European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Kes on vastutav töötleja ja kes on volitatud töötleja?

Isikuandmetega seotud rikkumine on turvarikkumine, mis toob kaasa isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu.

  • Kui andmetega seotud rikkumine kujutab endast ohtu asjaomastele isikutele, peate sellest teatama asjaomasele andmekaitseasutusele 72 tunni jooksul.
  • Kui rikkumine toob tõenäoliselt kaasa suure ohu üksikisikutele, peate ka sellest rikkumisest asjaomastele isikutele põhjendamatu viivituseta teatama.

Igal juhul peate kõigi rikkumiste puhul – isegi, kui neist ei ole andmekaitseasutust teavitatud – registreerima vähemalt rikkumise põhiandmed, hinnangu rikkumise kohta, selle mõju ja reageerimiseks võetud meetmed.
 

Lisateave:

Kuidas ma saan austada üksikisikute andmekaitseõigusi?

IKÜM loob üksikisikutele konkreetsed õigused, mida tuleb austada. Seda saab teha järgmiselt:

  • teavitada üksikisikuid, kelle andmeid te töötlete oma töötlemistoimingutest ja töötlemise eesmärkidest, kui kogute nende andmeid, näiteks oma veebisaidil oleva isikuandmete kaitse avalduse kaudu;
  • vastates üksikisikute taotlustele kasutada oma õigusi, nagu juurdepääsu-, parandus-, vastuväite-, kustutamis- või teisaldamistaotlused.

Organisatsioonide kohta, kes on oma isikuandmete kasutamise osas läbipaistvad ja austavad üksikisikute õigusi, on kaebuste esitamise tõenäosus väiksem.

Lisateave:

Kas soovite kasutada andmesubjekti õigusi (kustutamine, parandamine, juurdepääs) Schengeni infosüsteemis (SIS) säilitatavatele isikuandmetele?

Euroopa Andmekaitsenõukogu juures tegutsev koordineerimise järelevalvekomitee koordineerib järelevalvet isikuandmete töötlemise üle Schengeni infosüsteemis (SIS). Asjakohased ELi õigusaktid on määrus (EL) 2018/1862 (eelkõige artikkel 71) ja määrus (EL) 2018/1861 (eelkõige artikkel 57).

SISi sisestatud isikuandmetega on teil õigus tutvuda, neid parandada ja kustutada. Need õigused hõlmavad järgmist:

  • õigus teada, kas teie kohta käivat teavet töödeldakse SISis;
  • õigus tutvuda nende andmetega;
  • õigus ebatäpsete andmete parandamisele või kustutamisele, kui neid andmeid on ebaseaduslikult säilitatud; ja
  • Õigus pöörduda vajaduse korral kohtute, teie andmekaitseasutuse ja/või pädevate asutuste poole teid puudutavate andmete parandamiseks või kustutamiseks või hüvitise saamiseks.

Oma õiguste kasutamiseks võtke palun ühendust oma valitud Schengeni riigi pädeva asutusega. Lisateavet iga Schengeni riigi pädevate asutuste ja andmekaitseasutuse kohta leiate meie veebisaidilt „Andmesubjektideõiguste kasutamise juhend“. Sealt leiate ka näidiskirjad, mis aitavad teil oma õigusi kasutada. 

Pange tähele, et Euroopa Andmekaitsenõukogul ei ole pädevust käsitleda üksikkaebusi või -taotlusi. Lisaks ei ole Euroopa Andmekaitsenõukogul juurdepääsu nende infosüsteemide ja andmebaaside sisule.

Lisateavet oma õiguste kasutamise kohta leiate meie veebisaidilt https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_et.

Kuidas saan Euroopa Andmekaitsenõukogu tööga sammu pidada?

Euroopa Andmekaitsenõukogu avaldab korrapäraselt pressiteateid, uudiseid, blogisid ja muud sisu Euroopa Andmekaitsenõukogu veebisaidil ja  enda sotsiaalmeediakanalites (X: @EU_EDPB; LinkedIn: Euroopa Andmekaitsenõukogu), et hoida andmekaitsekogukondi ja üldsust oma tööga kursis.

Euroopa Andmekaitsenõukogu veebisaidil on ka kaks RSS-kanalit, mida saate tellida Euroopa Andmekaitsenõukogu uudiste ja Euroopa Andmekaitsenõukogu viimaste väljaannete automaatseks teavituseks.

Mis on IKÜM?

Isikuandmete kaitse üldmääruse ehk IKÜM-ga kehtestatakse ühtlustatud eeskirjad, mida kohaldatakse Euroopa Majanduspiirkonnas (EMP) asutatud organisatsioonide (avalik-õiguslikud või eraõiguslikud organisatsioonid, olenemata nende suurusest) mis tahes isikuandmete töötlemise suhtes või mis on suunatud üksikisikutele EL-is. IKÜM-i esmane eesmärk on tagada, et isikuandmete kaitse tase on kõikjal EMP-s sama kõrge, suurendades nii andmeid töötlevate üksikisikute kui ka organisatsioonide õiguskindlust ning pakkudes üksikisikutele kõrgetasemelist kaitset.

Määrus jõustus 24. mail 2016 ja seda kohaldatakse alates 25. maist 2018.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Kas IKÜM kehtib ka paberdokumentide suhtes?

Jah, IKÜM-i kohaldatakse juhul, kui isikuandmed sisalduvad või kavatsetakse lisada kataloogi. See tähendab, et IKÜM-i kohaldatakse ka paberdokumentidele, mitte ainult isikuandmete automatiseeritud töötlemisele.

Lisateave:

Mis on kaasvastutav töötleja?

Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks töötlemise eesmärgi ja vahendid, käsitatakse neid kaasvastutavate töötlejatena. Nad otsustavad koos töödelda isikuandmeid ühisel eesmärgil. Kaasvastutav vastutus võib esineda mitmes vormis ja erinevate vastutavate töötlejate osalemine võib olla ebavõrdne. Seetõttu peavad kaasvastutavad töötlejad määrama kindlaks oma kohustused IKÜM-i järgimisel.
Oluline on märkida, et kaasvastutav vastutus toob kaasa ühise vastutuse töötlemistoimingu eest.

  • Näide kaasvastutusest: Ettevõtted A ja B on käivitanud kaaskaubamärgiga toote ja soovivad korraldada üritust selle toote reklaamimiseks. Selleks otsustavad nad jagada oma klientide ja potentsiaalsete klientide andmebaaside andmeid ning otsustada selle alusel üritusele kutsutavate nimekirja. Samuti lepivad nad kokku, kuidas saata üritusele kutseid, kuidas ürituse ajal tagasisidet koguda ja turundustegevust jätkata. Äriühinguid A ja B võib pidada reklaamiürituse korraldamisega seotud isikuandmete töötlemisel kaasvastutavateks töötlejateks, kuna nad otsustavad ühiselt selles kontekstis andmetöötluse ühiselt määratletud eesmärgi ja oluliste vahendite üle.

Lisateave:

Korraldan ürituse osana oma äritegevusest, kas saan teha fotosid ja videosid üritusest ja kohalviibijatest?

Jah, kuid selleks peate kõigepealt kindlaks määrama seda liiki isikuandmete töötlemise õigusliku aluse. Näiteks võib töötlemist pidada teie organisatsiooni õigustatud huviks. Isikuandmete töötlemisel õigustatud huvi alusel on alati vaja läbi viia tasakaalustav test, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisikute õigused, eriti kui tegemist on lastega.

Sellise töötlemise teine võimalik õiguslik alus võiks olla nõusolek. Igal juhul tuleks üksikisikuid alati eelnevalt teavitada sellest, et sündmust pildistatakse või filmitakse.

Lisateave:

  • Töötle isikuandmeid seaduslikult

Kui soovin säilitada kandidaatide elulookirjeldusi tulevaste värbamismenetluste jaoks, kas mul on vaja küsida kandidaatide nõusolekut?

Nõusolek võiks tõepoolest olla kehtiv õiguslik alus tööotsijate elulookirjelduste säilitamiseks. Teine võimalik õiguslik alus võiks olla õigustatud huvi. Sellisel juhul peate läbi viima tasakaalustatuse testi, et tõendada, et teie organisatsiooni õigustatud huvid kaaluvad üles taotlejate õigused.
Igal juhul peate kandidaate teavitama, et kavatsete nende andmeid säilitada ja millistel eesmärkidel.

Lisateave:

Kas kirjutate ELi mittekuuluvast riigist, mille andmekaitse tase on tunnistatud piisavaks (piisava kaitse otsused)?

Euroopa Komisjon võib otsustada, kas väljaspool Euroopat asuv riik (või rahvusvaheline organisatsioon) pakub piisavat andmekaitse taset, mis hõlbustab andmete liikumist Euroopa ja selle riigi vahel. 

Euroopa Andmekaitsenõukogu vastutab kaitse piisavuse otsuste eelnõude kohta arvamuste esitamise eest enne Euroopa Komisjoni otsust. Arvamused ei ole Euroopa Komisjonile siduvad, kuid on tavaliselt kasulikud teistele organisatsioonidele, kellega selles raamistikus konsulteeritakse, näiteks ELi liikmesriikidele.

Lisaks on Euroopa Komisjon pädev jälgima Euroopa-välistes riikides toimuvaid arenguid, mis võivad mõjutada kaitse piisavuse otsuseid. Mõnes kaitse piisavuse otsuses nähakse ette otsuse läbivaatamise konkreetne korrapärasus ja võidakse viidata Euroopa Andmekaitsenõukogu esindajate võimalusele osaleda Euroopa Komisjoni korraldatud läbivaatamisprotsessis.

Juhime tähelepanu ka sellele, et Euroopa andmekaitseasutused võivad kaitsta üksikisikuid seoses andmete edastamisega kaitse piisavuse otsuse kontekstis (nende loetelu leiate meie veebisaidilt: https://edpb.europa.eu/about-edpb/our-members).

Kui leiate, et olemasolev kaitse piisavuse otsus ei ole kooskõlas teie põhiõigustega eraelu puutumatusele ja andmekaitsele, võite esitada kaebuse oma andmekaitseasutusele, kes võib esitada need vastuväited liikmesriigi kohtule, kellelt võidakse nõuda eelotsusetaotluse esitamist Euroopa Kohtule (vt isikuandmete kaitse üldmääruse artikli 58 lõige 5 ja Euroopa Kohtu otsus Schremsi kohtuasjas (kohtuasi C-362/14)).

Lisateabe saamiseks vt: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_et

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Kas ma saan isikuandmeid töödelda ainult siis, kui mul on selleks nõusolek?

Isikuandmete töötlemine on lubatud, kui selleks on õiguslik alus. Lisaks vabale, konkreetsele, teadlikule ja ühemõttelisele nõusolekule võib töötlemiseks kasutada ka muid õiguslikke aluseid.

Teisisõnu on nõusolek vajalik, kui ükski muu õiguslik alus ei kehti.
 

Lisateave:

Kas mul on vaja saada andmekaitsespetsialistiks (AKS)?

Ei, te ei pea olema sertifitseeritud, et saada andmekaitsespetsialistiks.

Andmekaitsespetsialistid peavad siiski suutma tõendada, et neil on IKÜM-s nõutud vajalik kvalifikatsioon, näiteks eksperditeadmised andmekaitsealaste õigusaktide ja tavade kohta.

Lisateave:

Mis on andmekaitsealane mõjuhinnang ja millal on see kohustuslik?

Andmekaitsealane mõjuhinnang on kirjalik hinnang, mille teie organisatsioon peaks tegema, et hinnata kavandatava töötlemistoimingu mõju. See aitab teil kindlaks teha asjakohased meetmed riskide maandamiseks ja nõuetele vastavuse tõendamiseks.
Kuigi andmekaitsealase mõjuhinnangu tegemisega on alati soovitatav prognoosida teie organisatsiooni kavandatavate töötlemistoimingute mõju, on andmekaitsealane mõjuhinnang kohustuslik, kui töötlemine toob tõenäoliselt kaasa suure ohu üksikisikute õigustele ja vabadustele.
Täpsemalt on see nii juhul, kui kavandatav töötlemine hõlmab järgmist:

  • delikaatsete isikuandmete või süüdimõistvate kohtuotsustega seotud andmete ulatuslik töötlemine;
  • isiku isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automatiseeritud töötlemisel, sealhulgas profiilianalüüsil, ning millel põhinevad otsused, millel on asjaomase isiku jaoks õiguslikud tagajärjed või mis mõjutavad oluliselt üksikisikuid;
  • üldsusele kättesaadava ala süstemaatiline ulatuslik seire.

Euroopa Andmekaitsenõukogu (EAKN) on välja töötanud suunised, milles loetletakse kriteeriumid, mida peate andmekaitsealase mõjuhinnangu kohustuslikkuse hindamisel arvesse võtma. Andmekaitseasutused on avaldanud ka loetelu töötlemistoimingutest, mille suhtes kohaldatakse andmekaitsealast mõjuhinnangut. Lisaks on mitu andmekaitseasutust töötanud välja juhendeid, tarkvara või enesehindamise vahendeid, et aidata teil oma hinnangut anda.

Lisateave:

Millised on isikuandmete kaitse üldmääruse (IKÜM) alusel töötlemise õiguslikud alused?

Vastutavad töötlejad võivad isikuandmeid töödelda ainult ühel järgmistest asjaoludest:

  • asjaomaste isikute nõusolekul;
  • kui töötlemine on vajalik lepingu (teie organisatsiooni ja üksikisiku vaheline leping) täitmiseks;
  • täita EL-i või siseriiklikest õigusaktidest tulenevat juriidilist kohustust;
  • kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks EL-i või siseriiklike õigusaktide alusel;
  • kaitsta üksikisiku elulisi huve;
  • teie organisatsiooni õigustatud huvides – välja arvatud juhul, kui üksikisikute õigused ja vabadused neid kaaluvad üles.

Lisaks kehtestatakse IKÜM-s täiendavad tingimused tundlike andmete töötlemiseks.

Lisateave:

Kas volitatud töötlejad peavad järgima ka IKÜM-i?

Jah, volitatud töötlejatel (st isikutel või asutustel, kes töötlevad andmeid vastutava töötleja nimel) on IKÜM-st tulenevad kohustused. Vastutavate töötlejate ja volitatud töötlejate vastutuses on siiski mõningaid erinevusi.

Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi, milles kirjeldatakse üksikasjalikult töötlemistoiminguid ja isikuandmete töötlemise vahendeid. Näiteks peab volitatud töötleja tegema töötlemistoimingud asjakohaste tehniliste ja korralduslike meetmetega vastavalt vastutava töötleja juhistele. Seejuures abistab volitatud töötleja vastutavat töötlejat IKÜM-i järgimisel.

Lisateave:

Mida peaks sisaldama vastutava töötleja ja volitatud töötleja vaheline leping?

Vastutava töötleja ja volitatud töötleja vahelises lepingus tuleb sätestada, et volitatud töötleja:

  • töötleb isikuandmeid ainult vastutava töötleja juhiste kohaselt, sealhulgas seoses isikuandmete edastamisega EMP-välisesse riiki;
  • tagab, et andmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsust või neil on asjakohane seadusjärgne konfidentsiaalsuskohustus;
  • tagab töötlemise turvalisuse;
  • ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva eri- või üldise kirjaliku loata;
  • abistab vastutavat töötlejat vastutava töötleja kohustuste täitmisel, et vastata üksikisiku taotlustele oma õiguste kasutamiseks;
  • abistab vastutavat töötlejat töötlemise tagamisel, andmetega seotud rikkumistest teavitamisel ja andmekaitsealaste mõjuhinnangute tegemisel;
  • kustutab või tagastab vastutava töötleja valikul kõik isikuandmed pärast teenuste osutamise lõppu vastutavale töötlejale;
  • teeb vastutavale töötlejale kättesaadavaks kogu vajaliku teabe, et tõendada IKÜM-st tulenevate kohustuste täitmist;
  • võimaldab ja aitab auditeid, sealhulgas kontrolle, mida viib läbi vastutav töötleja või vastutav töötleja volitatud muu audiitor.

Lisaks teavitab volitatud töötleja viivitamata vastutavat töötlejat, kui tema arvates rikuvad juhised IKÜM-i,  muid EL-i või riiklikke andmekaitsesätteid.
 

Lisateave:

Kas ma saan isikuandmeid edastada väljapoole Euroopa Majanduspiirkonda (EMP)?

IKÜM-i kohaselt on põhimõtteliselt kaks peamist viisi isikuandmete edastamiseks EMP-välisele riigile või rahvusvahelisele organisatsioonile. Edastamine võib toimuda kaitse piisavuse otsuse alusel või sellise otsuse puudumisel asjakohaste kaitsemeetmete alusel, sealhulgas üksikisikute kohtulikult kaitstavate õiguste ja õiguskaitsevahendite alusel.

Lisateave:

Kas andmekaitsespetsialist vastutab IKÜM-i järgimise eest?

Andmekaitsespetsialisti ei saa pidada vastutavaks IKÜM-i rikkumise eest. IKÜM-i järgimise eest vastutab andmekaitsespetsialisti määranud organisatsioon.

Lisateave: