Miks on vaja reegleid isikuandmete töötlemise kohta? Sest inimesed vajavad kindlustunnet, et nende kohta käivat teavet kogutakse ja kasutatakse ausalt, õigesti ja turvaliselt. Ilma selleta ei teki usaldust. Kui inimesed ei usalda, kuidas nende andmeid kasutatakse, siis digimajanduse ja e-riigi areng seiskub.

Järgnevalt on toodud tabeli kujul andmetöötleja peamiste kohustuste nimekiri.

Üldmäärus ja direktiiv (need normid on üle võetud IKS-i) sätestavad andmetöötleja vastutuse põhimõtte. Andmetöötleja peab jälgima niihästi õigusnorme ja õiguspraktikat kui ka infotehnilist arengut, sellest tulenevaid võimalusi ja ohte. Kuid norme rakendavad ja tehnoloogiat kasutavad ikkagi inimesed. Andmeid töötleva ettevõtte/asutuse töökorraldus on kõige alus.

Andmekaitseõigus muutub keerulisemaks, infotehniline areng toob kaasa üha uusi võimalusi ja ohte. Ettevõtted/asutused vajavad seetõttu üha enam andmekaitse alast oskusteavet. Mõnel juhul nõuab üldmäärus ja õiguskaitseasutuste andmekaitsedirektiiv (ning seda üle võttev IKS) andmetöötlejalt andmekaitseametniku määramist.

Üldmääruse ja direktiivi üks läbivaid põhimõtteid on andmetöötleja vastutus. Andmetöötleja vastutab inimeste suhtes seadusliku, õiglase ning läbipaistva andmetöötluse korraldamise eest.Seda kõike ei saa teha, kui andmetöötlejal ei ole omaenda andmetöötlusest täit pilti. Seetõttu peab ta kaardistama oma andmetöötlustoimingud. Nimetame selle tulemusena valminud dokumenti isikuandmete töötlemisülevaateks.

Iga mõistlik andmetöötleja hindab nii või teisiti oma tänaseid ja tulevasi ohte, kui selleks on vajadus. Õiguslikus mõttes on seda vaja kolme nõude täitmiseks.

Olete vastutava töötlejana teinud kavandatud andmetöötlusele andmekaitsealase mõjuhinnangu ja hinnanud ohte. Näete selle põhjal, et vaatamata kavandatud abinõudele ohtude vähendamiseks tooks uus andmetöötlus tõenäoliselt endaga kaasa suure ohu teokssaamise (nt. võimaldaks identiteedivargust, rahalist kahju, mainekahju, diskrimineerimist jne). Sel juhul tuleb enne andmetöötlusega alustamist eelkonsulteerida Andmekaitse Inspektsiooniga.

Kellele tuleb sellest teatada? Isikuandmetega seotud rikkumine on üldmääruse/direktiivi ning seda üle võtva IKS-i tähenduses turvanõuetega seotud rikkumine, mis põhjustab andmete lubamatu hävimise, kaotsimineku või muutmise või lubamatu avalikustamise või lubamatu juurdepääsu võimaldamise.

Õigus tutvuda enda kohta käivate andmetega on Euroopa Liidu/Ühenduse liikmesriikides kehtinud aastast 1995 saadik. Isikuandmete kaitse üldmäärus tõi selle kõrvale õiguse nõuda andmete ülekandmist. Esimene neist on laiem (ligipääs mistahes alusel kogutud ja mistahes kujul hoitavatele andmetele, sh nt paberandmetele). Teine on kitsam (üksnes digitaalandmed, mis kogutud lepingu või nõusoleku alusel).

Nõusolek üldmääruse tähenduses on andmesubjekti vabatahtlik, konkreetne, teadlik, ühemõtteline tahteavaldus, millega ta kas avalduse vormis või selget nõusolekut väljendava tegevusega nõustub enda kohta käivate isikuandmete töötlemisega. Õiguskaitseasutuste andmekaitsedirektiivi kohaldamisalas (vt IKS 4. peatükk) nõusolekut ei kasutata.

Antud peatükis käsitletakse isikuandmete töötlemise läbipaistvuse nõuet üldmääruse kohaldamisalas. Üldmäärus on läbipaistvuse toonud esmakordselt andmekaitse aluspõhimõtete hulka.

Isikuandmete kaitse üldmäärus näeb ette enne kõrge ohuga andmetöötlusega alustamist viia läbi andmekaitsealane mõjuhinnang. See on tegevus, mille käigus andmetöötleja hindab ja analüüsib, milliseid isikuandmeid ja milliste vahenditega ta oma tegevuse eesmärkide täitmiseks töötleb ning kas ja milliseid organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid rakendab.

Allpool on toodud nõusoleku kontrollküsimustik.

Allpool on toodud andmekaitsetingimuste kontrollküsimustik.

Isikuandmete kaitse üldmäärus sisustab 26 mõistet (vt art. 4). Õiguskaitseasutuste andmekaitsedirektiiv selgitab 16 mõistet (vt art. 3). Samas kasutavad nii üldmäärus kui direktiiv mitmeid õiguslikult sisustamata ning küllalt laia tõlgendamisruumi võimaldavaid termineid, millele otseseid selgitusi õigusaktis pole antud, kuid millest arusaamine on õigusnormide täitmiseks oluline. Nendeks on isikuandmete töötlemise laad, ulatus, kontekst, eesmärk.