Vaata fondia.com
Sisu puudutab Eesti seadusandlust.
 

Kuidas ning millal tohib isikuandmeid töödelda?

Isikuandmete töötlemisel tuleb tagada, et:

  1. töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev;

  2. isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus;

  3. isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt;

  4. isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata;

  5. isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;

  6. isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid.

Nende põhimõtete täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja.

Ülmääruses kirjeldatakse, et võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, mis on vajalikud ülaltoodud andmekaitsepõhimõtete  tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita üldmääruse nõudeid ja kaitsta andmesubjektide õigusi (nn lõimitud andmekaitse).

Lihtsustatult öeldes tähendab lõimitud andmekaitse seda, et juba enne andmete töötlemist nö kirjutatakse erinevatesse tööprotsessidesse sisse, kuidas võib andmeid töödelda ning ühtlasi, milliseid turvameetmeid peab nende andmete kaitsmiseks rakendatama, näiteks isikuandmete pseudonüümimine, e-kirjade edastamisel turvalahenduse kasutamine (nt VPN) jms.

Üldmäärus sätestab, et lisaks „lõimitud andmekaitse põhimõtte“ rakendamisele vastutaval töötlejal rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks (nn vaikimisi andmekaitse). Näteks, algseadistused peavad olema määratud selliselt, et need kujutaksid andmetele vähim ohtu.

Ühtlasi, isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest:

  1. andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgi;

  2. isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

  3. isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks;

  4. isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;

  5. isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

  6. isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

Juhul kui isikuandmete töötlemine põhineb andmesubjekti nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.

Kuid millistele tingimustele peab vastama andmesubjekti nõusolek?

See peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt, kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega

Nõusolek peab olema muudest küsimustest selgelt eristatav, ning vormistatud arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt.

Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta ning see peab olema sama lihtne kui selle andmine.

Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku isikuandmine andmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.

Oluline on, et isikuandmete töötlemine peab olema alati põhjendatud seoses vastutava töötleja äritegevusega. Seega on juba enne isikuandmete töötlemist, oluline kindlaks määrata, kus kohast andmed on saadud  ning kuhu neid plaanitakse edastada. See, kas isikuandmete töötlemise eesmärk on põhjendatud on just tihedalt seotud vastutava töötleja äritegevusega.

Tähele tuleb panna ka seda, et andmekaitsenõuded on enamasti tehnoloogiliselt neutraalsed, mis tähendab, et vastavaid nõudeid tuleb kohaldada sõltumata tehnilistest meetoditest, mida andmete salvestamiseks või kogumiseks kasutatakse.