2 (3)
Andmetöötleja saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse
protsesse. Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see
andmekaitsetingimustest.
Ettevõtte või asutuse andmekaitsetingimuste dokument peaks vastama vähemalt neljale „milline
on“ küsimusele.
1. Milline on andmete kogumise õiguslik alus?
2. Milline on andmete elutsükkel ehk kui kaua andmeid erinevates andmetöötlusprotsessides
kasutatakse?
3. Milline on ettevõtte või asutuse roll erinevate andmete töötlemisel, s.t kas tegemist on
vastutava, kaasvastutava või volitatud töötlejaga?
4. Milline on inimese võimalus saada teavet enda andmete kohta?
Olulised on ka vastused kolmele „kas“ küsimusele.
1. Kas toimub andmete automaattöötlus?
2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?
3. Kas on esitatud andmetöötleja enda kontaktandmed?
Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest
ning sellest, kui paljusid töötlustoiminguid ja milliseid inimeste gruppe see puudutab. Nt peaks
olema andmete säilitamine minimaalne ehk kustutatud kohe kui eesmärk on täidetud (kui osutub
vajalikuks andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne
põhjendatud aeg, millal andmed kustutatakse).
Märgime, et vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1
sätestatud põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende
täitmist tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava
töötleja kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse,
sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise
või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
Isikuandmete töötlemisel (sh kogumisel, säilitamisel, edastamisel vms) peab eelkõige jälgima
kõige tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata
isikute kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest,
õigustamata edastamised vms).
Andmetöötlejal on oluline teadvustada, et andmesubjektil on õigus teada, kuidas tema
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (ettevõttevälised isikud, nt
maksu- ja tolliamet, haigekassa) ning kes neid andmeid veel töötleb (ettevõttesisesed isikud ning
ettevõttega seotud isikud, nt raamatupidamisteenuse osutaja), mistõttu tasub eeskirjad kirja panna
ning töötajale tutvustada enne tema isikuandmete töötlemist. Soovi korral võib andmesubjekt
pöörduda selgituste saamiseks andmetöötleja poole ning seejärel vajadusel Andmekaitse
Inspektsiooni poole.
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma.
Kui Teil on vaja konkreetsemat õiguslikku seisukohta lähtuvalt konkreetsetest asjaoludest ning
töödeldavatest andmetest, siis soovitame pöörduda õigusnõustajate (advokaadid, juristid jne)
poole. Samuti leiab informatsiooni andmetöötleja vastutusest ning kohustustest isikuandmete
töötlemisel siit.
Loodan, et minu selgitustest on abi.