Frequently Asked Questions
Millised on isikuandmete kaitse üldmääruse (IKÜM) alusel töötlemise õiguslikud alused?
Vastutavad töötlejad võivad isikuandmeid töödelda ainult ühel järgmistest asjaoludest:
- asjaomaste isikute nõusolekul;
- kui töötlemine on vajalik lepingu (teie organisatsiooni ja üksikisiku vaheline leping) täitmiseks;
- täita EL-i või siseriiklikest õigusaktidest tulenevat juriidilist kohustust;
- kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks EL-i või siseriiklike õigusaktide alusel;
- kaitsta üksikisiku elulisi huve;
- teie organisatsiooni õigustatud huvides – välja arvatud juhul, kui üksikisikute õigused ja vabadused neid kaaluvad üles.
Lisaks kehtestatakse IKÜM-s täiendavad tingimused tundlike andmete töötlemiseks.
Lisateave:
Mis on küpsised?
Küpsised on väikesed failid, mis salvestatakse seadmesse, näiteks arvutisse, mobiilseadmesse või mis tahes muusse seadmesse, mis võib salvestada teavet. Küpsised pakuvad mitmeid olulisi funktsioone, sealhulgas kasutajate mäletamist ja nende varasemat suhtlust veebisaidiga. Neid saab kasutada veebipõhises ostukorvis olevate esemete jälgimiseks või teabe jälgimiseks, kui andmed sisestatakse veebipõhisesse taotlusvormi.
Autentimisküpsised on olulised ka kasutajate tuvastamiseks, kui nad logivad sisse pangateenustesse ja muudesse veebiteenustesse. Küpsistesse salvestatud teave võib sisaldada isikuandmeid, näiteks IP-aadressi, kasutajanime, kordumatut identifikaatorit või e-posti aadressi.
Mis on tundlikud andmed?
Teatavat liiki isikuandmed kuuluvad isikuandmete eriliikidesse, mis tähendab, et nad väärivad suuremat kaitset, nn delikaatsed andmed. Tundlikud andmed hõlmavad andmeid, mis annavad teavet järgmise kohta:
- üksikisiku tervis;
- isiku seksuaalne sättumus;
- isiku rassiline või etniline päritolu;
- üksikisiku poliitilised vaated, usulised või filosoofilised veendumused; üksikisiku ametiühingusse kuulumine;
- inimese biomeetrilised ja geneetilised andmed.
Isiku delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud konkreetsetel asjaoludel, mis õigustavad nende töötlemist.
Lisateave:
Kas ma saan isikuandmeid töödelda ainult siis, kui mul on selleks nõusolek?
Isikuandmete töötlemine on lubatud, kui selleks on õiguslik alus. Lisaks vabale, konkreetsele, teadlikule ja ühemõttelisele nõusolekule võib töötlemiseks kasutada ka muid õiguslikke aluseid.
Teisisõnu on nõusolek vajalik, kui ükski muu õiguslik alus ei kehti.
Lisateave:
Kas mul on vaja saada andmekaitsespetsialistiks (AKS)?
Ei, te ei pea olema sertifitseeritud, et saada andmekaitsespetsialistiks.
Andmekaitsespetsialistid peavad siiski suutma tõendada, et neil on IKÜM-s nõutud vajalik kvalifikatsioon, näiteks eksperditeadmised andmekaitsealaste õigusaktide ja tavade kohta.
Lisateave:
Millised on sanktsioonid, kui minu organisatsioon ei järgi IKÜM-i või kui minu töötlemine rikub IKÜM-i ?
IKÜM-i järgimist jälgivad riiklikud andmekaitseasutused. Andmekaitseasutused võivad korraldada uurimisi ja määrata vajaduse korral sanktsioone. Andmekaitseasutuste käsutuses on mitu vahendit, sealhulgas trahvid kuni 20 miljonit eurot või 4 % ülemaailmsest aastakäibest, olenevalt sellest, kumb summa on suurem, noomitused ning ajutised või alalised töötlemiskeelud.
Kõigi Euroopa Majanduspiirkonna (EMP) andmekaitseasutuste kontaktandmed leiate Euroopa Andmekaitsenõukogu veebisaidilt: Liikmed
Lisateave:
Mis on andmekaitsealane mõjuhinnang ja millal on see kohustuslik?
Andmekaitsealane mõjuhinnang on kirjalik hinnang, mille teie organisatsioon peaks tegema, et hinnata kavandatava töötlemistoimingu mõju. See aitab teil kindlaks teha asjakohased meetmed riskide maandamiseks ja nõuetele vastavuse tõendamiseks.
Kuigi andmekaitsealase mõjuhinnangu tegemisega on alati soovitatav prognoosida teie organisatsiooni kavandatavate töötlemistoimingute mõju, on andmekaitsealane mõjuhinnang kohustuslik, kui töötlemine toob tõenäoliselt kaasa suure ohu üksikisikute õigustele ja vabadustele.
Täpsemalt on see nii juhul, kui kavandatav töötlemine hõlmab järgmist:
- delikaatsete isikuandmete või süüdimõistvate kohtuotsustega seotud andmete ulatuslik töötlemine;
- isiku isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automatiseeritud töötlemisel, sealhulgas profiilianalüüsil, ning millel põhinevad otsused, millel on asjaomase isiku jaoks õiguslikud tagajärjed või mis mõjutavad oluliselt üksikisikuid;
- üldsusele kättesaadava ala süstemaatiline ulatuslik seire.
Euroopa Andmekaitsenõukogu (EAKN) on välja töötanud suunised, milles loetletakse kriteeriumid, mida peate andmekaitsealase mõjuhinnangu kohustuslikkuse hindamisel arvesse võtma. Andmekaitseasutused on avaldanud ka loetelu töötlemistoimingutest, mille suhtes kohaldatakse andmekaitsealast mõjuhinnangut. Lisaks on mitu andmekaitseasutust töötanud välja juhendeid, tarkvara või enesehindamise vahendeid, et aidata teil oma hinnangut anda.
Lisateave:
Kas IKÜM kehtib ka paberdokumentide suhtes?
Jah, IKÜM-i kohaldatakse juhul, kui isikuandmed sisalduvad või kavatsetakse lisada kataloogi. See tähendab, et IKÜM-i kohaldatakse ka paberdokumentidele, mitte ainult isikuandmete automatiseeritud töötlemisele.
Lisateave:
Kas volitatud töötlejad peavad järgima ka IKÜM-i?
Jah, volitatud töötlejatel (st isikutel või asutustel, kes töötlevad andmeid vastutava töötleja nimel) on IKÜM-st tulenevad kohustused. Vastutavate töötlejate ja volitatud töötlejate vastutuses on siiski mõningaid erinevusi.
Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi, milles kirjeldatakse üksikasjalikult töötlemistoiminguid ja isikuandmete töötlemise vahendeid. Näiteks peab volitatud töötleja tegema töötlemistoimingud asjakohaste tehniliste ja korralduslike meetmetega vastavalt vastutava töötleja juhistele. Seejuures abistab volitatud töötleja vastutavat töötlejat IKÜM-i järgimisel.
Lisateave:
Korraldan ürituse osana oma äritegevusest, kas saan teha fotosid ja videosid üritusest ja kohalviibijatest?
Jah, kuid selleks peate kõigepealt kindlaks määrama seda liiki isikuandmete töötlemise õigusliku aluse. Näiteks võib töötlemist pidada teie organisatsiooni õigustatud huviks. Isikuandmete töötlemisel õigustatud huvi alusel on alati vaja läbi viia tasakaalustav test, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisikute õigused, eriti kui tegemist on lastega.
Sellise töötlemise teine võimalik õiguslik alus võiks olla nõusolek. Igal juhul tuleks üksikisikuid alati eelnevalt teavitada sellest, et sündmust pildistatakse või filmitakse.
Lisateave:
- Töötle isikuandmeid seaduslikult