Mis andmeid me võime töödelda ja mis tingimustel?

Vastus

See, mis liiki isikuandmeid ja mis koguses teie ettevõte või organisatsioon võib töödelda, sõltub põhjusest, miks Te neid töötlete (kasutatud õiguslik põhjus) ja mida Te soovite nendega teha. Te peate järgima mitut tähtsat reeglit, muu hulgas järgmisi:

• isikuandmeid tuleb töödelda seaduslikul ja läbipaistval viisil, tagades, et see toimub õiglaselt isiku suhtes, kelle isikuandmeid Te töötlete („seaduslikkus, õiglus ja läbipaistvus“);
• Teil peavad olema täpselt kindlaks määratud eesmärgid isikuandmete töötlemiseks ja Te peate üksikisikute andmete kogumisel neile need eesmärgid teatavaks tegema. Te ei saa isikuandmeid kindlaksmääramata eesmärgil lihtsalt koguda („eesmärgi piirang“);
• te peate koguma ja töötlema ainult neid isikuandmeid, mis on vajalikud selle eesmärgi täitmiseks („võimalikult väheste andmete kogumine“);
• te peate tagama, et isikuandmed on töötlemise eesmärgi seisukohalt õiged ja ajakohased, ning parandama ebaõiged isikuandmed („õigsus“);
• te ei saa neid isikuandmeid kasutada hiljem teistel eesmärkidel, mis ei ole kooskõlas kogumise algse eesmärgiga;
• te peate tagama, et isikuandmeid säilitatakse ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid koguti („säilitamise piirang“);
• te peate rakendama asjakohaseid tehnilisi või korralduslikke meetmeid, mis tagavad asjakohast tehnoloogiat kasutades isikuandmete turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest („usaldusväärsus ja konfidentsiaalsus“).

Näide

Teie ettevõttel või organisatsioonil on reisibüroo. Klientidelt isikuandmeid saades peaksite selges ja lihtsas keeles selgitama, miks Teil neid andmeid vaja on, kuidas Te neid kasutate ja kui kaua Te kavatsete neid säilitada. Töötlemist tuleks kohandada nii, et see oleks kooskõlas peamiste andmekaitse põhimõtetega.

Viited

• Artikli 5 lõige 1; põhjendus 39.
• Artikli 29 alusel asutatud andmekaitse töörühma arvamus 3/2013 eesmärgi piirangu kohta (WP 203).

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)