Andmekaitse Inspektsiooni logo

1. peatükk - Andmetöötleja peamiste kohustuste nimekiri

Järgnevalt on toodud tabeli kujul andmetöötleja peamiste kohustuste nimekiri.
Kohustus Kirjeldus
Isikuandmete töötlemise põhimõtete rakendamine

Andmetöötleja lähtub andmete töötlemisel:

-seaduslikkuse, õigluse ja läbipaistvuse põhimõttest;
-eesmärgi piirangu põhimõttest;
-võimalikult väheste andmete kogumise põhimõttest;
-õigsuse ehk andmekvaliteedi põhimõttest;
-säilitamise piirangu põhimõttest;
-usaldusväärsuse (konfidentsiaalsuse) põhimõttest;
-vastutuse põhimõttest.
Turvaline isikuandmete töötlemine Andmetöötleja rakendab andmetele vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslike meetmeid.
Andmekaitsespetsialist

Andmetöötleja määrab andmekaitsespetsialisti, kui ta:

-on avaliku sektori asutus või organ, sh avalikke ülesandeid täitev eraõiguslik isik;
-põhitegevuseks on inimeste ulatuslik korrapärane ja süstemaatiline jälgimine;
-põhitegevuseks on eriliiki isikuandmete või süüteoandmete ulatuslik töötlemine.

Andmetöötleja teeb avalikult kättesaadavaks andmekaitsespetsialisti kontaktandmed ja esitab need ka andmekaitseasutusele. Eestis saab mõlemat korraga teha äriregistri kaudu.
Andmekaitsetingimuste avaldamine Vastutav töötleja annab inimesele teavet tema andmete töötlemise tingimuste kohta.
Lõimitud ja vaikimisi andmekaitse rakendamine Uute toodete/ teenuste või isikuandmeid mõjutava töökorraldusmuudatuse kavandamise ning rakendamise käigus tuleb algusest peale arvestada andmekaitse põhimõtete ning asjakohaste turvameetmete rakendamisega. Vaikevalikud (algseadistused) peavad võimalikest valikutest olema kõige privaatsussõbralikumad.
Isikuandmete töötlemisülevaade Vastutavad ja volitatud töötlejad peavad koostama isikuandmete töötlemisülevaate. Nõue kehtib kõigi andmetöötlejate kohta (v.a. organisatsioon, kellel pole töötajaid ega füüsilisest isikust kliente).
Rikkumisteated

1. Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sh asjaolud, mõju ja parandusmeetmed.

2. Vastutav töötleja teavitab isikuandmetega seotud rikkumisest andmekaitseasutust 72 tunni jooksul (v.a. juhul, kui rikkumine ei kujuta inimesele ohtu).

3. Vastutav töötleja teavitab viivitamatult inimesele tema andmetega seotud rikkumisest, kui see kujutab endast suurt ohtu (v.a. juhul, kui andmed on muudetud loetamatuks või võetud muud kahju leevendavad meetmed või kui teavitamine nõuab ebamõistlikke pingutusi – viimasel juhul asendatakse isiku teavitamine avaliku teadaandega).
Mõjuhinnang

Vastutav töötleja hindab ja dokumenteerib enne tõenäoliselt suurt ohtu põhjustava andmetöötlusega alustamist selle mõju ning enda tegevuse. Iseäranis on suure ohuga tegemist, kui:

-toimub süsteemne ulatuslik automatiseeritud hindamine/profileerimine, millel on inimese jaoks õiguslikud tagajärjed või oluline mõju;
-eriliiki või süüteoandmeid töödeldakse ulatuslikult;
-avalikke alasid jälgitakse ulatuslikult.
Eelnev konsulteerimine Vastutav töötleja peab konsulteerima enne andmetöötlusega alustamist andmekaitse järelevalveasutusega juhul, kui mõjuhinnangust selgub, et hoolimata meetmete rakendamisest jääb suur oht isiku õigustele ja vabadustele püsima.
Isikuandmete ülekandmine Inimene võib nõuda vastutavalt töötlejalt nõusolekul või lepingul põhineva automatiseeritud andmetöötluse korral teda puudutavate andmete, mida ta ise on esitanud, masinloetavat üleandmist teisele ettevõttele.
Kolmandatesse riikidesse edastamise nõuded

Andmete edastamisel väljapoole Euroopa majanduspiirkonda tuleb jälgida, kas tegemist on piisava või mittepiisava andmekaitsetasemega riigiga20 Piisava andmekaitsetasemega kolmandate riikide nimekiri on Euroopa Komisjoni võrgulehel.

Mittepiisava andmekaitsetasemega kolmandasse riiki isikuandmed edastades tuleb rakendada üldmääruse artikli 46 kohaseid kaitsemeetmeid. Üldmääruse artikkel 49 reguleerib erandjuhtumid, mil võib isikuandmeid kolmandasse riiki edastada ilma vastavaid kaitsemeetmeid rakendamata.

Õiguskaitseasutuste andmekaitsedirektiivi kohased isikuandmete edastamise nõuded on toodud IKS §-des 46- 50. Kolmandatesse riikidesse edastamise lähemaid reegleid käesolevas üldjuhendis ei käsitleta. See info on Euroopa Komisjoni võrgulehel, samuti Euroopa andmekaitsenõukogu võrgulehel

20Euroopa majanduspiirkond on Euroopa Liit ning Island, Norra ja Liechtenstein.

Last updated: 04.04.2024