IKÜM-ga antakse üksikisikutele kontroll oma isikuandmete töötlemise üle. Selleks on oluline läbipaistvus. See tähendab, et peate teavitama üksikisikuid, kelle andmeid te töötlete, oma töötlemistoimingutest ja eesmärkidest. Teisisõnu peate selgitama, kes nende andmeid töötleb, aga ka seda, kuidas ja miks. Ainult juhul, kui isikuandmete kasutamine on asjaosaliste jaoks läbipaistev, saavad nad hinnata võimalikke riske ja teha otsuseid oma isikuandmete kohta.

IKÜM-i kohaselt olete kohustatud jagama üksikisikutega järgmist teavet:

• vastutava töötleja nimi ja kontaktandmed;
• töötlemise eesmärgid;
• töötlemise õiguslik alus (kui õigustatud huvi, konkreetne teave selle kohta, millised õigustatud huvid on konkreetse töötlemisega seotud ja milline üksus taotleb iga õigustatud huvi).
• vastutava töötleja kontaktandmed;
• andmekaitsespetsialisti kontaktandmed (kui ametnik on olemas);
• andmete vastuvõtjad või vastuvõtjate kategooriad;
• Teave selle kohta, kas andmeid edastatakse väljapoole Euroopa Majanduspiirkonda (EMP) (vajaduse korral: kaitse piisavuse otsuse olemasolu või puudumine või viide asjakohastele kaitsemeetmetele ning selle teabe kättesaadavaks tegemine andmesubjektidele);
• töödeldavate isikuandmete kategooriad, kui andmed ei ole saadud üksikisikult.

Lisaks nõutakse IKÜM-s, et teie organisatsioon esitaks õiglase ja läbipaistva töötlemise tagamiseks järgmise teabe:

• säilitamisaeg või kui see ei ole võimalik, selle ajavahemiku kindlaksmääramiseks kasutatud kriteeriumid;
• õigus taotleda isikuandmetega tutvumist, nende kustutamist, parandamist, piiramist, vaidlustamist ja ülekantavust;
• õigus esitada kaebus andmekaitseasutusele;
• kui töötlemise õiguslik alus on nõusolek: õigus nõusolek igal ajal tagasi võtta;
• automatiseeritud otsuste tegemise korral asjakohane teave isikuandmete töötlemise alusloogika ja kavandatud tagajärgede kohta andmesubjektile;
• isikuandmete allikas (kui te ei saanud neid otse asjaomaselt isikult);
• kas isik on kohustatud esitama isikuandmeid (seaduse või lepingu alusel või sõlmima lepingu) ja millised on andmete andmisest keeldumise tagajärjed.

Lisateave:

• Üksikisikute õiguste austamine

Andmekaitsespetsialistid (AKS)võivad täita organisatsioonis muid ülesandeid, kuid see ei tohi põhjustada huvide konflikti. See tähendab, et AKS ei saa olla olukorras, kus ta määrab kindlaks töötlemistoimingute eesmärgid ja vahendid. Vastuoluliste ülesannete hulka kuuluvad peamiselt juhtivad ametikohad (juht, tegevjuht, finantsjuht, personalijuht, IT-juht, tegevdirektor), kuid võivad hõlmata ka muid ülesandeid, kui nende tulemusel määratakse kindlaks töötlemise eesmärgid ja vahendid.
AKS peab olema võimeline täitma oma kohustusi ja ülesandeid sõltumatult. See tähendab, et teie organisatsioon:

• ei tohi anda AKS-le juhiseid seoses tema AKS-i ülesannete täitmisega;
• ei tohi AKS-i tema ülesannete täitmise eest karistada ega ametist vabastada.

Lisateave:

• Andmekaitsespetsialist

Jah, IKÜM-i kohaldatakse juhul, kui isikuandmed sisalduvad või kavatsetakse lisada kataloogi. See tähendab, et IKÜM-i kohaldatakse ka paberdokumentidele, mitte ainult isikuandmete automatiseeritud töötlemisele.

Lisateave:

• Andmekaitse põhitõed

Jah, teie kliente tuleb telefonikõne tegemisel teavitada salvestamise eesmärkidest, salvestiste saajatest, nende õigusest esitada vastuväiteid ja nende õigusest salvestistele juurde pääseda.

Lisateave:

• Töötle isikuandmeid seaduslikult

Andmekaitsespetsialisti (AKS) määramine on kohustuslik kolmel järgmisel juhul:

• organisatsioon on avaliku sektori asutus;
• organisatsiooni põhitegevus hõlmab üksikisikute korrapärast ja süstemaatilist ulatuslikku jälgimist, näiteks asukohatuvastust mobiilirakenduse kaudu või ostukeskuste ja avalike ruumide jälgimist videovalve kaudu;
• organisatsiooni põhitegevus hõlmab delikaatsete andmete või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist.

AKS-i võite alati määrata vabatahtlikkuse alusel, isegi kui see ei ole seadusega nõutav. Sellisel juhul peate järgima kõiki IKÜM-i sätteid, mis käsitlevad andmekaitsespetsiaisti ametikohta ja ülesandeid.

Lisateave:

• Andmekaitsespetsialist

Jah, volitatud töötlejatel (st isikutel või asutustel, kes töötlevad andmeid vastutava töötleja nimel) on IKÜM-st tulenevad kohustused. Vastutavate töötlejate ja volitatud töötlejate vastutuses on siiski mõningaid erinevusi.

Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi, milles kirjeldatakse üksikasjalikult töötlemistoiminguid ja isikuandmete töötlemise vahendeid. Näiteks peab volitatud töötleja tegema töötlemistoimingud asjakohaste tehniliste ja korralduslike meetmetega vastavalt vastutava töötleja juhistele. Seejuures abistab volitatud töötleja vastutavat töötlejat IKÜM-i järgimisel.

Lisateave:

• Vastutav töötleja või volitatud töötleja

IKÜM-s kehtestatakse kohustused kõigile isikuandmeid töötlevatele organisatsioonidele, olenemata sellest, kas nad on vastutavad töötlejad või volitatud töötlejad.
Eelkõige peaksite:

• Küsima endalt, kas isikuandmete kogumise eesmärk on õigustatud ja koguma ainult isikuandmeid, mis on vajalikud konkreetse(te)ks kavandatud eesmärkideks;
• Hoidma üksikisikute isikuandmed täpsed ja ajakohased ning kustutama andmed, kui need ei ole enam vajalikud;
• Austama üksikisikute õigusi, teavitades neid sellest, kuidas ja miks nende andmeid töödeldakse ning võimaldama neil oma õigusi kasutada;
• Kontrollige, kas teil on isikuandmete töötlemiseks sobiv õiguslik alus. Kui kavatsete tugineda üksikisikute nõusolekule, küsige enne isikuandmete töötlemist nõusolekut;
• Tagama  üksikisikute isikuandmete turvalise käitlemise;
• Pidama arvestust töötlemistoimingute üle.

Volitatud töötlejad peavad järgima vastutava töötleja ja volitatud töötleja vahelises lepingus sätestatud kohustusi ning nad ei tohi töödelda andmeid muul viisil, kui vastutava töötleja juhiste kohaselt.
 

Lisateave:

• Nõuetele vastamine
• Vastutav töötleja või volitatud töötleja
• Andmekaitse põhitõed

Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks töötlemise eesmärgi ja vahendid, käsitatakse neid kaasvastutavate töötlejatena. Nad otsustavad koos töödelda isikuandmeid ühisel eesmärgil. Kaasvastutav vastutus võib esineda mitmes vormis ja erinevate vastutavate töötlejate osalemine võib olla ebavõrdne. Seetõttu peavad kaasvastutavad töötlejad määrama kindlaks oma kohustused IKÜM-i järgimisel.
Oluline on märkida, et kaasvastutav vastutus toob kaasa ühise vastutuse töötlemistoimingu eest.

• Näide kaasvastutusest: Ettevõtted A ja B on käivitanud kaaskaubamärgiga toote ja soovivad korraldada üritust selle toote reklaamimiseks. Selleks otsustavad nad jagada oma klientide ja potentsiaalsete klientide andmebaaside andmeid ning otsustada selle alusel üritusele kutsutavate nimekirja. Samuti lepivad nad kokku, kuidas saata üritusele kutseid, kuidas ürituse ajal tagasisidet koguda ja turundustegevust jätkata. Äriühinguid A ja B võib pidada reklaamiürituse korraldamisega seotud isikuandmete töötlemisel kaasvastutavateks töötlejateks, kuna nad otsustavad ühiselt selles kontekstis andmetöötluse ühiselt määratletud eesmärgi ja oluliste vahendite üle.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Kui isikuandmeid kogutakse otse asjaomastelt üksikisikutelt, peavad organisatsioonid töötlemistoimingute kohta kokkuvõtlikult ja läbipaistvalt teavet andma, kasutades arusaadavat, kergesti kättesaadavat ning selget ja lihtsat keelt. Seda saab teha kirjalikult (nt pakkumuse tagaküljel) või elektrooniliselt (nt veebisaidil). Kui asjaomane isik seda taotleb, võite selle teabe esitada ka suuliselt, kuid te peate seda hiljem tõendama.

Isegi kui andmeid koguti kaudselt, st kui te ei kogu isikuandmeid otse üksikisikult endalt, vaid näiteks kolmanda isiku kaudu, peate esitama sama üksikasjaliku teabe üksikisikutele.