Mis on isikuandmed?

Isikuandmed on igasugune teave tuvastatud või tuvastatava isiku kohta.

Näited andmete liikidest, mis võivad võimaldada üksikisiku otsest või kaudset tuvastamist ja kvalifitseeruda seega isikuandmeteks, on järgmised:

  • klientide, sidusrühmade, töötajate, teenuseosutajate ees- ja perekonnanimed, telefoninumbrid;
  • identifitseerimisnumbrid, näiteks isiku kliendinumber, isikukood;
  • broneeringu viide;
  • e-posti aadressid, asukohaandmed;
  • üksikisiku sirvimisajalugu;
  • üksikisiku ostuajalugu ja kviitungid;
  • fotod, videod ja helisalvestised, mis sisaldavad üksikisikute kujutisi või helisid.

Nende isikuandmetega võidakse isikut otseselt või kaudselt tuvastada:

  • kui teie organisatsioon töötleb näiteks isiku ees- või perekonnanime, võimaldavad need isikuandmed seda isikut otseselt tuvastada;
  • kui teie organisatsioon töötleb näiteks üksikisiku kliendinumbrit või broneeringu viidet, võivad need isikuandmed võimaldada selle isiku kaudset tuvastamist.
  • Isikuandmetena käsitatakse ka mis tahes liiki teavet, mida töödeldakse seoses otseselt või kaudselt tuvastatud isikuga (st eelistused, harjumused).

Isikuandmete eriliigid

Teatud liiki isikuandmed, mis on olemuselt tundlikumad, nimetatakse eriliiki isikuandmeteks ning need vajavad suuremat kaitset. Isikuandmete kaitse üldmääruse artikli 9 kohaselt hõlmavad eriliiki isikuandmed järgnevat teavet:

  • üksikisiku tervis;
  • isiku seksuaalelu või seksuaalne sättumus;
  • isiku rassiline või etniline päritolu;
  • üksikisiku poliitilised vaated, usulised või filosoofilised veendumused;
  • isiku biomeetrilised ja geneetilised andmed;
  • ametiühingusse kuulumine.

Üksikisiku eriliiki andmete töötlemine on üldiselt keelatud, välja arvatud konkreetsetel asjaoludel, mis õigustavad nende töötlemist (nt selgesõnaline nõusolek).

Eriliiki isikuandmete töötlemise aluste kohta saate täpsemat teavet siit: Töötlege isikuandmeid seaduslikult 

 

Süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmed

Süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemise suhtes kohaldatakse rangeid õiguslikke tingimusi. Neid isikuandmeid võib töödelda ainult ametiasutus, näiteks politsei, järelevalve all või siis, kui see on siseriikliku õigusega lubatud.

Isikuandmete kaitse üldmääruse heade tavade kontrollnimekiri

  • Küsige endalt, kas isikuandmete kogumise eesmärk on õigustatud.
  • Koguge ainult neid isikuandmeid, mis on vajalikud konkreetse(te) eesmärki(de) täitmiseks.
  • Teavitada üksikisikuid sellest, kuidas ja millistel eesmärkidel võidakse nende isikuandmeid töödelda.
  • Kontrollige, kas teil on isikuandmete töötlemiseks sobiv õiguslik alus. Kui kavatsete toetuda isikute nõusolekutele, tuleb need küsida enne töötlemise alustamist
  • Veenduge, et isikuandmeid töödeldakse turvaliselt.
  • Hoidke isikuandmed täpsed ja ajakohased.
  • Kustutage üksikisikute isikuandmed, kui see ei ole enam vajalik. Pidage meeles, et riiklikud õigusaktid võivad kohustada teid säilitama teatud andmeid (st maksustamisega seotud põhjustel).

Mida tähendab isikuandmete töötlemine?

Üksikisikute isikuandmete töötlemine tähendab igat liiki tegevust (töötlemistoimingut), mida tehakse üksikisiku isikuandmetega või  automatiseeritud vahendite abil. 

Töötlemistoimingute näideteks on üksikisikute isikuandmete kogumine, salvestamine, korraldamine, kasutamine, muutmine, säilitamine ja avalikustamine.

Isegi kui isikuandmete kaitse üldmäärus on peamiselt seotud isikuandmete automatiseeritud töötlemisega, kohaldatakse isikuandmete kaitse üldmäärust ka käsitsi tehtavate töötlemistoimingute suhtes alates hetkest, mil pabertoimikud on süstemaatiliselt korraldatud.

Kas isikuandmete kaitse üldmäärus kehtib teie organisatsiooni suhtes?

Isikuandmete kaitse üldmäärust võib kohaldada kõigi era- ja avalik-õiguslike organisatsioonide suhtes, kui:

  • kõnealune organisatsioon on asutatud ELis või Euroopa Majanduspiirkonnas (EMP – ELi riigid + Island, Liechtenstein ja Norra); või
  • organisatsioon ei ole asutatud EMPs, kuid selle tooteid või teenuseid pakutakse EMPs asuvatele üksikisikutele või organisatsioon jälgib EMPs elavate isikute käitumist.

Isikuandmete kaitse üldmäärust kohaldatakse samamoodi ka kõigi alltöövõtjate suhtes, kes võivad töödelda üksikisikute isikuandmeid era- või avalik-õigusliku organisatsiooni nimel.

Praktikas kehtib IKÜM teie suhtes, kui kehtib üks järgmistest tingimustest.

  • Olete ettevõte, mis asub EMP riigis;
  • Olete organisatsioon, mis asub EMP-välises riigis ja müüb kaupu või pakub teenuseid (ka tasuta), mis on suunatud üksikisikutele EMP riigis;
  • Olete IT-ettevõte, mis asub EMP-välises riigis ja mille IT-andmebaaside, näiteks kliendi andmebaasi, haldamiseks on EMPs asuv eraõiguslik organisatsioon sõlminud allhankelepingu;
  • Olete EMPs asuv teenusepakkuja, kes töötleb isikuandmeid teise ettevõtte nimel.

Isikuandmete kaitse üldmääruse peamised põhimõtted

Üksikisikute isikuandmete töötlemisel peab teie organisatsioon järgima isikuandmete kaitse üldmääruse järgmist kuut põhimõtet. Samuti peab teie organisatsioon suutma tõendada, et neid põhimõtteid järgitakse.

 

Seaduslikkus, õiglus ja läbipaistvus

 

Isikuandmete töötlemine peab olema seaduslik, õiglane ja läbipaistev.

Teie organisatsioon saab töödelda üksikisiku isikuandmeid ainult juhul, kui kavandatud töötlemistoiming on seaduslik; näiteks isiku nõusoleku alusel, lepingu täitmiseks, või muul isikuandmete kaitse üldmääruse artiklis 6 nimetatud andmete töötlemise õiguslikul alusel.

Kui töötlemine põhineb nõusolekul, peab teie organisatsioon tagama, et see nõusolek on antud vabatahtlikult ning see on teadlik, konkreetne ja ühemõtteline. Teisisõnu ei tohi olla kahtlust, et üksikisik ei ole teadlik sellest, millega ta nõustub, millisel eesmärgil töötlemine toimub, ning et see nõusolek anti aktiivselt enne töötlemise algust. Lisaks peaks isikul olema võimalik oma nõusolek vabatahtlikult tagasi võtta. Kui jõuate järeldusele, et isikuandmete töötlemine on vältimatult vajalik (nt lepingu täitmise kontekstis), tähendab see seda, et nõusolek ei ole sobiv õiguslik alus.

Eesmärgi piirang

Teie organisatsioon võib isikuandmeid koguda ainult kindlaksmääratud, selgesõnalisel ja õiguspärastel eesmärkidel. Üksikisiku andmete töötlemine peab rangelt piirduma algselt kehtestatud eesmärgiga ja seetõttu ei tohi seda töödelda hilisema(te)l või muudel eesmärkidel, mis ei ole algsete eesmärkidega kooskõlas.

 

Võimalikult väheste andmete kogumine

Teie organisatsioon võib töödelda ainult selliseid isikuandmeid, mis on kavandatud eesmärki silmas pidades vajalikud ja proportsionaalsed.

 

Täpsus

Teie organisatsiooni töödeldavad isikuandmed peavad olema täpsed ja ajakohased. Ebatäpsed isikuandmed tuleb parandada või kustutada.

 

Säilitamise piirang

Üksikisikute isikuandmete säilitamine peab olema ajaliselt piiratud, võttes arvesse nende kogumise ja töötlemise eesmärki. Seega tuleb isikuandmed kustutada või anonüümseks muuta, kui need andmed ei ole enam vajalikud. Praktikas tähendab see seda, et teie organisatsioonil peaks olema sisekord andmete säilitamise tähtaegade kohta, samuti andmete kustutamise kord.

 

Kaitse

Üksikisikute andmeid tuleb töödelda turvaliselt. Sellega seoses tuleb kehtestada tugevad andmeturbemeetmed, näiteks asjakohased küberturvalisuse meetmed, et tagada üksikisikute andmete piisav kaitse. Need meetmed peavad tagama, et ei toimuks isikuandmete juhuslikku, loata või ebaseaduslikku avalikustamist, kaotsiminekut, hävitamist või kahjustamist.