Isikuandmetega seotud rikkumine on turvarikkumine, mis toob kaasa isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu.

• Kui andmetega seotud rikkumine kujutab endast ohtu asjaomastele isikutele, peate sellest teatama asjaomasele andmekaitseasutusele 72 tunni jooksul.
• Kui rikkumine toob tõenäoliselt kaasa suure ohu üksikisikutele, peate ka sellest rikkumisest asjaomastele isikutele põhjendamatu viivituseta teatama.

Igal juhul peate kõigi rikkumiste puhul – isegi, kui neist ei ole andmekaitseasutust teavitatud – registreerima vähemalt rikkumise põhiandmed, hinnangu rikkumise kohta, selle mõju ja reageerimiseks võetud meetmed.
 

Lisateave:

• Andmetega seotud rikkumised

IKÜM-s eristatakse kahte peamist rolli: vastutava töötleja ja volitatud töötleja omad. See eristamine on väga oluline, kuna vastutav töötleja kannab suuremat vastutust ja peab täitma rohkem kohustusi kui volitatud töötleja.
Vastutavad töötlejad ja volitatud töötlejad võivad olla füüsilised või juriidilised isikud. Näiteks: VKE, avaliku sektori asutus, äriühing, organisatsioon, riigiasutus, ühendus jne.
Vastutav töötleja määrab kindlaks töötlemistoimingu eesmärgid ja vahendid. Teisisõnu otsustab vastutav töötleja, kuidas ja miks töötlemistoimingut tehakse. Volitatud töötlejad töötlevad isikuandmeid vastutava töötleja nimel. Volitatud töötlejate teostatavat töötlemist tuleb reguleerida vastutava töötlejaga sõlmitud lepingu või muu õigusaktiga.

Vastutavate töötlejate näited:

• ettevõtted, kes töötlevad oma klientide isikuandmeid müügi lõpuleviimiseks;
• finantseerimisasutused, kes töötlevad oma klientide isikuandmeid;
• ühendused, kes töötlevad oma liikmete andmeid;
• koolid või ülikoolid, mis töötlevad õpilaste ja õpetajate isikuandmeid;
• haiglad, kes töötlevad oma patsientide isikuandmeid;
• valitsusasutused, kes töötlevad kodanike isikuandmeid.

Andmetöötlejate näited:

• väike- ja keskmise suurusega ettevõtja (VKE) palkab raamatupidamisteenuse oma raamatupidamisarvestuse pidamiseks, VKE on vastutav töötleja ja raamatupidamisteenus andmetöötleja;
• palgaarvestusettevõte töötleb VKE isikuandmeid. Palgaarvestusettevõte tegutseb volitatud töötlejana, kui ta töötleb isikuandmeid ainult VKE nimel. VKE määrab kindlaks andmetöötluse eesmärgid ja vahendid ning on seega vastutav töötleja.
• VKE tellib turundusettevõttelt e-posti aadresside kogumise kolmandate osapoolte veebisaitide kaudu. Turustusettevõtja teeb seda vastavalt VKE selgetele juhistele ja üksnes VKE eesmärkidel. Turundusettevõte tegutseb selle kollektsiooni volitatud töötlejana.

Lisateave:

• Vastutav töötleja või volitatud töötleja

Andmekaitsespetsialist võib olla olemasolev töötaja, kellel on piisavad teadmised IKÜM-st (kui töötaja ametiülesanded on kooskõlas andmekaitsespetsialistiülesannetega ja see ei põhjusta huvide konflikte) või väline isik. Andmekaitsespetsialist peaks suutma täita ülesandeid sõltumatult ja andma aru otse kõrgeimale juhtkonnale.

Lisateave:

• Andmekaitsespetsialist

Kui teie organisatsioon kogub isikuandmeid otse üksikisikutelt, peab ta esitama vajaliku teabe kogumise ajal.
Isikuandmete kaudse kogumise korral peab teie organisatsioon esitama teabe hiljemalt ühe kuu jooksul pärast seda, kui isikuandmed on algselt saadud. Seda maksimaalset ühekuulist ajavahemikku võib lühendada:

• kui isikuandmeid kasutatakse andmesubjektiga suhtlemiseks. Sellisel juhul peate andmesubjekti teavitama hiljemalt andmesubjektile esmakordsel teavitamisel;
• kui andmed edastatakse teisele vastuvõtjale, teavitab organisatsioon sellest andmesubjekte hiljemalt isikuandmete edastamisel.

Lisateave:

• Üksikisikute õiguste austamine

Üksikisikud võivad teilt küsida, kas te nende andmeid töötlete ja kui see on nii, siis on neil õigus nendele andmetele juurde pääseda. Kui see juhtub ja kui teie nende andmeid töötlete, peaksite tasuta esitama näiteks nende isikuandmete koopia koos mis tahes vajaliku lisateabega. Kui taotlus esitatakse elektrooniliselt, peaks teie organisatsioon esitama nõutava teabe üldkasutatavas elektroonilises vormingus, välja arvatud juhul, kui individuaalsed taotlused on esitatud teisiti.

Lisateave:

• Üksikisikute õiguste austamine

Vastutava töötleja ja volitatud töötleja vahelises lepingus tuleb sätestada, et volitatud töötleja:

• töötleb isikuandmeid ainult vastutava töötleja juhiste kohaselt, sealhulgas seoses isikuandmete edastamisega EMP-välisesse riiki;
• tagab, et andmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsust või neil on asjakohane seadusjärgne konfidentsiaalsuskohustus;
• tagab töötlemise turvalisuse;
• ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva eri- või üldise kirjaliku loata;
• abistab vastutavat töötlejat vastutava töötleja kohustuste täitmisel, et vastata üksikisiku taotlustele oma õiguste kasutamiseks;
• abistab vastutavat töötlejat töötlemise tagamisel, andmetega seotud rikkumistest teavitamisel ja andmekaitsealaste mõjuhinnangute tegemisel;
• kustutab või tagastab vastutava töötleja valikul kõik isikuandmed pärast teenuste osutamise lõppu vastutavale töötlejale;
• teeb vastutavale töötlejale kättesaadavaks kogu vajaliku teabe, et tõendada IKÜM-st tulenevate kohustuste täitmist;
• võimaldab ja aitab auditeid, sealhulgas kontrolle, mida viib läbi vastutav töötleja või vastutav töötleja volitatud muu audiitor.

Lisaks teavitab volitatud töötleja viivitamata vastutavat töötlejat, kui tema arvates rikuvad juhised IKÜM-i,  muid EL-i või riiklikke andmekaitsesätteid.
 

Lisateave:

• Vastutav töötleja või volitatud töötleja

Isikuandmete kaitse üldmääruse ehk IKÜM-ga kehtestatakse ühtlustatud eeskirjad, mida kohaldatakse Euroopa Majanduspiirkonnas (EMP) asutatud organisatsioonide (avalik-õiguslikud või eraõiguslikud organisatsioonid, olenemata nende suurusest) mis tahes isikuandmete töötlemise suhtes või mis on suunatud üksikisikutele EL-is. IKÜM-i esmane eesmärk on tagada, et isikuandmete kaitse tase on kõikjal EMP-s sama kõrge, suurendades nii andmeid töötlevate üksikisikute kui ka organisatsioonide õiguskindlust ning pakkudes üksikisikutele kõrgetasemelist kaitset.

Määrus jõustus 24. mail 2016 ja seda kohaldatakse alates 25. maist 2018.

Pseudonümiseerimine seisneb isikuandmete muutmises nii, et neid ei saa enam seostada konkreetse isikuga ilma täiendavat teavet kasutamata, tingimusel, et sellist lisateavet hoitakse eraldi ning selle suhtes kohaldatakse tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid ei seostata üksikisikuga. Praktikas võib see tähendada isikuandmete (nimi, eesnimi, isikukood, telefoninumber jne) asendamist andmekogumis kaudsete identifitseerimisandmetega (teise nimega, järjekorranumber jne). Pseudonümiseeritud andmed on endiselt isikuandmed ja nende suhtes kohaldatakse IKÜM-i.

Anonüümseks muudetud andmed on andmed, mis on muudetud anonüümseks sellisel viisil, et üksikisikut ei ole või enam ei ole võimalik tuvastada mis tahes mõistlikult tõenäoliselt kasutatava vahendi abil. Kui anonüümimist rakendatakse nõuetekohaselt, siis IKÜM anonüümseks muudetud andmete suhtes enam ei kehti.

Lisateave:

• Isikuandmete kaitsmine

Teatavat liiki isikuandmed kuuluvad isikuandmete eriliikidesse, mis tähendab, et nad väärivad suuremat kaitset, nn delikaatsed andmed. Tundlikud andmed hõlmavad andmeid, mis annavad teavet järgmise kohta:

• üksikisiku tervis;
• isiku seksuaalne sättumus;
• isiku rassiline või etniline päritolu;
• üksikisiku poliitilised vaated, usulised või filosoofilised veendumused; üksikisiku ametiühingusse kuulumine;
• inimese biomeetrilised ja geneetilised andmed.

Isiku delikaatsete andmete töötlemine on üldiselt keelatud, välja arvatud konkreetsetel asjaoludel, mis õigustavad nende töötlemist.
 

Lisateave:

• Andmekaitse põhitõed