Rikkumise definitsioon sisaldub GDPR artikli 4 punktis 12 – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;
- Millal peab andmetöötleja Andmekaitse Inspektsiooni rikkumisest teavitama?
Vastutav töötleja peab järelevalveasutust isikuandmetega seotud rikkumisest teavitama kui rikkumine kujutab endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele.
Vastavalt GDPR artikli 33 lõikele 1 tuleb järelevalveasutust teavitada põhjendamatu viivituseta mitte hiljem kui 72 tunni jooksul rikkumisest teada saamisest arvates. Hilisemat teavitamist tuleb põhjendada.
- Mida kujutab endast oht füüsilise isiku õigustele ja vabadustele ?
Näidisloetelu sisaldub GDPR preambula selgituspunktis 75:
Ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise kohta; kui töödeldakse kaitsetute füüsiliste isikute, eriti laste isikuandmeid; kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.
- Millal teavitada lisaks järelevalveasutusele ka andmesubjekte?
Vastavalt GDPR artikli 34 lõikele 1 tuleb andmesubjekte teavitada siis kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.
- Mida peab teavitus andmesubjektidele sisaldama?
Teates tuleb rikkumist kirjeldada selges ja lihtsas keeles. Vastavalt GDPR artikli 34 lõikele 2 peab teade sisaldama vähemalt järgmist:
- andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;
- isikuandmetega seotud rikkumise võimalike tagajärgede – ehk kahju – kirjeldus;
- vastutava töötleja poolt juhtumi lahendamiseks ja kahju leevendamiseks võetud või kavandatavate meetmete kirjeldus.