Isikuandmete ttlemine ja isikuandmete vljastamine Taago Phkel Menetlustalituse

Isikuandmete töötlemine ja isikuandmete väljastamine Taago Pähkel Menetlustalituse juhataja Andmekaitse Inspektsioon 28. 09. 2006

Teemad ● Isikuandmed ja töötlemine – Regulatsioon – Kohaldamisala – Põhimõisted – Töötlemise põhimõtted – Töötlemise lubatavus – Andmesubjekti nõusolek – Delikaatsete isikuandmete töötlemine – Isikuandmete väljastamine

Isikuandmete töötlemise regulatsioon ● ● ● Isikuandmete kaitse seadus; Avaliku teabe seadus; Valdkondade eriseadused (nt rahvastikuregistri seadus, karistusregistri seadus, tööturuteenuse seadus, riikliku statistika seadus, infoühiskonna teenuse seadus, elektroonilise side seadus jne); 24. oktoobri 1995 Direktiiv 95/46/EC isikuandmete töötlemise kohta; EN 1981. a Üksikisikute kaitse konventsioon, mis puudutab isikuandmete automatiseeritud töötlemist.

Regulatsiooni eesmärk ● . . . on isikuandmete töötlemisel füüsilise isiku põhiõiguste ja põhivabaduste kaitsmine kooskõlas avalike huvidega.

Isikuandmete kaitse seadust ei kohaldata IKS § 2 lg 2 ● ● Füüsilise isiku poolt isikuandmete töötlemisele isiklikul otstarbel; Kui töödeldakse õiguspäraselt avalikuks kasutamiseks antud isikuandmeid; Kui isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma et neid andmeid Eestis muul viisil töödeldaks; Kui töödeldakse riigisaladust sisaldavaid isikuandmeid, va seaduse üldsätted ja töötlemise nõuded ja töötlemisele kohaldatavad turvameetmed.

Põhimõisted ● Isikuandmed; ● Vastutav töötleja; ● Volitatud töötleja; ● Andmesubjekt; ● Kolmas isik; ● Andmete töötlemine.

Isikuandmed IKS § 4 lg 1 ● . . . on andmed tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad selle isiku füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust.

Isikuandmete jaotus ● Nn tavalised isikuandmed IKS § 4 lg 1 ● Eraelulised isikuandmed IKS § 4 lg 2 ● Delikaatsed isikuandmed IKS § 4 lg 3 ● Eraldi töötlemisnõuetele alluv isikukood IKS § 16

Eraelulised isikuandmed ● . . . on: – Perekonnaelu üksikasju kirjeldavad andmed; – Sotsiaalabi või sotsiaalteenuste osutamise taotlemist kirjeldavad andmed; – Isiku vaimseid või füüsilisi kannatusi kirjeldavad andmed; – Isiku kohta maksustamisega kogutud teave, välja arvatud teave maksuvõlgnevuste kohta.

Delikaatsed isikuandmed (I) ● . . . on: – Poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed (va eraõiguslike juriidiliste isikute liikmeks olemise kohta, nt parteid); – Etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed; – Andmed terviseseisundi või puude kohta; – Andmed pärilikkuse informatsiooni kohta; – Andmed seksuaalelu kohta;

Delikaatsed isikuandmed (II) ● ● Andmed ametiühingu liikmelisuse kohta; Kriminaalmenetluses või muus õigusrikkumise väljaselgitamise menetluses kogutud teave enne avalikku kohtuistungit või otsuse langetamist õigusrikkumise asjas või juhul, kui see on vajalik kõlbluse või inimeste perekonna- ja eraelu kaitseks või kui seda nõuavad alaealise, kannatanu, tunnistaja või õigusemõistmise huvid.

Isikukoodi töötlemise lubatavus ● . . . töötlemine on lubatud ilma andmesubjekti nõusolekuta, kui isikukoodi töötlemine on ette nähtud välislepingus, seaduses või määruses.

Vastutav ja volitatud töötleja ● Vastutav töötleja IKS § 7 – ● . . . on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb või kelle ülesandel töödeldakse isikuandmeid. Volitatud töötleja IKS § 8 – . . . on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb isikuandmeid vastutava töötleja ülesandel haldusakti või lepingu alusel.

Andmesubjekt Kolmas isik ● ● Andmesubjekt on isik, kelle andmeid töödeldakse Kolmas isik on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes ei ole: – – Vastutav töötleja; Volitatud töötleja; Andmesubjekt; Isik, kes vastutava või volitatud töötleja alluvuses töötleb isikuandmeid.

Andmete töötlemine IKS § 5 ● . . . on iga isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine, juurdepääsu võimaldamine, päringute teostamine, väljavõtete tegemine, kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eeltoodut toimingut, sõltumata toimingute teostamise viisist või kasutatavatest vahenditest.

Töötlemise põhimõtted IKS § 6 ● Seaduslikkuse põhimõte; ● Eesmärgikohasuse põhimõte; ● Minimaalsuse põhimõte; ● Kasutuse piiramise põhimõte; ● Andmete kvaliteedi põhimõte; ● Turvalisuse põhimõte; ● Individuaalse osaluse põhimõte.

Töötlemise lubatavus ● ● ● Isikuandmete töötlemine on lubatud üksnes andmesubjeki nõusolekul, kui seadus ei sätesta teisiti; Haldusorgan võib isikuandmeid töödelda üksnes avaliku ülesande täitmisel seaduse või välislepinuga ettenähtud kohustuste täitmiseks; Isikukoodi töötlemine on lubatud ilma andmesubjekti nõusolekuta, kui isikukoodi töötlemine on ette nähtud välislepingus, seaduses või määruses.

Andmesubjekti nõusolek ● ● Nõusolek on selge ja teadlik andmesubjekti tahteavaldus, millega ta lubab oma isikuandmeid töödelda. Enne nõusoleku küsimist peab andmesubjektile teatavaks tegema: – – – Isikuandmete töötlemise eesmärgi; Isikud või nende kategooriad, kellele on isikuandmete edastamine lubatud; Vastutava töötleja või tema esindaja kontaktandmed; Andmesubjekti õiguse nõuda andmete töötlemise lõpetamist, parandamist, sulgemist, kustutamist; töödeldavatele isikuandmetele juurdepääsu korra ja viisi.

Delikaatsete isikuandmete töötlemine ● ● ● Delikaatsete isikuandmete töötlemine registreeritakse viieks aastaks IKS § 24 Vähemalt 3 kuud enne tähtaja möödumist peab vastutav töötleja esitama uue taotluse. Tähtaja möödumisel kaotab vastutav töötleja õiguse töödelda delikaatseid isikuandmeid IKS § 24 Vastutav töötleja on kohustatud registreerima delikaatsete isikuandmete töötlemise Andmekaitse Inspektsioonis Iks § 24

Töötlemise dokumenteerimine-ehk registreerimistaotlus peab sisaldama. ● ● ● ● Isikuandmete töötlemise eesmärgid; Isikuandmete koosseis; Isikute kategooriad, kelle andmeid töödeldakse; Isikuandmete allikad; Isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud; Tingimused isikuandmete välisriiki edastamiseks; Isikuandmete organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete üksikasjalik kirjeldus.

Turvameetmed IKS § 19 ● Andmete terviklus – ● Juhuslik või tahtlik volitamata muutmine Andmete käideldavus - juhuslik ja tahtlik hävimine ning õigustatud isikule andmete kättesaadavuse takistamine ● Andmete konfidentsiaalsus - volitamata töötlemine

Isikuandmete vastutav ja volitatud tööleja on kohustatud IKS § 19 (I): ● ● ● Vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele; Ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist andmetöötlusüsteemis, samuti andmekandjate omavolilist teisaldamist; Ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati;

Isikuandmete vastutav ja volitatud tööleja on kohustatud IKS § 19 (II): ● ● Tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks; Tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja millised isikuandmed edastati, samuti selliste andmete muutusteta säilimise;

Isikuandmete vastutav ja volitatud tööleja on kohustatud IKS § 19 (III): ● ● Tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist; Kujundama ettevõtte, asutuse või ühenduse töökorralduse niisuguseks, et see võimaldaks täita andmetöötluse nõudeid.

Isikuandmete väljastamine IKS § 29 (I) ● Andmesubjektile enda kohta käivaid isikuandmeid (nõudel ka koopiana); – ● Õigust piiratakse, kui see võib kahjustada: ● Teiste isikute õigusi ja vabadusi; ● Lapse põlvnemise saladuse kaitset; ● Kuriteo tõkestamist või kurjategija tabamist; ● Kriminaalmenetluses tõe väljaselgitamist. Lepingu alusel ja/või õigustatud huvi korral määratletud isikute ringile; – Igasugune andmete väljastamine dokumenteeritakse.

Isikuandmete väljastamine (II) ● Isikuandmete väljastamine kolmandatele isikutele õigustatud huvi korral: – ● Isikuandmete, sh delikaatsete isikuandmete väljastamine toimub ainult dokumenteeritult (st isikuandmete väljastamise aluseks peab esitama motiveeritud taotluse, milles näidatakse taotlemise, alus, andmete kasutamise eesmärk, andmete koosseis ja põhjendus). Õigustatud huvi aluseks võib olla: – Avaliku ülesande täitmise käigus seaduse või selle alusel antud õigusaktiga või välislepinguga ettenähtud kohustuste täitmiseks.

Töötleja vastutus ● Töötleja vastutab: – andmete väljastamise õiguspärasuse eest: ● – väljastatavate andmete dokumenteerimise eest: ● – ehk kanderaamatute/logifailide olemasolu nõue ; väljastavate andmete kvaliteedi eest: ● – ehk kellele, mille alusel, millises hulgas ja millisel eesmärgil; Ehk väljastatavad andmed on õiged ja vajadusel viimases seisus; Subjekti teavitamise eest andmete väljastamise kohta kolmandatele isikutele, andmete töötlemise algse eesmärgi muutumisest/laiendamisest/ühendamisest.

Andmesubjekti õigused (I) ● Andmesubjekti soovil peab vastutav/volitatud töötleja teatavaks tegema: – – – Tema kohta käivad isikuandmed; Isikuandmete töötlemise eesmärgi; Isikuandmete koosseisu ja allikad; Kolmandad isikud või nende kategooriad, kelledele on isikuandmete edastamine lubatud; Vastutava töötleja nime ja tegevuskoha aadressi.

Andmesubjekti õigused (II) ● vastutav/volitatud töötleja on kohustatud andmesubjekti nõudmisel, kui töötlemine ei ole vastavuses õigusaktides sätestatuga: – – – ● Lõpetama tema isikuandmete töötlemise, Parandama ebaõiged isikuandmed; Sulgema või kustutama kogutud isikuandmed. Nimetatud tegevustest on töötleja kohustatud viivitamata teavitama andmesubjekti ja kolmandaid isikuid, kellele on isikuandmeid edastatud (va juhul kui andmesubjekt on teadlik või teavitamine on ebaproporstsionaalselt raske).

Andmesubjekti õigused (III) ● ● Subjekti teavitamise kohustus ei kehti ka juhul kui subjekti õigused teavet saada olid eelnevalt piiratud; Andmesubjekti õiguste rikkumisel on tal õigus nõuda temale tekitatud kahjude hüvitamist: – – Riigivastutuse seaduses sätestatud alustel ja korras (kui rikkumine leidis aset avalike ülesannete täitmise käigus); Võlaõigusseaduses sätestatud alustel ja korras (kui rikkumine leidis aset eraõiguslikus suhtes).

Andmesubjekti õiguste piiramine ● . . . kui see võib kahjustada: – – ● Teiste isikute õigusi või vabadusi; Lapse põlvnemise saladuse kaitset; Kuriteo tõkestamist või kurjategija tabamist; Kriminaalmenetluses tões väljaselgitamist. Otsuse teabe andmisest keeldumise kohta teeb vastutav töötleja ning teavitab sellest andmesubjekti.

Eksimused ● ● ● Isikuandmeid väljastatakse kontrollimata õigustatud huvi olemasolu; Isikuandmete väljastamist ei dokumenteerita või dokumenteeritakse puudulikult; Muudetakse isikuandmete töötlemise eesmärki, kuid ei teavitata andmesubjekti; Ei teadvustata enda kui töötleja vastutust isikuandmete väljastamisel; Ei tutvustata andmesubjektile tema õigusi ega motiveerita keelduvat väljastamise otsust.

vaidlustamine ● Isik, kelle õigusi on rikutud, võib vaidega pöörduda Andmekaitse Inspektsiooni poole või kaebusega halduskohtusse kas isiklikult või oma esindaja kaudu.

Loengu lõpp Tänan tähelepanu eest! AKI koduleht on www. dp. gov. ee Küsimused võib esitada ka: tel. 627 41 35 või info@dp. gov. ee