Isikuandmete kaitse üldmääruse ehk IKÜM-ga kehtestatakse ühtlustatud eeskirjad, mida kohaldatakse Euroopa Majanduspiirkonnas (EMP) asutatud organisatsioonide (avalik-õiguslikud või eraõiguslikud organisatsioonid, olenemata nende suurusest) mis tahes isikuandmete töötlemise suhtes või mis on suunatud üksikisikutele EL-is. IKÜM-i esmane eesmärk on tagada, et isikuandmete kaitse tase on kõikjal EMP-s sama kõrge, suurendades nii andmeid töötlevate üksikisikute kui ka organisatsioonide õiguskindlust ning pakkudes üksikisikutele kõrgetasemelist kaitset.

Määrus jõustus 24. mail 2016 ja seda kohaldatakse alates 25. maist 2018.

Pseudonümiseerimine seisneb isikuandmete muutmises nii, et neid ei saa enam seostada konkreetse isikuga ilma täiendavat teavet kasutamata, tingimusel, et sellist lisateavet hoitakse eraldi ning selle suhtes kohaldatakse tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid ei seostata üksikisikuga. Praktikas võib see tähendada isikuandmete (nimi, eesnimi, isikukood, telefoninumber jne) asendamist andmekogumis kaudsete identifitseerimisandmetega (teise nimega, järjekorranumber jne). Pseudonümiseeritud andmed on endiselt isikuandmed ja nende suhtes kohaldatakse IKÜM-i.

Anonüümseks muudetud andmed on andmed, mis on muudetud anonüümseks sellisel viisil, et üksikisikut ei ole või enam ei ole võimalik tuvastada mis tahes mõistlikult tõenäoliselt kasutatava vahendi abil. Kui anonüümimist rakendatakse nõuetekohaselt, siis IKÜM anonüümseks muudetud andmete suhtes enam ei kehti.

Lisateave:

• Isikuandmete kaitsmine

Teatavat liiki isikuandmed kuuluvad isikuandmete eriliikidesse, mis tähendab, et nad väärivad suuremat kaitset, nn delikaatsed andmed. Tundlikud andmed hõlmavad andmeid, mis annavad teavet järgmise kohta:

• üksikisiku tervis;
• isiku seksuaalne sättumus;
• isiku rassiline või etniline päritolu;
• üksikisiku poliitilised vaated, usulised või filosoofilised veendumused; üksikisiku ametiühingusse kuulumine;
• inimese biomeetrilised ja geneetilised andmed.

Isiku delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud konkreetsetel asjaoludel, mis õigustavad nende töötlemist.
 

Lisateave:

• Andmekaitse põhitõed

Isikuandmed on igasugune teave tuvastatud või tuvastatava isiku kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada. Isikuandmete hulka võivad kuuluda ka erinevad kogutud andmed, mis võivad viia konkreetse isiku tuvastamiseni.
Isikuandmete näited on järgmised:

• ees- ja perekonnanimi;
• kodune aadress;
• e-posti aadress;
• ID-kaardi number;
• asukohaandmed;
• internetiprotokolli (IP) aadress;
• küpsise ID;
• pangakontod;
• maksuaruanded;
• biomeetrilised andmed (nt sõrmejäljed);
• sotsiaalkindlustusnumber;
• passi number;
• katsetulemused;
• klassid koolis;
• sirvimise ajalugu;
• isiku foto;
• sõiduki registreerimisnumber jne.
   

Lisateave:

• Andmekaitse põhitõed

Kui isikuandmeid kogutakse otse asjaomastelt üksikisikutelt, peavad organisatsioonid töötlemistoimingute kohta kokkuvõtlikult ja läbipaistvalt teavet andma, kasutades arusaadavat, kergesti kättesaadavat ning selget ja lihtsat keelt. Seda saab teha kirjalikult (nt pakkumuse tagaküljel) või elektrooniliselt (nt veebisaidil). Kui asjaomane isik seda taotleb, võite selle teabe esitada ka suuliselt, kuid te peate seda hiljem tõendama.

Isegi kui andmeid koguti kaudselt, st kui te ei kogu isikuandmeid otse üksikisikult endalt, vaid näiteks kolmanda isiku kaudu, peate esitama sama üksikasjaliku teabe üksikisikutele.

Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks töötlemise eesmärgi ja vahendid, käsitatakse neid kaasvastutavate töötlejatena. Nad otsustavad koos töödelda isikuandmeid ühisel eesmärgil. Kaasvastutav vastutus võib esineda mitmes vormis ja erinevate vastutavate töötlejate osalemine võib olla ebavõrdne. Seetõttu peavad kaasvastutavad töötlejad määrama kindlaks oma kohustused IKÜM-i järgimisel.
Oluline on märkida, et kaasvastutav vastutus toob kaasa ühise vastutuse töötlemistoimingu eest.

• Näide kaasvastutusest: Ettevõtted A ja B on käivitanud kaaskaubamärgiga toote ja soovivad korraldada üritust selle toote reklaamimiseks. Selleks otsustavad nad jagada oma klientide ja potentsiaalsete klientide andmebaaside andmeid ning otsustada selle alusel üritusele kutsutavate nimekirja. Samuti lepivad nad kokku, kuidas saata üritusele kutseid, kuidas ürituse ajal tagasisidet koguda ja turundustegevust jätkata. Äriühinguid A ja B võib pidada reklaamiürituse korraldamisega seotud isikuandmete töötlemisel kaasvastutavateks töötlejateks, kuna nad otsustavad ühiselt selles kontekstis andmetöötluse ühiselt määratletud eesmärgi ja oluliste vahendite üle.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Andmekaitsealane mõjuhinnang on kirjalik hinnang, mille teie organisatsioon peaks tegema, et hinnata kavandatava töötlemistoimingu mõju. See aitab teil kindlaks teha asjakohased meetmed riskide maandamiseks ja nõuetele vastavuse tõendamiseks.
Kuigi andmekaitsealase mõjuhinnangu tegemisega on alati soovitatav prognoosida teie organisatsiooni kavandatavate töötlemistoimingute mõju, on andmekaitsealane mõjuhinnang kohustuslik, kui töötlemine toob tõenäoliselt kaasa suure ohu üksikisikute õigustele ja vabadustele.
Täpsemalt on see nii juhul, kui kavandatav töötlemine hõlmab järgmist:

• delikaatsete isikuandmete või süüdimõistvate kohtuotsustega seotud andmete ulatuslik töötlemine;
• isiku isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automatiseeritud töötlemisel, sealhulgas profiilianalüüsil, ning millel põhinevad otsused, millel on asjaomase isiku jaoks õiguslikud tagajärjed või mis mõjutavad oluliselt üksikisikuid;
• üldsusele kättesaadava ala süstemaatiline ulatuslik seire.

Euroopa Andmekaitsenõukogu (EAKN) on välja töötanud suunised, milles loetletakse kriteeriumid, mida peate andmekaitsealase mõjuhinnangu kohustuslikkuse hindamisel arvesse võtma. Andmekaitseasutused on avaldanud ka loetelu töötlemistoimingutest, mille suhtes kohaldatakse andmekaitsealast mõjuhinnangut. Lisaks on mitu andmekaitseasutust töötanud välja juhendeid, tarkvara või enesehindamise vahendeid, et aidata teil oma hinnangut anda.

Lisateave:

• Vastavus nõuetele

IKÜM-ga antakse üksikisikutele kontroll oma isikuandmete töötlemise üle. Selleks on oluline läbipaistvus. See tähendab, et peate teavitama üksikisikuid, kelle andmeid te töötlete, oma töötlemistoimingutest ja eesmärkidest. Teisisõnu peate selgitama, kes nende andmeid töötleb, aga ka seda, kuidas ja miks. Ainult juhul, kui isikuandmete kasutamine on asjaosaliste jaoks läbipaistev, saavad nad hinnata võimalikke riske ja teha otsuseid oma isikuandmete kohta.

IKÜM-i kohaselt olete kohustatud jagama üksikisikutega järgmist teavet:

• vastutava töötleja nimi ja kontaktandmed;
• töötlemise eesmärgid;
• töötlemise õiguslik alus (kui õigustatud huvi, konkreetne teave selle kohta, millised õigustatud huvid on konkreetse töötlemisega seotud ja milline üksus taotleb iga õigustatud huvi).
• vastutava töötleja kontaktandmed;
• andmekaitsespetsialisti kontaktandmed (kui ametnik on olemas);
• andmete vastuvõtjad või vastuvõtjate kategooriad;
• Teave selle kohta, kas andmeid edastatakse väljapoole Euroopa Majanduspiirkonda (EMP) (vajaduse korral: kaitse piisavuse otsuse olemasolu või puudumine või viide asjakohastele kaitsemeetmetele ning selle teabe kättesaadavaks tegemine andmesubjektidele);
• töödeldavate isikuandmete kategooriad, kui andmed ei ole saadud üksikisikult.

Lisaks nõutakse IKÜM-s, et teie organisatsioon esitaks õiglase ja läbipaistva töötlemise tagamiseks järgmise teabe:

• säilitamisaeg või kui see ei ole võimalik, selle ajavahemiku kindlaksmääramiseks kasutatud kriteeriumid;
• õigus taotleda isikuandmetega tutvumist, nende kustutamist, parandamist, piiramist, vaidlustamist ja ülekantavust;
• õigus esitada kaebus andmekaitseasutusele;
• kui töötlemise õiguslik alus on nõusolek: õigus nõusolek igal ajal tagasi võtta;
• automatiseeritud otsuste tegemise korral asjakohane teave isikuandmete töötlemise alusloogika ja kavandatud tagajärgede kohta andmesubjektile;
• isikuandmete allikas (kui te ei saanud neid otse asjaomaselt isikult);
• kas isik on kohustatud esitama isikuandmeid (seaduse või lepingu alusel või sõlmima lepingu) ja millised on andmete andmisest keeldumise tagajärjed.

Lisateave:

• Üksikisikute õiguste austamine

Isikuandmete töötlemine on mis tahes liiki toiming (töötlemistoiming), mis toimub üksikisikute isikuandmetega või nendega koos. See hõlmab isikuandmete kogumist, salvestamist, korrastamist, struktureerimist, säilitamist, kohandamist või muutmist, väljavõtete tegemist, päringuid, päringuid, kasutamist, edastamise, levitamise või muul viisil kättesaadavaks tegemise teel avalikustamist, ühitamist või ühendamist, piiramist, kustutamist või hävitamist.

Andmekaitsespetsialistid (AKS)võivad täita organisatsioonis muid ülesandeid, kuid see ei tohi põhjustada huvide konflikti. See tähendab, et AKS ei saa olla olukorras, kus ta määrab kindlaks töötlemistoimingute eesmärgid ja vahendid. Vastuoluliste ülesannete hulka kuuluvad peamiselt juhtivad ametikohad (juht, tegevjuht, finantsjuht, personalijuht, IT-juht, tegevdirektor), kuid võivad hõlmata ka muid ülesandeid, kui nende tulemusel määratakse kindlaks töötlemise eesmärgid ja vahendid.
AKS peab olema võimeline täitma oma kohustusi ja ülesandeid sõltumatult. See tähendab, et teie organisatsioon:

• ei tohi anda AKS-le juhiseid seoses tema AKS-i ülesannete täitmisega;
• ei tohi AKS-i tema ülesannete täitmise eest karistada ega ametist vabastada.

Lisateave:

• Andmekaitsespetsialist