõusolekut, kui nad kasutavad oma veebisaitidel tehniliselt vajalikke küpsiseid.

Lisateave:

• Töötle isikuandmeid seaduslikult

Pseudonümiseerimine seisneb isikuandmete muutmises nii, et neid ei saa enam seostada konkreetse isikuga ilma täiendavat teavet kasutamata, tingimusel, et sellist lisateavet hoitakse eraldi ning selle suhtes kohaldatakse tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid ei seostata üksikisikuga. Praktikas võib see tähendada isikuandmete (nimi, eesnimi, isikukood, telefoninumber jne) asendamist andmekogumis kaudsete identifitseerimisandmetega (teise nimega, järjekorranumber jne). Pseudonümiseeritud andmed on endiselt isikuandmed ja nende suhtes kohaldatakse IKÜM-i.

Anonüümseks muudetud andmed on andmed, mis on muudetud anonüümseks sellisel viisil, et üksikisikut ei ole või enam ei ole võimalik tuvastada mis tahes mõistlikult tõenäoliselt kasutatava vahendi abil. Kui anonüümimist rakendatakse nõuetekohaselt, siis IKÜM anonüümseks muudetud andmete suhtes enam ei kehti.

Lisateave:

• Isikuandmete kaitsmine