Isikuandmete töötlustoimingute registreerimine

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.

2016. aasta 14. aprillil kiitis Euroopa Parlament heaks isikuandmete kaitse üldmääruse, millega asendatakse senine andmekaitsedirektiiv. Uus määrus on otsekohalduv, mis tähendab, et koos siseriiklike rakendusaktidega hakkab see asendama ka senist Eesti isikuandmete kaitse seadust. Määrus jõustus 24.05.2016 ning seda hakatakse kohaldama pärast kaheaastast üleminekuaega, alates 25. maist 2018. a. 

Kuidas oli seni?

Euroopa andmekaitsedirektiiv 95/46 EÜ nägi ette kohustuse registreerida andmekaitseasutuses kõik osalised või täielikult automatiseeritud isikuandmete töötlemise toimingud. Samas nägi direktiiv liikmesriikidele võimaluse eranditeks.

Eestis võeti direktiivi põhimõtted üle isikuandmete kaitse seadusega. Seadus nägi Andmekaitse Inspektsioonis andmetöötlustoimingute registreerimiskohustuse delikaatsete isikuandmete töötlejatele. Välja arvatud juhul, kui andmetöötleja oli määranud isikuandmete kaitse eest vastutava isiku. Sellisel juhul tuli inspektsioonile teatada ainult vastutava töötleja nimi. Küll aga pani seadus vastutavale isikule kohustuse pidada isikuandmete töötlemise registrit, nimetades ära ka registrikannete sisu. Inspektsioonil oli õigus registri sisuga tutvuda.

Mis muutub alates 25. maist 2018?

Andmekaitse üldmääruse üks läbivaid eesmärke on andmetöötleja vastutustundlikkus. See tähendab, et andmetöötlejad peavad olema võimelised aru saama kogu andmetöötlusahelast, tagades inimeste suhtes seadusliku, õiglase ning läbipaistva andmetöötlusprotsessi. Selle nõude täitmist aitab see, kui andmetöötleja dokumenteerib ja säilitab kõik andmed tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta.

Andmetöötlustoimingute registreerimine aitab andmetöötlejatel paremini mõista isikuandmete kaitse olemust, kaardistada oma tegevusi ning paremini planeerida isikuandmete kaitsega seonduvat. See aitab kaasa inimeste põhiõiguste ning -vabaduste parema kaitse tagamisele. Samuti tähendab see ka infosüsteemides logide pidamist andmete kogumise, muutmise, lugemise, avalikustamise, edastamine, ühendamise ja kustutamise kohta.

Seetõttu sätestab andmekaitse üldmääruse artikkel 30 andmetöötleja kohustuse registreerida kõik isikuandmete töötlemise toimingud.

Kas registreerimiskohustus laieneb kõikidele andmetöötlejatele?

Registreerimiskohustus laieneb sisuliselt enamusele isikuandmete töötlejatele.

Seda põhjusel, et üldmääruse artikkel 30(5) kohaselt peavad isikuandmete töötlemise toimingud registreerima kõik andmetöötlejad, kelle töötlemistoimingud:

(1) ei ole juhtumipõhised,
(2) kujutavad endast tõenäoliselt ohtu inimeste õigustele ja vabadustele või
(3) sisaldavad üldmääruse artikli 9 lõikes 1 osutatud isikuandmete eriliike või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.

Seega võime järeldada, et üldmääruse eesmärk justkui vähendada mikro- väikeste ja keskmise suurusega ettevõtete (vähem kui 250 töötajat) halduskoormust, vabastades nad andmetöötlustoimingute registreerimisest, on loosunglik.

Igapäevaelus ei ole just palju ettevõtteid ja organisatsioone, kes oma toodete või teenuste pakkumisel töötleks isikuandmeid ainult juhtumipõhiselt.

Mitte juhtumipõhised toimingud on näiteks eelnevalt planeeritud, läbi viimine organiseeritud ja metoodiline ning on selgelt osa andmetöötleja ärimudelist. Näiteks kindla valimi alusel otseturustuse saatmine või kliendiandmete töötlemine teenindusettevõtete lojaalsusprogrammide raames.

Ka kõik tööandjad on isikuandmete töötlejad (nt andmed töötajate, vabatahtlike, praktikantide, külaliste kohta) ning ei töötle inspektsiooni arvamusel andmeid ainult juhtumipõhiselt. Seega ei tohi registrist välja jätta ka organisatsiooni enda personali kohta käivate isikuandmete töötlemist.

Inimeste õigustele ja vabadustele kujutatavaid ohte oleme varasemalt selgitanud rikkumisteadete postituses.

Meenutame, et ohud tulenevad andmetöötlustoimingutest, mille käigus võib inimesele tekkida füüsiline, materiaalne või mittemateriaalne kahju. Näiteks juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, või mõnda muud tõsist majanduslikku või sotsiaalset kahju.

Eriliigiliste andmete loetelu on toodud üldmääruse artiklis 9(1). Nendeks on näiteks inimese terviseandmed, geneetilised andmed, poliitilisi vaateid kajastavad andmed või biomeetrilised andmed.

Juhul kui isikuandmete töötleja tõepoolest ei paigutu eelnevalt kirjeldatud kriteeriumite raamesse, kuid kelle töötajate arv on 250 või enam, peavad nad isikuandmete töötlemistoimingud siiski registreerima ning vastavat registrit pidama.

Üldmääruse artikkel 30 räägib ettevõtetest ja organisatsioonidest, jättes mainimata avaliku sektori asutused. Avaliku sektori andmetöötlustoimingute põhimõtted tulenevad riigisisestest õigusaktidest. Olgu selleks siis kas avaliku teabe seadus või määrused infosüsteemide turvameetmete süsteemi või infoturbe juhtimise süsteemi kohta.

Samas meenutame, et sõltumata õiguslikust vormist on andmekaitse üldmääruse üks läbivaid nõudeid logida kõik andmetöötleja infosüsteemides tehtavad toimingud.

Mida peab toimingute register sisaldama?

Üldmääruse artikli 30(1) kohaselt peab register sisaldama järgmisi kandeid:

  • vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;
     
  • töötlemise eesmärgid;
     
  • andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;
     
  • vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid;
     
  • kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid;
     
  • võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;
     
  • võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

Töötlemise eesmärk

Isikuandmeid tohib töödelda üksnes õiguspäraste eesmärkide saavutamiseks ning üksnes ulatuses, mis on eesmärkide saavutamiseks vajalik. Isikuandmete töötleja peab suutma põhjendada seost kogutavate andmete hulga ning kogumise eesmärgi vahel. Kindlasti ei saa andmete töötlemise eesmärgiks olla isikuandmete kogumine, vaid eesmärgiks saab olla nende isikuandmete töötlemise tulemusel teatud eesmärgini jõudmine.

Haldusorgani puhul on eesmärgiks õigusaktist tuleneva ülesande täitmine, eraõigusliku isiku puhul on selleks enamasti teatud teenuse osutamine inimesele (nt tervishoiuteenus, kindlustusteenus, kõne- või andmesideteenus).

Andmesubjektide kategooriad

Erinevate teenuseosutajate puhul on sellisteks andmesubjektideks füüsilised isikud, kellele osutatakse teenust (nt kliendid, lõppkasutajad) Muudes lepingulistes suhetes olevate isikute puhul lepingu sõlminud isikud (nt nõustajad, arendajad, toimetajad). Ka kõik tööandjad on isikuandmete töötlejad (nt andmed töötajate, vabatahtlike, praktikantide, külaliste kohta). Sageli töötlevad tööandjad ka eriliigilisi ehk terviseandmeid.

Andmesubjektide kategooriaid võib moodustada ka teistel alustel. Näiteks lapsed, lapsehoidjad, täiskasvanud, sugulased, õpilased, üliõpilased, pensionärid. Samuti vanuserühmiti.

Isikuandmete liigid

Kuigi üldmääruse artikkel 4 nimetab erinevate andmetena isiku-, geneetilisi-, biomeetrilisi-,ja terviseandmeid, ei ole need üldmääruse mõtte kohaselt isikuandmete liigituse aluseks. Isikuandmete liikideks on kas isikuandmed või eriliigilised isikuandmed.

Isikuandmed on füüsilist isikut otseselt või kaudselt tuvastavad andmed. Otsest tuvastamist võimaldavad näiteks inimese nimi, sünniaeg, isikukood, e-posti aadress, elukoha aadress, kasutajatunnused, telefoni number, isiku foto. Kaudselt on isik võimalik tuvastada näiteks tervisliku seisundi, IP-aadressi, küpsiste, hüüdnime, ostuvõime, majandusliku seisundi või auto andmete põhjal.

Eriliigiliste isikuandmete loetelu on toodud üldmääruse artiklis 9(1). Need on andmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse orientatsiooni kohta.

Vastutav töötleja võib isikuandmeid töödelda ise ning delegeerida isikuandmete töötlemise, kas täielikult või osaliselt, teisele isikule ehk volitatud töötlejale. Seega on võimalik olukord, kus vastutav töötleja ise vahetut kokkupuudet isikuandmetega ei oma või omab üksnes erandjuhtudel.

Kui isikuandmete vastutava töötleja nimel töötleb andmeid volitatud töötleja, peab ka tema registrit pidama.

Vastavalt üldmääruse artiklile 30(2) peab volitatud töötleja andmetöötlustoimingute register sisaldama:

  • volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nime ja kontaktandmeid;
     
  • vastutava töötleja nimel tehtava töötlemise kategooriaid;
     
  • kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmeid selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumente;
     
  • võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldist kirjeldust.

Millises vormis peab register olema?

Andmekaitse üldmäärus ei näe registrile ette täpseid vormistamise ega failiformaatide nõudeid. Ainuke nõue on, et andmetöötleja peab registrit enda juures pidama elektrooniliselt.

Kuna vastutav ja volitatud töötleja peavad taotluse korral tegema isikuandmete töötlemise registri Andmekaitse Inspektsioonile kättesaadavaks, soovitame registrit pidada selliselt, et andmeid saab vaikimisi avada ja töödelda vaba tarkvara vahenditega.

Lõpetuseks meenutame, et registri pidamine ei ole ühekordne toiming. See peab kajastama andmetöötleja tegelikke asjaolusid ja ajas muutuvaid vajadusi ning olema tõene. Registrist ei tohi jätta välja organisatsiooni enda personali kohta käivate isikuandmete töötlemist.

Allikas:  Andmekaitse Inspektsioon
Märksõnad: , ,

Toimetaja valik

Pane tähele!

Kord nädalas

Telli RMP Nädalakiri

Kolmapäeviti saadetav Nädalakiri sisaldab raamatupidamise, maksunduse ja tööõiguse valdkonna olulisi uudiseid, spetsialistide artikleid, seadusemuudatusi, nõuandeid ja soovitusi.

Populaarsed lood

Viimati lisatud

Vaata kõiki artikleid

Töövahendid

Maksukalender Maksumäärad Numbriline Tööajafond RTJ IFRS Abitabelid Seadused MTA avalikud päringud Nädalakiri

Kalkulaatorid

Palgakalkulaator Maksuvaba tulu kalkulaator Puhkusekalkulaator Auditikalkulaator Kogumispensioni kontroll