inaki-del-olmo-602632-unsplash

Isikuandmete töötlemise seaduslikkus

Isikuandmete töötlemise õiguslikud alused on reguleeritud isikuandmete kaitse üldmääruse (GDPR) artiklis 6. Isikuandmete töötlemisel peab vähemalt üks järgmistest tingimustest olema täidetud.

Nõusolek

Inimene on andnud selgesõnalise nõusoleku ettevõttele tema isikuandmete töötlemiseks konkreetsel eesmärgil. Nõusolek peab selgelt eristuma muudest küsimustest, et inimesele oleks arusaadav, milliseid andmeid temalt kogutakse ja kuidas neid kasutatakse. Inimesel on õigus oma nõusolek igal ajal tagasi võtta ning ettevõte on kohustatud sellest lähtuma ja lõpetama isikuandmete töötlemise. Nõusoleku tagasivõtmine peab toimuma samal viisil ning olema sama lihtne kui nõusoleku andmine. Ettevõte peab tõendama, et inimene on nõustunud oma isikuandmete töötlemisega. Kui isikuandmeid kasutatakse mitmel erineval eesmärgil, on vaja inimese eraldi nõusolekut iga töötlemiseesmärgi jaoks.

Leping

Andmetöötlus on vajalik ettevõttega sõlmitud lepingu täitmiseks või inimese taotlusel lepingu sõlmimisele eelnevate toimingute tegemiseks. Inimene on andnud nõusoleku isikuandmete töötlemiseks, kui ta sõlmib lepingu, mis eeldab isikuandmete töötlemist. Sellest hoolimata on ettevõte kohustatud inimest teavitama, milliseid isikuandmeid ja kuidas töödeldakse.

Seadusest tulenev kohustus

Isikuandmete töötlemine on vajalik juriidiliste tohustuste täitmiseks. s. Andmetöötluse kohustused võivad tuleneda siseriiklikest seadustest. Näiteks Eesti raamatupidamise seaduse järgi on ettevõtted kohustatud raamatupidamisdokumente säilitama 7 aastat. Avaliku sektori asutused töötlevad  isikuandmeid seadusest tulenevate ülesannete täitmiseks.  Näiteks on andmetöötlus määrava tähtsusega maksuameti, politsei ja teiste uurimisorganite töös.

Elulised huvid

Andmetöötlus on vajalik inimese eluliste huvide kaitsmiseks, kui inimene on ohus või tal puudub võimalus nõusoleku andmiseks. Näiteks on kiirabil õigus pääseda ligi inimese meditsiinilistele andmetele, kui on toimunud õnnetus ning inimene on teadvuseta. Eluliste huvides kaitsmiseks vajalik andmetöötlus puudutab eelkõige äärmuslikke tingimusi ja olukordi.

Avalik huvi

Andmetöötlus on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, kui vastava ülesanne või tegevus on seaduses selgelt kirjas.

Õigustatud huvi

Andmetöötlus on vajalik ettevõtte või kolmanda isiku õigustatud huvi korral, välja arvatud kui sellise huvi kaaluvad üles inimese huvid või põhiõigused ja -vabadused, mille nimel tuleb isikuandmeid kaitsta. Õigustatud huvi andmetöötluses puudutab üksnes olukordi, kus esineb asjakohane suhe inimese ja andmetöötleja vahel. Näiteks esineb taoline suhe kliendi ja teenusepakkuja vahel, kui inimene võib mõistlikult eeldada, et teenuse pakkumise käigus tema isikuandmeid töödeldakse. Õigustatud huviks võib olla andmete edastamine ettevõtete grupi siseselt administratiivsetel eesmärkidel. Avaliku sektori asutuste ülesannete täitmiseks vajalik andmetöötlus ei saa lähtuda õigustatud huvist.

Lahendused isikuandmete töötlemise toimingute registreerimiseks

Nõuded isikuandmete töötlemise toimingute registreerimiseks on esitatud GDPR artiklis 30.

GDPR Register on lahendus, mis võimaldab tüüpmalle kasutades andmetöötluse toiminguid lihtsalt ja mugavalt registreerida.

Vt GDPR artiklit 6, mis sätestab andmetöötluse õiguslikud alused. 

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Korraldage oma vastavus asjakohaste GDPR-i tööriistadega.
Registreeru demole ja 14-päevasele prooviversioonile juurdepääsu saamiseks.

Säästa aega ja ole kindel tulemuses

Latest Posts
Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks? Euroopa Komisjon jõudis järeldusele, et Ameerika Ühendriigid...
Isikuandmete töötlemisülevaade

Isikuandmete töötlemisülevaade

Mis on isikuandmete töötlemisülevaade? Isikuandmete kaitse üldmääruse (GDPR) artikkel 30 nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate (andmetöötlustoimingute registri),...
Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks finants-, konkurentsi- ja andmekaitseõiguse rikkumistele edaspidi tõhusamalt reageerida. Kontseptsiooniga kavandatakse Eesti õiguskorda uus...
Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Maikuu lõpus möödus aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud...
Millal võib riik koguda isikuandmeid?

Millal võib riik koguda isikuandmeid?

Riik võib isikuandmeid töödelda vaid seadusega ette nähtud piirides. Isikuandmete töötlemine võib olla mõnes õigusaktis otse reguleeritud või tuletatud sellise...
GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

Võib öelda, et uue isikuandmete kaitse üldmäärusega (IKÜM) kaasnenud paradigma muutusega algas uus ajastu andmekaitse ja privaatsuse mõtestamisel digitaalmaailmas. Selge on see,...
DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

9. mail 2019 tutvustati andmekaitsespetsialistidele ja IT-juhtidele tarkvaralahendusi, mida saab kasutada GDPR nõuete täitmiseks. TAMO koolitusmoodul – SAAS lahendus ettevõtete...
Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Vastavalt Isikuandmete kaitse üldmäärusele (GDPR) ja Isukuandmete Kaitse Seadusele tuleb Andmekaitseinspektsiooni (AKI) viivitamatult teavitada isikuandmetega seotud rikkumisest. Aga mida ja kuidas...
IP-aadressi anonümiseerimine Google Analytics-is

IP-aadressi anonümiseerimine Google Analytics-is

Paljud ettevõtted kasutavad Google Analytics-it abivahendina kogumaks väärtuslikku teavet klientide käitumise kohta oma veebisaitidel või mobiilirakendustes. Vaikimisi kasutab Analytics veebisaidi...
Isikuandmete edastamine kolmandatesse riikidesse

Isikuandmete edastamine kolmandatesse riikidesse

Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation - GDPR) on kehtestanud ranged reeglid andmete edastamisel kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse....