Küsimus: ettevõtte andmekaitsespetsialist ütles, et uue isikuandmete kaitse määrusega tuleb meile kohustus pidada töötlustoimingute registrit. Kas see tähendab, et peame edaspidi sinna registrisse iga liigutuse kirja panema, kui kellegi isikuandmeid oma töös kasutame?
Vastab andmekaitse inspektsiooni peadirektor Viljar Peep
Ei tähenda. Küll aga on õigus teie ettevõtte andmekaitsespetsialistil – EL uus isikuandmete kaitse määrus, mis selle aasta 25. maist rakendub, toob tõepoolest pea kõigile ettevõtetele-organisatsioonidele kaasa isikuandmete töötlemise toimingute registri pidamise kohustuse. Tegemist ei ole aga kindlasti logiraamatuga, kuhu iga tehtud toiming sisse tuleb kanda. Pigem võib töötlustoimingute registrist rääkida kui bilansilaadsest kokkuvõttest, mis aitab ettevõttel kaardistada oma tegevusi ja paremini planeerida isikuandmete kaitsega seonduvat.
Register peab andma ülevaate sellest, milliseid isikuandmeid, mille alusel ja mis eesmärkidel ettevõttes töödeldakse, kellele ja mille alusel neid edastada võib, mis on isikuandmete säilitamise tähtajad. Ka peab registris olema kirjas turvameetmete üldine kirjeldus – kuidas on tagatud, et isikuandmed on ettevõttes kaitstud ja et keegi, kellel selleks õigust pole, neile ligi ei pääse. Selline ülevaade aitab ettevõttes isikuandmete kaitse olemust paremini mõista ja võimalikke riske juba planeerimise käigus maandada.
Andmekaitse inspektsioonilt on sageli küsitud ka seda, kas ettevõte peab oma töötlustoimingute registri inspektsioonile esitama. Ei, üldjuhul registrit meile esitama ei pea. Küll aga peab ettevõtte olema valmis selleks, et inspektsioon võib näiteks järelevalve käigus neilt töötlustoimingute registrit küsida. Sel juhul tuleb register inspektsioonile kättesaadavaks teha.