IKÜM-i kohaselt on vastutava töötleja ja volitatud töötleja vaheline kehtiv leping kohustuslik. Rikkumise eest võib määrata haldustrahvi kuni 10 miljoni euro ulatuses või kuni 2 % ulatuses äriühingu aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Selleks, et aidata teid vastutava töötleja ja volitatud töötleja vahelise lepingu sõlmimisel, on Taani ja Sloveenia andmekaitseasutused ning Euroopa Komisjon välja töötanud näidislepingud.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Andmekaitsespetsialisti ülesanne on muu hulgas:

• teavitada ja nõustada organisatsiooni ja selle töötajaid andmekaitsenõuete järgimisel;
• jälgida andmekaitsenõuete järgimist;
• anda nõu andmekaitsealase mõjuhinnanguga seotud taotluste kohta;
• tegutseda andmekaitseasutuse kontaktpunktina ja teha selle andmekaitseasutusega koostööd;
• tegutseda üksikisikute kontaktpunktina.

Lisaks on andmekaitsespetsialisti kohalolek üldiselt soovitatav, kui tehakse otsuseid, millel on mõju andmekaitsele. Andmekaitsespetsialisti tuleks viivitamata konsulteerida ka siis, kui andmetega seotud rikkumine või mõni muu intsident on aset leidnud.

Lisateave:

• Andmekaitsespetsialist

IKÜM-i järgimist jälgivad riiklikud andmekaitseasutused. Andmekaitseasutused võivad korraldada uurimisi ja määrata vajaduse korral sanktsioone. Andmekaitseasutuste käsutuses on mitu vahendit, sealhulgas trahvid kuni 20 miljonit eurot või 4 % ülemaailmsest aastakäibest, olenevalt sellest, kumb summa on suurem, noomitused ning ajutised või alalised töötlemiskeelud.

Kõigi Euroopa Majanduspiirkonna (EMP) andmekaitseasutuste kontaktandmed leiate Euroopa Andmekaitsenõukogu veebisaidilt: Liikmed

Lisateave:

• Andmekaitseasutus ja teie

Vastutavad töötlejad võivad isikuandmeid töödelda ainult ühel järgmistest asjaoludest:

• asjaomaste isikute nõusolekul;
• kui töötlemine on vajalik lepingu (teie organisatsiooni ja üksikisiku vaheline leping) täitmiseks;
• täita EL-i või siseriiklikest õigusaktidest tulenevat juriidilist kohustust;
• kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks EL-i või siseriiklike õigusaktide alusel;
• kaitsta üksikisiku elulisi huve;
• teie organisatsiooni õigustatud huvides – välja arvatud juhul, kui üksikisikute õigused ja vabadused neid kaaluvad üles.

Lisaks kehtestatakse IKÜM-s täiendavad tingimused tundlike andmete töötlemiseks.

Lisateave:

• Töötle isikuandmeid seaduslikult

• Isikuandmete töötlemine peab olema seaduslik, õiglane ja läbipaistev.
• Isikuandmeid koguda ainult kindlaksmääratud, selgesõnalistel ja õiguspärastel eesmärkidel. Üksikisiku andmete töötlemine peab rangelt piirduma algselt kehtestatud eesmärgiga ja seetõttu ei tohi seda töödelda hilisema(te)l või muudel eesmärkidel, mis ei ole algsete eesmärkidega kooskõlas.
• Töödelda üksnes isikuandmeid, mis on kavandatud eesmärki silmas pidades vajalikud ja proportsionaalsed.
• Kõik teie töödeldavad isikuandmed peavad olema täpsed ja ajakohased. Ebatäpsed isikuandmed tuleb parandada või kustutada.
• Üksikisikute isikuandmete säilitamine peab olema ajaliselt piiratud, võttes arvesse nende kogumise ja töötlemise eesmärki. Seega tuleb üksikisikute isikuandmed kustutada või anonüümseks muuta, kui need andmed ei ole enam vajalikud.
• Üksikisikute andmeid tuleb töödelda turvaliselt. Sellega seoses tuleb kehtestada tugev küberturvalisuse kontroll, et tagada üksikisikute andmete piisav kaitse.

Lõpuks vastutab vastutav töötleja. See tähendab, et ta vastutab eespool nimetatud põhimõtete järgimise eest ja peab suutma seda tõendada.

Lisateave:

• Andmekaitse põhialused

IKÜM-s kehtestatakse kohustused kõigile isikuandmeid töötlevatele organisatsioonidele, olenemata sellest, kas nad on vastutavad töötlejad või volitatud töötlejad.
Eelkõige peaksite:

• Küsima endalt, kas isikuandmete kogumise eesmärk on õigustatud ja koguma ainult isikuandmeid, mis on vajalikud konkreetse(te)ks kavandatud eesmärkideks;
• Hoidma üksikisikute isikuandmed täpsed ja ajakohased ning kustutama andmed, kui need ei ole enam vajalikud;
• Austama üksikisikute õigusi, teavitades neid sellest, kuidas ja miks nende andmeid töödeldakse ning võimaldama neil oma õigusi kasutada;
• Kontrollige, kas teil on isikuandmete töötlemiseks sobiv õiguslik alus. Kui kavatsete tugineda üksikisikute nõusolekule, küsige enne isikuandmete töötlemist nõusolekut;
• Tagama  üksikisikute isikuandmete turvalise käitlemise;
• Pidama arvestust töötlemistoimingute üle.

Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi ning nad ei tohi töödelda andmeid muul viisil, kui vastutava töötleja juhiste kohaselt.
 

Lisateave:

• Nõuetele vastamine
• Vastutav töötleja või volitatud töötleja
• Andmekaitse põhitõed

Küpsised on väikesed failid, mis salvestatakse seadmesse, näiteks arvutisse, mobiilseadmesse või mis tahes muusse seadmesse, mis võib salvestada teavet. Küpsised pakuvad mitmeid olulisi funktsioone, sealhulgas kasutajate mäletamist ja nende varasemat suhtlust veebisaidiga. Neid saab kasutada veebipõhises ostukorvis olevate esemete jälgimiseks või teabe jälgimiseks, kui andmed sisestatakse veebipõhisesse taotlusvormi.

Autentimisküpsised on olulised ka kasutajate tuvastamiseks, kui nad logivad sisse pangateenustesse ja muudesse veebiteenustesse. Küpsistesse salvestatud teave võib sisaldada isikuandmeid, näiteks IP-aadressi, kasutajanime, kordumatut identifikaatorit või e-posti aadressi.

Andmekaitsespetsialisti (AKS) määramine on kohustuslik kolmel järgmisel juhul:

• organisatsioon on avaliku sektori asutus;
• organisatsiooni põhitegevus hõlmab üksikisikute korrapärast ja süstemaatilist ulatuslikku jälgimist, näiteks asukohatuvastust mobiilirakenduse kaudu või ostukeskuste ja avalike ruumide jälgimist videovalve kaudu;
• organisatsiooni põhitegevus hõlmab delikaatsete andmete või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist.

AKS-i võite alati määrata vabatahtlikkuse alusel, isegi kui see ei ole seadusega nõutav. Sellisel juhul peate järgima kõiki IKÜM-i sätteid, mis käsitlevad andmekaitsespetsiaisti ametikohta ja ülesandeid.

Lisateave:

• Andmekaitsespetsialist

Andmekaitsespetsialisti ei saa pidada vastutavaks IKÜM-i rikkumise eest. IKÜM-i järgimise eest vastutab andmekaitsespetsialisti määranud organisatsioon.

Lisateave:

• Andmekaitsespetsialist

Ei, delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud väga konkreetsetel asjaoludel:

• Isik on andnud selgesõnalise nõusoleku oma delikaatsete andmete töötlemiseks.
• Tundlike andmete töötlemine on vajalik, et vastutav töötleja saaks täita oma kohustusi, eelkõige tööhõive, sotsiaalkindlustuse ja sotsiaalkaitse valdkonnas. Näiteks võib vastutaval töötlejal olla vaja töödelda isiku tundlikke andmeid, et teha kindlaks, kas tal on õigus teatavatele sotsiaalkindlustushüvitistele või tööhõivetoetustele.
• Delikaatsete andmete töötlemine on vajalik isiku eluliste huvide kaitsmiseks, kui isik ei ole füüsiliselt või õiguslikult võimeline nõusolekut andma. Näiteks kui inimene jääb õnnetuse tagajärjel teadvuseta ja vajab kohest arstiabi, võib olla vaja töödelda tema terviseandmeid, et saada asjakohast arstiabi.
• Delikaatseid andmeid töödeldakse sihtasutuse, ühenduse või muu mittetulundusliku organisatsiooni õiguspärase tegevuse raames, millel on poliitiline, filosoofiline, usuline või ametiühingu eesmärk, ning üksnes nende liikmete, endiste liikmete või nendega regulaarselt kontaktis olevate isikute isikuandmete töötlemiseks.
• Delikaatsed andmed avalikustasid ilmselgelt üksikisikud.
• Tundlike andmete töötlemine on vajalik kohtumenetluse kontekstis.
• Tundlike andmete töötlemine on vajalik avalikku huvi pakkuvates küsimustes.
• Delikaatsete andmete töötlemine on vajalik ennetus- või töömeditsiini kontekstis. Näiteks võib olla vajalik hinnata isiku tundlikke andmeid, näiteks meditsiinilisi andmeid, et määrata kindlaks tema töövõime töötajana.
• Tundlike andmete töötlemine on vajalik rahvatervisega seotud küsimustes EL-i või siseriikliku õiguse alusel. Näiteks võib üksikisikute tundlike andmete töötlemine olla vajalik selleks, et tagada tervishoiu ja meditsiinitoodete kõrge kvaliteet või võidelda tõsiste terviseohtude, näiteks viiruste vastu.
• Tundlike andmete töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Näiteks võib tundlike andmete töötlemine olla vajalik, et anda täpset statistikat riigi olukorra kohta konkreetses valdkonnas. 

Lisateave:

• Töötle isikuandmeid seaduslikult