2 of 35

Isikuandmete kaitse üldmääruse (IKÜM/GDPR) eesmärk

Füüsiliste isikute (andmesubjektide) kaitse isikuandmete töötlemisel (privaatsus, eraelu kaitse, isikuandmete kaitse) >
Õiguskindluse kaudu usalduse suurendamine andmetöötluse vastu >
Isikuandmete vaba liikumine EL-is > digisiseturu ja andmemajanduse ning infoühiskonna areng ja kestlikkus

Võrreldes varem kehtinud isikuandmete kaitse direktiiviga:

Isikuandmete kaitse õiguslike nõuete konkretiseerimine ja tugevdamine
Nõuete ühtlustamine ja ühetaoline rakendamine

6 of 35

IKÜM kohaldamisala

Töötleja EL-is

Töötlemine EL-is

Töötlemine väljaspool EL-i

- kaubad ja/või teenused EL-is

- andmesubjektid EL-is (tegevuse jälgimine)

10 of 35

Isikud

Vastutav töötleja – isik, kes määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid
Volitatud töötleja – isik, kes töötleb isikuandmeid vastutava töötleja nimel

Isikud, kes töötavad vastutava või volitatud töötleja alluvuses

Andmesubjekt – isik, kelle andmeid töödeldakse
Vastuvõtja – isik, kellele isikuandmed avaldatakse
Kolmas isik – kõik muud isikud

11 of 35

VASTUTAV TÖÖTLEJA (asutus, kes määrab andmete töötlemise eesmärgid ja viisi)

ANDMESUBJEKT

(isik, kelle andmeid töödeldakse)

VOLITATUD TÖÖTLEJA (asutus, kes töötleb andmeid vastutava töötleja ülesandel)

ANDMETE SAAJA

(asutus või ettevõte, kes isikuandmeid saab (nt maksuamet, RAB)

Andmetöötlusleping

Õiguslik

alus

Andmesubjekti õigused

Õiguslik alus:

Seadus
Avalik ülesanne
Leping
Õiguspärane huvi
Eluline huvi
Nõusolek

13 of 35

SEADUSLIKKUS, ÕIGLUS, LÄBIPAISTVUS

EESMÄRGI PIIRANG

KOGUMISE VÄHESUS

AJAKOHASUS JA ÕIGSUS

SÄILITAMISE PIIRANG

TURVALISUS

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).

14 of 35

Töötlemise õiguslik alus

NÕUSOLEK

LEPING

SEADUSEST TULENEV KOHUSTUS

ELULINE

HUVI

AVALIK ÜLESANNE

ÕIGUSTATUD

HUVI

15 of 35

Töötlemise õiguslik alus: eriliigilised andmed

NÕUSOLEK

LEPING

SEADUSEST TULENEV KOHUSTUS

ELULINE

HUVI

AVALIK ÜLESANNE

Isikuandmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumine, geneetilised andmed, biomeetrilised andmed, terviseandmed ja andmed isiku seksuaalelu ja seksuaalse sättumuse kohta.

16 of 35

Ülesanne:�Andmetöötlusõigussuhte kaardistamine

Konstrueerige andmeõigussuhe, mille subjektideks on

Andmesubjekt ja vastutav töötleja
Vastutav töötleja ja andmete saaja
Vastutav töötleja ja kaks volitatud töötlejat
Andmesubjekt ja volitatud töötleja
Andmesubjekt ja andmete saaja

17 of 35

Ülesanne:�Kasutustingimuste või –lepinguga tutvumine

Lugege läbi vabalt valitud veebilehe või digitaalse teenuse kasutustingimuste isikuandmete töötlemise osa ja vastake järgnevatele küsimustele:

Kas töötlemise tingimused vastavad IKÜM-i nõuetele? Mille põhjal tegite järelduse?
Kas tingimused on arusaadavad? Millistes osades võiks info olla esitatud lihtsamalt/konkreetsemalt/kompaktsemalt vmt?
Millised muud tähelepanekud/küsimused teil tingimusi lugedes tekkisid?

18 of 35

Andmesubjekti õigus saada teavet

vastutava töötleja (esindaja) nimi ja kontaktandmed;

andmekaitseametniku kontaktandmed;

isikuandmete töötlemise eesmärk ja õiguslik alus;

teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta,

Kas vastutav töötleja kavatseb edastada isikuandmed kolmandale riigile või rahvusvahelisele organisatsioonile, ning teave kaitse piisavuse kohta

19 of 35

Andmesubjekti õigus saada teavet

isikuandmete säilitamise ajavahemik või selle määramise kriteeriumid;

teave õiguste kohta (vt järgmine slaid);

teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest.

20 of 35

Andmesubjekti muud õigused

Art. 16 – isikuandmete parandamine või täiendamine

Art. 17 – isikuandmete kustutamine

Art. 18 – töötlemise piiramine

Art. 20 – andmete ülekandmise õigus

Art. 21 – vastuväited (+ otseturunduse opt-out)

Art. 22 – Automatiseeritud otsused ja profiilianalüüs

21 of 35

Õigus olla unustatud

22 of 35

Vastutava töötleja kohustused: register

vastutava töötleja, kaasvastutava töötleja, esindaja ja andmekaitseametniku kontaktandmed;
töötlemise eesmärgid;
andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;
vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse;
kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis sobivate kaitsemeetmete kohta koostatud dokumendid;
eri andmeliikide kustutamiseks ette nähtud tähtajad;
tehniliste ja korralduslike turvameetmete üldine kirjeldus.

23 of 35

Vastutava töötleja kohustused: andmeturve

Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas:

isikuandmete pseudonümiseerimine ja krüpteerimine;
võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;
võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;
tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

24 of 35

Vastutava töötleja kohustused: mõjuhinnang

isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;
artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või
avalike alade ulatuslik süstemaatiline jälgimine.

25 of 35

Õigusmõiste: profiilianalüüs

profiilianalüüs“– igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega.

26 of 35

Õigusmõiste: suur oht

Suur oht

a. identiteedivarguse või -pettuse oht (eriti digitaalse usaldusteenuse ning sellega võrreldava identiteedihaldusteenuse puhul)
b. oht varale (eriti panga- ja krediitkaarditeenuse kaudu)
c. oht sõnumisaladuse rikkumisele (eriti sideteenuse puhul)
d. inimese asukoha reaalajas jälitamine (eriti sideteenuse puhul)
e. inimese majandusliku seisu avalikuks saamine (eriti maksuandmete, pangaandmete ning krediidireitingu andmete kaudu – kuid ei hõlma avalike andmete kasutamist)
f. oht õiguslike tagajärgedega või samalaadse mõjuga diskrimineerimiseks (sealhulgas töövahendusteenuses ning palga- ja karjäärivõimalusi mõjutavas hindamisteenuses)
g. laste isikuandmete töötlemine (lastele suunatud teenustes)
h. seadusest tuleneva saladuse hoidmise kohustusega kaitstud teabe avalikuks saamise oht (juurdepääsupiiranguga teave, ameti- ja kutsesaladusega kaitstud teave)

27 of 35

Vastutava töötleja kohustused: mõjuhinnang

kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;
isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;
andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning
ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks.

1 of 35

2 of 35

3 of 35

4 of 35

5 of 35

6 of 35

7 of 35

8 of 35

9 of 35

10 of 35

11 of 35

12 of 35

13 of 35

14 of 35

15 of 35

16 of 35

17 of 35

18 of 35

19 of 35

20 of 35

21 of 35

22 of 35

23 of 35

24 of 35

25 of 35

26 of 35

27 of 35

28 of 35

29 of 35

30 of 35

31 of 35

32 of 35

33 of 35

34 of 35

35 of 35