Alates 25. maist 2018. a tuleb isikuandmete töötlemisel juhinduda Euroopa Liidu isikuandmete kaitse üldmäärusest 2016/679, mida tähistatakse lühendiga GDPR (General Data Protection Regulation). Kuna õppeasutused töötlevad suures mahus isikuandmeid, sh alaealiste isikuandmeid, siis puudutab uus üldmäärus ka kõiki Eesti koole ja lasteaedu.

Üldmääruse kehtima hakkamise ajaks peavad õppeasutused olema veendunud, et nad järgivad isikuandmeid töödeldes üldmäärust ja peavad olema vajadusel valmis seda ka tõendama.

Haridus- ja teadusministeeriumi tellimusel ning hariduse infotehnoloogia sihtasutuse koordineerimisel on valminud ülevaatlik juhendmaterjal, mis aitab selgitada, mida üldmäärus koolidele ja lasteaedadele kaasa toob ja kuidas tagada nõuetele vastavust.

Juhendmaterjali väljatöötamises osalesid FocusIT OÜ partnerid Doris Matteus, Jaan Oruaas, Janek Part ja Anu Tanila, HITSA juristid Raili Sassian ja Katri Samarütel ning Grant Thornton Baltic OÜ riskijuhtimisteenuste valdkonna juht Siiri Antsmäe ja õigusnõustaja Allan Kubu.

Juhendmaterjaliga saate tutvuda siin.

• iga asutus peab kirjeldama ja dokumenteerima, milliseid isikuandmeid, millisel eesmärgil ja millisel õiguslikul alusel ta töötleb;
• kuivõrd koolid töötlevad isikuandmeid, sealhulgas alaealiste isikuandmeid, süsteemselt ja suures ulatuses, siis peab asutuses olema määratud andmekaitsespetsialist;
• reguleeritud andmesubjekti õigustest tulenevalt peab olema valmis andma teavet, milliseid isikuandmeid töödeldakse ning millisel eesmärgil;
• korraldama andmekaitsealase mõjuhinnangu, et selgitada välja, kas rakendatavad organisatsioonilised, füüsilised ja infotehnoloogilised turvameetmed on piisavad, et tagada nõutud tasemel isikuandmete kaitse;
• registreerima andmekaitsealased rikkumised, teatama neist andmekaitsespetsialistile ning teavitama andmekaitse inspektsiooni rikkumistest, mis põhjustavad tõenäoliselt suurt ohtu isikute õigustele ja privaatsusele.