Andmekaitsespetsialisti (AKS) määramine on kohustuslik kolmel järgmisel juhul:

• organisatsioon on avaliku sektori asutus;
• organisatsiooni põhitegevus hõlmab üksikisikute korrapärast ja süstemaatilist ulatuslikku jälgimist, näiteks asukohatuvastust mobiilirakenduse kaudu või ostukeskuste ja avalike ruumide jälgimist videovalve kaudu;
• organisatsiooni põhitegevus hõlmab delikaatsete andmete või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist.

AKS-i võite alati määrata vabatahtlikkuse alusel, isegi kui see ei ole seadusega nõutav. Sellisel juhul peate järgima kõiki IKÜM-i sätteid, mis käsitlevad andmekaitsespetsiaisti ametikohta ja ülesandeid.

Lisateave:

• Andmekaitsespetsialist

Ei, delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud väga konkreetsetel asjaoludel:

• Isik on andnud selgesõnalise nõusoleku oma delikaatsete andmete töötlemiseks.
• Tundlike andmete töötlemine on vajalik, et vastutav töötleja saaks täita oma kohustusi, eelkõige tööhõive, sotsiaalkindlustuse ja sotsiaalkaitse valdkonnas. Näiteks võib vastutaval töötlejal olla vaja töödelda isiku tundlikke andmeid, et teha kindlaks, kas tal on õigus teatavatele sotsiaalkindlustushüvitistele või tööhõivetoetustele.
• Delikaatsete andmete töötlemine on vajalik isiku eluliste huvide kaitsmiseks, kui isik ei ole füüsiliselt või õiguslikult võimeline nõusolekut andma. Näiteks kui inimene jääb õnnetuse tagajärjel teadvuseta ja vajab kohest arstiabi, võib olla vaja töödelda tema terviseandmeid, et saada asjakohast arstiabi.
• Delikaatseid andmeid töödeldakse sihtasutuse, ühenduse või muu mittetulundusliku organisatsiooni õiguspärase tegevuse raames, millel on poliitiline, filosoofiline, usuline või ametiühingu eesmärk, ning üksnes nende liikmete, endiste liikmete või nendega regulaarselt kontaktis olevate isikute isikuandmete töötlemiseks.
• Delikaatsed andmed avalikustasid ilmselgelt üksikisikud.
• Tundlike andmete töötlemine on vajalik kohtumenetluse kontekstis.
• Tundlike andmete töötlemine on vajalik avalikku huvi pakkuvates küsimustes.
• Delikaatsete andmete töötlemine on vajalik ennetus- või töömeditsiini kontekstis. Näiteks võib olla vajalik hinnata isiku tundlikke andmeid, näiteks meditsiinilisi andmeid, et määrata kindlaks tema töövõime töötajana.
• Tundlike andmete töötlemine on vajalik rahvatervisega seotud küsimustes EL-i või siseriikliku õiguse alusel. Näiteks võib üksikisikute tundlike andmete töötlemine olla vajalik selleks, et tagada tervishoiu ja meditsiinitoodete kõrge kvaliteet või võidelda tõsiste terviseohtude, näiteks viiruste vastu.
• Tundlike andmete töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Näiteks võib tundlike andmete töötlemine olla vajalik, et anda täpset statistikat riigi olukorra kohta konkreetses valdkonnas. 

Lisateave:

• Töötle isikuandmeid seaduslikult 

Te ei saa säilitada isikuandmeid igavesti.
Üldjuhul võib isikuandmeid säilitada ainult nii kaua, kui see on isikuandmete töötlemise eesmärke silmas pidades vajalik.

Mõnel juhul saab säilitusaja kindlaks määrata konkreetsete seadustega, näiteks tööseadustega määratakse palganimekirjade säilitusaeg.

Organisatsioonid peaksid kehtestama andmete säilitamise põhimõtted, tagamaks, et isikuandmeid ei säilitata kauem, kui on vajalik. Üksikisikute isikuandmed tuleb kustutada või anonüümseks muuta, kui need andmed ei ole enam töötlemise eesmärgil vajalikud.

Lisateave:

• Andmekaitse põhitõed

Te peaksite vastama põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul pärast taotluse saamist. Seda tähtaega võib pikendada veel kahe kuu võrra, kui taotlus on liiga keeruline ja vastamiseks on vaja rohkem aega, tingimusel, et üksikisikut teavitatakse sellest ühe kuu jooksul pärast taotluse saamist.

Sa pead seda tasuta tegema.

Lisateave:

• Üksikisikute õiguste austamine

Selleks, et nõusolekut saaks pidada kehtivaks, peab see olema:

• vabalt antud;
• konkreetne;
• teavitatud;
• ühemõtteline.

See tähendab, et üksikisikutel peab olema tõeliselt vaba valik küsimuses, kas nad nõustuvad oma isikuandmete töötlemisega või mitte; nad vajavad piisavalt teavet, et nad mõistaksid, milliseid andmeid töödeldakse, millisel eesmärgil ja kuidas seda tehakse; samuti vajavad nad nõusolekutaotlustes piisavalt üksikasjalikku teavet.

Lisaks peaks isik selgelt kinnitama (ilma eelnevalt märgistatud lahtriteta ja kohaldatavatest üldtingimustest eraldi).
Lisaks peavad üksikisikud saama oma nõusoleku tagasi võtta (ilma negatiivsete tagajärgedeta), kui nad hiljem meelt muudavad.

Lisateave:

• Töötle isikuandmeid seaduslikult

Üksikisikud võivad teilt küsida, kas te nende andmeid töötlete ja kui see on nii, siis on neil õigus nendele andmetele juurde pääseda. Kui see juhtub ja kui teie nende andmeid töötlete, peaksite tasuta esitama näiteks nende isikuandmete koopia koos mis tahes vajaliku lisateabega. Kui taotlus esitatakse elektrooniliselt, peaks teie organisatsioon esitama nõutava teabe üldkasutatavas elektroonilises vormingus, välja arvatud juhul, kui individuaalsed taotlused on esitatud teisiti.

Lisateave:

• Üksikisikute õiguste austamine

Andmekaitsespetsialistid (AKS)võivad täita organisatsioonis muid ülesandeid, kuid see ei tohi põhjustada huvide konflikti. See tähendab, et AKS ei saa olla olukorras, kus ta määrab kindlaks töötlemistoimingute eesmärgid ja vahendid. Vastuoluliste ülesannete hulka kuuluvad peamiselt juhtivad ametikohad (juht, tegevjuht, finantsjuht, personalijuht, IT-juht, tegevdirektor), kuid võivad hõlmata ka muid ülesandeid, kui nende tulemusel määratakse kindlaks töötlemise eesmärgid ja vahendid.
AKS peab olema võimeline täitma oma kohustusi ja ülesandeid sõltumatult. See tähendab, et teie organisatsioon:

• ei tohi anda AKS-le juhiseid seoses tema AKS-i ülesannete täitmisega;
• ei tohi AKS-i tema ülesannete täitmise eest karistada ega ametist vabastada.

Lisateave:

• Andmekaitsespetsialist

Isikuandmetega seotud rikkumine on turvarikkumine, mis toob kaasa isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu.

• Kui andmetega seotud rikkumine kujutab endast ohtu asjaomastele isikutele, peate sellest teatama asjaomasele andmekaitseasutusele 72 tunni jooksul.
• Kui rikkumine toob tõenäoliselt kaasa suure ohu üksikisikutele, peate ka sellest rikkumisest asjaomastele isikutele põhjendamatu viivituseta teatama.

Igal juhul peate kõigi rikkumiste puhul – isegi, kui neist ei ole andmekaitseasutust teavitatud – registreerima vähemalt rikkumise põhiandmed, hinnangu rikkumise kohta, selle mõju ja reageerimiseks võetud meetmed.
 

Lisateave:

• Andmetega seotud rikkumised

Kui isikuandmeid kogutakse otse asjaomastelt üksikisikutelt, peavad organisatsioonid töötlemistoimingute kohta kokkuvõtlikult ja läbipaistvalt teavet andma, kasutades arusaadavat, kergesti kättesaadavat ning selget ja lihtsat keelt. Seda saab teha kirjalikult (nt pakkumuse tagaküljel) või elektrooniliselt (nt veebisaidil). Kui asjaomane isik seda taotleb, võite selle teabe esitada ka suuliselt, kuid te peate seda hiljem tõendama.

Isegi kui andmeid koguti kaudselt, st kui te ei kogu isikuandmeid otse üksikisikult endalt, vaid näiteks kolmanda isiku kaudu, peate esitama sama üksikasjaliku teabe üksikisikutele.