Frequently Asked Questions
Kas minu organisatsioon peab järgima isikuandmete kaitse üldmäärust (IKÜM)?
Kõik organisatsioonid, olenemata nende suurusest või sektorist, mis on asutatud Euroopa Majanduspiirkonnas (EMP) või pakuvad tooteid või teenuseid üksikisikutele EMP-s, töötlevad isikuandmeid, olgu need automatiseeritud või mitte, peavad järgima IKÜM-i. Isegi kui IKÜM on peamiselt seotud isikuandmete automatiseeritud töötlemisega, kohaldatakse IKÜM-i ka käsitsi tehtavate töötlemistoimingute suhtes alates hetkest, mil pabertoimikud on süstemaatiliselt korraldatud, nt tähestikulise järjestamisega toimikukapis.
Töötlemistoimingud on näiteks üksikisikute isikuandmete kogumine, salvestamine, korraldamine, kasutamine, modifitseerimine, säilitamine, avaldamine, muutmine ja kustutamine.
IKÜM-i kohaldamist kohandatakse siiski vastavalt tehtud töötlemistoimingute laadile, kontekstile, eesmärkidele ja riskidele. Väike- ja keskmise suurusega ettevõtete (VKE) puhul, kelle põhitegevus ei ole isikuandmete töötlemine, võivad kohustused olla leebemad kui suurtel ettevõtetel.
Lisateave:
Kas ma võin jagada üksikisikute isikuandmete nimekirja oma äripartneritega (kolmandate osapooltega)?
Jah, võite, kuid IKÜM paneb teatud kohustused ettevõtetele, kes jagavad isikuandmeid. Teie organisatsioon peab teavitama üksikisikuid sellest, et jagate nende andmeid kolmanda osapoolega. Samuti peate neid teavitama oma eesmärkidest, turvalisusest, juurdepääsust ja kohaldatavatest säilitamismeetmetest.
Millised on andmekaitsespetsialisti ülesanded?
Andmekaitsespetsialisti ülesanne on muu hulgas:
- teavitada ja nõustada organisatsiooni ja selle töötajaid andmekaitsenõuete järgimisel;
- jälgida andmekaitsenõuete järgimist;
- anda nõu andmekaitsealase mõjuhinnanguga seotud taotluste kohta;
- tegutseda andmekaitseasutuse kontaktpunktina ja teha selle andmekaitseasutusega koostööd;
- tegutseda üksikisikute kontaktpunktina.
Lisaks on andmekaitsespetsialisti kohalolek üldiselt soovitatav, kui tehakse otsuseid, millel on mõju andmekaitsele. Andmekaitsespetsialisti tuleks viivitamata konsulteerida ka siis, kui andmetega seotud rikkumine või mõni muu intsident on aset leidnud.
Lisateave:
Kas peaksin määrama andmekaitsespetsialisti (AKS)?
Andmekaitsespetsialisti (AKS) määramine on kohustuslik kolmel järgmisel juhul:
- organisatsioon on avaliku sektori asutus;
- organisatsiooni põhitegevus hõlmab üksikisikute korrapärast ja süstemaatilist ulatuslikku jälgimist, näiteks asukohatuvastust mobiilirakenduse kaudu või ostukeskuste ja avalike ruumide jälgimist videovalve kaudu;
- organisatsiooni põhitegevus hõlmab delikaatsete andmete või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist.
AKS-i võite alati määrata vabatahtlikkuse alusel, isegi kui see ei ole seadusega nõutav. Sellisel juhul peate järgima kõiki IKÜM-i sätteid, mis käsitlevad andmekaitsespetsiaisti ametikohta ja ülesandeid.
Lisateave:
Kas mul on vaja nõusolekut, et kasutada küpsiseid oma organisatsiooni veebisaidil?
IKÜM-i kohaldatakse küpsiste kasutamise suhtes, kui neid kasutatakse isikuandmete töötlemiseks, kuid küpsiste kohta kehtivad ka täpsemad eeskirjad, mis hõlmavad e-privaatsuse direktiivi.
Küpsise salvestamine või juba salvestatud küpsisele juurdepääsu saamine kasutaja lõppseadmesse on lubatud ainult tingimusel, et asjaomast abonenti või kasutajat on piisavalt teavitatud (eelkõige töötlemise eesmärkidest) ja ta on andnud selleks oma nõusoleku.
Ainsaks erandiks on tehniliselt vajalikud küpsised. Organisatsioonid ei pea küsima nõusolekut, kui nad kasutavad oma veebisaitidel tehniliselt vajalikke küpsiseid.
Lisateave:
Mis on küpsised?
Küpsised on väikesed failid, mis salvestatakse seadmesse, näiteks arvutisse, mobiilseadmesse või mis tahes muusse seadmesse, mis võib salvestada teavet. Küpsised pakuvad mitmeid olulisi funktsioone, sealhulgas kasutajate mäletamist ja nende varasemat suhtlust veebisaidiga. Neid saab kasutada veebipõhises ostukorvis olevate esemete jälgimiseks või teabe jälgimiseks, kui andmed sisestatakse veebipõhisesse taotlusvormi.
Autentimisküpsised on olulised ka kasutajate tuvastamiseks, kui nad logivad sisse pangateenustesse ja muudesse veebiteenustesse. Küpsistesse salvestatud teave võib sisaldada isikuandmeid, näiteks IP-aadressi, kasutajanime, kordumatut identifikaatorit või e-posti aadressi.
Mida peaks sisaldama vastutava töötleja ja volitatud töötleja vaheline leping?
Vastutava töötleja ja volitatud töötleja vahelises lepingus tuleb sätestada, et volitatud töötleja:
- töötleb isikuandmeid ainult vastutava töötleja juhiste kohaselt, sealhulgas seoses isikuandmete edastamisega EMP-välisesse riiki;
- tagab, et andmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsust või neil on asjakohane seadusjärgne konfidentsiaalsuskohustus;
- tagab töötlemise turvalisuse;
- ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva eri- või üldise kirjaliku loata;
- abistab vastutavat töötlejat vastutava töötleja kohustuste täitmisel, et vastata üksikisiku taotlustele oma õiguste kasutamiseks;
- abistab vastutavat töötlejat töötlemise tagamisel, andmetega seotud rikkumistest teavitamisel ja andmekaitsealaste mõjuhinnangute tegemisel;
- kustutab või tagastab vastutava töötleja valikul kõik isikuandmed pärast teenuste osutamise lõppu vastutavale töötlejale;
- teeb vastutavale töötlejale kättesaadavaks kogu vajaliku teabe, et tõendada IKÜM-st tulenevate kohustuste täitmist;
- võimaldab ja aitab auditeid, sealhulgas kontrolle, mida viib läbi vastutav töötleja või vastutav töötleja volitatud muu audiitor.
Lisaks teavitab volitatud töötleja viivitamata vastutavat töötlejat, kui tema arvates rikuvad juhised IKÜM-i, muid EL-i või riiklikke andmekaitsesätteid.
Lisateave:
Kas ma saan isikuandmeid edastada väljapoole Euroopa Majanduspiirkonda (EMP)?
IKÜM-i kohaselt on põhimõtteliselt kaks peamist viisi isikuandmete edastamiseks EMP-välisele riigile või rahvusvahelisele organisatsioonile. Edastamine võib toimuda kaitse piisavuse otsuse alusel või sellise otsuse puudumisel asjakohaste kaitsemeetmete alusel, sealhulgas üksikisikute kohtulikult kaitstavate õiguste ja õiguskaitsevahendite alusel.
Lisateave:
Kas ma saan isikuandmeid töödelda ainult siis, kui mul on selleks nõusolek?
Isikuandmete töötlemine on lubatud, kui selleks on õiguslik alus. Lisaks vabale, konkreetsele, teadlikule ja ühemõttelisele nõusolekule võib töötlemiseks kasutada ka muid õiguslikke aluseid.
Teisisõnu on nõusolek vajalik, kui ükski muu õiguslik alus ei kehti.
Lisateave:
Millised on isikuandmete kaitse üldmääruse (IKÜM) alusel töötlemise õiguslikud alused?
Vastutavad töötlejad võivad isikuandmeid töödelda ainult ühel järgmistest asjaoludest:
- asjaomaste isikute nõusolekul;
- kui töötlemine on vajalik lepingu (teie organisatsiooni ja üksikisiku vaheline leping) täitmiseks;
- täita EL-i või siseriiklikest õigusaktidest tulenevat juriidilist kohustust;
- kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks EL-i või siseriiklike õigusaktide alusel;
- kaitsta üksikisiku elulisi huve;
- teie organisatsiooni õigustatud huvides – välja arvatud juhul, kui üksikisikute õigused ja vabadused neid kaaluvad üles.
Lisaks kehtestatakse IKÜM-s täiendavad tingimused tundlike andmete töötlemiseks.
Lisateave: