Ettevõte ja asutus

Mida Eesti ettevõte ja asutus peavad GDPR kohaselt tegema?

 • Teadma, milliseid isikuandmeid, millisel eesmärgil ja millisel alusel ta töötleb (kogub, jne).
 • Teadma, kuidas ta isikuandmeid kaitseb ja suutma vastata selle kohta esitatud küsimustele.
 • Rakendama vaikimisi andmekaitse ja lõimitud andmekaitse põhimõtteid.
 • Tagama oma võrgu- ja infosüsteemidele nõutava infoturbe taseme.
 • Teavitama Andmekaitse Inspektsiooni ja füüsilisi isikuid GDPR nõuete rikkumisest.
 • Saama füüsiliselt isikult nõusoleku tema isikuandmete töötlemiseks kui see on kohustuslik ja andma töötlemise kohta avalikult teavet ehk privaatsustingimused.
 • Saama alla 13-aastaste lapse isikuandmete kogumiseks lapse vanema nõusoleku.
 • Pidama isikuandmete töötlemise kohta katkematult arvestust ehk toimingute ülevaade.
 • Kasutama andmekaitsespetsialisti teenust kui isikuandmed on GDPR mõttes eriliigilised või kui töödeldavaid isikuandmeid on palju või kui neid töödeldakse regulaarselt.
 • Vastutama talle teenuseid osutavate kolmandatest isikutest teenusepakkujate kogu tegevuse eest.
 • Tegema uute andmetöötlustegevuste korral eelnevalt andmekaitse mõjuhinnangu.
 • Kehtestama kaitsemeetmed isikuandmete piiriüleseks edastamiseks EL-st väljapoole.
 • Enne teatud andmetöötlustegevusi konsulteerima Andmekaitse Inspektsiooniga.
 • Suutma nõudmisel tõendada oma tegevuse vastavust GDPR-s toodud nõuetele.
 • Koolitama oma töötajaid, kes pääsevad (kliendi, töötaja jne) isikuandmete juurde.