25. mail 2018. a jõustus isikuandmete kaitse üldmäärus

Andmetöötleja kohustused (allikas: Andmekaitse Inspektsioon)

Kohustus Kirjeldus
Isikuandmete töötlemise põhimõtete rakendamine Andmete töötleja on kohustatud andmete töötlemisel täitma:

 • seaduslikkuse, õigluse ja läbipaistvuse põhimõtet,
 • eesmärgi piirangu põhimõtet,
 • võimalikult väheste andmete kogumise põhimõtet,
 • õigsuse põhimõtet,
 • säilitamise piirangu põhimõtet,
 • usaldusväärsuse ja konfidentsiaalsuse põhimõtet.
 • Vastutuse põhimõtet.

Määruse artikkel 5 (1)

Turvaline isikuandmete töötlemine Andmete vastutav ja volitatud töötleja on kohustatud rakendama andmetele vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslike meetmeid.

Määruse artikkel 32

Andmetöötleja andmekaitsetingimused (n-ö privaatsuspoliitika) Isikuandmete vastutaval töötlejal on kohustus esitada isikule teavet tema isikuandmete töötlemise tingimuste ning tema õiguste kohta.

Määruse artiklid 12-14

Lõimitud ja vaikimisi andmekaitse Uute toodete või teenuste planeerimise ning rakendamise käigus tuleb arvestada andmekaitse põhimõtete ning asjakohaste turvameetmete rakendamisega.

Määruse artikkel 25

Töötlemistoimingute registreerimine Isikuandmete vastutavad ja volitatud töötlejad peavad pidama töötlemistoimingute registrit ning nõudmise korral tegema selle kättesaadavaks andmekaitse järelevalveasutusele.

NB! Registripidamine ei ole kohustuslik ettevõtjale või organisatsioonile, kus on vähem kui 250 töötajat. Väljaarvatud juhul, kui andmete töötlemine kujutab ohtu isiku õigustele ja vabadustele, andmete töötlemine ei ole juhtumipõhine, töödeldakse isikuandmete eriliike või andmeid, mis on seotud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega.

Määruse artikkel 30

Rikkumisteated
 1. Isikuandmete vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sh asjaolud, mõju ja parandusmeetmed.
 2. Vastutav töötleja teavitab isikuandmetega seotud rikkumisest andmekaitse järelevalveasutust 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta ohtu isikute õigustele ja vabadustele.
 3. Vastutav töötleja teavitab viivitamatult isikut isikuandmetega seotud rikkumisest, kui see kujutab endast suurt ohtu isiku õigustele ja vabadustele, välja arvatud juhul, kui andmetele on kehtestatud kaitsemeetmed, mis muudavad need isikutele loetamatuks (krüpteeritud); on võetud kasutusele meetmed, mis vähendavad ohtu isiku õigustele ja vabadustele; või teavitamine nõuab ebaproportsionaalseid pingutusi (sellisel juhul asendatakse isiku teavitamine avaliku teadaandega)

Määruse artiklid 33 ja 34

Mõjuhinnang Isikuandmete vastutav töötleja on kohustatud hindama enne isikuandmete töötlemist kavandatavate toimingute mõju isikuandmete kaitsele, eelkõige uute tehnoloogiate kasutamisel ning arvestades töötlemise laadi, ulatust, konteksti ning eesmärke, mis võivad tekitada suure ohu isiku õigustele ja vabadustele.

Määruse artikkel 35

Eelnev konsulteerimine Isikuandmete vastutav töötleja on kohustatud konsulteerima enne isikuandmete töötlemise alustamist andmekaitse järelevalveasutusega juhul, kui mõjuhinnangust (artikkel 35) selgub, et hoolimata meetmete rakendamisest püsib isiku õigustele ja vabadustele suur oht.

Määruse artikkel 36

Andmekaitsespetsialist Isikuandmete vastutav ja volitatud töötleja on kohustatud määrama andmekaitsespetsialisti järgnevatel juhtudel:

 • Isikuandmeid töötleb avaliku sektori asutus või organ, sh avalikke ülesandeid täitvad eraõiguslikud isikud;
 • isikuandmete töötlemisega toimub ulatuslik isikute korrapärane ja süstemaatiline jälgimine;
 • andmetöötleja põhitegevusekson andmete eriliikide või süütegudega seotud isikuandmete ulatuslik töötlemine.

Andmetöötleja avaldab andmekaitseametniku kontaktandmed. Samuti teavitab ta need andmekaitse järelevalveasutusele.

Määruse artiklid 37-39

Loe ka: Andmekaitsespetsialisti ülesanded, teadmised ja oskused

Isikuandmete edastamine kolmandatesse riikidesse Isikuandmeid võib edastada kolmandasse riiki, kui Euroopa Komisjon on teinud otsuse, et riigis on tagatud piisav isikuandmete kaitse tase. Ilma selle otsuseta võib andmeid edastada asjakohaste kaitsemeetmete alusel (kontsernisisesed eeskirjad, standardsed andmekaitseklauslid, lepingu tüüptingimused jms).

Määruse artiklid 44-50