Kui teie organisatsioon kogub isikuandmeid otse üksikisikutelt, peab ta esitama vajaliku teabe kogumise ajal.
Isikuandmete kaudse kogumise korral peab teie organisatsioon esitama teabe hiljemalt ühe kuu jooksul pärast seda, kui isikuandmed on algselt saadud. Seda maksimaalset ühekuulist ajavahemikku võib lühendada:

• kui isikuandmeid kasutatakse andmesubjektiga suhtlemiseks. Sellisel juhul peate andmesubjekti teavitama hiljemalt andmesubjektile esmakordsel teavitamisel;
• kui andmed edastatakse teisele vastuvõtjale, teavitab organisatsioon sellest andmesubjekte hiljemalt isikuandmete edastamisel.

Lisateave:

• Üksikisikute õiguste austamine

Üksikisikud võivad teilt küsida, kas te nende andmeid töötlete ja kui see on nii, siis on neil õigus nendele andmetele juurde pääseda. Kui see juhtub ja kui teie nende andmeid töötlete, peaksite tasuta esitama näiteks nende isikuandmete koopia koos mis tahes vajaliku lisateabega. Kui taotlus esitatakse elektrooniliselt, peaks teie organisatsioon esitama nõutava teabe üldkasutatavas elektroonilises vormingus, välja arvatud juhul, kui individuaalsed taotlused on esitatud teisiti.

Lisateave:

• Üksikisikute õiguste austamine

Vastutava töötleja ja volitatud töötleja vahelises lepingus tuleb sätestada, et volitatud töötleja:

• töötleb isikuandmeid ainult vastutava töötleja juhiste kohaselt, sealhulgas seoses isikuandmete edastamisega EMP-välisesse riiki;
• tagab, et andmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsust või neil on asjakohane seadusjärgne konfidentsiaalsuskohustus;
• tagab töötlemise turvalisuse;
• ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva eri- või üldise kirjaliku loata;
• abistab vastutavat töötlejat vastutava töötleja kohustuste täitmisel, et vastata üksikisiku taotlustele oma õiguste kasutamiseks;
• abistab vastutavat töötlejat töötlemise tagamisel, andmetega seotud rikkumistest teavitamisel ja andmekaitsealaste mõjuhinnangute tegemisel;
• kustutab või tagastab vastutava töötleja valikul kõik isikuandmed pärast teenuste osutamise lõppu vastutavale töötlejale;
• teeb vastutavale töötlejale kättesaadavaks kogu vajaliku teabe, et tõendada IKÜM-st tulenevate kohustuste täitmist;
• võimaldab ja aitab auditeid, sealhulgas kontrolle, mida viib läbi vastutav töötleja või vastutav töötleja volitatud muu audiitor.

Lisaks teavitab volitatud töötleja viivitamata vastutavat töötlejat, kui tema arvates rikuvad juhised IKÜM-i,  muid EL-i või riiklikke andmekaitsesätteid.
 

Lisateave:

• Vastutav töötleja või volitatud töötleja

Isikuandmete kaitse üldmääruse ehk IKÜM-ga kehtestatakse ühtlustatud eeskirjad, mida kohaldatakse Euroopa Majanduspiirkonnas (EMP) asutatud organisatsioonide (avalik-õiguslikud või eraõiguslikud organisatsioonid, olenemata nende suurusest) mis tahes isikuandmete töötlemise suhtes või mis on suunatud üksikisikutele EL-is. IKÜM-i esmane eesmärk on tagada, et isikuandmete kaitse tase on kõikjal EMP-s sama kõrge, suurendades nii andmeid töötlevate üksikisikute kui ka organisatsioonide õiguskindlust ning pakkudes üksikisikutele kõrgetasemelist kaitset.

Määrus jõustus 24. mail 2016 ja seda kohaldatakse alates 25. maist 2018.

Pseudonümiseerimine seisneb isikuandmete muutmises nii, et neid ei saa enam seostada konkreetse isikuga ilma täiendavat teavet kasutamata, tingimusel, et sellist lisateavet hoitakse eraldi ning selle suhtes kohaldatakse tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid ei seostata üksikisikuga. Praktikas võib see tähendada isikuandmete (nimi, eesnimi, isikukood, telefoninumber jne) asendamist andmekogumis kaudsete identifitseerimisandmetega (teise nimega, järjekorranumber jne). Pseudonümiseeritud andmed on endiselt isikuandmed ja nende suhtes kohaldatakse IKÜM-i.

Anonüümseks muudetud andmed on andmed, mis on muudetud anonüümseks sellisel viisil, et üksikisikut ei ole või enam ei ole võimalik tuvastada mis tahes mõistlikult tõenäoliselt kasutatava vahendi abil. Kui anonüümimist rakendatakse nõuetekohaselt, siis IKÜM anonüümseks muudetud andmete suhtes enam ei kehti.

Lisateave:

• Isikuandmete kaitsmine

Teatavat liiki isikuandmed kuuluvad isikuandmete eriliikidesse, mis tähendab, et nad väärivad suuremat kaitset, nn delikaatsed andmed. Tundlikud andmed hõlmavad andmeid, mis annavad teavet järgmise kohta:

• üksikisiku tervis;
• isiku seksuaalne sättumus;
• isiku rassiline või etniline päritolu;
• üksikisiku poliitilised vaated, usulised või filosoofilised veendumused; üksikisiku ametiühingusse kuulumine;
• inimese biomeetrilised ja geneetilised andmed.

Isiku delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud konkreetsetel asjaoludel, mis õigustavad nende töötlemist.
 

Lisateave:

• Andmekaitse põhitõed

Isikuandmed on igasugune teave tuvastatud või tuvastatava isiku kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada. Isikuandmete hulka võivad kuuluda ka erinevad kogutud andmed, mis võivad viia konkreetse isiku tuvastamiseni.
Isikuandmete näited on järgmised:

• ees- ja perekonnanimi;
• kodune aadress;
• e-posti aadress;
• ID-kaardi number;
• asukohaandmed;
• internetiprotokolli (IP) aadress;
• küpsise ID;
• pangakontod;
• maksuaruanded;
• biomeetrilised andmed (nt sõrmejäljed);
• sotsiaalkindlustusnumber;
• passi number;
• katsetulemused;
• klassid koolis;
• sirvimise ajalugu;
• isiku foto;
• sõiduki registreerimisnumber jne.
   

Lisateave:

• Andmekaitse põhitõed

Kui isikuandmeid kogutakse otse asjaomastelt üksikisikutelt, peavad organisatsioonid töötlemistoimingute kohta kokkuvõtlikult ja läbipaistvalt teavet andma, kasutades arusaadavat, kergesti kättesaadavat ning selget ja lihtsat keelt. Seda saab teha kirjalikult (nt pakkumuse tagaküljel) või elektrooniliselt (nt veebisaidil). Kui asjaomane isik seda taotleb, võite selle teabe esitada ka suuliselt, kuid te peate seda hiljem tõendama.

Isegi kui andmeid koguti kaudselt, st kui te ei kogu isikuandmeid otse üksikisikult endalt, vaid näiteks kolmanda isiku kaudu, peate esitama sama üksikasjaliku teabe üksikisikutele.

Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks töötlemise eesmärgi ja vahendid, käsitatakse neid kaasvastutavate töötlejatena. Nad otsustavad koos töödelda isikuandmeid ühisel eesmärgil. Kaasvastutav vastutus võib esineda mitmes vormis ja erinevate vastutavate töötlejate osalemine võib olla ebavõrdne. Seetõttu peavad kaasvastutavad töötlejad määrama kindlaks oma kohustused IKÜM-i järgimisel.
Oluline on märkida, et kaasvastutav vastutus toob kaasa ühise vastutuse töötlemistoimingu eest.

• Näide kaasvastutusest: Ettevõtted A ja B on käivitanud kaaskaubamärgiga toote ja soovivad korraldada üritust selle toote reklaamimiseks. Selleks otsustavad nad jagada oma klientide ja potentsiaalsete klientide andmebaaside andmeid ning otsustada selle alusel üritusele kutsutavate nimekirja. Samuti lepivad nad kokku, kuidas saata üritusele kutseid, kuidas ürituse ajal tagasisidet koguda ja turundustegevust jätkata. Äriühinguid A ja B võib pidada reklaamiürituse korraldamisega seotud isikuandmete töötlemisel kaasvastutavateks töötlejateks, kuna nad otsustavad ühiselt selles kontekstis andmetöötluse ühiselt määratletud eesmärgi ja oluliste vahendite üle.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Andmekaitsealane mõjuhinnang on kirjalik hinnang, mille teie organisatsioon peaks tegema, et hinnata kavandatava töötlemistoimingu mõju. See aitab teil kindlaks teha asjakohased meetmed riskide maandamiseks ja nõuetele vastavuse tõendamiseks.
Kuigi andmekaitsealase mõjuhinnangu tegemisega on alati soovitatav prognoosida teie organisatsiooni kavandatavate töötlemistoimingute mõju, on andmekaitsealane mõjuhinnang kohustuslik, kui töötlemine toob tõenäoliselt kaasa suure ohu üksikisikute õigustele ja vabadustele.
Täpsemalt on see nii juhul, kui kavandatav töötlemine hõlmab järgmist:

• delikaatsete isikuandmete või süüdimõistvate kohtuotsustega seotud andmete ulatuslik töötlemine;
• isiku isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automatiseeritud töötlemisel, sealhulgas profiilianalüüsil, ning millel põhinevad otsused, millel on asjaomase isiku jaoks õiguslikud tagajärjed või mis mõjutavad oluliselt üksikisikuid;
• üldsusele kättesaadava ala süstemaatiline ulatuslik seire.

Euroopa Andmekaitsenõukogu (EAKN) on välja töötanud suunised, milles loetletakse kriteeriumid, mida peate andmekaitsealase mõjuhinnangu kohustuslikkuse hindamisel arvesse võtma. Andmekaitseasutused on avaldanud ka loetelu töötlemistoimingutest, mille suhtes kohaldatakse andmekaitsealast mõjuhinnangut. Lisaks on mitu andmekaitseasutust töötanud välja juhendeid, tarkvara või enesehindamise vahendeid, et aidata teil oma hinnangut anda.

Lisateave:

• Vastavus nõuetele