Elamine ja reisimine ELis
Viimati ajakohastatud: 15/03/2019

Isikuandmete kaitse üldmääruse kohane andmekaitse

Ühendkuningriigi otsus rakendada Euroopa Liidu lepingu artiklit 50: Rohkem informatsiooni

Isikuandmete kaitse üldmääruses on sätestatud üksikasjalikud nõuded ettevõtjatele ja organisatsioonidele isikuandmete kogumise, säilitamise ja haldamise kohta. Neid nõudeid kohaldatakse nii ELis üksikisikute isikuandmeid töötlevate Euroopa organisatsioonide kui ka väljaspool ELi asuvate organisatsioonide suhtes, mille sihtrühmaks on ELis elavad inimesed.

Millal kohaldatakse isikuandmete kaitse üldmäärust?

Isikuandmete kaitse üldmäärust kohaldatakse siis, kui:

Väljaspool ELi asuvad ettevõtjad, kes töötlevad ELi kodanike andmeid, peavad määrama ELis oma esindaja.

Millal ei kohaldata isikuandmete kaitse üldmäärust?

Isikuandmete kaitse üldmäärust ei kohaldata siis, kui:

Mis on isikuandmed?

Isikuandmed on teave tuvastatud või tuvastatava füüsilise isiku kohta, keda nimetatakse ka andmesubjektiks. Isikuandmed on näiteks:

Isikuandmete eriliigid

Teil on keelatud töödelda isikuandmeid, millest ilmnevad:

Kes töötleb isikuandmeid?

Isikuandmete töötlemise käigus võivad isikuandmed jõuda erinevate ettevõtjate või organisatsioonideni. Selles tsüklis on kaks peamist osalist, kes tegelevad isikuandmete töötlemisega:

Kes jälgib seda, kuidas ettevõtja isikuandmeid töötleb?

Andmekaitseametnik, kelle võis ametisse määrata ettevõtja, vastutab isikuandmete töötlemise seire ning selle eest, et isikuandmeid töötlevaid töötajaid teavitataks ja nõustataks seoses nende kohustustega. Andmekaitseametnik teeb koostööd andmekaitseasutusega, olles andmekaitseasutuse ja üksikisikute jaoks kontaktpunkt.

Millal peaksite andmekaitseametniku ametisse nimetama?

Teie ettevõte peab andmekaitseametniku ametisse nimetama järgmistel juhtudel:

Kui töötlete näiteks isikuandmeid, et suunata otsingumootorites inimeste veebikäitumisest lähtuvaid reklaame, peab teil olema ametisse määratud andmekaitseametnik. Kui saadate oma klientidele üksnes kord aastas reklaammaterjale, siis ei ole vaja andmekaitseametnikku ametisse määrata. Kui olete arst ja kogute andmeid patsientide tervise kohta, ei ole teil samuti tõenäoliselt andmekaitseametnikku vaja. Kui kogute aga geneetilisi ja tervisealaseid isikuandmeid haigla jaoks, siis on andmekaitseametniku olemasolu nõutav.

Andmekaitseametnikuks võib olla teie organisatsiooni töötaja või teenuslepingu alusel töötav väline töötaja. Andmekaitseametnikuks võib olla üksikisik või ka organisatsiooni struktuuriüksus.

Andmete töötlemine teise ettevõtja jaoks

Vastutav töötleja saab kasutada üksnes sellist volitatud töötlejat, kes annab piisava tagatise, mis sisaldub poolte vahelises kirjalikus lepingus. Leping peab sisaldama ka konkreetseid kohustuslikke sätteid, näiteks seda, et volitatud töötleja töötleb isikuandmeid üksnes siis, kui vastutav töötleja seda nõuab.

Andmete edastamine väljapoole ELi

Kui isikuandmed liiguvad EList välja, siis tuleb andmetega kaasa ka isikuandmete kaitse üldmäärusest tulenev kaitse. See tähendab seda, et andmeid välismaale eksportides peate tagama, et järgitaks ühte järgmistest meetmetest:

Millal on lubatud andmeid töödelda?

ELi andmekaitse-eeskirjadega on ette nähtud, et peate andmeid töötlema õiglasel ja seaduslikul viisil, kindlaksmääratud ning õiguspärastel eesmärkidel. Samuti võite töödelda üksnes neid andmeid, mis on vajalikud nimetatud eesmärkide täitmiseks. Isikuandmete töötlemisel peate tagama, et vastate vähemalt ühele järgmistest tingimustest:

Isikuandmete töötlemiseks nõusoleku andmine

Isikuandmete kaitse üldmäärus kehtestab ranged eeskirjad nõusoleku alusel saadud andmete töötlemise kohta. Nende eeskirjade eesmärk on tagada, et üksikisik mõistaks seda, millele ta oma nõusoleku annab. See tähendab seda, et nõusolek peab olema antud vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt, ning see peab olema sõnastatud selgelt ja lihtsalt. Nõusolek tuleks anda kinnitusena, näiteks kasti märgistamisega veebis või vormi allkirjastamisega.

Kui keegi annab nõusoleku oma isikuandmete töötlemiseks, siis võite töödelda andmeid üksnes sel eesmärgil, milleks nõusolek anti. Samuti peate andma isikule võimaluse oma nõusolek tagasi võtta.

Läbipaistva teabe esitamine

Peate esitama üksikisikutele selge teabe selle kohta, kes töötleb nende isikuandmeid ja milleks seda tehakse. Esitada tuleb vähemalt järgmine teave:

Konkreetsetel juhtudel peate teavitama järgmisest:

See teave tuleb esitada selgelt ja lihtsalt sõnastatuna.

Erieeskirjad laste kohta

Kui kogute isikuandmeid lapselt nõusoleku alusel, näiteks kasutades sotsiaalmeedia või allalaadimise kontosid, peate esmalt saama vanemliku nõusoleku, saates näiteks teate vanemale või eestkostjale. See, millise vanuseni loetakse isikut lapseks, on sõltuvalt elukohast erinev, kuid jääb vahemikku 13–16 eluaastat.

Juurdepääsuõigus ning isikuandmete ülekandmise õigus

Peate üksikisikutele tagama tasuta juurdepääsuõiguse neid käsitlevatele isikuandmetele. Kui saate vastava taotluse, peate toimima järgmiselt:

Kui töötlemise aluseks on nõusolek või leping, siis võib üksikisik nõuda, et tagastate talle tema isikuandmed või edastate need teisele ettevõtjale. Seda nimetatakse andmete ülekandmise õiguseks. Peate esitama andmed laialdaselt kasutatavas ja masinloetavas vormingus.

Parandamise õigus ja vastuväidete esitamise õigus

Kui üksikisik arvab, et tema isikuandmed on ebatäpsed, puudulikud või ebaõiged, siis on tal õigus nõuda, et need andmed kustutatakse või neid täiendatakse põhjendamatu viivituseta.

Sel juhul tuleb teil teatada kõikidele andmete saajatele, kellele olete isikuandmeid edastanud, et andmeid on muudetud või need on kustutatud. Kui edastatud isikuandmed olid ebatäpsed, võite sellest teavitada ka kõiki neid, kes neid andmeid nägid (välja arvatud siis, kui see nõuaks ebaproportsionaalselt suurt jõupingutust).

Üksikisik võib seoses konkreetse kasutusviisiga ka igal ajal oma isikuandmete töötlemise suhtes vastuväiteid esitada, kui teie ettevõte töötleb andmeid teie õigustatud huvides või avalikes huvides oleva ülesande täitmiseks. Kui teie õigustatud huvi ei kaalu üles üksikisiku huvi, tuleb teil isikuandmete töötlemine lõpetada.

Samuti võib üksikisik nõuda, et tema isikuandmete töötlemine oleks piiratud, sel ajal, kui tehakse kindlaks, kas teie õigustatud huvi kaalub üles tema huvi. Otseturunduse korral olete aga alati kohustatud lõpetama isikuandmete töötlemise, kui üksikisik seda nõuab.

Õigus andmete kustutamisele („õigus olla unustatud")

Teatud tingimustel võib üksikisik nõuda, et vastutav töötleja kustutaks tema isikuandmed, näiteks kui isikuandmeid ei ole enam töötlemise eesmärgil vaja. Siiski ei ole teie ettevõte kohustatud nii toimima järgmistes olukordades:

Automatiseeritud otsuste tegemine ja profiilianalüüs

Üksikisikul on õigus sellele, et tema suhtes tehtav otsus ei tugineks üksnes automatiseeritud töötlemisele. Sellest reeglist võib siiski teatavatel juhtudel kõrvale kalduda, näiteks siis, kui automatiseeritud otsuse kohta on antud selgesõnaline nõusolek. Välja arvatud juhul, kui automatiseeritud otsus põhineb seadusel, peab teie ettevõte toimima järgmiselt:

Kui näiteks pank automatiseerib oma otsuse selle kohta, kas anda konkreetsele üksikisikule laenu, siis tuleb üksikisikut automatiseeritud otsusest teavitada ja anda võimalus see otsus vaidlustada ning nõuda inimsekkumist.

Nõuetekohane teavitamine isikuandmetega seotud rikkumise korral

Isikuandmetega seotud rikkumine toimub siis, kui isikuandmed, mille suhtes olete vastutav, avalikustatakse juhuslikult või ebaseaduslikult selleks volitamata saajale või kui andmed ei ole ajutiselt kättesaadavad või neid on muudetud.

Kui on toimunud isikuandmetega seotud rikkumine ja rikkumise tulemusena tekib oht üksikisiku õigustele ja vabadustele, tuleb teil sellest teatada andmekaitseasutusele 72 tunni jooksul pärast rikkumisest teada saamist.

Sõltuvalt sellest, kas isikuandmetega seotud rikkumise tulemusena tekib suur oht neile, keda see mõjutab, võib teie ettevõte olla kohustatud teavitama kõiki sellest mõjutatud üksikisikuid.

Taotlustele vastamine

Kui teie ettevõte saab taotluse üksikisikult, kes soovib oma õigusi kasutada, peate vastama sellele taotlusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Asjaomast vastamisaega võib pikendada kahe kuu võrra, arvestades taotluse keerukust või nende hulka, tingimusel et üksikisikut teavitatakse sellisest pikendamisest. Taotlusi tuleb menetleda tasuta.

Kui taotlus on tagasi lükatud, tuleb üksikisikut teavitada tagasilükkamise põhjustest ning tema õigusest esitada kaebus andmekaitseasutusele.

Mõju hindamine

Andmekaitsealase mõjuhinnangu tegemine on kohustuslik iga kord, kui plaanitud töötlemine võib tekitada suurt ohtu üksikisikute õigustele ja vabadustele, näiteks siis, kui kasutatakse uusi tehnoloogiaid.

Suur oht on olemas järgmistel juhtudel:

Märkus. Andmekaitseasutused võivad ka teisi andmetöötluse kategooriaid käsitleda suure ohuna.

Kui andmekaitsealases mõjuhinnangus osutatud meetmetega ei ole võimalik tuvastatud suuri ohte kõrvaldada, tuleks enne kavandatavat töötlemist konsulteerida andmekaitseasutusega.

Registreerimine

Peate olema valmis tõestama, et teie ettevõte tegutseb kooskõlas isikuandmete kaitse üldmäärusega ja täidab kõiki sätestatud kohustusi, eriti andmekaitseasutuse taotlusel või tema teostatava kontrolli korral.

Üks võimalus on see, kui registreerite üksikasjalikult järgmise teabe:

Peate kehtestama ka kirjalikud menetlused ja juhendid ning neid korrapäraselt ajakohastama, samuti peate need teatavaks tegema oma töötajatele.

Kui teie ettevõte on VKEen või sellest väiksem, siis ei ole vaja isikuandmete töötlemisega seotud tegevusi registreerida, tingimusel et töötlemine

  • ei toimu korrapäraselt;
  • ei mõjuta kaasatud üksikisikute õigusi ja vabadusi;
  • ei ole seotud isikuandmete eriliikide või karistusandmetega.

Isikuandmete lõimitud kaitse ja vaikimisi kaitse

Isikuandmete lõimitud kaitse tähendab seda, et teie ettevõte peab arvestama andmekaitsega juba isikuandmete uuel viisil töötlemise kavandamise varajases etapis. Kooskõlas selle põhimõttega peaks vastutav töötleja võtma tarvitusele kõik vajalikud tehnilised ja organisatsioonilised abinõud, et rakendada andmekaitse põhimõtteid ning kaitsta üksikisikute õigusi. Need abinõud võiksid näiteks hõlmata pseudonüümide kasutamist.

Vaikimisi andmekaitse tähendab seda, et teie ettevõte peaks alati oma vaikimisi seadistused muutma kõige rohkem eraelu puutumatust toetavaks. Kui näiteks on võimalik rakendada kahte privaatsuse seadistust ja üks nendest hoiab ära selle, et isikuandmetele saaksid juurdepääsu teised, siis peaks kasutama sellist seadistust vaikimisi seadistusena.

Eeskirjade rikkumine ja karistused

Isikuandmete kaitse üldmääruse sätete rikkumise eest võidakse määrata trahv, mille suurus võib teatavate rikkumiste puhul olla kuni 20 miljonit eurot või 4% ettevõtja ülemaailmsest kogukäibest. Andmekaitseasutus võib rakendada täiendavaid parandusmeetmeid, näiteks võidakse teile anda korraldus lõpetada isikuandmete töötlemine.

KKK – Andmekaitse ja netiprivaatsus

Seonduvad teemad

ELi õigusaktid

Vajate nõuandeteenistuse abi?

Võtke ühendust spetsiaalse nõuandeteenistusega

Kohalik ettevõtlustugi - Teil on küsimusi seoses piiriülese ettevõtlusega, nt teise ELi riiki eksportimise või sinna oma ettevõtte laiendamisega? Sellisel juhul saab Euroopa ettevõtlusvõrgustik teile anda tasuta nõuandeid.

Jaga lehekülge: