Veel
Navigatsioon
I PEATÜKK Üldsätted (1-4)
Artikkel 1. Reguleerimisese ja eesmärgidArtikkel 2. Sisuline kohaldamisalaArtikkel 3. Territoriaalne kohaldamisalaArtikkel 4. Mõisted
II PEATÜKK Põhimõtted (5-11)
Artikkel 5. Isikuandmete töötlemise põhimõttedArtikkel 6. Isikuandmete töötlemise seaduslikkusArtikkel 7. Nõusoleku andmise tingimusedArtikkel 8. Tingimused, mida kohaldatakse lapse nõusolekule seoses infoühiskonna teenustegaArtikkel 9. Isikuandmete eriliikide töötlemineArtikkel 10. Süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemineArtikkel 11. Töötlemine, mille käigus ei nõuta isiku tuvastamist
III PEATÜKK Andmesubjekti õigused (12-23)
Artikkel 12. Selge teave, teavitamine ja andmesubjekti õiguste teostamise kordArtikkel 13. Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektiltArtikkel 14. Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektiltArtikkel 15. Andmesubjekti õigus tutvuda andmetegaArtikkel 16. Õigus andmete parandamiseleArtikkel 17. Õigus andmete kustutamisele („õigus olla unustatud“)Artikkel 18. Õigus isikuandmete töötlemise piiramiseleArtikkel 19. Kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisestArtikkel 20. Andmete ülekandmise õigusArtikkel 21. Õigus esitada vastuväiteidArtikkel 22. Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüsArtikkel 23. Piirangud
IV PEATÜKK Vastutav töötleja ja volitatud töötleja (24-43)
Artikkel 24. Reguleerimisese ja eesmärgid
Artikkel 25. Lõimitud andmekaitse ja vaikimisi andmekaitseArtikkel 26. Kaasvastutavad töötlejadArtikkel 27. Väljaspool liitu asuvate vastutavate töötlejate või volitatud töötlejate esindajadArtikkel 28. Volitatud töötlejaArtikkel 29. Töötlemine vastutava töötleja ja volitatud töötleja volituse aluselArtikkel 30. Isikuandmete töötlemise toimingute registreerimineArtikkel 31. Koostöö järelevalveasutusegaArtikkel 32. Töötlemise turvalisusArtikkel 33. Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisestArtikkel 34. Andmesubjekti teavitamine isikuandmetega seotud rikkumisestArtikkel 35. Andmekaitsealane mõjuhinnangArtikkel 36. Eelnev konsulteerimineArtikkel 37. Andmekaitseametniku määramineArtikkel 38. Andmekaitseametniku ametiseisundArtikkel 39. Andmekaitseametniku ülesandedArtikkel 40. ToimimisjuhendidArtikkel 41. Heakskiidetud toimimisjuhendite järgimise järelevalveArtikkel 42. SertifitseerimineArtikkel 43. Sertifitseerimisasutused
V PEATÜKK Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele (44-50)
Artikkel 44. Edastamise üldpõhimõttedArtikkel 45. Edastamine kaitse piisavuse otsuse aluselArtikkel 46. Edastamine asjakohaste kaitsemeetmete kohaldamiselArtikkel 47. Siduvad kontsernisisesed eeskirjadArtikkel 48. Andmete edastamine või avaldamine juhtudel, kui see ei ole liidu õiguse kohaselt lubatudArtikkel 49. Erandid konkreetsetes olukordadesArtikkel 50. Isikuandmete kaitseks tehtav rahvusvaheline koostöö
VI PEATÜKK Sõltumatud järelevalveasutused (51-59)
Artikkel 51. JärelevalveasutusArtikkel 52. SõltumatusArtikkel 53. Järelevalveasutuse liikmetele esitatavad üldtingimusedArtikkel 54. Järelevalveasutuse asutamise eeskirjadArtikkel 55. PädevusArtikkel 56. Juhtiva järelevalveasutuse pädevusArtikkel 57. ÜlesandedArtikkel 58. VolitusedArtikkel 59. Tegevusaruanne
VII PEATÜKK Koostöö ja järjepidevus (60-70)
Artikkel 60. Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostööArtikkel 61. Vastastikune abiArtikkel 62. Järelevalveasutuste ühisoperatsioonidArtikkel 63. Järjepidevuse mehhanismArtikkel 64. Andmekaitsenõukogu arvamusArtikkel 65. Vaidluste lahendamine andmekaitsenõukogu pooltArtikkel 66. KiirmenetlusArtikkel 67. TeabevahetusArtikkel 68. Euroopa AndmekaitsenõukoguArtikkel 69. SõltumatusArtikkel 70. Andmekaitsenõukogu ülesandedArtikkel 71. AruandedArtikkel 72. MenetlusArtikkel 73. EesistujaArtikkel 74. Eesistuja ülesandedArtikkel 75. SekretariaatArtikkel 76. Konfidentsiaalsus
VIII PEATÜKK Õiguskaitsevahendid, vastutus ja karistused (77-84)
Artikkel 77. Õigus esitada järelevalveasutusele kaebusArtikkel 78. Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastuArtikkel 79. Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastuArtikkel 80. Andmesubjektide esindamineArtikkel 81. Menetluse peatamineArtikkel 82. Õigus hüvitisele ja vastutusArtikkel 83. Trahvide määramise üldtingimusedArtikkel 84. Karistused
IX PEATÜKK Isikuandmete töötlemise eriolukordi käsitlevad sätted (85-91)
Artikkel 85. Isikuandmete töötlemine ning sõna- ja teabevabadusArtikkel 86. Isikuandmete töötlemine ja üldsuse juurdepääs ametlikele dokumentideleArtikkel 87. Riikliku isikukoodi töötlemineArtikkel 88. Isikuandmete töötlemine töösuhete kontekstisArtikkel 89. Kaitsemeetmed ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgilArtikkel 90. Saladuse hoidmise kohustusedArtikkel 91. Kirikute ja usuühenduste suhtes kehtivad andmekaitsenormid
X PEATÜKK Delegeeritud õigusaktid ja rakendusaktid (92-93)
Artikkel 92. Delegeeritud volituste rakendamineArtikkel 93. Komiteemenetlus
XI PEATÜKK Lõppsätted (94-95)
Artikkel 94. Direktiivi 95/46/EÜ kehtetuks tunnistamineArtikkel 95. Seos direktiiviga 2002/58/EÜArtikkel 96. Seos varem sõlmitud lepingutegaArtikkel 97. Komisjoni aruandedArtikkel 98. Liidu muude andmekaitsealaste õigusaktide läbivaatamineArtikkel 99. Jõustumine ja kohaldamine
GDPR > Artikkel 24. Reguleerimisese ja eesmärgid
Allalaadimine

Artikkel 24 GDPR. Reguleerimisese ja eesmärgid

Article 24 GDPR. Subject-matter and objectives

1. Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

ISO 27701 Ühendused
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 24(1) GDPR:

7.2.8 Records related to processing PII

Control

The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.

Implementation guidance

A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs.


terviktekstile juurdepääsuks

Ühendused

2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 5.1.1.

Here is the relevant paragraph to article 24(2) GDPR:

6.2.1.1 Policies for information security

Implementation guidance

Either by the development of separate privacy policies, or by the augmentation of information security policies, the organization should produce a statement concerning support for and commitment to achieving compliance with applicable PII protection legislation and/or regulation and with the contractual terms agreed between the organization and its partners, its subcontractors and its applicable third parties (customers, suppliers etc.), which should clearly allocate responsibilities between them.


terviktekstile juurdepääsuks

3. Vastutava töötleja kohustuste järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.

ISO 27701 Ühendused
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 24(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


terviktekstile juurdepääsuks

Ühendused
Isikuandmete kaitse üldmäärus

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Ekspertide kommentaar Põhjendustes Suunised & Case Law Jäta kommentaar
Ekspertide kommentaar

(EN) A controller is a person or an organization that determines the personal data to process and the purposes and means of the processing (Article 4(7)). The definition rightly points to the decision-making capacity of the entity that “decides why and how data will be processed” (ULD Schleswig-Holstein/Wirtschaftsakademie, Opinion of Advocate General).


terviktekstile juurdepääsuks

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
Põhjendustes

(74) Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(75) Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel või prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eriti laste isikuandmeid; kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.

(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может повлечь физический, материальный или моральный вред физическим лицам, как, например, потеря контроля над их персональными данными или ограничение их прав, дискриминация, кража личности или ее мошенническое использование, финансовые потери, несанкционированная повторная идентификация псевдонимизированных данных, ущерб репутации, нарушение конфиденциальности персональных данных, защищенных профессиональной тайной, или любой другой значительный экономический или социальный вред, нанесенный физическому лицу. Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц. В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной задержки.

(76) Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks andmetöötlustoimingutega kaasneb oht või suur oht.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

(77) Suuniseid asjakohaste meetmete rakendamiseks ja nõuete täitmise tõendamiseks vastutava töötleja või volitatud töötleja poolt, eelkõige seoses töötlemisega seotud ohu kindlakstegemisega, selle päritolu, laadi, tõenäosuse ja tõsiduse hindamisega ning ohu leevendamiseks kasutatavate parimate tavade kindlakstegemisega võib anda eelkõige heakskiidetud toimimisjuhenditega, heakskiidetud sertifikaatidega, andmekaitsenõukogu esitatud suunistega või andmekaitseametniku antud juhistega. Andmekaitsenõukogu võib anda ka suuniseid isikuandmete töötlemise toimingute kohta, mille puhul loetakse ebatõenäoliseks, et tekib suur oht füüsiliste isikute õigustele ja vabadustele, ning määrata kindlaks, millised meetmed võivad olla sellistel juhtudel piisavad sellise ohu käsitlemiseks.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

(83) Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

Suunised & Case Law Jäta kommentaar
[js-disqus]