Vaata fondia.com
Sisu puudutab Eesti seadusandlust.
 

Isikuandmete töötlemise toimingute registreerimine

Isikuandmete töötlemine peab olema seaduslik. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus peab olema andmesubjektide jaoks läbipaistev. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata andmete kogumise ajal. Isikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik. See eeldab eelkõige, et tagatakse andmete säilitamise aja piirdumine rangelt minimaalsega.

Antut ei saa vastutav või volitatud töötleja täita, kui vastutav töötlejal endal ei ole informatsiooni, milliseid andmeid ettevõte ning millistel eesmärkidel täpsemalt kogub, kui kaua säilitab jne. Seetõttu peakski andmetöötleja koostama isikuandmete töötlemise ülevaate, kus on kaardistatud kõik vastutava töötleja andmetöötlustoimingud.

Isikuandmete töötlemise ülevaade, mis on koostatud vastutava töötleja poolt, peab sisaldama järgmist informatsiooni:

  1. vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

  2. töötlemise eesmärgid;

  3. andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

  4. vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid;

  5. kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning vajadusel sobivate kaitsemeetmete kohta koostatud dokumendid;

  6. võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;

  7. võimaluse korral tehniliste ja korralduslike turvameetmete üldine kirjeldus.

Ka volitatud töötleja või asjakohasel juhul volitatud töötleja esindaja peab pidama kõigi vastutava töötleja nimel tehtavate isikuandmete töötlemise toimingute registrit, st isikuandmete töötlemisülevaadet, mis peab sisaldama järgmist teavet:

  1. volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

  2. vastutava töötleja nimel tehtava töötlemise kategooriad;

  3. kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning vajadusel sobivate kaitsemeetmete kohta koostatud dokumendid;

  4. võimaluse korral tehniliste ja korralduslike turvameetmete üldine kirjeldus.

Isikuandmete töötlemise ülevaade peab olema koostatud kirjalikult, sealhulgas elektrooniliselt.

Juhul kui järelevalveasutus seda nõuab, siis teeb vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja vastava ülevaate kättesaadavaks järelevalveasutusele.