Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Andmekaitsespetsialisti (AKS) määramine on kohustuslik kolmel järgmisel juhul:

• organisatsioon on avaliku sektori asutus;
• organisatsiooni põhitegevus hõlmab üksikisikute korrapärast ja süstemaatilist ulatuslikku jälgimist, näiteks asukohatuvastust mobiilirakenduse kaudu või ostukeskuste ja avalike ruumide jälgimist videovalve kaudu;
• organisatsiooni põhitegevus hõlmab delikaatsete andmete või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist.

AKS-i võite alati määrata vabatahtlikkuse alusel, isegi kui see ei ole seadusega nõutav. Sellisel juhul peate järgima kõiki IKÜM-i sätteid, mis käsitlevad andmekaitsespetsiaisti ametikohta ja ülesandeid.

Lisateave:

• Andmekaitsespetsialist

Ei, teie andmeid töötlemise kohta ei ole vaja avalikustada. peab teil olema võimalik teha andmed taotluse korral andmekaitseasutusele kättesaadavaks.

Lisateave:

• Vastavus nõuetele

Kas palute Euroopa Andmekaitsenõukogul uurida organisatsiooni, mis teie arvates rikub ELi õigusakte, ja võtta selle vastu meetmeid, sealhulgas konkreetsete tehnoloogiate, näiteks tehisintellekti, sotsiaalmeedia või sõnumiteenuste kaudu?

Andmekaitse-eeskirjade kontekstis võite esitada kaebuse oma andmekaitseasutusele (nende loetelu leiate meie veebisaidilt: https://edpb.europa.eu/about-edpb/our-members). Andmekaitse-eeskirjade täitmise tagamise eest vastutavad andmekaitseasutused. Võite võtta ühendust näiteks selle andmekaitseasutusega, kus te elate või töötate või kus väidetav rikkumine aset leidis.

Teine võimalus on pöörduda oma elukohariigi või vastutava töötleja või volitatud töötleja asukohariigi kohtusse. 

Kui teie olukorras kehtib GDPR, kuid te ei asu Euroopas, võite siiski esitada kaebuse Euroopa andmekaitseasutusele ja/või pöörduda kohtusse.

Euroopa Andmekaitsenõukogul ei ole pädevust käsitleda konkreetseid individuaalseid taotlusi või kaebusi ega osutada individuaalseid nõustamisteenuseid. Euroopa Andmekaitsenõukogu ei ole riigiülene organ, mis saaks kaebusi uurida.

Kui soovite esitada kaebuse selle kohta, kuidas ELi institutsioon, asutus või organ teie isikuandmeid kasutab, võite esitada kaebuse Euroopa Andmekaitseinspektorile (vt kontaktandmed meie veebisaidil: https://edpb.europa.eu/about-edpb/our-members).

Juhime Teie tähelepanu sellele, et me ei edasta Teie sõnumit riiklikele andmekaitseasutustele ega Euroopa Andmekaitseinspektorile. Seetõttu peaksite nendega otse ühendust võtma.

Selleks, et nõusolekut saaks pidada kehtivaks, peab see olema:

• vabalt antud;
• konkreetne;
• teavitatud;
• ühemõtteline.

See tähendab, et üksikisikutel peab olema tõeliselt vaba valik küsimuses, kas nad nõustuvad oma isikuandmete töötlemisega või mitte; nad vajavad piisavalt teavet, et nad mõistaksid, milliseid andmeid töödeldakse, millisel eesmärgil ja kuidas seda tehakse; samuti vajavad nad nõusolekutaotlustes piisavalt üksikasjalikku teavet.

Lisaks peaks isik selgelt kinnitama (ilma eelnevalt märgistatud lahtriteta ja kohaldatavatest üldtingimustest eraldi).
Lisaks peavad üksikisikud saama oma nõusoleku tagasi võtta (ilma negatiivsete tagajärgedeta), kui nad hiljem meelt muudavad.

Lisateave:

• Töötle isikuandmeid seaduslikult

Kui teie organisatsioon kogub isikuandmeid otse üksikisikutelt, peab ta esitama vajaliku teabe kogumise ajal.
Isikuandmete kaudse kogumise korral peab teie organisatsioon esitama teabe hiljemalt ühe kuu jooksul pärast seda, kui isikuandmed on algselt saadud. Seda maksimaalset ühekuulist ajavahemikku võib lühendada:

• kui isikuandmeid kasutatakse andmesubjektiga suhtlemiseks. Sellisel juhul peate andmesubjekti teavitama hiljemalt andmesubjektile esmakordsel teavitamisel;
• kui andmed edastatakse teisele vastuvõtjale, teavitab organisatsioon sellest andmesubjekte hiljemalt isikuandmete edastamisel.

Lisateave:

• Üksikisikute õiguste austamine

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Kõik organisatsioonid, olenemata nende suurusest või sektorist, mis on asutatud Euroopa Majanduspiirkonnas (EMP) või pakuvad tooteid või teenuseid üksikisikutele EMP-s, töötlevad isikuandmeid,  olgu need automatiseeritud või mitte, peavad järgima IKÜM-i. Isegi kui IKÜM on peamiselt seotud isikuandmete automatiseeritud töötlemisega, kohaldatakse IKÜM-i ka käsitsi tehtavate töötlemistoimingute suhtes alates hetkest, mil pabertoimikud on süstemaatiliselt korraldatud, nt tähestikulise järjestamisega toimikukapis. 

Töötlemistoimingud on näiteks üksikisikute isikuandmete kogumine, salvestamine, korraldamine, kasutamine, modifitseerimine, säilitamine, avaldamine, muutmine ja kustutamine.

IKÜM-i kohaldamist kohandatakse siiski vastavalt tehtud töötlemistoimingute laadile, kontekstile, eesmärkidele ja riskidele. Väike- ja keskmise suurusega ettevõtete (VKE) puhul, kelle põhitegevus ei ole isikuandmete töötlemine, võivad kohustused olla leebemad kui suurtel ettevõtetel.

Lisateave:

• Andmekaitse põhitõed

Andmekaitsespetsialisti ülesanne on muu hulgas:

• teavitada ja nõustada organisatsiooni ja selle töötajaid andmekaitsenõuete järgimisel;
• jälgida andmekaitsenõuete järgimist;
• anda nõu andmekaitsealase mõjuhinnanguga seotud taotluste kohta;
• tegutseda andmekaitseasutuse kontaktpunktina ja teha selle andmekaitseasutusega koostööd;
• tegutseda üksikisikute kontaktpunktina.

Lisaks on andmekaitsespetsialisti kohalolek üldiselt soovitatav, kui tehakse otsuseid, millel on mõju andmekaitsele. Andmekaitsespetsialisti tuleks viivitamata konsulteerida ka siis, kui andmetega seotud rikkumine või mõni muu intsident on aset leidnud.

Lisateave:

• Andmekaitsespetsialist

IKÜM-s kehtestatakse kohustused kõigile isikuandmeid töötlevatele organisatsioonidele, olenemata sellest, kas nad on vastutavad töötlejad või volitatud töötlejad.
Eelkõige peaksite:

• Küsima endalt, kas isikuandmete kogumise eesmärk on õigustatud ja koguma ainult isikuandmeid, mis on vajalikud konkreetse(te)ks kavandatud eesmärkideks;
• Hoidma üksikisikute isikuandmed täpsed ja ajakohased ning kustutama andmed, kui need ei ole enam vajalikud;
• Austama üksikisikute õigusi, teavitades neid sellest, kuidas ja miks nende andmeid töödeldakse ning võimaldama neil oma õigusi kasutada;
• Kontrollige, kas teil on isikuandmete töötlemiseks sobiv õiguslik alus. Kui kavatsete tugineda üksikisikute nõusolekule, küsige enne isikuandmete töötlemist nõusolekut;
• Tagama  üksikisikute isikuandmete turvalise käitlemise;
• Pidama arvestust töötlemistoimingute üle.

Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi ning nad ei tohi töödelda andmeid muul viisil, kui vastutava töötleja juhiste kohaselt.
 

Lisateave:

• Nõuetele vastamine
• Vastutav töötleja või volitatud töötleja
• Andmekaitse põhitõed

• Isikuandmete töötlemine peab olema seaduslik, õiglane ja läbipaistev.
• Isikuandmeid koguda ainult kindlaksmääratud, selgesõnalistel ja õiguspärastel eesmärkidel. Üksikisiku andmete töötlemine peab rangelt piirduma algselt kehtestatud eesmärgiga ja seetõttu ei tohi seda töödelda hilisema(te)l või muudel eesmärkidel, mis ei ole algsete eesmärkidega kooskõlas.
• Töödelda üksnes isikuandmeid, mis on kavandatud eesmärki silmas pidades vajalikud ja proportsionaalsed.
• Kõik teie töödeldavad isikuandmed peavad olema täpsed ja ajakohased. Ebatäpsed isikuandmed tuleb parandada või kustutada.
• Üksikisikute isikuandmete säilitamine peab olema ajaliselt piiratud, võttes arvesse nende kogumise ja töötlemise eesmärki. Seega tuleb üksikisikute isikuandmed kustutada või anonüümseks muuta, kui need andmed ei ole enam vajalikud.
• Üksikisikute andmeid tuleb töödelda turvaliselt. Sellega seoses tuleb kehtestada tugev küberturvalisuse kontroll, et tagada üksikisikute andmete piisav kaitse.

Lõpuks vastutab vastutav töötleja. See tähendab, et ta vastutab eespool nimetatud põhimõtete järgimise eest ja peab suutma seda tõendada.

Lisateave:

• Andmekaitse põhialused

Te ei saa säilitada isikuandmeid igavesti.
Üldjuhul võib isikuandmeid säilitada ainult nii kaua, kui see on isikuandmete töötlemise eesmärke silmas pidades vajalik.

Mõnel juhul saab säilitusaja kindlaks määrata konkreetsete seadustega, näiteks tööseadustega määratakse palganimekirjade säilitusaeg.

Organisatsioonid peaksid kehtestama andmete säilitamise põhimõtted, tagamaks, et isikuandmeid ei säilitata kauem, kui on vajalik. Üksikisikute isikuandmed tuleb kustutada või anonüümseks muuta, kui need andmed ei ole enam töötlemise eesmärgil vajalikud.

Lisateave:

• Andmekaitse põhitõed

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Euroopa Andmekaitsenõukogul ei ole pädevust teha järelevalvet andmekaitseasutuste tegevuse üle üksikisikute taotlusel.

Pange tähele, et üldiste suuniste andmise pädevust ei saa mõista kui mehhanismi, mille abil Euroopa Andmekaitsenõukogu teeb järelevalvet selle üle, kuidas andmekaitseasutused teie konkreetset juhtumit käsitlevad. 

Kui arvate, et isikuandmete kaitse üldmäärust on rikutud ja te ei ole andmekaitseasutuse vastusega rahul, on ülejäänud lahendus kohtumenetluse algatamine.

Üldiselt peaks iga organisatsioon pidama arvestust oma töötlemistoimingute kohta. See on kõigi töötlemistoimingute loend ja võib aidata teil teha õigeid eeldusi oma kohustuste kohta, mis tulenevad IKÜM-st ja võimalikest riskidest.
Iga töötlemistoimingut tuleb registris kirjeldada koos järgmise teabega:

• töötlemise eesmärk (nt kliendi lojaalsus);
• töödeldavate andmete kategooriad (nt palgafondi puhul: nimi, eesnimi, sünniaeg, palk jne);
• kellel on juurdepääs andmetele (vastuvõtjad – nt: värbamise eest vastutav osakond, IT-teenus, juhtkond, teenuseosutajad, partnerid jne);
• vajaduse korral teave isikuandmete edastamise kohta väljapoole Euroopa Majanduspiirkonda (EMP);
• võimaluse korral säilitamisaeg (periood, mille jooksul andmed on operatiivsest seisukohast ja arhiveerimise seisukohast kasulikud).
• võimaluse korral turvameetmete üldine kirjeldus.

Töötlemistoimingute dokumenteerimise eest vastutab teie organisatsiooni juht.

See kirje peab olema taotluse korral kättesaadav selle EMP riigi andmekaitseasutusele, kus te tegutsete.

Organisatsioonid, kus töötab vähem kui 250 inimest, ei pea oma registrisse märkima üksnes juhuslikku tegevust (nt ühekordseteks sündmusteks, näiteks kaupluse avamiseks töödeldud andmeid).
 

Lisateave:

• Vastavus nõuetele 

Andmekaitsespetsialistid (AKS)võivad täita organisatsioonis muid ülesandeid, kuid see ei tohi põhjustada huvide konflikti. See tähendab, et AKS ei saa olla olukorras, kus ta määrab kindlaks töötlemistoimingute eesmärgid ja vahendid. Vastuoluliste ülesannete hulka kuuluvad peamiselt juhtivad ametikohad (juht, tegevjuht, finantsjuht, personalijuht, IT-juht, tegevdirektor), kuid võivad hõlmata ka muid ülesandeid, kui nende tulemusel määratakse kindlaks töötlemise eesmärgid ja vahendid.
AKS peab olema võimeline täitma oma kohustusi ja ülesandeid sõltumatult. See tähendab, et teie organisatsioon:

• ei tohi anda AKS-le juhiseid seoses tema AKS-i ülesannete täitmisega;
• ei tohi AKS-i tema ülesannete täitmise eest karistada ega ametist vabastada.

Lisateave:

• Andmekaitsespetsialist