Skip to content

GDPR vastutus: mida ELi ettevõtted peavad dokumenteerima

GDPRi vastutus tähendab nõuete täitmise tõendamist, mitte pelka kinnitamist. Millised dokumendid peavad ELi ettevõttel olemas olema — ROPA, mõjuhinnang, korrad — ja kuidas see kogum kokku panna.

Hajutatud isikuandmete töötlemise andmestikud koonduvad üheks terviklikuks ja kontrollitud GDPRi vastutuse dokumendikoguks Euroopa kaardi tuhmil taustal — meresinine ja korallpunane kreemikal põhjal.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Enamik ettevõtteid käsitleb GDPRi nõuete täitmist seisundina, mille saab kätte — allkirjastad korra, lisad küpsiste teate ja ongi valmis. Määrus näeb seda kui midagi, mida Te peate suutma tõendada. See on vastutuse põhimõte ja kogu seaduse vaikne keskpunkt: artikli 5 lõike 2 kohaselt vastutab ettevõte isikuandmete kaitse põhimõtete täitmise eest ja peab suutma seda tõendada [1]. Praktikas on see tõendamine dokumendikogum — registrid, hinnangud, korrad ja menetlused, mis kirjeldavad täpselt ja omavahel kooskõlas, kuidas Teie organisatsioon isikuandmeid päriselt käsitleb. Juriidilise osakonnata Euroopa ettevõtte jaoks ongi selle kogumi loomine ja ülalhoidmine GDPRi tegelik ülesanne. See juhend kirjeldab, mida kogum sisaldab, miks iga osa olemas on ja kuidas kohustus Euroopas erineb — sealhulgas miks "Euroopa" ei tähenda sama mis "Ühendkuningriik".

Lühike vastus. GDPRi vastutus (artikli 5 lõige 2) tähendab, et ettevõte ei pea andmekaitsenõudeid mitte üksnes täitma, vaid suutma seda ka tõendada — dokumentidega. Põhikogumi moodustavad töötlemistoimingute register, õigusliku aluse ja teavitamise kiht, lepingud volitatud töötlejatega ning mõjuhinnang seal, kus risk on suur — kõik hoituna täpsena, just Teie ettevõttele kohasena ja sisemiselt kooskõlas.

Mida vastutus GDPRi kohaselt tegelikult tähendab

Enamik GDPRi kohustusi on üldjoontes tuttavad: olgu õiguslik alus, selgita inimestele, mida nende andmetega teed, hoia neid turvaliselt, austa nende õigusi. Vastutus on põhimõte, mis muudab need kohustused kavatsustest millekski kontrollitavaks. Artikli 5 lõige 2 paneb vastutavale töötlejale kohustuse "vastutada andmekaitse põhimõtete täitmise eest ja suuta seda tõendada", ning artikkel 24 nõuab, et Te rakendaksite asjakohaseid meetmeid ja suudaksite tõendada, et Teie töötlemine on määrusega kooskõlas [1]. Otsustavad on sõnad suuta tõendada. Nõuete täitmine, mida Te ei suuda küsimisel paberil näidata, ei lähe arvesse.

See muudab seda, kelle õlul tõendamiskoormus lasub. Uurimist alustav järelevalveasutus, teenusepakkujate tausta kontrolliv suurklient või lepingut sõlmiv partner ei alusta eeldusest, et Te rikute nõudeid — kuid hetkel, mil nad ütlevad "näidake", langeb sidusate tõendite esitamise vastutus Teile, mitte neile. Ja katse, mida nad kohaldavad, ei mõõda mahtu. Mapp üldsõnalisi kordi ei veena kedagi; järelevalveasutused otsivad täpsust ja sisemist kooskõla — dokumente, mis kirjeldavad Teie tegelikku töötlemist, nimetavad Teie päris süsteemid ja teenusepakkujad ega ole üksteisega vastuolus. Euroopa Komisjoni enda suunised organisatsioonidele sõnastavad selle kohustuse just niimoodi: nõuete täitmise tõendamine registrite, mõjuhinnangute ja rikkumiste dokumenteerimise kaudu [2].

Selle sõna taga olev panus ei ole abstraktne. GDPR toetab vastutust haldustrahvidega kuni 20 miljonit eurot või 4 % ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb on suurem, kõige raskemate rikkumiste eest [1]. Ent enamiku väikeste ja keskmise suurusega ettevõtete jaoks on teravam ja sagedasem surve pigem ärilist kui regulatiivset laadi: suurema kliendi hanke- või tarnijakontrolli protsess küsib enne allkirja andmist Teie töötlemistoimingute registrit, isikuandmete töötlemise lepingut ja turvadokumentatsiooni — ning tehing jääb seisma sel nädalal, mil Te neid esitada ei suuda. Vastutuse dokumentatsioonist on vaikselt saanud eeltingimus suurematele organisatsioonidele müümisel ja seesama loogika laieneb kindlustusandjatele ja partneritele. Just seetõttu loovad ettevõtted seda kogumit üha enam ennetavalt — ärilise tõendina, mis lubab partneril usaldada neile isikuandmeid, selle asemel et oodata, kuni regulaator küsib.

Nõnda raamib vastutus kogu ülesande ümber. Küsimus ei ole enam abstraktselt "kas me täidame nõudeid?", vaid "mida me suudame just praegu näidata iga asja kohta, mida me isikuandmetega teeme?". Kõik järgnev on vastus sellele küsimusele.

Dokumendikogum: mida Euroopa ettevõtted peavad näitama

Ühtset "GDPRi sertifikaati" ei ole olemas. Selle asemel tõendab vastutust dokumendikogum, kus iga dokument on seotud kindla kohustusega ja mis koos katavad iga toimingu, milles Teie organisatsioon isikuandmeid töötleb. See, milliseid osi Te vajate, sõltub sellest, mida Te teete — teenusepakkujale tuginemine toob kaasa volitatud töötleja lepingu, suure riskiga töötlemine toob kaasa mõjuhinnangu —, kuid selgroog on Euroopa ettevõtetel ühesugune.

Lihtsalt öeldes ehitatakse kogum toiming toimingu kaupa:

  • Töötlemistoimingute register (ROPA), artikkel 30. Selgroodokument: iga töötlemistoimingu loend — millised andmed, kelle omad, milleks, mis alusel, kellega neid jagatakse, kui kaua säilitatakse, mis neid kaitseb. Riiklikud asutused, näiteks Prantsusmaa CNIL, avaldavad just seetõttu vorme, et see on vahend, mille järele nad esimesena haaravad; regulaatorite sõnul on tegu dokumendiga, mis täidab nii ülevaate kui ka analüüsi eesmärki ja peab kajastama Teie tegelikku töötlemist [1][4].
  • Õiguslik alus igale toimingule, artikkel 6 — ja õigustatud huvi kaalumine. Iga toiming vajab üht kuuest õiguslikust alusest. Kui Te tuginete õigustatud huvile (artikli 6 lõike 1 punkt f), peate dokumenteerima kolmeosalise kaalumistesti — eesmärk, vajalikkus ja tasakaal isiku õiguste suhtes —, mille distsipliini Euroopa Kohus 2024. aasta KNLTB lahendis taaskinnitas [1][9].
  • Andmesubjekti teavitamine, artiklid 13–14. See, mida Te ütlete inimestele, kelle andmeid hoiate, sõltuvalt sellest, kas kogusite need otse neilt või mitte. Teave peab registriga kokku langema; lahknevus selle vahel, mida Te ütlete ja mida registreerite, on just selline vastuolu, mida asutus otsib [1].
  • Isikuandmete töötlemise lepingud, artikkel 28. Iga kord, kui teenusepakkuja töötleb isikuandmeid Teie nimel — palgaarvestusbüroo, pilvemajutus, e-posti platvorm —, nõuab artikkel 28 kindlate tingimustega lepingut. Komisjon avaldab just selleks ametlikud lepingu tüüptingimused, millele nõuetekohane leping saab tugineda [1][5].
  • Edastamise kaitsemeetmed, V peatükk. Kui isikuandmed lahkuvad Euroopa Majanduspiirkonnast, vajate kehtivat edastamismehhanismi — kaitse piisavuse otsust või Komisjoni lepingu tüüptingimusi rahvusvaheliseks edastamiseks [1][6].
  • Andmekaitsealane mõjuhinnang (DPIA), artikkel 35. Nõutav seal, kus töötlemine toob tõenäoliselt kaasa suure riski — eriliiki isikuandmete ulatuslik töötlemine, süstemaatiline jälgimine, ulatuslik profiilianalüüs. Euroopa suunised seavad üheksa kriteeriumi ja loevad kahe või enama täitmist käivitajaks; iga riiklik asutus avaldab ka oma kohustusliku mõjuhinnangu loetelu [1][3].
  • Korrad, mitte üksnes dokumendid. Kogumi ümber on tegevuslikud osad: kord, kuidas käsitleda andmesubjekti taotlusi ühe kuu jooksul (artiklid 12–22), rikkumiste kord, mis suudab vajaduse korral teavitada asutust 72 tunni jooksul (artiklid 33–34), ja sisemine kord, mis kirjeldab tehnilisi ja korralduslikke meetmeid, mis hoiavad andmed turvalisena (artiklid 24, 32) [1].

See ongi anatoomia. Kunst on muuta see Teie omaks — iga väli jälgitav millegi tõeseni Teie ettevõtte kohta — selle asemel et see oleks kaust usutavalt mõjuvat üldsõnalist teksti.

Üks määrus, palju järelevalveasutusi — Euroopa pilt

Just siin on Euroopa vaatenurk oluline ja just siin on lihtne eksida, lugedes Ühendkuningriigi-keskseid nõuandeid. GDPR on määrus, mitte direktiiv: määrus (EL) 2016/679 on vahetult kohaldatav igas ELi liikmesriigis ja laiemas Euroopa Majanduspiirkonnas, mis hõlmab Norrat, Islandit ja Liechtensteini [1][2]. Kandvad artiklid — vastutus, õiguslik alus, töötlemistoimingute register, mõjuhinnang, andmesubjekti õigused — on identne tekst Saksamaal, Prantsusmaal, Itaalias, Hispaanias, Poolas, Slovakkias ja kõikjal mujal. Kogu Euroopas tegutsev ettevõte ehitab ELi tuuma üks kord.

Muutub riiklik kiht, mis kantakse selle tuuma peale. Igal riigil on oma järelevalveasutus — CNIL Prantsusmaal, Garante Itaalias, AEPD Hispaanias, BfDI ja liidumaade (Länder) asutused Saksamaal ja nii edasi — ning igaüks võib kehtestada riiklikke eripärasid: vanuse, mil laps saab nõustuda veebiteenustega (kogu liidus seatud vahemikku 13–16 aastat), töösuhteandmete reeglid ja asutuse enda loetelu toimingutest, mis nõuavad alati mõjuhinnangut. Nende järelevalveasutuste kooskõla hoiavad koos Euroopa Andmekaitsenõukogu ja ühe akna mehhanism, nii et tuum ei killustu [8]. Vastutuse kogumi jaoks tähendab see, et struktuur on ühtne ja varieeruvus piiratud: kaardista ELi tuum ja lisa siis iga riigi jaoks, kus tegutsed, mõned riiklikud eripärad.

Ja just seetõttu ei ole Euroopa sama mis Ühendkuningriik. Pärast Brexitit on Ühendkuningriik ELi GDPRist väljas. Ta kohaldab oma UK GDPR-i koos 2018. aasta andmekaitseseadusega, mille järele valvab ICO, ja on riigisiseste reformidega hakanud ELi tekstist kõrvale kalduma. Šveitsil, mis ei ole kunagi ELi kuulunud, on oma uuendatud föderaalne andmekaitseseadus. Seega peaks ELile keskendunud ettevõte käsitlema Ühendkuningriiki ja Šveitsi eraldiseisvate paralleelsete režiimidena — omaette dokumenteeritavate jurisdiktsioonidena —, mitte ELi määruse kohalike variantidena [2]. Suur osa laialt jagatud "GDPRi" nõuannetest on tegelikult Ühendkuningriigi nõuanded; ELi ja EMP keskse töötlemise jaoks on määrus, järelevalveasutused ja viidatavad alustekstid Euroopa omad.

Kus vastutus läheb keerulisemaks: tehisintellekt ja automatiseeritud otsused

Tehisintellekti kasutuselevõtt ei loo eraldi nõuete täitmise universumit, kuid lisab vastutuse kogumile kaalu. Olulised on kolm punkti. Esiteks, automatiseeritud üksikotsuste tegemine ja profiilianalüüs, millel on inimestele õiguslikud või sarnaselt olulised tagajärjed, nõuab artikli 22 kohaselt eraldi kaitsemeetmeid — sealhulgas paljudel juhtudel õigust inimsekkumisele [1]. Teiseks, tehisintellekt, mis töötleb isikuandmeid ulatuslikult või analüüsib inimeste profiile, vastab sageli artikli 35 kriteeriumidele ja toob seega kaasa mõjuhinnangu [1][3]. Kolmandaks vajate Te endiselt selget ja dokumenteeritud õiguslikku alust igasuguseks treenimiseks või järelduste tegemiseks, mida tehakse isikuandmetel.

GDPRi kõrval lisab ELi tehisintellekti määrus (määrus (EL) 2024/1689) tehisintellektisüsteemidele endile eraldi riskipõhise kohustuste kihi [7]. Kaks režiimi toimivad paralleelselt: tehisintellekti määrus reguleerib süsteemi, GDPR reguleerib isikuandmeid, mida see puudutab — ja GDPRi vastutus kehtib hetkest, mil tehisintellektisüsteem isikuandmeid töötleb, olenemata sellest, kuidas tehisintellekti määrus selle liigitab. Praktiline tagajärg on see, et organisatsioon, mis viib töö tehisintellekti, pärib dokumenteerimist juurde, mitte vähem. Laiemat regulatiivset lähenemist käsitleme oma juhendis tehisintellekti haldamisest ja kohalduvatest reeglitest, ning tegutsemismudelit, mis hoiab need tõendid tekkimas tavatöö kõrvalsaadusena, tehisintellekti-põhise ettevõtteEN artiklis.

Aus märkus: dokumentatsioon on vajalik, kuid mitte piisav

Oleks mugav öelda, et niipea, kui kogum on olemas, täidate Te nõudeid. Te ei täida — ja vastupidi teesklemine on klassikaline viis, kuidas vastutus läbi kukub. Kolm ausat piiri.

Esiteks, dokumendid peavad reaalsusega kokku langema ja Te peate neid ka päriselt rakendama. Kord, mis kirjeldab juurdepääsukontrolle, mida Teie süsteemid ei jõusta, või register, millest puudub vastuvõtus olev videovalve, ei ole neutraalne — see on tõend nõuete rikkumisest. Kogum tõendab vastutust üksnes siis, kui see on täpne, sisemiselt kooskõlas ja päriselt elluviidud. Teiseks, dokumendikogum ei ole õigusnõustamine ega sertifitseerimine. Seaduses nõutud dokumentide koostamine on struktureeritud kirjutamine, mitte õiguslik arvamus Teie konkreetse olukorra kohta; ja "GDPRi järgi sertifitseeritud" staatust hea paberimajandus ei anna — artikli 42 kohane ametlik sertifitseerimise tee on eraldiseisev akrediteeritud mehhanism. Kolmandaks, mõni olukord vajab spetsialisti. Tõeliselt keeruline mõjuhinnang, vaieldav piiriülene struktuur või käimasolev regulatiivne uurimine ei ole tüüpdokumendi maa; õige samm seal on pöörduda kvalifitseeritud nõustaja poole, ja hea vastutuse protsess ütleb Teile, millal.

Nende piiride nimetamine ei ole põiklemine. See on vahe kogumi vahel, mis peab kontrollile vastu, ja kausta vahel, mis variseb kokku esimesel korral, kui keegi seda tähelepanelikult loeb.

Kuidas oma vastutuse kogum kokku panna

Reaalselt on kogumi koostamiseks kolm võimalust. Advokaadibüroo või andmekaitsespetsialisti konsultant annab täpsuse ja otsustusvõime, kuid aeglaselt ja hinnaga, mis väiksemat ettevõtet pingestab. Üldsõnalised tüüpdokumendid on kiired ja odavad, kuid ei läbi täpsuse ja kooskõla katset, mida asutused tegelikult kohaldavad — ning vastuoluline või õõnes kogum on halvem kui aus lünk. Kolmas tee on tootestatud ja genereeritud kogum: Te vastate struktureeritud küsimustele oma ettevõtte ja selle töötlemistoimingute kohta ning määrusel ja ametlikel suunistel põhinevast klauslite kogust pannakse kokku just Teile kohandatud, sisemiselt kooskõlas kogum — kiire nagu tüüpdokument, kuid spetsiifiline nagu jurist.

Pange kogum kokku ilma advokaadibüroo ajagraafikuta. easyAI GDPR vastutuse dokumentatsioon muudab lühikese juhitud küsimustiku Teie ettevõtte ja selle kohta, kuidas see isikuandmeid käsitleb, kohandatud ja sisemiselt kooskõlas vastutuse kogumiks — töötlemistoimingute register, sisemine kord, andmesubjekti teavitamine, lepingud volitatud töötlejatega, õigustatud huvi kaalumine seal, kus seda vajate, ja mõjuhinnangu eelhindamine —, mis genereeritakse mõne päevaga, inglise keeles ja Teie riigikeeles, väikese osa eest individuaalse töö maksumusest. See on dokumentatsiooni tugi, mitte õigusnõustamine ega sertifitseerimine, ja eeldab, et Te toimite nii, nagu see kirjeldab. Kui Teie järgmine samm on tehisintellekt, mitte paberid, siis AI Foundation AuditEN (tehisintellekti alusaudit) järjestab, kus automatiseerimine end ära tasub; alustage näidisaruandestEN. Mõlemad tooted asuvad easyAI platvormil aadressil aiprioritymap.com.

Teiepoolne järjestus on lihtne: loendage iga toiming, mis isikuandmeid puudutab, määrake igale õiguslik alus, kirjutage registrid ja teated, mis neid kirjeldavad, vormistage lepingud teenusepakkujatega, hinnake suure riskiga juhtumid ja seadke püsti õiguste ning rikkumiste korrad — seejärel hoidke tervik ajakohasena, kui Teie töötlemine muutub. Vastutus ei ole projekt, mille Te lõpetate; see on seisund, mida Te hoiate. Kuid esimesed ja kõige raskemad 80 % — täielik, kooskõlas ja just Teie ettevõttele kohane kogum, mille saate panna iga küsija ette — on just see osa, mille saab nüüd pigem genereerida kui käsitsi kokku panna.

Korduma kippuvad küsimused

Kokkuvõte

GDPR vastutus — tõenda seda, ära lihtsalt väida
│
├─ Põhimõte (artikli 5 lõige 2, artikkel 24)
│   ├─ Vastavust peab suutma tõendada, mitte üksnes väita
│   ├─ Tõendamiskoormus lasub Teil, vastutaval töötlejal
│   └─ Asutused kontrollivad täpsust + sidusust, mitte mahtu
│
├─ Mida peate suutma tõendada
│   ├─ Töötlemistoimingute register — iga toiming (artikkel 30)
│   ├─ Õiguslik alus + huvide kaalumine õigustatud huvile (artikkel 6)
│   ├─ Teavitamine · töötlejate lepingud · edastamine (artiklid 13/14, 28, V ptk)
│   └─ Mõjuhinnang, kui risk on suur · õiguste + rikkumiste menetlused
│
└─ Üks määrus, palju järelevalveasutusi
    ├─ EL + EMP jagavad ühte tuuma — kaardistage see üks kord
    ├─ Riiklikud asutused lisavad eripärad — CNIL, Garante, AEPD…
    └─ Mitte Ühendkuningriik — UK GDPR + Šveitsi FADP on eraldi

Seotud teemad

Tulemas selles klastris: kuidas koostada töötlemistoimingute registrit, millal ja kuidas teha mõjuhinnangut, õigusliku aluse valik, andmesubjekti õiguste korrad, artikli 28 isikuandmete töötlemise leping ning GDPR tehisintellekti ja automatiseeritud otsuste jaoks.


Viimati uuendatud: 2026. aasta juuni. Versioon 1.0.

Frequently Asked Questions

Mis on vastutuse põhimõte GDPRis?
Vastutus on sätestatud GDPR artikli 5 lõikes 2: vastutav töötleja vastutab määruse täitmise eest ja peab suutma tõendada nimetatud täitmist. See nihutab tõendamiskoormuse ettevõttele. Teil ei piisa sellest, et töötlete isikuandmeid õiguspäraselt — Te peate suutma dokumentidega näidata, kuidas ja miks Te seda teete. Just neid tõendeid soovib näha järelevalveasutus, klient või lepingupartner.
Milliseid dokumente GDPR tegelikult nõuab?
Vastutuse põhikogumi moodustavad töötlemistoimingute register (artikkel 30), iga toimingu õiguslik alus koos õigustatud huvi kaalumisega seal, kus sellele tuginetakse (artikkel 6), andmesubjekti teavitamine nende kohta, kelle andmeid Te hoiate (artiklid 13–14), isikuandmete töötlemise lepingud teenusepakkujatega (artikkel 28) ning andmekaitsealane mõjuhinnang seal, kus töötlemine võib kaasa tuua suure riski (artikkel 35). Nende ümber on andmesubjekti õiguste ja rikkumiste käsitlemise korrad ning sisemine kord, mis kirjeldab Teie tehnilisi ja korralduslikke meetmeid.
Kas GDPRi kohaldatakse kogu Euroopas ühtemoodi?
Tuum kohaldub ühtemoodi. Määrus (EL) 2016/679 on vahetult kohaldatav kogu ELis ja laiemas Euroopa Majanduspiirkonnas — needsamad artiklid kehtivad Saksamaal, Prantsusmaal, Itaalias, Slovakkias ja igas teises liikmesriigis ning lisaks Norras, Islandil ja Liechtensteinis. Erineb riiklik kiht: igal riigil on oma järelevalveasutus ja mõned riiklikud eripärad, näiteks vanus, mil laps saab nõustuda veebiteenustega, töösuhteandmete reeglid ning asutuse enda loetelu toimingutest, mis nõuavad alati mõjuhinnangut.
Kas Ühendkuningriik kuulub ELi GDPRi alla?
Enam mitte. Pärast Brexitit kohaldab Ühendkuningriik oma UK GDPR-i koos 2018. aasta andmekaitseseadusega, mille järele valvab ICO, ja on riigisiseste reformidega hakanud ELi tekstist kõrvale kalduma. Ka Šveitsil on oma uuendatud föderaalne andmekaitseseadus. Seega ei ole "Euroopa" andmekaitse üks režiim: EL ja EMP jagavad ühist tuuma, samas kui Ühendkuningriik ja Šveits on eraldiseisvad paralleelsed süsteemid, mida ELile keskendunud ettevõte käsitleb eraldi jurisdiktsioonidena, mitte kohalike variantidena.
Kas väikeettevõtted ja VKEd peavad pidama töötlemistoimingute registrit?
Tavaliselt jah. Artikli 30 lõige 5 näib vabastavat alla 250 töötajaga organisatsioonid, kuid erand langeb ära, kui töötlemine ei ole juhuslik, võib kaasa tuua riski inimestele või hõlmab eriliiki isikuandmeid — mis kirjeldab peaaegu iga ettevõtet, kes arvestab palka, hoiab klientide andmeid või kasutab videovalvet. Praktikas pole enamik VKEsid vabastatud ning Euroopa järelevalveasutused soovitavad tungivalt registrit igal juhul pidada, sest see on kõige kasulikum vahend vastutuse tõendamiseks.
Millal vajab ettevõte andmekaitsealast mõjuhinnangut (DPIA)?
Mõjuhinnang on artikli 35 kohaselt nõutav siis, kui teatud liiki töötlemine toob tõenäoliselt kaasa suure riski inimeste õigustele ja vabadustele — eelkõige eriliiki isikuandmete ulatuslik töötlemine, avalike alade süstemaatiline jälgimine või süstemaatiline ja ulatuslik profiilianalüüs, millel on õiguslikud või sarnaselt olulised tagajärjed. Euroopa suunised seavad üheksa riskikriteeriumi ja loevad kahe või enama täitmist tugevaks märgiks, et mõjuhinnang on vajalik. Iga riiklik asutus avaldab ka oma loetelu toimingutest, mis seda alati nõuavad.
Kas võime lihtsalt kasutada GDPRi tüüpdokumente?
Tüüpdokument võib olla lähtepunkt, kuid see ei läbi katset, mida asutused tegelikult kohaldavad — täpsust ja sisemist kooskõla. Kord, mis kirjeldab turvameetmeid, mida Teie süsteemides ei ole, või register, millest puudub vastuvõtus olev videovalve, on pigem tõend nõuete rikkumisest kui nende täitmisest. Dokumendid peavad kirjeldama Teie organisatsiooni tegelikku töötlemist, nimetama Teie tegelikud süsteemid ja teenusepakkujad ega tohi üksteisega vastuolus olla — ja seejärel peate ka toimima nii, nagu need kirjeldavad.
Kas tehisintellekti kasutamine muudab meie GDPRi kohustusi?
See pigem tõstab panuseid, kui asendab reegleid. Automatiseeritud üksikotsuste tegemine ja profiilianalüüs nõuavad artikli 22 kohaselt eraldi kaitsemeetmeid, isikuandmeid ulatuslikult töötlev tehisintellekt toob sageli kaasa mõjuhinnangu ning Teil on endiselt vaja selget õiguslikku alust igasuguseks isikuandmetel põhinevaks treenimiseks või järelduste tegemiseks. ELi tehisintellekti määrus lisab tehisintellektisüsteemidele eraldi riskipõhise kohustuste kihi, kuid GDPRi vastutus kehtib juba hetkest, mil tehisintellektisüsteem isikuandmeid puudutab — lihtsalt dokumenteerida on rohkem.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.