1 / 37

Isikuandmete töötlemine

Isikuandmete töötlemine. Maarja Kirss arengu- ja analüüsiosakonna nõunik Andmekaitse Inspektsioon 27 . 02. 200 9. Isikuandmete kaitse alase regulatsiooni eesmärk on isikuandmete töötlemisel füüsilise isiku põhiõiguste ja põhivabaduste, eelkõige eraelu puutumatuse , kaitsmine kooskõlas

preston
Download Presentation

Isikuandmete töötlemine

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Isikuandmete töötlemine Maarja Kirss arengu- ja analüüsiosakonna nõunik Andmekaitse Inspektsioon 27.02.2009

  2. Isikuandmete kaitse alase regulatsiooni eesmärk on isikuandmete töötlemisel füüsilise isiku põhiõiguste ja põhivabaduste, eelkõige eraelu puutumatuse, kaitsmine kooskõlas avalike huvidega. Isikuandmete kaitse seadus (IKS): https://www.riigiteataja.ee/ert/act.jsp?id=12909389

  3. Isikuandmete töötlemise regulatsioon • Isikuandmete kaitse seadus • Avaliku teabe seadus • Valdkondade eriseadused (nt rahvastikuregistri seadus, karistusregistri seadus, riikliku statistika seadus, infoühiskonna teenuse seadus jne) • Euroopa Nõukogu Direktiiv 95/46 isikuandmete töötlemise kohta

  4. Isikuandmete kaitse seadust ei kohaldata • Andmesubjekt on oma andmed ise avalikustanud, andnud nõusoleku avalikustamiseks või isikuandmed avalikustatakse seaduse alusel • Füüsilise isiku poolt isikuandmete töötlemisele isiklikul otstarbel • Kui isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma et neid andmeid Eestis muul viisil töödeldaks • Kui töödeldakse riigisaladust sisaldavaid isikuandmeid, va seaduse üldsätted ja töötlemise nõuded ja töötlemisele kohaldatavad turvameetmed ning Europoli ja Schengeni lepingutest tulenev järelevalve

  5. Põhimõisted Isikuandmed Andmetöötlejad Andmesubjekt Kolmas isik Andmete töötlemine

  6. Isikuandmed ... on mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need on. Isikuandmed jagunevad: • delikaatseteks isikuandmeteks • tavalisteks isikuandmeteks, sh isikukood

  7. Delikaatsed isikuandmed (I) • Poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed (va eraõiguslike juriidiliste isikute liikmeks olemise kohta, nt parteid) • Etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed • Andmed terviseseisundi või puude kohta • Andmed pärilikkuse informatsiooni kohta • Biomeetrilised andmed (sõrmejälje-, peopesajälje-, silmaiirisekujutis ning geeniandmed)

  8. Delikaatsed isikuandmed (II) • Andmed seksuaalelu kohta • Andmed ametiühingu liikmelisuse kohta • Õigusrikkumise väljaselgitamise menetluses kogutud teave enne avalikku kohtuistungit või otsuse langetamist õigusrikkumise asjas või juhul, kui see on vajalik kõlbluse või inimeste perekonna- ja eraelu kaitseks või kui seda nõuavad alaealise, kannatanu, tunnistaja või õigusemõistmise huvid

  9. Andmetöötlejad • Vastutav töötleja: füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb või kelle ülesandel töödeldakse isikuandmeid • Volitatud töötleja: füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb isikuandmeid vastutava töötleja ülesandel haldusakti või lepingu alusel NB! Mitte segi ajada vastutava töötleja töötajat volitatud töötlejaga!

  10. Andmesubjekt Andmesubjekt on isik, kelle isikuandmeid töödeldakse.

  11. Kolmas isik … on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes ei ole: • isikuandmete töötleja ise • andmesubjekt • isik, kes isikuandmete töötleja alluvuses töötleb isikuandmeid

  12. Andmete töötlemine ... on iga isikuandmetega tehtav toiming sh isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine, juurdepääsu võimaldamine, päringute teostamine, väljavõtete tegemine, kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eeltoodut toimingut, sõltumata toimingute teostamise viisist või kasutatavatest vahenditest.

  13. Isikuandmete töötlemine Töötlemise põhimõtted Töötlemise lubatavus ja andmesubjekti nõusolek Töötlemine ilma nõusolekuta Andmesubjekti õigused Isikuandmete väljastamine Vaidlustamine

  14. Töötlemise põhimõtted • Seaduslikkuse põhimõte • Eesmärgikohasuse põhimõte • Minimaalsuse põhimõte • Kasutuse piiramise põhimõte • Andmete kvaliteedi põhimõte • Turvalisuse põhimõte • Individuaalse osaluse põhimõte

  15. Turvameetmed * Isikuandmete töötleja on kohustatud tagama: • Andmete tervikluse (ei toimuks andmete juhuslikku või tahtlikku volitamata muutmist) • Andmete käideldavuse (ei toimuks juhuslikku ja tahtlikku hävimist ning õigustatud isikule andmete kättesaadavuse takistamist) • Andmete konfidentsiaalsuse (ei toimuks volitamata töötlemist) * Üksikasjalikum kirjeldus IKS-i 4.peatükis

  16. Isikuandmete töötleja kohustused (I) • Vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele • Ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist • Ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati

  17. Isikuandmete töötleja kohustused (II) • Tagama, etigal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks • Tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja millised isikuandmed edastati, samuti selliste andmete muutusteta säilimise • Tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist • Kujundama ettevõtte, asutuse või ühenduse töökorralduse niisuguseks, et see võimaldaks täita andmetöötluse nõudeid

  18. Töötlemise lubatavus • Isikuandmete töötlemine on lubatud üksnes andmesubjekti nõusolekul, kui seadus ei sätesta teisiti • Haldusorgan võib isikuandmeid töödelda avaliku ülesande täitmisel seaduse või välislepinguga ettenähtud kohustuste täitmiseks

  19. Andmesubjekti nõusolek (I) • Nõusolek on selge ja teadlik andmesubjekti tahteavaldus, millega ta lubab oma isikuandmeid töödelda • Nõusolek peab olema kirjalikku taasesitamist võimaldavas vormis • Vaidluse korral eeldatakse, et töötlemiseks ei ole nõusolekut antud

  20. Andmesubjekti nõusolek (II) Nõusolekus peavad olema selgelt määratletud: • andmed, mille töötlemiseks luba antakse • andmete töötlemise eesmärk • isikud, kellele andmete edastamine on lubatud • andmete kolmandatele isikutele edastamise tingimused • andmesubjekti õigused tema isikuandmete edasise töötlemise osas. NB! Delikaatsete isikuandmete töötlemiseks tuleb isikule selgitada, et tegemist on delikaatsete isikuandmetega ning võtta ka selle kohta nõusolek.

  21. Andmesubjekti nõusolek (III) Enne nõusoleku küsimist peab isikuandmete töötleja andmesubjektile teatavaks tegema isikuandmete töötleja või tema esindaja nime, aadressi ja muud kontaktandmed. NB! Nõusoleku näidise ja lisainformatsiooni leiate Andmekaitse Inspektsiooni kodulehelt sektsiooni “Andmete töötlejale” alt.

  22. Töötlemine ilma nõusolekuta (I) Isikuandmete töötlemine ilma andmesubjekti nõusolekuta on lubatud, kui töödeldakse: • seaduse alusel • välislepingu või EL Nõukogu või Euroopa Komisjoni otsekohalduva õigusaktiga ettenähtud ülesande täitmiseks

  23. Töötlemine ilma nõusolekuta (II) • üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks, kui andmesubjektilt ei ole võimalik nõusolekut saada • andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks, välja arvatud delikaatsete isikuandmete töötlemine

  24. Andmesubjekti õigused Andmetöötleja on kohustatud andmesubjekti nõudmisel, kui töötlemine ei ole vastavuses õigusaktides sätestatuga: • lõpetama tema isikuandmete töötlemise • parandama ebaõiged isikuandmed • lõpetama isikuandmete avalikustamise või juurdepääsuvõimaldamise • sulgema või kustutama kogutud isikuandmed NB! Nimetatud tegevustest on töötleja kohustatud viivitamata teavitama andmesubjekti ja kolmandaid isikuid, kellele on isikuandmeid edastatud (va juhul kui andmesubjekt on teadlik või teavitamine on ebaproportsionaalselt raske)

  25. Isikuandmete väljastamine (I) Andmesubjekti soovil peab isikuandmete töötleja talle 5 tööpäeva jooksul teatavaks tegema: • tema kohta käivaid isikuandmed • töötlemise eesmärgi, koosseisu ja allikad • kellele on isikuandmete edastamine lubatud ning kellele on juba edastatud, • isikuandmete töötleja nime ja kontaktandmed

  26. Isikuandmete väljastamine (II) Eelnevalt nimetatud õigust piiratakse, kui see võib kahjustada: • teiste isikute õigusi ja vabadusi • lapse põlvnemise saladuse kaitset • kuriteo tõkestamist või kurjategija tabamist • kriminaalmenetluses tõe väljaselgitamist NB! Otsuse teabe andmisest keeldumise kohta teeb andmetöötleja ning teavitab sellest 5 tööpäeva jooksul andmesubjekti.

  27. Isikuandmete väljastamine (III) Ilma andmesubjekti nõusolekuta: • Kui kolmas isik, kellele isikuandmeid edastatakse, töötleb isikuandmeid seaduses ettenähtud ülesannete täitmiseks • Üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks ning kui nõusolekut ei ole võimalik saada • Kui kolmas isik taotleb teavet, mis on saadud seaduses sätestatud avalikke ülesandeid täites ning teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muudel põhjustel kehtestatud juurdepääsupiirangut

  28. Töötleja vastutus Töötleja vastutab: • andmete väljastamise õiguspärasuse eest ehk kellele, mille alusel, millises hulgas ja millisel eesmärgil • väljastatavate andmete dokumenteerimise eest ehk kanderaamatute/logifailide olemasolu nõue • väljastavate andmete kvaliteedi eest ehk väljastatavad andmed on õiged ja vajadusel viimases seisus • subjekti teavitamise eest ehk kui andmete töötlemise algseid eesmärke muudetakse, laiendatakse ja/või ühendatakse

  29. Vaidlustamine Isik, kelle õigusi on rikutud, võib vaidega pöörduda Andmekaitse Inspektsiooni poole või kaebusega halduskohtusse kas isiklikult või oma esindaja kaudu.

  30. Delikaatsete isikuandmete töötlemine Delikaatsete isikuandmete töötlemise registreerimine Isikuandmete töötlemise eest vastutava isiku määramine

  31. Delikaatsete isikuandmete töötlemine (I) Vastutav töötleja on kohustatud registreerima delikaatsete isikuandmete töötlemise Andmekaitse Inspektsioonis Delikaatsete isikuandmete töötlemine registreeritakse viieks aastaks Vähemalt 3 kuud enne tähtaja möödumist peab vastutav töötleja esitama uue taotluse. Tähtaja möödumisel kaotab vastutav töötleja õiguse töödelda delikaatseid isikuandmeid.

  32. Delikaatsete isikuandmete töötlemine (II) Delikaatsete isikuandmete töötlemise registreerimiseks tuleb Andmekaitse Inspektsioonile esitada: • registreerimistaotlus • organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete (nn OFIT) üksikasjalik kirjeldus. NB! Näidisvormid on saadaval inspektsiooni kodulehel sektsioonist “Andmete töötlejale”

  33. Isikuandmete kaitse eest vastutav isik (I) Isikuandmete töötleja (vastutav töötleja) ei ole kohustatud registreerima delikaatsete isikuandmete töötlemist, kui ta on määranud isikuandmete töötlemise eest vastutava isiku. Nimetatud isiku määramisest ja tema volituste lõppemisest tuleb viivitamatult teavitada Andmekaitse Inspektsiooni. NB! Juhendmaterjalid on saadaval inspektsiooni kodulehel sektsioonist “Andmete töötlejale”

  34. Isikuandmete kaitse eest vastutav isik (II) Andmekaitse ametniku määramine ei vabasta vastutavat töötlejat kohustusest rakendada kõiki isikuandmete töötlemisele esitatud nõudeid ja ei vabasta teda ka Andmekaitse Inspektsiooni poolsest järelevalve teostamisest.

  35. Kes on isikuandmete kaitse eest vastutav isik? (I) • Ta on töötaja, kes vastutava töötleja juures tegeleb isikuandmete töötlemise nõuete järjepideva monitoorimisega • Sisuliselt on tema tegevus võrdsustatav siseaudiitori tegevusega • Ta on oma tegevuses sõltumatu ja auditeerib andmetöötluse vastavust kehtestatud nõuetele

  36. Kes on isikuandmete kaitse eest vastutav isik? (II) Isikuandmete kaitse eest vastutav isik peab registrit, mis sisaldab: • isikuandmete töötleja (sh volitatud töötleja) nime, registri- või isikukoodi, tegevuskohta, asu- või elukohta ja muid kontaktandmeid • viidet isikuandmete töötlemise õiguslikule alusele • isikuandmete töötlemise eesmärke • isikuandmete koosseisu • isikute kategooriad, kelle andmeid töödeldakse • isikuandmete allikaid • isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud

  37. Tänan tähelepanu eest! Andmekaitse Inspektsiooni kodulehekülg: http://www.aki.ee Küsimusi võib esitada ka: info@aki.ee

More Related