Organisatsioon ei pea mitte ainult töötlema isikuandmeid vastavalt isikuandmete kaitse üldmäärusele, vaid ta peab suutma ka tõendada oma vastavust. See hõlmab lõimitud andmekaitse rakendamist, töötlemistoimingute üle arvestuse pidamist ja teatavatel juhtudel andmekaitsealase mõjuhinnangu läbiviimist.
Lõimitud andmekaitse ja vaikimisi andmekaitse
Vastutava töötlejana peate nii töötlemistoimingu kavandamisel kui ka töötlemise ajal rakendama asjakohaseid meetmeid ja kaitsemeetmeid, et tagada andmekaitsepõhimõtete järgimine. Samuti peate tagama, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud iga konkreetse eesmärgi jaoks (see kehtib andmete hulga, töötlemise ulatuse, säilitamise piirangu ja nende kättesaadavuse kohta).
Teisisõnu on organisatsioon, mis rakendab lõimitud ja vaikimisi andmekaitset, organisatsioon, mis arvestab ja integreerib üksikisikute andmekaitset ja eraelu puutumatust igas aspektis ja oma töötlemistoimingute igas etapis kasutatavatesse vahenditesse või mis tahes muusse äritegevusse.
Selleks peab teie organisatsioon enne töötlemistoimingute alustamist arvesse võtma järgmist:
- kavandatava töötlemistoimingu olemus, kontekst ja ulatus;
- riskid, mis võivad tuleneda kavandatavatest töötlemistoimingutest või muust äritegevusest, mis võib mõjutada üksikisikute isikuandmeid;
- tehnilised ja korralduslikud meetmed, mis tuleks rakendada kindlaks tehtud riskide leevendamiseks, ning tagada sellega üksikisikute isikuandmete piisav kaitse;
- tehnilised ja korralduslikud meetmed või menetlused, mis tuleb kehtestada tagamaks, et isikuandmete töötlemine (sealhulgas eelkõige üksikisikute andmete kogumine, säilitamine ja üldine kasutamine) piirdub sellega, mis on taodeldavaid eesmärke silmas pidades vajalik.
Praktikas
- Raamatupood soovib suurendada oma tulusid, müües raamatuid internetis. Raamatupoe omanik soovib luua tellimisprotsessi standardvormi. Kõigepealt muudab omanik vormi kõik väljad kohustuslikuks, kaasa arvatud kliendi sünniaeg, telefoninumber ja kodune aadress. Kuid mitte kõik vormis olevad väljad ei ole vajalikud raamatute müümiseks ja kättetoimetamiseks.
Näiteks e-raamatu tellimisel saab klient toote otse oma seadmesse alla laadida. Seetõttu ei saa neid väljasid raamatute tellimiseks veebivormis nõuda. Seetõttu otsustab veebipoe omanik teha kaks veebivormi: üks raamatute tellimiseks koos kliendi aadressi väljaga ja teine veebivorm e-raamatute tellimiseks ilma kliendi aadressi väljata. Seejuures tagab omanik, et kogutakse ainult töötlemiseks vajalikke andmeid. - Mitme arsti juures tegutsev meditsiinipraksis kogub andmeid oma patsientide kohta organisatsiooni infosüsteemis. Erinevad arstid võivad vajada juurdepääsu patsienditoimikutele, näiteks kui nad katavad teist puuduvat arsti, et teavitada oma otsustest patsientide hooldamise ja ravi kohta ning dokumenteerida kõik diagnostika-, hooldus- ja ravitoimingud. Vaikimisi võimaldatakse juurdepääs ainult nendele arstidele, kes on määratud vastava patsiendi ravile.
Kasulik on pidada arvestust nende hindamiste ja meetmete üle, et tõendada, et järgite lõimitud ja vaikimisi andmekaitse põhimõtteid. Heakskiidetud sertifitseerimismehhanismi võib kasutada ka lõimitud andmekaitse ja vaikimisi andmekaitse vastavuse tõendamiseks.
Kohustus pidada arvestust andmetöötluse kohta
Organisatsioonina on teil kohustus pidada arvestust oma andmetöötlustoimingute üle. Need andmed tuleks säilitada nii kirjalikult kui ka elektrooniliselt.
See kirje annab teile ülevaate oma töötlemistoimingutest. Sellise kirje loomiseks peate kindlaks tegema, millised teie tegevused nõuavad isikuandmete töötlemist (näiteks värbamine, palgaarvestuse haldamine, koolitus, sissepääsuluba ja juurdepääsu haldamine, potentsiaalsete klientide nimekiri jne). Iga töötlemistoimingut tuleb registris kirjeldada koos järgmise teabega:
- töötlemise eesmärk (nt kliendi lojaalsus);
- töödeldavate andmete kategooriad (nt palgafondi puhul: nimi, eesnimi, sünniaeg, palk jne);
- kellel on juurdepääs andmetele (vastuvõtjad – nt: värbamise eest vastutav osakond, IT-teenus, juhtkond, teenuseosutajad, partnerid jne);
- vajaduse korral teave isikuandmete edastamise kohta väljapoole Euroopa Majanduspiirkonda (EMP);
- võimaluse korral säilitamisaeg (periood, mille jooksul andmed on operatiivsest seisukohast ja arhiveerimise seisukohast kasulikud);
- võimaluse korral turvameetmete üldine kirjeldus.
Töötlemistoimingute dokumenteerimise eest vastutab teie organisatsiooni juht. See kirje peab olema taotluse korral kättesaadav selle EMP riigi andmekaitseasutusele, kus te tegutsete.
Organisatsioonid, kus töötab vähem kui 250 inimest, ei pea oma registrisse märkima üksnes juhuslikku tegevust (nt andmeid, mida töödeldakse ühekordseteks sündmusteks, näiteks kaupluse avamiseks).
Kuidas viia läbi andmekaitsealane mõjuhinnang?
Mis on andmekaitsealane mõjuhinnang?
Kui töötlemine kujutab endast tõenäoliselt suurt ohtu üksikisikute õigustele ja vabadustele, peab vastutav töötleja viima läbi andmekaitsealase mõjuhinnangu. Andmekaitsealane mõjuhinnang on kavandatud töötlemistoimingu kirjalik hinnang. See aitab teil kindlaks teha asjakohased kaitsemeetmed riskide leevendamiseks ja nõuetele vastavuse tõendamiseks.
Millal teha DPIA?
Kuigi andmekaitsealase mõjuhinnangu tegemisega on alati soovitatav prognoosida teie organisatsiooni kavandatavate töötlemistoimingute mõju, on selline andmekaitsealane mõjuhinnang kohustuslik, kui töötlemine toob tõenäoliselt kaasa suure ohu üksikisikute õigustele ja vabadustele.
Täpsemalt on see nii juhul, kui kavandatav töötlemine hõlmab järgmist:
- eriliigiliste isikuandmete ja süüdimõistvate kohtuotsustega seotud andmete ulatuslik töötlemine;
- isiku automatiseeritud töötlemisel, sealhulgas profiilianalüüsil põhinevate isiklike aspektide süstemaatiline ja ulatuslik hindamine, millel põhinevad otsused, millel on asjaomase isiku jaoks õiguslikud tagajärjed või mis mõjutavad oluliselt üksikisikuid;
- üldsusele kättesaadava ala süstemaatiline ulatuslik seire.
Enamikul juhtudel tuleks andmekaitsealase mõjuhinnangu abil hinnata töötlemistoiminguid, mis vastavad kahele järgmisele kriteeriumile:
- atesteerimine või hindamine;
- õigusliku või sarnase olulise mõjuga automatiseeritud otsuste tegemine;
- süstemaatiline järelevalve;
- delikaatsed andmed või väga isiklikud andmed;
- ulatuslikult töödeldavad andmed:
- andmekogumite sobitamine või ühendamine;
- andmed haavatavate andmesubjektide kohta;
- uuenduslik kasutamine või uute tehnoloogiliste või organisatsiooniliste lahenduste rakendamine;
- Kui töötlemine iseenesest takistab üksikisikutel kasutada õigust või kasutada teenust või lepingut.
Do I need to carry out a DPIA?
Answer the questions through our interactive flowchart to find out!
Is the processing likely to result in high risks?
Do any exceptions apply?
- the processing operation envisaged is very similar to a processing which was the subject of a DPIA;
- the type of processing is in an exemption list that your data protection authority may have adopted;
- the processing operation is authorised under EU or national law.
Do I need to carry out a DPIA?
Yes, you need to carry out the DPIA
Any high risks remaining after the DPIA?
Do I need to carry out a DPIA?
No DPIA needed
Consult your Data Protection Authority
No need to consult your Data Protection Authority
Andmekaitsealase mõjuhinnangu näpunäide
Peaksite ühendust võtma selle EMP riigi andmekaitseasutusega, kus teie organisatsioon asub, et teada saada, kas neil on avalikult kättesaadav dokument, milles on loetletud tingimused, mille puhul töötlemistoimingud vajavad andmekaitsealast mõjuhinnangut ja milline töötlemistoiming ei vaja andmekaitsealast mõjuhinnangut.
Näited selle kohta, millal võib olla nõutav andmekaitsealane mõjuhinnang:
- biomeetriliste andmete töötlemine, näiteks sõrmejälgede või näoomaduste skaneerimine patsientide tuvastamiseks;
- haavatavate isikute andmete kasutamine turunduslikel eesmärkidel, näiteks ostude prognoosimiseks;
- mobiilirakendus jälgib üksikisiku asukohta.
Näited selle kohta, millal andmekaitsealast mõjuhinnangut ei nõuta
- kavandatud töötlemistoiming on väga sarnane isikuandmete töötlemisega, mille suhtes kohaldati andmekaitsealast mõjuhinnangut;
- töötlemine on lisatud vabatahtlikusse loetellu töötlemistoimingutest (mille on koostanud teie riiklik andmekaitseasutus), mille suhtes andmekaitsealast mõjuhinnangut ei kohaldata;
- töötlemistoiming on lubatud ELi või liikmesriigi õiguse alusel.
Mida lisada andmekaitsealasesse mõjuhinnangusse?
Teie andmekaitsealane mõjuhinnang peaks sisaldama järgmist:
- kavandatava töötlemistoimingu ja selle eesmärgi kirjeldus;
- vajalikkuse ja proportsionaalsuse hindamine;
- töötlemistoiminguga kaasneda võivad riskid;
- riskide maandamise meetmed.
Eelnev konsulteerimine andmekaitsealase mõjuhinnangu ajal
Kui vastutav töötleja ei leia piisavaid meetmeid riskide vähendamiseks vastuvõetava tasemeni (st jääkriskid on endiselt suured), tuleb konsulteerida andmekaitseasutusega. Sellisel juhul peab vastutav töötleja esitama järgmise teabe:
- töötlemises osalevate vastutavate töötlejate, kaasvastutavate töötlejate ja volitatud töötlejate vastavad kohustused;
- töötlemistoimingu eesmärk ja töötlemistoimingu tegemise viis;
- üksikisikute isikuandmete kaitseks kavandatud meetmed;
- vajaduse korral teie organisatsiooni andmekaitseametniku kontaktandmed;
- kõnealune andmekaitsealane mõjuhinnang.
Pärast DPIA-d – testige, parandage, kontrollige!
Kui andmekaitsealane mõjuhinnang on koostatud, peate seda testima; vajaduse korral täiustama; viima läbi oma töötlemistoimingud; hindama uuesti, kas teie andmekaitsealane mõjuhinnang vastab töötlemistoimingule; ja kontroll test.
Loe lähemalt
Riiklikud loetelud andmetöötlustoimingute liikidest, mille puhul andmekaitsealane mõjuhinnang on vajalik või mitte
Andmekaitsekomisjon, Iirimaa järelevalveasutus
Tegevusjuhendid
Sõltuvalt sellest, kus teie organisatsioon asub EMPs, võib olla ühendusi või muid organeid, kes esindavad vastutavaid töötlejaid või volitatud töötlejaid. Need ühendused ja asutused võivad koostada toimimisjuhendeid, sealhulgas andmekaitsemehhanisme, mida vastutavad töötlejad ja volitatud töötlejad võivad järgida, et aidata tagada üksikisikute isikuandmete austamine vastavalt isikuandmete kaitse üldmäärusele.
Täpsemalt peavad need kehtestatud tegevusjuhendid tagama näiteks:
- isikuandmeid töödeldakse õiglaselt ja läbipaistvalt;
- üksikisikute isikuandmete töötlemise eesmärgid on õiguspärased;
- kuidas isikuandmeid pseudonüümida;
- läbipaistvat teavet antakse üksikisikutele, kelle isikuandmeid töödeldakse;
- nõusolekut üksikisikute andmete, eelkõige lastega seotud isikuandmete töötlemiseks taodeldakse asjakohaselt;
- üksikisikute andmete turvalise töötlemise tagamiseks on kehtestatud kõik tehnilised ja korralduslikud meetmed;
- isikuandmetega seotud rikkumistest teatamise korra järgimine;
- järgitakse menetlusi, sealhulgas kaitsemeetmeid, mis on seotud isikuandmete edastamisega EMP-välistele riikidele ja organisatsioonidele;
- järgitakse kohtumenetluste ja vaidluste lahendamisega seotud menetlusi.
Nõuanne
- Peaksite võtma ühendust asjaomase ühenduse või asutusega, kes koostab GDPR-i toimimisjuhendeid, sest need võivad aidata teil GDPR-i järgimisel.
Sertifitseerimine
Mis on GDPR-i sertifikaat?
Organisatsioon, kes saab isikuandmete kaitse üldmääruse sertifikaadi, võib kasutada seda sertifikaati, et tõendada oma töötlemistoimingute vastavust isikuandmete kaitse üldmäärusele.
EMP andmekaitseasutused võivad näiteks:
- anda välja isikuandmete kaitse üldmääruse sertifikaate oma sertifitseerimissüsteemi kohta;
- väljastada ise isikuandmete kaitse üldmääruse sertifikaate seoses oma sertifitseerimissüsteemiga, kuid delegeerida kogu hindamisprotsessi või osa sellest kolmandatele isikutele;
- luua oma sertifitseerimissüsteemi ja usaldada konkreetsed asutused nende sertifikaatide väljastamiseks;
- julgustada turgu arendama sertifitseerimismehhanisme;
- hinnata sertifitseerimisasutuste sertifitseerimissüsteeme.
Sertifitseerimisasutuse ülesanne on väljastada, läbi vaadata ja tagasi võtta sertifikaate sertifitseerimismehhanismi ja heakskiidetud kriteeriumide alusel.
Sertifitseerimisasutused peavad dokumenteerima oma hinnangu teie organisatsiooni töötlemistoimingutele, mille kohta võidakse väljastada isikuandmete kaitse üldmääruse sertifikaat.
Minu organisatsioon on saanud GDPR sertifikaadi, mis on järgmine?
Isikuandmete kaitse üldmääruse sertifikaat töötlemistoimingu kohta, mida teie organisatsioon teeb, kehtib maksimaalselt kolm aastat, kuid seda saab uuendada või tühistada. Selle sertifikaadi säilitamiseks peab teie organisatsioon pidevalt ja järjepidevalt rakendama sertifitseeritud andmekaitsetoiminguga seotud meetmeid.