Veel
Navigatsioon
I PEATÜKK Üldsätted (1-4)
Artikkel 1. Reguleerimisese ja eesmärgidArtikkel 2. Sisuline kohaldamisalaArtikkel 3. Territoriaalne kohaldamisalaArtikkel 4. Mõisted
II PEATÜKK Põhimõtted (5-11)
Artikkel 5. Isikuandmete töötlemise põhimõttedArtikkel 6. Isikuandmete töötlemise seaduslikkusArtikkel 7. Nõusoleku andmise tingimusedArtikkel 8. Tingimused, mida kohaldatakse lapse nõusolekule seoses infoühiskonna teenustegaArtikkel 9. Isikuandmete eriliikide töötlemineArtikkel 10. Süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemineArtikkel 11. Töötlemine, mille käigus ei nõuta isiku tuvastamist
III PEATÜKK Andmesubjekti õigused (12-23)
Artikkel 12. Selge teave, teavitamine ja andmesubjekti õiguste teostamise kordArtikkel 13. Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektiltArtikkel 14. Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektiltArtikkel 15. Andmesubjekti õigus tutvuda andmetegaArtikkel 16. Õigus andmete parandamiseleArtikkel 17. Õigus andmete kustutamisele („õigus olla unustatud“)Artikkel 18. Õigus isikuandmete töötlemise piiramiseleArtikkel 19. Kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisestArtikkel 20. Andmete ülekandmise õigusArtikkel 21. Õigus esitada vastuväiteidArtikkel 22. Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüsArtikkel 23. Piirangud
IV PEATÜKK Vastutav töötleja ja volitatud töötleja (24-43)
Artikkel 24. Reguleerimisese ja eesmärgidArtikkel 25. Lõimitud andmekaitse ja vaikimisi andmekaitseArtikkel 26. Kaasvastutavad töötlejadArtikkel 27. Väljaspool liitu asuvate vastutavate töötlejate või volitatud töötlejate esindajadArtikkel 28. Volitatud töötlejaArtikkel 29. Töötlemine vastutava töötleja ja volitatud töötleja volituse aluselArtikkel 30. Isikuandmete töötlemise toimingute registreerimineArtikkel 31. Koostöö järelevalveasutusegaArtikkel 32. Töötlemise turvalisusArtikkel 33. Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisestArtikkel 34. Andmesubjekti teavitamine isikuandmetega seotud rikkumisestArtikkel 35. Andmekaitsealane mõjuhinnangArtikkel 36. Eelnev konsulteerimine
Artikkel 37. Andmekaitseametniku määramine
Artikkel 38. Andmekaitseametniku ametiseisundArtikkel 39. Andmekaitseametniku ülesandedArtikkel 40. ToimimisjuhendidArtikkel 41. Heakskiidetud toimimisjuhendite järgimise järelevalveArtikkel 42. SertifitseerimineArtikkel 43. Sertifitseerimisasutused
V PEATÜKK Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele (44-50)
Artikkel 44. Edastamise üldpõhimõttedArtikkel 45. Edastamine kaitse piisavuse otsuse aluselArtikkel 46. Edastamine asjakohaste kaitsemeetmete kohaldamiselArtikkel 47. Siduvad kontsernisisesed eeskirjadArtikkel 48. Andmete edastamine või avaldamine juhtudel, kui see ei ole liidu õiguse kohaselt lubatudArtikkel 49. Erandid konkreetsetes olukordadesArtikkel 50. Isikuandmete kaitseks tehtav rahvusvaheline koostöö
VI PEATÜKK Sõltumatud järelevalveasutused (51-59)
Artikkel 51. JärelevalveasutusArtikkel 52. SõltumatusArtikkel 53. Järelevalveasutuse liikmetele esitatavad üldtingimusedArtikkel 54. Järelevalveasutuse asutamise eeskirjadArtikkel 55. PädevusArtikkel 56. Juhtiva järelevalveasutuse pädevusArtikkel 57. ÜlesandedArtikkel 58. VolitusedArtikkel 59. Tegevusaruanne
VII PEATÜKK Koostöö ja järjepidevus (60-70)
Artikkel 60. Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostööArtikkel 61. Vastastikune abiArtikkel 62. Järelevalveasutuste ühisoperatsioonidArtikkel 63. Järjepidevuse mehhanismArtikkel 64. Andmekaitsenõukogu arvamusArtikkel 65. Vaidluste lahendamine andmekaitsenõukogu pooltArtikkel 66. KiirmenetlusArtikkel 67. TeabevahetusArtikkel 68. Euroopa AndmekaitsenõukoguArtikkel 69. SõltumatusArtikkel 70. Andmekaitsenõukogu ülesandedArtikkel 71. AruandedArtikkel 72. MenetlusArtikkel 73. EesistujaArtikkel 74. Eesistuja ülesandedArtikkel 75. SekretariaatArtikkel 76. Konfidentsiaalsus
VIII PEATÜKK Õiguskaitsevahendid, vastutus ja karistused (77-84)
Artikkel 77. Õigus esitada järelevalveasutusele kaebusArtikkel 78. Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastuArtikkel 79. Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastuArtikkel 80. Andmesubjektide esindamineArtikkel 81. Menetluse peatamineArtikkel 82. Õigus hüvitisele ja vastutusArtikkel 83. Trahvide määramise üldtingimusedArtikkel 84. Karistused
IX PEATÜKK Isikuandmete töötlemise eriolukordi käsitlevad sätted (85-91)
Artikkel 85. Isikuandmete töötlemine ning sõna- ja teabevabadusArtikkel 86. Isikuandmete töötlemine ja üldsuse juurdepääs ametlikele dokumentideleArtikkel 87. Riikliku isikukoodi töötlemineArtikkel 88. Isikuandmete töötlemine töösuhete kontekstisArtikkel 89. Kaitsemeetmed ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgilArtikkel 90. Saladuse hoidmise kohustusedArtikkel 91. Kirikute ja usuühenduste suhtes kehtivad andmekaitsenormid
X PEATÜKK Delegeeritud õigusaktid ja rakendusaktid (92-93)
Artikkel 92. Delegeeritud volituste rakendamineArtikkel 93. Komiteemenetlus
XI PEATÜKK Lõppsätted (94-95)
Artikkel 94. Direktiivi 95/46/EÜ kehtetuks tunnistamineArtikkel 95. Seos direktiiviga 2002/58/EÜArtikkel 96. Seos varem sõlmitud lepingutegaArtikkel 97. Komisjoni aruandedArtikkel 98. Liidu muude andmekaitsealaste õigusaktide läbivaatamineArtikkel 99. Jõustumine ja kohaldamine
GDPR > Artikkel 37. Andmekaitseametniku määramine
Allalaadimine

Artikkel 37 GDPR. Andmekaitseametniku määramine

Article 37 GDPR. Designation of the data protection officer

1. Vastutav töötleja ja volitatud töötleja määravad andmekaitseametniku, kui

1. The controller and the processor shall designate a data protection officer in any case where:

a) isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

Ühendused
Ühendused

b) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

Ühendused
Ühendused

c) vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.

Ühendused
Ühendused

2. Kontsern võib määrata ühe andmekaitseametniku, tingimusel et andmekaitseametnik on hõlpsasti kättesaadav kõikidest tegevuskohtadest.

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

Ühendused
Ühendused

3. Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme sellise asutuse või organi jaoks määrata ühe andmekaitseametniku olenevalt nende organisatsioonilisest struktuurist ja suurusest.

3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.

Ühendused
Ühendused

4. Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja või volitatud töötleja või nende kategooriaid esindavad ühendused ja muud organid määrata andmekaitseametniku või nad peavad seda tegema, kui see on nõutav liidu või liikmesriigi õigusega. Andmekaitseametnik võib tegutseda selliste vastutavaid töötlejaid või volitatud töötlejaid esindavate ühenduste ja muude organite heaks.

4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

5. Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 39 osutatud ülesandeid.

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

Ühendused
Ühendused

6. Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita ülesandeid teenuslepingu alusel.

6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

7. Vastutav töötleja või volitatud töötleja avaldab andmekaitseametniku kontaktandmed ning teatab need järelevalveasutusele.

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.

Isikuandmete kaitse üldmäärus

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Ekspertide kommentaar ISO 27701 Põhjendustes Suunised & Case Law Jäta kommentaar
Ekspertide kommentaar

(EN) The article explains when and under what conditions a Data Protection Officer (DPO) should be appointed or hired. In most cases, at least one of the following conditions is sufficient for the company to be required to have a DPO:

  • if data processing is performed by state authorities (except for courts)


terviktekstile juurdepääsuks

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 37 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


terviktekstile juurdepääsuks

Põhjendustes

(97) Kui töötlemist teostab avaliku sektori asutus, välja arvatud kohtud või sõltumatud õigusasutused, kui nad teevad menetlusotsuseid, töötlejaks on erasektoris vastutava töötleja, kelle põhitegevus hõlmab isikuandmete töötlemise toiminguid, mis eeldavad ulatuslikku regulaarset ja süstemaatilist järelevalvet andmesubjektide üle, või kui vastutava töötleja või volitatud töötleja põhitegevus hõlmab isikuandmete eriliikide ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist, peaks vastutavat töötlejat või volitatud töötlejat abistama andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes kontrollib käesoleva määruse täitmist asutuse või töötleja poolt. Erasektoris on vastutava töötleja põhitegevus seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena. Erialaste teadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt teostatavatele andmetöötlustoimingutele ning vastutava töötleja või volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele. Sellistel andmekaitseametnikel, sõltumata sellest, kas nad on vastutava töötleja töötajad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil.

(97) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.

Suunised & Case Law Jäta kommentaar
[js-disqus]