Frequently Asked Questions
Kui soovin säilitada kandidaatide elulookirjeldusi tulevaste värbamismenetluste jaoks, kas mul on vaja küsida kandidaatide nõusolekut?
Nõusolek võiks tõepoolest olla kehtiv õiguslik alus tööotsijate elulookirjelduste säilitamiseks. Teine võimalik õiguslik alus võiks olla õigustatud huvi. Sellisel juhul peate läbi viima tasakaalustatuse testi, et tõendada, et teie organisatsiooni õigustatud huvid kaaluvad üles taotlejate õigused.
Igal juhul peate kandidaate teavitama, et kavatsete nende andmeid säilitada ja millistel eesmärkidel.
Lisateave:
Mis on kaasvastutav töötleja?
Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks töötlemise eesmärgi ja vahendid, käsitatakse neid kaasvastutavate töötlejatena. Nad otsustavad koos töödelda isikuandmeid ühisel eesmärgil. Kaasvastutav vastutus võib esineda mitmes vormis ja erinevate vastutavate töötlejate osalemine võib olla ebavõrdne. Seetõttu peavad kaasvastutavad töötlejad määrama kindlaks oma kohustused IKÜM-i järgimisel.
Oluline on märkida, et kaasvastutav vastutus toob kaasa ühise vastutuse töötlemistoimingu eest.
- Näide kaasvastutusest: Ettevõtted A ja B on käivitanud kaaskaubamärgiga toote ja soovivad korraldada üritust selle toote reklaamimiseks. Selleks otsustavad nad jagada oma klientide ja potentsiaalsete klientide andmebaaside andmeid ning otsustada selle alusel üritusele kutsutavate nimekirja. Samuti lepivad nad kokku, kuidas saata üritusele kutseid, kuidas ürituse ajal tagasisidet koguda ja turundustegevust jätkata. Äriühinguid A ja B võib pidada reklaamiürituse korraldamisega seotud isikuandmete töötlemisel kaasvastutavateks töötlejateks, kuna nad otsustavad ühiselt selles kontekstis andmetöötluse ühiselt määratletud eesmärgi ja oluliste vahendite üle.
Lisateave:
Kes on vastutav töötleja ja kes on volitatud töötleja?
Isikuandmetega seotud rikkumine on turvarikkumine, mis toob kaasa isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu.
- Kui andmetega seotud rikkumine kujutab endast ohtu asjaomastele isikutele, peate sellest teatama asjaomasele andmekaitseasutusele 72 tunni jooksul.
- Kui rikkumine toob tõenäoliselt kaasa suure ohu üksikisikutele, peate ka sellest rikkumisest asjaomastele isikutele põhjendamatu viivituseta teatama.
Igal juhul peate kõigi rikkumiste puhul – isegi, kui neist ei ole andmekaitseasutust teavitatud – registreerima vähemalt rikkumise põhiandmed, hinnangu rikkumise kohta, selle mõju ja reageerimiseks võetud meetmed.
Lisateave:
Kuidas ma saan austada üksikisikute andmekaitseõigusi?
IKÜM loob üksikisikutele konkreetsed õigused, mida tuleb austada. Seda saab teha järgmiselt:
- teavitada üksikisikuid, kelle andmeid te töötlete oma töötlemistoimingutest ja töötlemise eesmärkidest, kui kogute nende andmeid, näiteks oma veebisaidil oleva isikuandmete kaitse avalduse kaudu;
- vastates üksikisikute taotlustele kasutada oma õigusi, nagu juurdepääsu-, parandus-, vastuväite-, kustutamis- või teisaldamistaotlused.
Organisatsioonide kohta, kes on oma isikuandmete kasutamise osas läbipaistvad ja austavad üksikisikute õigusi, on kaebuste esitamise tõenäosus väiksem.
Lisateave:
Mis on andmekaitsespetsialisti (AKS) huvide konflikt?
Andmekaitsespetsialistid (AKS)võivad täita organisatsioonis muid ülesandeid, kuid see ei tohi põhjustada huvide konflikti. See tähendab, et AKS ei saa olla olukorras, kus ta määrab kindlaks töötlemistoimingute eesmärgid ja vahendid. Vastuoluliste ülesannete hulka kuuluvad peamiselt juhtivad ametikohad (juht, tegevjuht, finantsjuht, personalijuht, IT-juht, tegevdirektor), kuid võivad hõlmata ka muid ülesandeid, kui nende tulemusel määratakse kindlaks töötlemise eesmärgid ja vahendid.
AKS peab olema võimeline täitma oma kohustusi ja ülesandeid sõltumatult. See tähendab, et teie organisatsioon:
- ei tohi anda AKS-le juhiseid seoses tema AKS-i ülesannete täitmisega;
- ei tohi AKS-i tema ülesannete täitmise eest karistada ega ametist vabastada.
Lisateave:
Kui kaua saan isikuandmeid säilitada?
Te ei saa säilitada isikuandmeid igavesti.
Üldjuhul võib isikuandmeid säilitada ainult nii kaua, kui see on isikuandmete töötlemise eesmärke silmas pidades vajalik.
Mõnel juhul saab säilitusaja kindlaks määrata konkreetsete seadustega, näiteks tööseadustega määratakse palganimekirjade säilitusaeg.
Organisatsioonid peaksid kehtestama andmete säilitamise põhimõtted, tagamaks, et isikuandmeid ei säilitata kauem, kui on vajalik. Üksikisikute isikuandmed tuleb kustutada või anonüümseks muuta, kui need andmed ei ole enam töötlemise eesmärgil vajalikud.
Lisateave:
Kuidas saada kehtivat nõusolekut?
Selleks, et nõusolekut saaks pidada kehtivaks, peab see olema:
- vabalt antud;
- konkreetne;
- teavitatud;
- ühemõtteline.
See tähendab, et üksikisikutel peab olema tõeliselt vaba valik küsimuses, kas nad nõustuvad oma isikuandmete töötlemisega või mitte; nad vajavad piisavalt teavet, et nad mõistaksid, milliseid andmeid töödeldakse, millisel eesmärgil ja kuidas seda tehakse; samuti vajavad nad nõusolekutaotlustes piisavalt üksikasjalikku teavet.
Lisaks peaks isik selgelt kinnitama (ilma eelnevalt märgistatud lahtriteta ja kohaldatavatest üldtingimustest eraldi).
Lisaks peavad üksikisikud saama oma nõusoleku tagasi võtta (ilma negatiivsete tagajärgedeta), kui nad hiljem meelt muudavad.
Lisateave:
Millal peaksite seda teavet jagama?
Kui teie organisatsioon kogub isikuandmeid otse üksikisikutelt, peab ta esitama vajaliku teabe kogumise ajal.
Isikuandmete kaudse kogumise korral peab teie organisatsioon esitama teabe hiljemalt ühe kuu jooksul pärast seda, kui isikuandmed on algselt saadud. Seda maksimaalset ühekuulist ajavahemikku võib lühendada:
- kui isikuandmeid kasutatakse andmesubjektiga suhtlemiseks. Sellisel juhul peate andmesubjekti teavitama hiljemalt andmesubjektile esmakordsel teavitamisel;
- kui andmed edastatakse teisele vastuvõtjale, teavitab organisatsioon sellest andmesubjekte hiljemalt isikuandmete edastamisel.
Lisateave:
Kas ma võin avaldada konkursi võitjate nimed oma organisatsiooni veebisaidil?
Konkursi võitjate nimede avaldamist oma veebisaidil võib pidada õigustatud huviks, kui saate seda tõendada tasakaalukatsega, et teha kindlaks, kas teie õigustatud huvid kaaluvad üles üksikisikute õiguse.
Hea tava oleks kehtestada sisemenetlus, milles selgitatakse võitjate isikuandmete avaldamise eeskirju.
Lisaks peaks isikuandmete töötlemine nendel eesmärkidel olema osa konkursi privaatsuspoliitikast, et osalejaid teavitataks eelnevalt sellest, kuidas nende andmeid töödeldakse.
Lisateave:
Kuidas ma saan teada, milliseid turvameetmeid ma pean rakendama?
Vajalikud turvameetmed võivad erineda sõltuvalt töödeldavate isikuandmete laadist ja nendega seotud riskidest üksikisikutele. Igal juhul on olemas mõned minimaalsed meetmed, mida peaksite rakendama:
- turvaline juurdepääs ruumidele;
- regulaarselt uuendatava viirusetõrjetarkvara kasutamine;
- hoolikas paroolide valimine;
- kasutajate autentimine enne arvutiseadmete kasutamist;
- intsidendi korral andmete varundamise ja otsimise poliitika rakendamine.
Lisaks ei ka ole kohatud mõned põhimeetmed, nagu ekraani lukustamine, kui olete eemal, ja kontori lukustamine päeva lõpus.
Lisateave: