European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Kes on vastutav töötleja ja kes on volitatud töötleja?

IKÜM-s eristatakse kahte peamist rolli: vastutava töötleja ja volitatud töötleja omad. See eristamine on väga oluline, kuna vastutav töötleja kannab suuremat vastutust ja peab täitma rohkem kohustusi kui volitatud töötleja.
Vastutavad töötlejad ja volitatud töötlejad võivad olla füüsilised või juriidilised isikud. Näiteks: VKE, avaliku sektori asutus, äriühing, organisatsioon, riigiasutus, ühendus jne.
Vastutav töötleja määrab kindlaks töötlemistoimingu eesmärgid ja vahendid. Teisisõnu otsustab vastutav töötleja, kuidas ja miks töötlemistoimingut tehakse. Volitatud töötlejad töötlevad isikuandmeid vastutava töötleja nimel. Volitatud töötlejate teostatavat töötlemist tuleb reguleerida vastutava töötlejaga sõlmitud lepingu või muu õigusaktiga.

Vastutavate töötlejate näited:

  • ettevõtted, kes töötlevad oma klientide isikuandmeid müügi lõpuleviimiseks;
  • finantseerimisasutused, kes töötlevad oma klientide isikuandmeid;
  • ühendused, kes töötlevad oma liikmete andmeid;
  • koolid või ülikoolid, mis töötlevad õpilaste ja õpetajate isikuandmeid;
  • haiglad, kes töötlevad oma patsientide isikuandmeid;
  • valitsusasutused, kes töötlevad kodanike isikuandmeid.

Andmetöötlejate näited:

  • väike- ja keskmise suurusega ettevõtja (VKE) palkab raamatupidamisteenuse oma raamatupidamisarvestuse pidamiseks, VKE on vastutav töötleja ja raamatupidamisteenus andmetöötleja;
  • palgaarvestusettevõte töötleb VKE isikuandmeid. Palgaarvestusettevõte tegutseb volitatud töötlejana, kui ta töötleb isikuandmeid ainult VKE nimel. VKE määrab kindlaks andmetöötluse eesmärgid ja vahendid ning on seega vastutav töötleja.
  • VKE tellib turundusettevõttelt e-posti aadresside kogumise kolmandate osapoolte veebisaitide kaudu. Turustusettevõtja teeb seda vastavalt VKE selgetele juhistele ja üksnes VKE eesmärkidel. Turundusettevõte tegutseb selle kollektsiooni volitatud töötlejana.

Lisateave:

Mis on tundlikud andmed?

Teatavat liiki isikuandmed kuuluvad isikuandmete eriliikidesse, mis tähendab, et nad väärivad suuremat kaitset, nn delikaatsed andmed. Tundlikud andmed hõlmavad andmeid, mis annavad teavet järgmise kohta:

  • üksikisiku tervis;
  • isiku seksuaalne sättumus;
  • isiku rassiline või etniline päritolu;
  • üksikisiku poliitilised vaated, usulised või filosoofilised veendumused; üksikisiku ametiühingusse kuulumine;
  • inimese biomeetrilised ja geneetilised andmed.

Isiku delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud konkreetsetel asjaoludel, mis õigustavad nende töötlemist.
 

Lisateave:

Kes saab täita andmekaitsespetsialisti (AKS) ülesandeid?

Andmekaitsespetsialist võib olla olemasolev töötaja, kellel on piisavad teadmised IKÜM-st (kui töötaja ametiülesanded on kooskõlas andmekaitsespetsialistiülesannetega ja see ei põhjusta huvide konflikte) või väline isik. Andmekaitsespetsialist peaks suutma täita ülesandeid sõltumatult ja andma aru otse kõrgeimale juhtkonnale.

Lisateave:

Where can I find documents adopted by the Article 29 Working Party?

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Does the GDPR apply to my organisation?

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

What happens after a public consultation is closed?

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Mis on isikuandmed?

Isikuandmed on igasugune teave tuvastatud või tuvastatava isiku kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada. Isikuandmete hulka võivad kuuluda ka erinevad kogutud andmed, mis võivad viia konkreetse isiku tuvastamiseni.
Isikuandmete näited on järgmised:

  • ees- ja perekonnanimi;
  • kodune aadress;
  • e-posti aadress;
  • ID-kaardi number;
  • asukohaandmed;
  • internetiprotokolli (IP) aadress;
  • küpsise ID;
  • pangakontod;
  • maksuaruanded;
  • biomeetrilised andmed (nt sõrmejäljed);
  • sotsiaalkindlustusnumber;
  • passi number;
  • katsetulemused;
  • klassid koolis;
  • sirvimise ajalugu;
  • isiku foto;
  • sõiduki registreerimisnumber jne.
     

Lisateave:

I submitted feedback to a public consultation, but I cannot see my comments on the public consultation page. How do I know that my feedback was received by the EDPB?

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

Do you think your data has been lost or stolen?

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

Are EDPB documents available in all EU languages?

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

My organisation would like to become a certification body, how can we become accredited?

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

Vastutava töötlejana olen kogunud üksikisikute isikuandmeid kolmandadelt isikutelt, mida ma pean tegema, et olla nõuetele vastav?

  1. Veenduge, et teie saadud andmed on õiguspäraselt kogutud ja asjaomaseid isikuid on teavitatud nende isikuandmete töötlemisest.
  2. Juhul, kui kolmas isik töötleb teie nimel isikuandmeid, veenduge, et teil on vastutava töötleja ja volitatud töötleja leping, milles kirjeldatakse töötlemistoiminguid ja isikuandmete töötlemise vahendeid.

Loomulikult tuleb täita kõiki vastutavate töötlejate kohustusi.

Lisateave:

Kuidas ma saan teada, milliseid turvameetmeid ma pean rakendama?

Vajalikud turvameetmed võivad erineda sõltuvalt töödeldavate isikuandmete laadist ja nendega seotud riskidest üksikisikutele. Igal juhul on olemas mõned minimaalsed meetmed, mida peaksite rakendama:

  • turvaline juurdepääs ruumidele;
  • regulaarselt uuendatava viirusetõrjetarkvara kasutamine;
  • hoolikas paroolide valimine;
  • kasutajate autentimine enne arvutiseadmete kasutamist;
  • intsidendi korral andmete varundamise ja otsimise poliitika rakendamine.

Lisaks ei ka ole kohatud mõned põhimeetmed, nagu ekraani lukustamine, kui olete eemal, ja kontori lukustamine päeva lõpus. 

Lisateave:

Kas ma võin avaldada konkursi võitjate nimed oma organisatsiooni veebisaidil?

Konkursi võitjate nimede avaldamist oma veebisaidil võib pidada õigustatud huviks, kui saate seda tõendada tasakaalukatsega, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisikute õiguse.

Hea tava oleks kehtestada sisemenetlus, milles selgitatakse võitjate isikuandmete avaldamise eeskirju.

Lisaks peaks isikuandmete töötlemine nendel eesmärkidel olema osa konkursi privaatsuspoliitikast, et osalejaid teavitataks eelnevalt sellest, kuidas nende andmeid töödeldakse.

Lisateave:

Where can I find documents that were adopted during a recent/the latest EDPB plenary?

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

Kas küsite kohandatud nõuandeid selle kohta, kuidas tõlgendada või kohaldada andmekaitse-eeskirju teie konkreetses olukorras?

Euroopa Andmekaitsenõukogu ei anna kodanikele ega era-/avaliku sektori organisatsioonidele kohandatud õigusnõu selle kohta, kuidas kohaldada andmekaitseõigust konkreetsete juhtumite suhtes. 

Euroopa Andmekaitsenõukogu peamine ülesanne on anda välja üldisi suuniseid ja arvamusi. Kõigi vastuvõetud suuniste ja arvamustega saab tutvuda siin: Suunised, soovitused, parimad tavad ja arvamused. Soovitame lugeda ka väikeettevõtete andmekaitsejuhendit. See juhend aitab teil mõista peamisi andmekaitsekontseptsioone, üksikisikute isikuandmete kaitse üldmäärusest tulenevaid õigusi, vastavusnõudeid, turvameetmeid ja seda, kuidas käsitleda andmetega seotud rikkumisi.

Lisateavet Euroopa Andmekaitsenõukogu rolli ja isikuandmete kaitse üldmääruse kohaldamise kohta leiate ka siit: Frequently Asked Questions.

Samuti palume teil tutvuda oma riigi andmekaitseasutuse veebisaitidega. Lingid meie liikmete veebisaitidele leiate siit: Our members.

When will the EDPB’s decision be published in those cases where it settles conflicting views on a draft decision or where it decides on the Lead Supervisory Authority (LSA)?

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

What is the EDPB?

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

What does the EDPB do?

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

  • providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
  • adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
    • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
    • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
  • adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
  • promoting and supporting the cooperation among national DPAs.

Kas ma võin jagada üksikisikute isikuandmete nimekirja oma äripartneritega (kolmandate osapooltega)?

Jah, võite, kuid IKÜM paneb teatud kohustused ettevõtetele, kes jagavad isikuandmeid. Teie organisatsioon peab teavitama üksikisikuid sellest, et jagate nende andmeid kolmanda osapoolega. Samuti peate neid teavitama oma eesmärkidest, turvalisusest, juurdepääsust ja kohaldatavatest säilitamismeetmetest.