Küsimus: kas ettevõte või asutus, kes isikuandmeid töötleb, peab oma infosüsteemides tehtavad andmetöötlustoimingud logima?
Vastab andmekaitse inspektsiooni peadirektor Viljar Peep
Lühike vastus sellele küsimusele on jah. Peab küll. Kõik ettevõtted ja asutused, kes oma tegevuse käigus isikuandmetega kokku puutuvad, on kohustatud tagama, et nende juures töödeldakse isikuandmeid turvaliselt. See tähendab muu hulgas, et infosüsteemides peidus olevaid isikuandmeid kasutatakse ainult sel eesmärgil, milleks nad kogutud on, ja keegi ei pääse kliendi andmetele ligi omakasupüüdlikel või pahatahtlikel eesmärkidel ega pelgast uudishimust. Selleks et ära hoida isikuandmete väärkasutamist ning tagada, et tagantjärele oleks võimalik kindlaks teha, kes, millal ja miks infosüsteemis andmeid vaadanud või kasutanud on, peabki elektroonilise andmetöötluse puhul pidama logikirjeid isikuandmete töötlemisest.
See kohustus on isikuandmete töötlejal nii praegu kehtiva isikuandmete kaitse seaduse kui ka 25. maist kehtima hakkava isikuandmete kaitse üldmääruse järgi. Nii mõnedki ettevõtjad on meie juurde tulnud eksliku arvamusega, et uue määrusega logipidamisekohustust enam ei ole. See arvamus on väär. Ehkki määruses logimist eraldi meetmena otseselt nimetatud ei ole, on logikirjete pidamise kohustus mitmest artiklist tuletatav. Kui logisid ei peeta, ei ole võimalik sajaprotsendiliselt järgida isikuandmete töötlemise põhimõtteid ega tagada andmete töötlemise turvalisust. Samuti on inimesel alati õigus oma andmete kasutamise kohta küsida. Neile küsimustele ei ole sageli võimalik ilma logisid pidamata vastata. Korrektne logimine infosüsteemides on kahtlemata üks privaatsust ja läbipaistvust suurendavaid vahendeid, mis annab kindlustunde nii kliendile kui ka andmetöötlejale endale.
Määrus ei näe ette, millisel kujul logi peab pidama. Peaasi, et jälg jääks maha nii andmete vaatamise, muutmise, edastamise kui ka kustutamise kohta. Samuti on logimise korraldamisel oluline, et logid oleksid ka inimkeeli arusaadavad. Ehk kui tekib vajadus logisid kontrollida, siis pole vaja omada IT-spetsiifilisi teadmisi, vaid need on ka tavakasutajale arusaadavad. Lisaks tuleks läbi mõelda ja vastavalt organisatsiooni eripäradele paika panna logikirjete säilitamise tähtajad ning reeglid logide kontrollimiseks ja nendega tutvumiseks.