Frequently Asked Questions
Mida tähendab isikuandmete töötlemine?
Isikuandmete töötlemine on mis tahes liiki toiming (töötlemistoiming), mis toimub üksikisikute isikuandmetega või nendega koos. See hõlmab isikuandmete kogumist, salvestamist, korrastamist, struktureerimist, säilitamist, kohandamist või muutmist, väljavõtete tegemist, päringuid, päringuid, kasutamist, edastamise, levitamise või muul viisil kättesaadavaks tegemise teel avalikustamist, ühitamist või ühendamist, piiramist, kustutamist või hävitamist.
Millised on isikuandmete kaitse üldmääruse (IKÜM) alusel töötlemise õiguslikud alused?
Vastutavad töötlejad võivad isikuandmeid töödelda ainult ühel järgmistest asjaoludest:
- asjaomaste isikute nõusolekul;
- kui töötlemine on vajalik lepingu (teie organisatsiooni ja üksikisiku vaheline leping) täitmiseks;
- täita EL-i või siseriiklikest õigusaktidest tulenevat juriidilist kohustust;
- kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks EL-i või siseriiklike õigusaktide alusel;
- kaitsta üksikisiku elulisi huve;
- teie organisatsiooni õigustatud huvides – välja arvatud juhul, kui üksikisikute õigused ja vabadused neid kaaluvad üles.
Lisaks kehtestatakse IKÜM-s täiendavad tingimused tundlike andmete töötlemiseks.
Lisateave:
Millist teavet peaksin üksikisikutele edastama/jagama?
IKÜM-ga antakse üksikisikutele kontroll oma isikuandmete töötlemise üle. Selleks on oluline läbipaistvus. See tähendab, et peate teavitama üksikisikuid, kelle andmeid te töötlete, oma töötlemistoimingutest ja eesmärkidest. Teisisõnu peate selgitama, kes nende andmeid töötleb, aga ka seda, kuidas ja miks. Ainult juhul, kui isikuandmete kasutamine on asjaosaliste jaoks läbipaistev, saavad nad hinnata võimalikke riske ja teha otsuseid oma isikuandmete kohta.
IKÜM-i kohaselt olete kohustatud jagama üksikisikutega järgmist teavet:
- vastutava töötleja nimi ja kontaktandmed;
- töötlemise eesmärgid;
- töötlemise õiguslik alus (kui õigustatud huvi, konkreetne teave selle kohta, millised õigustatud huvid on konkreetse töötlemisega seotud ja milline üksus taotleb iga õigustatud huvi).
- vastutava töötleja kontaktandmed;
- andmekaitsespetsialisti kontaktandmed (kui ametnik on olemas);
- andmete vastuvõtjad või vastuvõtjate kategooriad;
- Teave selle kohta, kas andmeid edastatakse väljapoole Euroopa Majanduspiirkonda (EMP) (vajaduse korral: kaitse piisavuse otsuse olemasolu või puudumine või viide asjakohastele kaitsemeetmetele ning selle teabe kättesaadavaks tegemine andmesubjektidele);
- töödeldavate isikuandmete kategooriad, kui andmed ei ole saadud üksikisikult.
Lisaks nõutakse IKÜM-s, et teie organisatsioon esitaks õiglase ja läbipaistva töötlemise tagamiseks järgmise teabe:
- säilitamisaeg või kui see ei ole võimalik, selle ajavahemiku kindlaksmääramiseks kasutatud kriteeriumid;
- õigus taotleda isikuandmetega tutvumist, nende kustutamist, parandamist, piiramist, vaidlustamist ja ülekantavust;
- õigus esitada kaebus andmekaitseasutusele;
- kui töötlemise õiguslik alus on nõusolek: õigus nõusolek igal ajal tagasi võtta;
- automatiseeritud otsuste tegemise korral asjakohane teave isikuandmete töötlemise alusloogika ja kavandatud tagajärgede kohta andmesubjektile;
- isikuandmete allikas (kui te ei saanud neid otse asjaomaselt isikult);
- kas isik on kohustatud esitama isikuandmeid (seaduse või lepingu alusel või sõlmima lepingu) ja millised on andmete andmisest keeldumise tagajärjed.
Lisateave:
Mis on kaasvastutav töötleja?
Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks töötlemise eesmärgi ja vahendid, käsitatakse neid kaasvastutavate töötlejatena. Nad otsustavad koos töödelda isikuandmeid ühisel eesmärgil. Kaasvastutav vastutus võib esineda mitmes vormis ja erinevate vastutavate töötlejate osalemine võib olla ebavõrdne. Seetõttu peavad kaasvastutavad töötlejad määrama kindlaks oma kohustused IKÜM-i järgimisel.
Oluline on märkida, et kaasvastutav vastutus toob kaasa ühise vastutuse töötlemistoimingu eest.
- Näide kaasvastutusest: Ettevõtted A ja B on käivitanud kaaskaubamärgiga toote ja soovivad korraldada üritust selle toote reklaamimiseks. Selleks otsustavad nad jagada oma klientide ja potentsiaalsete klientide andmebaaside andmeid ning otsustada selle alusel üritusele kutsutavate nimekirja. Samuti lepivad nad kokku, kuidas saata üritusele kutseid, kuidas ürituse ajal tagasisidet koguda ja turundustegevust jätkata. Äriühinguid A ja B võib pidada reklaamiürituse korraldamisega seotud isikuandmete töötlemisel kaasvastutavateks töötlejateks, kuna nad otsustavad ühiselt selles kontekstis andmetöötluse ühiselt määratletud eesmärgi ja oluliste vahendite üle.
Lisateave:
Kas andmekaitsespetsialist vastutab IKÜM-i järgimise eest?
Andmekaitsespetsialisti ei saa pidada vastutavaks IKÜM-i rikkumise eest. IKÜM-i järgimise eest vastutab andmekaitsespetsialisti määranud organisatsioon.
Lisateave:
Kas IKÜM kehtib ka paberdokumentide suhtes?
Jah, IKÜM-i kohaldatakse juhul, kui isikuandmed sisalduvad või kavatsetakse lisada kataloogi. See tähendab, et IKÜM-i kohaldatakse ka paberdokumentidele, mitte ainult isikuandmete automatiseeritud töötlemisele.
Lisateave:
Kas ma saan salvestada telefonivestlusi klientidega, et parandada teenuse kvaliteeti ja kas mul on selleks vaja nõusolekut?
Jah, teie kliente tuleb telefonikõne tegemisel teavitada salvestamise eesmärkidest, salvestiste saajatest, nende õigusest esitada vastuväiteid ja nende õigusest salvestistele juurde pääseda.
Lisateave:
Kas ma võin avaldada konkursi võitjate nimed oma organisatsiooni veebisaidil?
Konkursi võitjate nimede avaldamist oma veebisaidil võib pidada õigustatud huviks, kui saate seda tõendada tasakaalukatsega, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisikute õiguse.
Hea tava oleks kehtestada sisemenetlus, milles selgitatakse võitjate isikuandmete avaldamise eeskirju.
Lisaks peaks isikuandmete töötlemine nendel eesmärkidel olema osa konkursi privaatsuspoliitikast, et osalejaid teavitataks eelnevalt sellest, kuidas nende andmeid töödeldakse.
Lisateave:
Kas volitatud töötlejad peavad järgima ka IKÜM-i?
Jah, volitatud töötlejatel (st isikutel või asutustel, kes töötlevad andmeid vastutava töötleja nimel) on IKÜM-st tulenevad kohustused. Vastutavate töötlejate ja volitatud töötlejate vastutuses on siiski mõningaid erinevusi.
Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi, milles kirjeldatakse üksikasjalikult töötlemistoiminguid ja isikuandmete töötlemise vahendeid. Näiteks peab volitatud töötleja tegema töötlemistoimingud asjakohaste tehniliste ja korralduslike meetmetega vastavalt vastutava töötleja juhistele. Seejuures abistab volitatud töötleja vastutavat töötlejat IKÜM-i järgimisel.
Lisateave:
Kes saab täita andmekaitsespetsialisti (AKS) ülesandeid?
Andmekaitsespetsialist võib olla olemasolev töötaja, kellel on piisavad teadmised IKÜM-st (kui töötaja ametiülesanded on kooskõlas andmekaitsespetsialistiülesannetega ja see ei põhjusta huvide konflikte) või väline isik. Andmekaitsespetsialist peaks suutma täita ülesandeid sõltumatult ja andma aru otse kõrgeimale juhtkonnale.
Lisateave: