Korduma kippuvad küsimused

Kui isikuandmeid kogutakse otse asjaomastelt üksikisikutelt, peavad organisatsioonid töötlemistoimingute kohta kokkuvõtlikult ja läbipaistvalt teavet andma, kasutades arusaadavat, kergesti kättesaadavat ning selget ja lihtsat keelt. Seda saab teha kirjalikult (nt pakkumuse tagaküljel) või elektrooniliselt (nt veebisaidil). Kui asjaomane isik seda taotleb, võite selle teabe esitada ka suuliselt, kuid te peate seda hiljem tõendama.

Isegi kui andmeid koguti kaudselt, st kui te ei kogu isikuandmeid otse üksikisikult endalt, vaid näiteks kolmanda isiku kaudu, peate esitama sama üksikasjaliku teabe üksikisikutele.

Üksikisikutel on õigus nõuda enda isikuandmete kustutamist ja sellisel juhul on vastutav töötleja kohustatud isikuandmed kustutama. Te peaksite vastama põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul pärast taotluse saamist. Seda tähtaega võib pikendada veel kahe kuu võrra, kui taotlus on liiga keeruline ja taotluse täitmiseks on vaja rohkem aega, tingimusel, et üksikisikut teavitatakse sellest ühe kuu jooksul pärast taotluse saamist.
Oluline on märkida, et õigus andmete kustutamisele ei ole absoluutne. Seda ei kohaldata, kui kõnealused andmed on vajalikud:

• sõna- ja teabevabaduse õiguse kasutamisel (nt ajakirjanduslikel eesmärkidel);
• juriidilise kohustuse mis nõuab isikuandmete töötlemist, täitmisel,  (nt töötajate tööaja andmete töötlemine);
• avaliku huvi põhjuse rahvatervise valdkonnas
• avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil; 
• õigusnõuete koostamisel, esitamisel või kaitsmisel.

Kui kustutatavad isikuandmed edastati varem teistele organisatsioonidele, peate teavitama neid vastuvõtjaid sellest, et isik on taotlenud kustutamist, välja arvatud juhul, kui see osutub võimatuks või nõuaks ebaproportsionaalseid jõupingutusi.
 

Lisateave:

• Üksikisikute õiguste austamine

Jah, teie kliente tuleb telefonikõne tegemisel teavitada salvestamise eesmärkidest, salvestiste saajatest, nende õigusest esitada vastuväiteid ja nende õigusest salvestistele juurde pääseda.

Lisateave:

• Töötle isikuandmeid seaduslikult

Isikuandmete töötlemine on mis tahes liiki toiming (töötlemistoiming), mis toimub üksikisikute isikuandmetega või nendega koos. See hõlmab isikuandmete kogumist, salvestamist, korrastamist, struktureerimist, säilitamist, kohandamist või muutmist, väljavõtete tegemist, päringuid, päringuid, kasutamist, edastamise, levitamise või muul viisil kättesaadavaks tegemise teel avalikustamist, ühitamist või ühendamist, piiramist, kustutamist või hävitamist.

Ei, delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud väga konkreetsetel asjaoludel:

• Isik on andnud selgesõnalise nõusoleku oma delikaatsete andmete töötlemiseks.
• Tundlike andmete töötlemine on vajalik, et vastutav töötleja saaks täita oma kohustusi, eelkõige tööhõive, sotsiaalkindlustuse ja sotsiaalkaitse valdkonnas. Näiteks võib vastutaval töötlejal olla vaja töödelda isiku tundlikke andmeid, et teha kindlaks, kas tal on õigus teatavatele sotsiaalkindlustushüvitistele või tööhõivetoetustele.
• Delikaatsete andmete töötlemine on vajalik isiku eluliste huvide kaitsmiseks, kui isik ei ole füüsiliselt või õiguslikult võimeline nõusolekut andma. Näiteks kui inimene jääb õnnetuse tagajärjel teadvuseta ja vajab kohest arstiabi, võib olla vaja töödelda tema terviseandmeid, et saada asjakohast arstiabi.
• Delikaatseid andmeid töödeldakse sihtasutuse, ühenduse või muu mittetulundusliku organisatsiooni õiguspärase tegevuse raames, millel on poliitiline, filosoofiline, usuline või ametiühingu eesmärk, ning üksnes nende liikmete, endiste liikmete või nendega regulaarselt kontaktis olevate isikute isikuandmete töötlemiseks.
• Delikaatsed andmed avalikustasid ilmselgelt üksikisikud.
• Tundlike andmete töötlemine on vajalik kohtumenetluse kontekstis.
• Tundlike andmete töötlemine on vajalik avalikku huvi pakkuvates küsimustes.
• Delikaatsete andmete töötlemine on vajalik ennetus- või töömeditsiini kontekstis. Näiteks võib olla vajalik hinnata isiku tundlikke andmeid, näiteks meditsiinilisi andmeid, et määrata kindlaks tema töövõime töötajana.
• Tundlike andmete töötlemine on vajalik rahvatervisega seotud küsimustes EL-i või siseriikliku õiguse alusel. Näiteks võib üksikisikute tundlike andmete töötlemine olla vajalik selleks, et tagada tervishoiu ja meditsiinitoodete kõrge kvaliteet või võidelda tõsiste terviseohtude, näiteks viiruste vastu.
• Tundlike andmete töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Näiteks võib tundlike andmete töötlemine olla vajalik, et anda täpset statistikat riigi olukorra kohta konkreetses valdkonnas. 

Lisateave:

• Töötle isikuandmeid seaduslikult 

IKÜM-i kohaselt on vastutava töötleja ja volitatud töötleja vaheline kehtiv leping kohustuslik. Rikkumise eest võib määrata haldustrahvi kuni 10 miljoni euro ulatuses või kuni 2 % ulatuses äriühingu aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Selleks, et aidata teid vastutava töötleja ja volitatud töötleja vahelise lepingu sõlmimisel, on Taani ja Sloveenia andmekaitseasutused ning Euroopa Komisjon välja töötanud näidislepingud.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Üksikisikud võivad teilt küsida, kas te nende andmeid töötlete ja kui see on nii, siis on neil õigus nendele andmetele juurde pääseda. Kui see juhtub ja kui teie nende andmeid töötlete, peaksite tasuta esitama näiteks nende isikuandmete koopia koos mis tahes vajaliku lisateabega. Kui taotlus esitatakse elektrooniliselt, peaks teie organisatsioon esitama nõutava teabe üldkasutatavas elektroonilises vormingus, välja arvatud juhul, kui individuaalsed taotlused on esitatud teisiti.

Lisateave:

• Üksikisikute õiguste austamine

Te peaksite vastama põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul pärast taotluse saamist. Seda tähtaega võib pikendada veel kahe kuu võrra, kui taotlus on liiga keeruline ja vastamiseks on vaja rohkem aega, tingimusel, et üksikisikut teavitatakse sellest ühe kuu jooksul pärast taotluse saamist.

Sa pead seda tasuta tegema.

Lisateave:

• Üksikisikute õiguste austamine

IKÜM-i kohaldatakse küpsiste kasutamise suhtes, kui neid kasutatakse isikuandmete töötlemiseks, kuid küpsiste kohta kehtivad ka täpsemad eeskirjad, mis hõlmavad e-privaatsuse direktiivi.

Küpsise salvestamine või juba salvestatud küpsisele juurdepääsu saamine kasutaja lõppseadmesse on lubatud ainult tingimusel, et asjaomast abonenti või kasutajat on piisavalt teavitatud (eelkõige töötlemise eesmärkidest) ja ta on andnud selleks oma nõusoleku.

Ainsaks erandiks on tehniliselt vajalikud küpsised. Organisatsioonid ei pea küsima nõusolekut, kui nad kasutavad oma veebisaitidel tehniliselt vajalikke küpsiseid.

Lisateave:

• Töötle isikuandmeid seaduslikult

Pseudonümiseerimine seisneb isikuandmete muutmises nii, et neid ei saa enam seostada konkreetse isikuga ilma täiendavat teavet kasutamata, tingimusel, et sellist lisateavet hoitakse eraldi ning selle suhtes kohaldatakse tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid ei seostata üksikisikuga. Praktikas võib see tähendada isikuandmete (nimi, eesnimi, isikukood, telefoninumber jne) asendamist andmekogumis kaudsete identifitseerimisandmetega (teise nimega, järjekorranumber jne). Pseudonümiseeritud andmed on endiselt isikuandmed ja nende suhtes kohaldatakse IKÜM-i.

Anonüümseks muudetud andmed on andmed, mis on muudetud anonüümseks sellisel viisil, et üksikisikut ei ole või enam ei ole võimalik tuvastada mis tahes mõistlikult tõenäoliselt kasutatava vahendi abil. Kui anonüümimist rakendatakse nõuetekohaselt, siis IKÜM anonüümseks muudetud andmete suhtes enam ei kehti.

Lisateave:

• Isikuandmete kaitsmine

IKÜM-s eristatakse kahte peamist rolli: vastutava töötleja ja volitatud töötleja omad. See eristamine on väga oluline, kuna vastutav töötleja kannab suuremat vastutust ja peab täitma rohkem kohustusi kui volitatud töötleja.
Vastutavad töötlejad ja volitatud töötlejad võivad olla füüsilised või juriidilised isikud. Näiteks: VKE, avaliku sektori asutus, äriühing, organisatsioon, riigiasutus, ühendus jne.
Vastutav töötleja määrab kindlaks töötlemistoimingu eesmärgid ja vahendid. Teisisõnu otsustab vastutav töötleja, kuidas ja miks töötlemistoimingut tehakse. Volitatud töötlejad töötlevad isikuandmeid vastutava töötleja nimel. Volitatud töötlejate teostatavat töötlemist tuleb reguleerida vastutava töötlejaga sõlmitud lepingu või muu õigusaktiga.

Vastutavate töötlejate näited:

• ettevõtted, kes töötlevad oma klientide isikuandmeid müügi lõpuleviimiseks;
• finantseerimisasutused, kes töötlevad oma klientide isikuandmeid;
• ühendused, kes töötlevad oma liikmete andmeid;
• koolid või ülikoolid, mis töötlevad õpilaste ja õpetajate isikuandmeid;
• haiglad, kes töötlevad oma patsientide isikuandmeid;
• valitsusasutused, kes töötlevad kodanike isikuandmeid.

Andmetöötlejate näited:

• väike- ja keskmise suurusega ettevõtja (VKE) palkab raamatupidamisteenuse oma raamatupidamisarvestuse pidamiseks, VKE on vastutav töötleja ja raamatupidamisteenus andmetöötleja;
• palgaarvestusettevõte töötleb VKE isikuandmeid. Palgaarvestusettevõte tegutseb volitatud töötlejana, kui ta töötleb isikuandmeid ainult VKE nimel. VKE määrab kindlaks andmetöötluse eesmärgid ja vahendid ning on seega vastutav töötleja.
• VKE tellib turundusettevõttelt e-posti aadresside kogumise kolmandate osapoolte veebisaitide kaudu. Turustusettevõtja teeb seda vastavalt VKE selgetele juhistele ja üksnes VKE eesmärkidel. Turundusettevõte tegutseb selle kollektsiooni volitatud töötlejana.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Teatavat liiki isikuandmed kuuluvad isikuandmete eriliikidesse, mis tähendab, et nad väärivad suuremat kaitset, nn delikaatsed andmed. Tundlikud andmed hõlmavad andmeid, mis annavad teavet järgmise kohta:

• üksikisiku tervis;
• isiku seksuaalne sättumus;
• isiku rassiline või etniline päritolu;
• üksikisiku poliitilised vaated, usulised või filosoofilised veendumused; üksikisiku ametiühingusse kuulumine;
• inimese biomeetrilised ja geneetilised andmed.

Isiku delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud konkreetsetel asjaoludel, mis õigustavad nende töötlemist.
 

Lisateave:

• Andmekaitse põhitõed

Andmekaitsespetsialist võib olla olemasolev töötaja, kellel on piisavad teadmised IKÜM-st (kui töötaja ametiülesanded on kooskõlas andmekaitsespetsialistiülesannetega ja see ei põhjusta huvide konflikte) või väline isik. Andmekaitsespetsialist peaks suutma täita ülesandeid sõltumatult ja andma aru otse kõrgeimale juhtkonnale.

Lisateave:

• Andmekaitsespetsialist

Isikuandmed on igasugune teave tuvastatud või tuvastatava isiku kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada. Isikuandmete hulka võivad kuuluda ka erinevad kogutud andmed, mis võivad viia konkreetse isiku tuvastamiseni.
Isikuandmete näited on järgmised:

• ees- ja perekonnanimi;
• kodune aadress;
• e-posti aadress;
• ID-kaardi number;
• asukohaandmed;
• internetiprotokolli (IP) aadress;
• küpsise ID;
• pangakontod;
• maksuaruanded;
• biomeetrilised andmed (nt sõrmejäljed);
• sotsiaalkindlustusnumber;
• passi number;
• katsetulemused;
• klassid koolis;
• sirvimise ajalugu;
• isiku foto;
• sõiduki registreerimisnumber jne.
   

Lisateave:

• Andmekaitse põhitõed

1. Veenduge, et teie saadud andmed on õiguspäraselt kogutud ja asjaomaseid isikuid on teavitatud nende isikuandmete töötlemisest.
2. Juhul, kui kolmas isik töötleb teie nimel isikuandmeid, veenduge, et teil on vastutava töötleja ja volitatud töötleja leping, milles kirjeldatakse töötlemistoiminguid ja isikuandmete töötlemise vahendeid.

Loomulikult tuleb täita kõiki vastutavate töötlejate kohustusi.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Vajalikud turvameetmed võivad erineda sõltuvalt töödeldavate isikuandmete laadist ja nendega seotud riskidest üksikisikutele. Igal juhul on olemas mõned minimaalsed meetmed, mida peaksite rakendama:

• turvaline juurdepääs ruumidele;
• regulaarselt uuendatava viirusetõrjetarkvara kasutamine;
• hoolikas paroolide valimine;
• kasutajate autentimine enne arvutiseadmete kasutamist;
• intsidendi korral andmete varundamise ja otsimise poliitika rakendamine.

Lisaks ei ka ole kohatud mõned põhimeetmed, nagu ekraani lukustamine, kui olete eemal, ja kontori lukustamine päeva lõpus. 

Lisateave:

• Turvalised isikuandmed

Konkursi võitjate nimede avaldamist oma veebisaidil võib pidada õigustatud huviks, kui saate seda tõendada tasakaalukatsega, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisikute õiguse.

Hea tava oleks kehtestada sisemenetlus, milles selgitatakse võitjate isikuandmete avaldamise eeskirju.

Lisaks peaks isikuandmete töötlemine nendel eesmärkidel olema osa konkursi privaatsuspoliitikast, et osalejaid teavitataks eelnevalt sellest, kuidas nende andmeid töödeldakse.

Lisateave:

• Töötle isikuandmeid seaduslikult

Jah, võite, kuid IKÜM paneb teatud kohustused ettevõtetele, kes jagavad isikuandmeid. Teie organisatsioon peab teavitama üksikisikuid sellest, et jagate nende andmeid kolmanda osapoolega. Samuti peate neid teavitama oma eesmärkidest, turvalisusest, juurdepääsust ja kohaldatavatest säilitamismeetmetest.

Andmekaitsespetsialisti (AKS) määramine on kohustuslik kolmel järgmisel juhul:

• organisatsioon on avaliku sektori asutus;
• organisatsiooni põhitegevus hõlmab üksikisikute korrapärast ja süstemaatilist ulatuslikku jälgimist, näiteks asukohatuvastust mobiilirakenduse kaudu või ostukeskuste ja avalike ruumide jälgimist videovalve kaudu;
• organisatsiooni põhitegevus hõlmab delikaatsete andmete või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist.

AKS-i võite alati määrata vabatahtlikkuse alusel, isegi kui see ei ole seadusega nõutav. Sellisel juhul peate järgima kõiki IKÜM-i sätteid, mis käsitlevad andmekaitsespetsiaisti ametikohta ja ülesandeid.

Lisateave:

• Andmekaitsespetsialist

Ei, teie andmeid töötlemise kohta ei ole vaja avalikustada. peab teil olema võimalik teha andmed taotluse korral andmekaitseasutusele kättesaadavaks.

Lisateave:

• Vastavus nõuetele