Selleks, et nõusolekut saaks pidada kehtivaks, peab see olema:

• vabalt antud;
• konkreetne;
• teavitatud;
• ühemõtteline.

See tähendab, et üksikisikutel peab olema tõeliselt vaba valik küsimuses, kas nad nõustuvad oma isikuandmete töötlemisega või mitte; nad vajavad piisavalt teavet, et nad mõistaksid, milliseid andmeid töödeldakse, millisel eesmärgil ja kuidas seda tehakse; samuti vajavad nad nõusolekutaotlustes piisavalt üksikasjalikku teavet.

Lisaks peaks isik selgelt kinnitama (ilma eelnevalt märgistatud lahtriteta ja kohaldatavatest üldtingimustest eraldi).
Lisaks peavad üksikisikud saama oma nõusoleku tagasi võtta (ilma negatiivsete tagajärgedeta), kui nad hiljem meelt muudavad.

Lisateave:

• Töötle isikuandmeid seaduslikult

Vajalikud turvameetmed võivad erineda sõltuvalt töödeldavate isikuandmete laadist ja nendega seotud riskidest üksikisikutele. Igal juhul on olemas mõned minimaalsed meetmed, mida peaksite rakendama:

• turvaline juurdepääs ruumidele;
• regulaarselt uuendatava viirusetõrjetarkvara kasutamine;
• hoolikas paroolide valimine;
• kasutajate autentimine enne arvutiseadmete kasutamist;
• intsidendi korral andmete varundamise ja otsimise poliitika rakendamine.

Lisaks ei ka ole kohatud mõned põhimeetmed, nagu ekraani lukustamine, kui olete eemal, ja kontori lukustamine päeva lõpus. 

Lisateave:

• Turvalised isikuandmed

Euroopa Andmekaitsenõukogu avaldab korrapäraselt pressiteateid, uudiseid, blogisid ja muud sisu Euroopa Andmekaitsenõukogu veebisaidil ja  enda sotsiaalmeediakanalites (X: @EU_EDPB; LinkedIn: Euroopa Andmekaitsenõukogu), et hoida andmekaitsekogukondi ja üldsust oma tööga kursis.

Euroopa Andmekaitsenõukogu veebisaidil on ka kaks RSS-kanalit, mida saate tellida Euroopa Andmekaitsenõukogu uudiste ja Euroopa Andmekaitsenõukogu viimaste väljaannete automaatseks teavituseks.

Jah, IKÜM-i kohaldatakse juhul, kui isikuandmed sisalduvad või kavatsetakse lisada kataloogi. See tähendab, et IKÜM-i kohaldatakse ka paberdokumentidele, mitte ainult isikuandmete automatiseeritud töötlemisele.

Lisateave:

• Andmekaitse põhitõed

Kõik organisatsioonid, olenemata nende suurusest või sektorist, mis on asutatud Euroopa Majanduspiirkonnas (EMP) või pakuvad tooteid või teenuseid üksikisikutele EMP-s, töötlevad isikuandmeid,  olgu need automatiseeritud või mitte, peavad järgima IKÜM-i. Isegi kui IKÜM on peamiselt seotud isikuandmete automatiseeritud töötlemisega, kohaldatakse IKÜM-i ka käsitsi tehtavate töötlemistoimingute suhtes alates hetkest, mil pabertoimikud on süstemaatiliselt korraldatud, nt tähestikulise järjestamisega toimikukapis. 

Töötlemistoimingud on näiteks üksikisikute isikuandmete kogumine, salvestamine, korraldamine, kasutamine, modifitseerimine, säilitamine, avaldamine, muutmine ja kustutamine.

IKÜM-i kohaldamist kohandatakse siiski vastavalt tehtud töötlemistoimingute laadile, kontekstile, eesmärkidele ja riskidele. Väike- ja keskmise suurusega ettevõtete (VKE) puhul, kelle põhitegevus ei ole isikuandmete töötlemine, võivad kohustused olla leebemad kui suurtel ettevõtetel.

Lisateave:

• Andmekaitse põhitõed

Ei, te ei pea olema sertifitseeritud, et saada andmekaitsespetsialistiks.

Andmekaitsespetsialistid peavad siiski suutma tõendada, et neil on IKÜM-s nõutud vajalik kvalifikatsioon, näiteks eksperditeadmised andmekaitsealaste õigusaktide ja tavade kohta.

Lisateave:

• Andmekaitsespetsialist

IKÜM-i kohaldatakse küpsiste kasutamise suhtes, kui neid kasutatakse isikuandmete töötlemiseks, kuid küpsiste kohta kehtivad ka täpsemad eeskirjad, mis hõlmavad e-privaatsuse direktiivi.

Küpsise salvestamine või juba salvestatud küpsisele juurdepääsu saamine kasutaja lõppseadmesse on lubatud ainult tingimusel, et asjaomast abonenti või kasutajat on piisavalt teavitatud (eelkõige töötlemise eesmärkidest) ja ta on andnud selleks oma nõusoleku.

Ainsaks erandiks on tehniliselt vajalikud küpsised. Organisatsioonid ei pea küsima nõusolekut, kui nad kasutavad oma veebisaitidel tehniliselt vajalikke küpsiseid.

Lisateave:

• Töötle isikuandmeid seaduslikult

Üldiselt peaks iga organisatsioon pidama arvestust oma töötlemistoimingute kohta. See on kõigi töötlemistoimingute loend ja võib aidata teil teha õigeid eeldusi oma kohustuste kohta, mis tulenevad IKÜM-st ja võimalikest riskidest.
Iga töötlemistoimingut tuleb registris kirjeldada koos järgmise teabega:

• töötlemise eesmärk (nt kliendi lojaalsus);
• töödeldavate andmete kategooriad (nt palgafondi puhul: nimi, eesnimi, sünniaeg, palk jne);
• kellel on juurdepääs andmetele (vastuvõtjad – nt: värbamise eest vastutav osakond, IT-teenus, juhtkond, teenuseosutajad, partnerid jne);
• vajaduse korral teave isikuandmete edastamise kohta väljapoole Euroopa Majanduspiirkonda (EMP);
• võimaluse korral säilitamisaeg (periood, mille jooksul andmed on operatiivsest seisukohast ja arhiveerimise seisukohast kasulikud).
• võimaluse korral turvameetmete üldine kirjeldus.

Töötlemistoimingute dokumenteerimise eest vastutab teie organisatsiooni juht.

See kirje peab olema taotluse korral kättesaadav selle EMP riigi andmekaitseasutusele, kus te tegutsete.

Organisatsioonid, kus töötab vähem kui 250 inimest, ei pea oma registrisse märkima üksnes juhuslikku tegevust (nt ühekordseteks sündmusteks, näiteks kaupluse avamiseks töödeldud andmeid).
 

Lisateave:

• Vastavus nõuetele 

Jah, volitatud töötlejatel (st isikutel või asutustel, kes töötlevad andmeid vastutava töötleja nimel) on IKÜM-st tulenevad kohustused. Vastutavate töötlejate ja volitatud töötlejate vastutuses on siiski mõningaid erinevusi.

Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi, milles kirjeldatakse üksikasjalikult töötlemistoiminguid ja isikuandmete töötlemise vahendeid. Näiteks peab volitatud töötleja tegema töötlemistoimingud asjakohaste tehniliste ja korralduslike meetmetega vastavalt vastutava töötleja juhistele. Seejuures abistab volitatud töötleja vastutavat töötlejat IKÜM-i järgimisel.

Lisateave:

• Vastutav töötleja või volitatud töötleja

IKÜM-i kohaselt on põhimõtteliselt kaks peamist viisi isikuandmete edastamiseks EMP-välisele riigile või rahvusvahelisele organisatsioonile. Edastamine võib toimuda kaitse piisavuse otsuse alusel või sellise otsuse puudumisel asjakohaste kaitsemeetmete alusel, sealhulgas üksikisikute kohtulikult kaitstavate õiguste ja õiguskaitsevahendite alusel.

Lisateave:

• Rahvusvahelised ülekanded