Millal me tohime isikuandmeid töödelda?

Vastus

Te tohite isikuandmeid töödelda ainult järgmistel asjaoludel:

• kui Teil on asjaomaste isikute nõusolek;
• kui see on Teie lepingust tulenev kohustus (Teie ja kliendi vahelise lepingu korral);
• (ELi või liikmesriigi õigusaktis sätestatud) juriidilise kohustuse täitmiseks;
• kui töötlemine on vajalik avalikes huvides oleva (ELi või liikmesriigi õigusaktis sätestatud) ülesande täitmiseks;
• üksikisiku eluliste huvide kaitsmiseks;
• seoses Teie organisatsiooni õigustatud huviga, kuid enne tuleb kontrollida, et see ei mõjutaks tõsiselt selle isiku põhiõigusi ja -vabadusi, kelle andmeid Te töötlete. Kui tema õigused kaaluvad üles Teie huvid, siis ei saa Te seoses õigustatud huviga andmeid töödelda. Hinnang, kas Teie õigustatud huvi töödelda kaalub üles asjaomaste isikute huvid, tuleb anda konkreetse üksikjuhtumi asjaolude põhjal.

Näited

Nõusolek
Te pakute muusikarakendust ja palute inimeste nõusolekut nende muusikaliste eelistuste töötlemiseks, et anda kohandatud muusikasoovitusi ja pakkuda võimalikke kontserte.

Lepingulised kohustused
Te müüte veebi kaudu kaupu. Te võite töödelda andmeid, mis on vajalikud üksikisiku soovil sammude astumiseks enne lepingu sõlmimist ja lepingu täitmiseks. Seega võite Te töödelda kliendi nime, tarneaadressi, krediitkaardi numbrit (kui makstakse krediitkaardi abil) jne.

Juriidiline kohustus
Teil on ettevõte ja töötajaid. Sotsiaalkindlustuse jaoks on Teil juriidiline kohustus esitada asjaomasele riigiasutusele töötajate isikuandmeid (nt nende nädalapalk).

Avalikud huvid
Näiteks kutseliit (nagu advokatuur või meditsiinitöötajate liit) võib avaliku võimu teostamiseks viia läbi distsiplinaarmenetluse oma liikmete suhtes.

Üksikisiku elulised huvid
Te esindate haiglat, kus ravitakse raske avarii tagajärjel kannatanut. Te ei vaja ta nõusolekut, et otsida tema isikukoodi abil oma andmebaasist ta haiguslugu või võtta ühendust tema lähisugulastega.

Teie organisatsiooni õigustatud huvi
Te esindate ettevõtet ja võrguturbe tagamiseks jälgite oma töötajate IT-seadmete kasutamist. Te tohite sellel eesmärgil isikuandmeid töödelda, kui Te valite võimalikult vähe pealetükkiva meetodi seoses Teie töötajate eraelu puutumatuse ja andmekaitse õigusega, näiteks piirates juurdepääsu teatavatele veebisaitidele. (Pidage silmas, et seda ei saa teha riikides, kus siseriiklikus õiguses on sätestatud rangemad eeskirjad tööhõive kontekstis töötlemisele.)

Viited

• Artikkel 6; põhjendused 40–49.
• Artikli 29 alusel asutatud andmekaitse töörühma arvamus 6/2014 vastutava töötleja õigustatud huvi mõiste kohta kooskõlas direktiivi 95/46/EÜ artikliga 7.

Examples

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).