Kõik organisatsioonid, olenemata nende suurusest või sektorist, mis on asutatud Euroopa Majanduspiirkonnas (EMP) või pakuvad tooteid või teenuseid üksikisikutele EMP-s, töötlevad isikuandmeid,  olgu need automatiseeritud või mitte, peavad järgima IKÜM-i. Isegi kui IKÜM on peamiselt seotud isikuandmete automatiseeritud töötlemisega, kohaldatakse IKÜM-i ka käsitsi tehtavate töötlemistoimingute suhtes alates hetkest, mil pabertoimikud on süstemaatiliselt korraldatud, nt tähestikulise järjestamisega toimikukapis. 

Töötlemistoimingud on näiteks üksikisikute isikuandmete kogumine, salvestamine, korraldamine, kasutamine, modifitseerimine, säilitamine, avaldamine, muutmine ja kustutamine.

IKÜM-i kohaldamist kohandatakse siiski vastavalt tehtud töötlemistoimingute laadile, kontekstile, eesmärkidele ja riskidele. Väike- ja keskmise suurusega ettevõtete (VKE) puhul, kelle põhitegevus ei ole isikuandmete töötlemine, võivad kohustused olla leebemad kui suurtel ettevõtetel.

Lisateave:

• Andmekaitse põhitõed

Ei, te ei pea olema sertifitseeritud, et saada andmekaitsespetsialistiks.

Andmekaitsespetsialistid peavad siiski suutma tõendada, et neil on IKÜM-s nõutud vajalik kvalifikatsioon, näiteks eksperditeadmised andmekaitsealaste õigusaktide ja tavade kohta.

Lisateave:

• Andmekaitsespetsialist

IKÜM-i kohaldatakse küpsiste kasutamise suhtes, kui neid kasutatakse isikuandmete töötlemiseks, kuid küpsiste kohta kehtivad ka täpsemad eeskirjad, mis hõlmavad e-privaatsuse direktiivi.

Küpsise salvestamine või juba salvestatud küpsisele juurdepääsu saamine kasutaja lõppseadmesse on lubatud ainult tingimusel, et asjaomast abonenti või kasutajat on piisavalt teavitatud (eelkõige töötlemise eesmärkidest) ja ta on andnud selleks oma nõusoleku.

Ainsaks erandiks on tehniliselt vajalikud küpsised. Organisatsioonid ei pea küsima nõusolekut, kui nad kasutavad oma veebisaitidel tehniliselt vajalikke küpsiseid.

Lisateave:

• Töötle isikuandmeid seaduslikult

Üldiselt peaks iga organisatsioon pidama arvestust oma töötlemistoimingute kohta. See on kõigi töötlemistoimingute loend ja võib aidata teil teha õigeid eeldusi oma kohustuste kohta, mis tulenevad IKÜM-st ja võimalikest riskidest.
Iga töötlemistoimingut tuleb registris kirjeldada koos järgmise teabega:

• töötlemise eesmärk (nt kliendi lojaalsus);
• töödeldavate andmete kategooriad (nt palgafondi puhul: nimi, eesnimi, sünniaeg, palk jne);
• kellel on juurdepääs andmetele (vastuvõtjad – nt: värbamise eest vastutav osakond, IT-teenus, juhtkond, teenuseosutajad, partnerid jne);
• vajaduse korral teave isikuandmete edastamise kohta väljapoole Euroopa Majanduspiirkonda (EMP);
• võimaluse korral säilitamisaeg (periood, mille jooksul andmed on operatiivsest seisukohast ja arhiveerimise seisukohast kasulikud).
• võimaluse korral turvameetmete üldine kirjeldus.

Töötlemistoimingute dokumenteerimise eest vastutab teie organisatsiooni juht.

See kirje peab olema taotluse korral kättesaadav selle EMP riigi andmekaitseasutusele, kus te tegutsete.

Organisatsioonid, kus töötab vähem kui 250 inimest, ei pea oma registrisse märkima üksnes juhuslikku tegevust (nt ühekordseteks sündmusteks, näiteks kaupluse avamiseks töödeldud andmeid).
 

Lisateave:

• Vastavus nõuetele 

Jah, volitatud töötlejatel (st isikutel või asutustel, kes töötlevad andmeid vastutava töötleja nimel) on IKÜM-st tulenevad kohustused. Vastutavate töötlejate ja volitatud töötlejate vastutuses on siiski mõningaid erinevusi.

Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi, milles kirjeldatakse üksikasjalikult töötlemistoiminguid ja isikuandmete töötlemise vahendeid. Näiteks peab volitatud töötleja tegema töötlemistoimingud asjakohaste tehniliste ja korralduslike meetmetega vastavalt vastutava töötleja juhistele. Seejuures abistab volitatud töötleja vastutavat töötlejat IKÜM-i järgimisel.

Lisateave:

• Vastutav töötleja või volitatud töötleja

IKÜM-i kohaselt on põhimõtteliselt kaks peamist viisi isikuandmete edastamiseks EMP-välisele riigile või rahvusvahelisele organisatsioonile. Edastamine võib toimuda kaitse piisavuse otsuse alusel või sellise otsuse puudumisel asjakohaste kaitsemeetmete alusel, sealhulgas üksikisikute kohtulikult kaitstavate õiguste ja õiguskaitsevahendite alusel.

Lisateave:

• Rahvusvahelised ülekanded

Jah, võite, kuid IKÜM paneb teatud kohustused ettevõtetele, kes jagavad isikuandmeid. Teie organisatsioon peab teavitama üksikisikuid sellest, et jagate nende andmeid kolmanda osapoolega. Samuti peate neid teavitama oma eesmärkidest, turvalisusest, juurdepääsust ja kohaldatavatest säilitamismeetmetest.

Esimene samm videovalve paigaldamisel on teha kindlaks selle eesmärk või eesmärgid. Videovalve paigaldamise eesmärgid võivad olla erinevad, näiteks ruumide turvalisuse tagamine, varguste ja muude kuritegude ennetamisele ja avastamisele kaasaaitamine või töötajate elu ja tervise kaitse töö laadi tõttu.

Sarnaselt isikuandmete töötlemisega peab üksikisikute salvestamisel olema isikuandmete kaitse üldmääruse (IKÜM) kohane õiguslik alus. Nõusolek võib olla sellise andmetöötluse õiguslik alus. Siiski on ebatõenäoline, et see kehtib enamikul juhtudel videovalve kasutamise kohta, sest tõenäoliselt salvestatavate isikute vabatahtlikult antud nõusolekut on raske saada. Sellise isikuandmete töötlemise kõige tavalisem õiguslik alus on õigustatud huvi. Kui töötlemine põhineb õigustatud huvil, peate läbi viima tasakaalustatuse testi, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisiku õigused.

Peate teavitama üksikisikuid, et nad on salvestatud. Seda saab teha, asetades kergesti loetavad märgid silmapaistvatesse kohtadesse. Lisaks tuleks kõikide sissepääsude juurde paigutada märk, mis toob välja videovalvesüsteemi eesmärgi ning vastutava töötleja isiku ja kontaktandmed.
Isikutele, kelle kujutised salvestatakse videovalvesüsteemi kaudu, tuleks esitada järgmine teave:

• vastutava töötleja nimi ja kontaktandmed;
• töötlemise eesmärgid;
• töötlemise õiguslik alus (kui õigustatud huvi, konkreetne teave selle kohta, millised õigustatud huvid on konkreetse töötlemisega seotud ja milline üksus taotleb iga õigustatud huvi);
• andmekaitseametniku kontaktandmed (kui andmekaitseametnik on olemas);
• andmete vastuvõtjad või vastuvõtjate kategooriad;
• videovalve salvestiste turvameetmed;
• videovalvesalvestiste säilitamise aeg;
• IKÜM-st tulenevad üksikisikute õigused ja õigus esitada kaebus riiklikule andmekaitseasutusele.

Lisateave:

• Töötle isikuandmeid seaduslikult
• Üksikisikute õiguste austamine

Jah, teie kliente tuleb telefonikõne tegemisel teavitada salvestamise eesmärkidest, salvestiste saajatest, nende õigusest esitada vastuväiteid ja nende õigusest salvestistele juurde pääseda.

Lisateave:

• Töötle isikuandmeid seaduslikult

Konkursi võitjate nimede avaldamist oma veebisaidil võib pidada õigustatud huviks, kui saate seda tõendada tasakaalukatsega, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisikute õiguse.

Hea tava oleks kehtestada sisemenetlus, milles selgitatakse võitjate isikuandmete avaldamise eeskirju.

Lisaks peaks isikuandmete töötlemine nendel eesmärkidel olema osa konkursi privaatsuspoliitikast, et osalejaid teavitataks eelnevalt sellest, kuidas nende andmeid töödeldakse.

Lisateave:

• Töötle isikuandmeid seaduslikult