Üldjuhend on suunatud kõigile sektoritele ega sisalda soovitusi kitsamatele tegevusvaldkondadele. Andmetöötleja peab jälgima nii õigusnorme ja õiguspraktikat kui ka infotehnilist arengut, sellest tulenevaid võimalusi ja ohte. Kuid norme rakendavad ja tehnoloogiat kasutavad ikkagi inimesed. Andmeid töötleva ettevõtte/asutuse töökorraldus on kõige alus.

Sissejuhatus

Miks on vaja reegleid isikuandmete töötlemise kohta? Sest inimesed vajavad kindlustunnet, et nende kohta käivat teavet kogutakse ja kasutatakse ausalt, õigesti ja turvaliselt. Ilma selleta ei teki usaldust. Kui inimesed ei usalda, kuidas nende andmeid kasutatakse, siis digimajanduse ja e-riigi areng seiskub.

loe edasi
1. Peatükk. Andmetöötleja peamiste kohustuste nimekiri

Järgnevalt on toodud tabeli kujul andmetöötleja peamiste kohustuste nimekiri.

loe edasi
2. Peatükk. Lõimitud ja vaikimisi andmekaitse. Logid

Üldmäärus ja direktiiv (need normid on üle võetud IKS-i) sätestavad andmetöötleja vastutuse põhimõtte. Andmetöötleja peab jälgima niihästi õigusnorme ja õiguspraktikat kui ka infotehnilist arengut, sellest tulenevaid võimalusi ja ohte. Kuid norme rakendavad ja tehnoloogiat kasutavad ikkagi inimesed. Andmeid töötleva ettevõtte/asutuse töökorraldus on kõige alus.

loe edasi
3. Peatükk. Andmekaitsespetsialist (AKS)

Andmekaitseõigus muutub keerulisemaks, infotehniline areng toob kaasa üha uusi võimalusi ja ohte. Ettevõtted/asutused vajavad seetõttu üha enam andmekaitse alast oskusteavet. Mõnel juhul nõuab üldmäärus ja õiguskaitseasutuste andmekaitsedirektiiv (ning seda üle võttev IKS) andmetöötlejalt andmekaitseametniku määramist.

loe edasi
4. Peatükk. Isikuandmete töötlemisülevaade

Üldmääruse ja direktiivi üks läbivaid põhimõtteid on andmetöötleja vastutus. Andmetöötleja vastutab inimeste suhtes seadusliku, õiglase ning läbipaistva andmetöötluse korraldamise eest. Seda kõike ei saa teha, kui andmetöötlejal ei ole omaenda andmetöötlusest täit pilti. Seetõttu peab ta kaardistama oma andmetöötlustoimingud. Nimetame selle tulemusena valminud dokumenti isikuandmete töötlemisülevaateks.

loe edasi
5. Peatükk. Andmekaitsealane mõjuhinnang

Iga mõistlik andmetöötleja hindab nii või teisiti oma tänaseid ja tulevasi ohte, kui selleks on vajadus. Õiguslikus mõttes on seda vaja kolme nõude täitmiseks.

loe edasi
6. Peatükk. Kohustuslik eelkonsulteerimine

Olete vastutava töötlejana teinud kavandatud andmetöötlusele andmekaitsealase mõjuhinnangu ja hinnanud ohte. Näete selle põhjal, et vaatamata kavandatud abinõudele ohtude vähendamiseks tooks uus andmetöötlus tõenäoliselt endaga kaasa suure ohu teokssaamise (nt. võimaldaks identiteedivargust, rahalist kahju, mainekahju, diskrimineerimist jne). Sel juhul tuleb enne andmetöötlusega alustamist eelkonsulteerida Andmekaitse Inspektsiooniga.

loe edasi
7. Peatükk. Isikuandmetega seotud rikkumine. Oht (kahju)

Kellele tuleb sellest teatada? Isikuandmetega seotud rikkumine on üldmääruse/direktiivi ning seda üle võtva IKS-i tähenduses turvanõuetega seotud rikkumine, mis põhjustab andmete lubamatu hävimise, kaotsimineku või muutmise või lubamatu avalikustamise või lubamatu juurdepääsu võimaldamise.

loe edasi
8. Peatükk. Andmete ülekandmine

Õigus tutvuda enda kohta käivate andmetega on Euroopa Liidu/Ühenduse liikmesriikides kehtinud aastast 1995 saadik. Isikuandmete kaitse üldmäärus tõi selle kõrvale õiguse nõuda andmete ülekandmist. Esimene neist on laiem (ligipääs mistahes alusel kogutud ja mistahes kujul hoitavatele andmetele, sh nt paberandmetele). Teine on kitsam (üksnes digitaalandmed, mis kogutud lepingu või nõusoleku alusel).

loe edasi
9. Peatükk. Nõusoleku küsimine

Nõusolek üldmääruse tähenduses on andmesubjekti vabatahtlik, konkreetne, teadlik, ühemõtteline tahteavaldus, millega ta kas avalduse vormis või selget nõusolekut väljendava tegevusega nõustub enda kohta käivate isikuandmete töötlemisega. Õiguskaitseasutuste andmekaitsedirektiivi kohaldamisalas (vt IKS 4. peatükk) nõusolekut ei kasutata.

loe edasi
10. Peatükk. Läbipaistvus

Antud peatükis käsitletakse isikuandmete töötlemise läbipaistvuse nõuet üldmääruse kohaldamisalas. Üldmäärus on läbipaistvuse toonud esmakordselt andmekaitse aluspõhimõtete hulka.

loe edasi
Lisa.1 Andmekaitsealase mõjuhinnangu tegemise kontrollnimekiri

Isikuandmete kaitse üldmäärus näeb ette enne kõrge ohuga andmetöötlusega alustamist viia läbi andmekaitsealane mõjuhinnang. See on tegevus, mille käigus andmetöötleja hindab ja analüüsib, milliseid isikuandmeid ja milliste vahenditega ta oma tegevuse eesmärkide täitmiseks töötleb ning kas ja milliseid organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid rakendab.

loe edasi
Lisa 2. Nõusoleku kontrollküsimustik

Allpool on toodud nõusoleku kontrollküsimustik.

loe edasi
Lisa 3. Andmekaitsetingimuste kontrollküsimustik

Allpool on toodud andmekaitsetingimuste kontrollküsimustik.

Loe edasi
Lisa 4. Andmetöötluse laad, ulatus, kontekst, eesmärk, korrapärasus, süstemaatilisus

Isikuandmete kaitse üldmäärus sisustab 26 mõistet (vt art. 4). Õiguskaitseasutuste andmekaitsedirektiiv selgitab 16 mõistet (vt art. 3). Samas kasutavad nii üldmäärus kui direktiiv mitmeid õiguslikult sisustamata ning küllalt laia tõlgendamisruumi võimaldavaid termineid, millele otseseid selgitusi õigusaktis pole antud, kuid millest arusaamine on õigusnormide täitmiseks oluline. Nendeks on isikuandmete töötlemise laad, ulatus, kontekst, eesmärk.

loe edasi

Last updated: 09.12.2024