| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/24/498-1266-1 |
| Registreeritud | 02.05.2024 |
| Sünkroonitud | 03.05.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/24/498 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Compensa Life Vienna Insurance Group SE , Swedbank Life Insurance SE, Aktsiaselts INGES KINDLUSTUS, Aktsiaselts KredEx Krediidikindlustus, AS LHV Kindlustus, ERGO Insurance SE, If P&C Insurance AS, Salva Kindlustuse AS, Swedbank P&C Insurance AS |
| Saabumis/saatmisviis | Compensa Life Vienna Insurance Group SE , Swedbank Life Insurance SE, Aktsiaselts INGES KINDLUSTUS, Aktsiaselts KredEx Krediidikindlustus, AS LHV Kindlustus, ERGO Insurance SE, If P&C Insurance AS, Salva Kindlustuse AS, Swedbank P&C Insurance AS |
| Vastutaja | Jaana Sahk-Labi (Andmekaitse Inspektsioon, Rahvusvahelise õiguse valdkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lugupeetud seires osalejad
Meie 02.05.2024 nr 2.1.-4/24/498-1266-1
Euroopa Andmekaitsenõukogu on algatanud liikmesriikides ühistegevuse, et saada ülevaade,
kuidas on tagatud andmesubjektide õigus tutvuda töödeldavate andmetega. Ühistegevuse raames
tegeleb enamik Euroopa Andmekaitsenõukogu liikmetest terve aasta kestel ühe kooskõlastatud
teemaga. 2024. a on fookuses andmesubjektide õigused ja nende teostamine. Ühistegevuses osaleb
seire vormis ka Eesti Andmekaitse Inspektsioon.
Ühistegevuse eesmärgiks on saada põhjalikum ülevaade sellest, kuidas on tagatud
andmesubjektide õigus tutvuda andmetega, sest tegemist on isikuandmete kaitse üldmääruse ühe
keskse õigusega, mis võimaldab andmesubjektidel teostada kontrolli selle üle, kas nende
isikuandmeid töödeldakse kooskõlas isikuandmete kaitse määruse nõuetega. Lisaks on tegemist
õigusega, mida andmesubjektid kasutavad kõige sagedamini ja mille rakendamise kohta
andetöötlejate poolt saavad järelevalveasutused üle Euroopa andmesubjektidelt palju kaebusi.
Andmekaitse Inspektsiooni seire keskendub 2024. a andmesubjektide õiguste teostamisele
kindlustussektoris, et mõista, kuidas on tagatud kindlustusandjate poolt andmesubjektidele
isikuandmete kaitse üldmääruse nõuetele vastav töödeldavate isikuandmetega tutvumise võimalus.
Viidatud ülevaate saamiseks on käesolevale kirjale lisatud küsimustik, mille palume Teil ära täita
ja oma vastused Andmekaitse Inspektsioonile saata.
Palun edastage vastused Andmekaitse Inspektsioonile hiljemalt 01.07.2024. Seire küsimused on
liikmeriikide üleselt koostatud ühiselt ning nende tulemused on üldistatud kujul sisendiks
andmekaitsenõukogu ühisaruandele, mis valmib eeldatavalt 2024. aasta lõpuks.
Seire viime läbi tulenevalt isikuandmete kaitse üldmääruse artiklist 58 ning isikuandmete kaitse
seaduse paragrahvist 56. Seetõttu on vastuse esitamine meile kohustuslik.
Tekkivate küsimuste või probleemide korral on Teil võimalik pöörduda Andmekaitse
Inspektsiooni rahvusvahelise õiguse valdkonnajuhi Jaana Sahk-Labi poole, kirjutades aadressile
[email protected] või helistades numbrile 682 87 13.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
1
Küsimustik: Andmesubjekti õiguse tutvuda andmetega tagamine vastutavate töötlejate poolt (isikuandmete kaitse üldmääruse artikkel 15)
1 Teave vastutava töötleja kohta 1.1 Nimi, aadress, kontaktandmed
1.2 Sektoripõhine teave:
1. Kas kvalifitseerute:
[--] mikroettevõtjana [--] väikeettevõtjana [--] keskmise suurusega ettevõtjana [--] suurettevõtjana (töötajate arv suurem kui 250) Teave nende kategooriate kohta on kättesaadav siit.
1.3 Peamised töötlemistoimingud: Millistesse kategooriatesse kuuluvad andmesubjektid on peamiselt seotud Teie töötlemistoimingutega? [--] kliendid [--] potentsiaalsed kliendid [--] töötajad [--] tööle kandideerijad [--] lapsed [--] haavatavasse gruppi kuuluvad täiskasvanud [--] patsiendid [--] muu (palun täpsustage) Palun esitage Teie töötlemistoimingutega seotud andmesubjektide ligikaudne arv (nt 100, 100 000, 2 000 000): ___ Millist liiki isikuandmeid Teie töötlemistoimingud peamiselt puudutavad? [--] kontaktandmed [--] makseandmed [--] isikutuvastusandmed [--] eriliiki isikuandmed isikuandmete kaitse üldmääruse artikli 9 tähenduses (palun täpsustage) [--] süüteoasjades süüdimõistvate ja süütegudega seotud isikuandmed isikuandmete kaitse üldmääruse artikli 10 tähenduses (palun täpsustage) [--] muu (palun täpsustage)
1.4 Mitu isikuandmete kaitse üldmääruse artikli 15 kohast taotlust andmetega tutvumiseks
saite aastal 2023 (ligikaudne arv)? Kui suur on nende taotluste osakaal ülejäänud andmekaitsetaotlustest (isikuandmete üldmääruse artiklid 16-22)? Milline protsent 2023. aastal saadud isikuandmete kaitse üldmääruse artikkel 15 taotlustest hõlmas taotlust saada ülevaade töödeldavatest isikuandmetest ja/või nende
2
koopiat ning milline protsent hõlmas taotlust saada teavet konkreetsete töötlemistoimingute kohta (nt millisel eesmärgil isikuandmeid töödeldakse)?
2 Dokumendid andmetega tutvumise taotluste täitmise kohta
2.1 Kas dokumenteerite andmetega tutvumise taotluste täitmist kooskõlas isikuandmete kaitse üldmääruse artikliga 15? Kui jah, siis palun selgitage oma dokumenteerimise protsessi. Palun kirjeldage ka kuidas on korraldatud juurdepääsuõiguste ja rollide haldamine seoses selle dokumenteerimisega. Kui see on asjakohane, siis palun eristage oma vastuseid andmesubjektide eri kategooriate kaupa.
2.2 Kui kaua te säilitate teavet andmesubjektide andmetega tutvumise taotluste ja nendega
seotud kirjavahetuste, sealhulgas vastuste kohta? Kui see on asjakohane, palun nimetage õigusakt, mis seda säilitamistähtaega reguleerib. Kui see on asjakohane, eristage täidetud taotlusi ja tagasilükatud taotlusi andmesubjektide eri kategooriate kaupa.
3 Protsessiga seotud küsimused
3.1 Kas Teil on eelnevalt kindlaks määratud protsess andmetega tutvumise taotluste käsitlemiseks kooskõlas isikuandmete kaitse üldmääruse artikliga 15? Kui jah, kirjeldage palun üldist protsessi alates andmesubjekti taotluse saamisest kuni talle teabe esitamiseni. Palun pöörake oma kirjelduses erilist tähelepanu järgmistele aspektidele: 1. Andmetega tutvumise taotluste esitamise kanal(id) (e-post, telefon, veebivorm, kiri
jne); 2. kaasatud organisatsiooniüksused, sealhulgas andmekaitseametniku (kui ta on
määratud) roll ja protsessi kaasatud väliste üksuste (näiteks juristide, advokaatide, konsultantide jne) roll;
3. tsentraliseeritud/detsentraliseeritud andmete säilitamine ja andmetega tutvumise taotluste menetlemine;
4. juhul, kui on mitu asutust Euroopa Majanduspiirkonna (EMP) liikmesriikides, andmetega tutvumise taotluste tsentraliseeritud/detsentraliseeritud menetlemine;
5. tarkvara kasutamine andmetega tutvumise taotluste menetlemise toetamiseks, nt andmesubjektide taotluste eelsorteerimiseks, sisemiseks koordineerimiseks, andmetega tutvumise täielikult automatiseeritud võimaldamiseks (kui on asjakohane);
6. iseteenindusvahendite kasutamine, näiteks võimaldades andmesubjektidel igal ajal ise oma isikuandmeid alla laadida (kui on asjakohane);
7. ja kanal(id) päringule vastamiseks (e-post, kiri jne). 3.2 Kas kaalute andmesubjektide õiguste, eelkõige isikuandmete kaitse üldmääruse artikli 15
kohase andmetega tutvumise rakendamist Teie protsesside digitaliseerimisel või uute digitaalsete vahendite (nt uue tarkvara) kasutusele võtmisel või integreerimisel? Kui jah, siis palun täpsustage: 1. Millal ja kuidas kaasate oma andmekaitseametniku protsesside digitaliseerimisse? 2. Kas uuendate oma töötlemistoimingute registrit vastavalt? 3. Kuidas ühendate uued vahendid või teenused olemasolevate protsessidega, et koguda
andmetega tutvumise taotluste korral esitatavat teavet? 4. Kuidas Te teete kindlaks vajaduse saada andmetega tutvumise taotlusele vastamisel
sisendit volitatud töötlejalt ja tagate selle sisendi andmise? 3.3 Kas jälgite või kontrollite süstemaatiliselt isikuandmete kaitse üldmääruse artikli 15
kohaste andmetega tutvumise taotluste menetlemist (st saadud taotluste arv, kättesaamise kuupäev, taotluste menetlemise staatus)? Kui jah, siis kirjeldage jälgimise süsteemi ja seda, kes Teie organisatsioonilises struktuuris seda rakendab.
3
3.4 Kas saadate andmesubjektile kinnituse andmetega tutvumise taotluse kättesaamise kohta?
Kui jah, siis kas lisate kinnitusse info taotluse menetlemise aja/taotlusele vastamise tähtaja kohta? Kui see on asjakohane, siis palun eristage oma vastuseid andmesubjektide eri kategooriate kaupa.
4 Küsimused isikuandmete kaitse üldmääruse artiklist 12 tulenevate üldnõuete rakendamise kohta
4.1 Milliste suhtluskanalite kaudu saab andmetega tutvumist taotleda kooskõlas isikuandmete kaitse üldmääruse artikliga 15? Palun kirjeldage, kust ja kuidas täpselt andmesubjektid leiavad teavet, millise suhtluskanali kaudu saab taotlust esitada; samuti täpset teed lähtepunktist kuni taotluse tegeliku saatmiseni (nt mitu klikkimisi on vaja teha Teie veebilehe pealehelt suhtluskanali kohta info leidmiseni ja päringu saatmiseni). Kui see on asjakohane, siis palun eristage oma vastuses andmesubjektide eri kategooriate kaupa, milliseid suhtluskanaleid saab kasutada.
4.2 Kui andmesubjekt esitab Teile andmetega tutvumise taotluse suhtluskanali kaudu, mida te
ei ole selliste taotluste vastuvõtmiseks konkreetselt ette näinud, siis kas edastate sellise taotluse oma organisatsiooni õigele üksusele menetlemiseks? Kui jah, siis palun kirjeldage edastamise protsessi.
4.3 Kas Teil on andmetega tutvumise taotluste vormi suhtes kehtestatud mingeid nõuded, mis
on eeltingimuseks, et Te neid taotlusi menetleksite (nt taotlused tuleb esitada kirjalikult, taotlus tuleb esitada kindla suhtluskanali kaudu jms)? Kui jah, siis palun kirjeldage neid nõudeid. Kui Teil on kehtestatud viidatud nõuded, siis kas Teie arvates hakkab ühekuuline vastamise tähtaeg, mille jooksul tuleb andmetega tutvumise taotlusi menetleda, kulgema nende nõuete täitmisest? Kui jah, siis palun selgitage, miks see nii on.
4.4 Millisel kujul – ja kui elektrooniliselt, siis millises (faili)vormingus (xls, pdf, docx, zip, muu)
– esitate andmesubjektile teabe kooskõlas isikuandmete kaitse üldmääruse artikliga 15? Millised on olukorrad, kus võimaldate andmetega tutvuda või annate teabe taotlusest erinevas vormingus? Kas selgitate andmesubjektile põhjuseid, miks kasutate muud vormingut? Palun võtke vastamisel arvesse ka vastavat suhtluskanalit (nt elektrooniline) ja andmesubjektide kategooriat.
4.5 Milliseid andmeturbemeetmeid olete kehtestanud isikuandmete kaitse üldmääruse artikli
15 kohase andmetega tutvumise võimaldamisel? [--] teave andmetega tutvumise taotluste kohta esitatakse veebilehel, mille autentsus on kontrollitav (st https) [--] digitaalse andmetega tutvumise taotluse saab täita spetsiaalsel veebilehel, mis on kättesaadav https kaudu [--] digitaalse andmetega tutvumise taotluse saab saata e-postiga, mis on kaitstud otspunktkrüptimise teel [--] digitaalse andmetega tutvumise taotluse saab täita muul viisil, mis on kaitstud otspunktkrüpteerimisega [--] isikud identifitseeritakse teadaoleva ja ajakohase e-identimise süsteemi kaudu [--] isikud tuvastatakse turvalise kanali kaudu kogutud skaneeritud identiteediandmete kaudu (nt autenditud ja krüpteeritud veebileht, krüpteeritud e-kiri jne).
4
[--] skaneeritud identiteediandmed salvestatakse krüpteeritult [--] isikud identifitseeritakse olemasoleva konto kaudu, kasutades nende tavapäraseid autentimis- või identifitseerimisvahendeid [--] taotluse esitamise jaoks luuakse spetsiaalne konto [--] taotluse esitamiseks loodud kontol kasutatakse autentimiseks parooli [--] taotluse esitamiseks loodud kontol kasutatakse autentimiseks parooli, järgides
andmeturbe paremaid tavasid, sealhulgas kaitset paroolide ära arvamise vastu
[--] taotluse esitamiseks loodud kontol kasutatakse autentimiseks kaheastmelist autentimist [--] taotlusega seotud teave salvestatakse krüpteeritult [--] isik peab ennast autentima, et saada juurdepääs oma taotluse vastusele [--] juurdepääs taotluse vastusele antakse e-kirjas oleva lingi kaudu [--] vastused taotlusele tehakse kättesaadavaks veebilehel, mis on kaitstud https-iga [--] vastused saadetakse krüpteeritud e-posti teel [--] on kasutuses infoturbe haldamise süsteem, mis sisaldab andmesubjektidele juurdepääsu andmise protseduuri [--] süsteemi vastavat osa (nt veebileht, failihaldus jne) on täielikult või osaliselt auditeeritud [--] on kehtestatud rollipõhine juurdepääsukontroll [--] juurdepääs on logitud [--] veebileht ja andmetega tutvumise protsessis kasutatav rakendus on kaitstud peamiste teadaolevate rünnakute eest:
[----] kaitse teenusetõkestusrünnakute eest [----] kaitse skriptisüstide eest [----] kaitse SQL-süstide eest
[--] server ja tarkvara (sh CMS ja pluginad) on ajakohased [--] juurdepääsu vaikesätteid on muudetud [--] muud rakendatavad turvameetmed (palun täpsustage)
4.6 Kas Te võtate andmetega tutvumise taotlusele vastamisel arvesse andmesubjektide mis
tahes eriomadusi (nt andmesubjektide vanus, andmesubjekti nägemispuue jms), arvestades isikuandmete kaitse üldmääruse artikli 12 lõike 1 punktis 1 sätestatud läbipaistvusnõudeid? Kui jah, siis palun täpsustage konkreetseid meetmeid, mida rakendate.
Identifitseerimine ja autentimine 4.7 Kas olete 2023. aastal saanud andmetega tutvumise taotlusi suuliselt teabe saamiseks (nt
taotlused saada teavet telefoni teel)? Kas vastate suulisele teabe saamise taotlustele? Kui jah, siis kas Teil on olemas konkreetsed protsessid andmesubjektide isikusamasuse kontrollimiseks, kui taotletakse suulist teabe saamist? Kui jah, siis palun kirjeldage neid protsesse.
4.8 Kuidas tagate, et andmesubjekti, kes kasutab isikuandmete kaitse üldmääruse artikli 15
kohast õigust andmetega tutvuda, isikusamasus on tuvastatud? Palun kirjeldage konkreetset protsessi ja minimaalseid identifikaatoreid, mida tavaliselt vajate (nt kaheastmeline autentimine, kasutajakonto, (digitaalne) ID). Kui see on asjakohane, siis eristage andmesubjektide eri kategooriaid.
5
4.9 Kas vastate isikuandmete kaitse üldmääruse artikli 15 kohastele taotlustele, mis on esitatud
kolmandate isikute (nt portaalid, mis aitavad andmesubjektidel oma andmekaitseõigusi teostada) või andmesubjekti nimel tegutseva isiku kaudu? Kas Te kontrollite, et sellised kolmandad isikud tegutsevad andmesubjekti nimel õiguspäraselt? Kui jah, siis kirjeldage kontrollimise protsessi. Kellele te edastate esitatava teabe (otse andmesubjektile või kolmandale isikule)?
4.10 Millised on Teie praktikas (kui üldse) kõige sagedasemad asjaolud, mille esinemisel Teil
tekib põhjendatud kahtlus andmetega tutvumist taotleva andmesubjekti isikusamasuse suhtes? Kui paljudel juhtudel 2023. aastal saadud taotluste koguarvust jõudsite järeldusele, et andmesubjekti isikusamasuse suhtes esines põhjendatud kahtlusi?
4.11 Millist teavet küsite andmetega tutvumist taotlevalt andmesubjektilt, kui Teil tekib
põhjendatud kahtlus andmesubjekti isikusamasuse suhtes? Kas nõuate andmesubjektidelt olemasolevale kontole sisse logimist? Kas nõuate isikut tõendavaid dokumente või nende koopiaid? Kas aktsepteerite muid autentimismeetodeid kui ID-dokumendid? Kui jah, siis milliseid meetodeid? Kas kehtestate andmesubjektile tähtaja sellise lisateabe esitamiseks? Kui jah, siis kui pikk see tähtaeg on?
Tähtajad 4.12 Milliseid meetmeid võtate tagamaks, et isikuandmete kaitse üldmääruse artikli 15 kohastele
taotlustele vastatakse viivitamata, kuid igal juhul ühe kuu jooksul alates taotluse kättesaamisest?
4.13 Millised on kõige sagedasemad asjaolud/juhtumid, mille puhul pikendate andmetega
tutvumise taotluste menetlemise ühekuulist tähtaega kooskõlas isikuandmete kaitse üldmääruse artikliga 15? Kui paljudel juhtudel andmetega tutvumise taotluste koguarvust pikendasite 2023. aastal saadud taotluste menetlemisel ühekuulist tähtaega?
4.14 Millises etapis teavitate andmesubjekti tema andmetega tutvumise taotluse menetlemise
käigus tekkinud viivitustest? 4.15 Kui palju aega keskmiselt (kalendripäevades) kulus 2023. aastal andmetega tutvumise
taotlusele vastamiseks?
5 Küsimused andmetega tutvumise taotluste sisu ja vastuste kohta vastavalt isikuandmete kaitse üldmääruse artiklile 15
Üldine 5.1 Kuidas teete kindlaks, milliseid andmeid peate käsitlema andmetega tutvumise taotluse
raames vastavalt isikuandmete kaitse üldmääruse artiklile 15? 5.2 Kas Te töötlete pseudonüümitud andmeid?
Kui jah, siis kuidas teete kindlaks, millised pseudonüümitud andmed on seotud andmesubjektiga, kes taotleb andmetega tutvumist, et lisada need oma vastusesse?
5.3 Millistel asjaoludel palute andmesubjektil täpsustada oma andmetega tutvumise taotlust
kooskõlas isikuandmete kaitse üldmääruse artikliga 15?
6
Kas teavitate andmesubjekti täpsustuse küsimise korral (võimalikest) asjakohastest töötlemistoimingutest?
5.4 Kui paljudel juhtudel andmetega tutvumise taotluste koguarvust palusite andmesubjektidel
2023. aastal täpsustada oma taotlust? Astmeline lähenemine 5.5 Kui vastate taotlusele isikuandmete kaitse üldmääruse artikli 15 alusel, siis kas tagate, et
andmesubjekt ei ole esitatud teabega üle koormatud, ja saab sellest mõistlike jõupingutustega aru? Kuidas te seda tagate (nt astmeline lähenemisviis teabe esitamiseks - nt loetelu konkreetsetest isikuandmetest, mida töödeldakse, kategooriate kaupa esimese sammuna, seejärel andmete väljavõtete Teie süsteemist teise sammuna)? Kuidas võimaldate juurdepääsu töödeldavatele andmetele (nt hulgi- või üksikfailide allalaadimine, elektrooniline või posti teel saatmine)? Palun kirjeldage vastavat protseduuri.
Isikuandmete kaitse üldmääruse artikli 15 lõike 1 alapunktides a-h ja artikli 15 lõikes 2 kirjeldatud teave 5.6 Isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktide a-h ja artikli 15 lõike 2 kohase
teabe esitamisel, kas Te: [--] Viitate oma privaatsusteate tekstimoodulitele või kasutate neid? [--] Ajakohastate teavet arvestades konkreetse andmesubjekti andmete töötlemise konkreetsete eesmärkidega? [--] Esitate andmesubjektile ainult tema suhtes tegelikult kohaldatava töötlemisega seotud teavet (nt eemaldate teabe kliendiandmete töötlemise kohta, kui andmesubjekt ei ole klient)? [--] Kohandate teavet vastavalt konkreetsele andmetega tutvumise taotlusele mõnel muul viisil (palun täpsustage)? Kui see on asjakohane, siis palun eristage oma vastuseid andmesubjektide eri kategooriate kaupa.
5.7 Mis puudutab teavet isikuandmete vastuvõtjate kohta (isikuandmete kaitse üldmääruse
artikli 15 lõike 1 punkt c), millal loetlete konkreetsed vastuvõtjad ja millal vastuvõtjate kategooriad? Millistele kriteeriumidele tuginete oma valiku tegemisel?
5.8 Seoses säilitamisajaga vastavalt isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktile
d: Kas esitatud informatsioon sisaldab [--] konkreetseid kustutamiskuupäevi [--] säilitamisperioodi kestvust [--] sündmust, mis käivitab konkreetse säilitamisperioodi kulgemise/määrab konkreetse kustutamise aja? Kas esitate selle teabe eraldi iga töötlustoimingu või andmekategooria kohta?
5.9 Kui sageli on andmesubjekt 2023. aastal saadud andmetega tutvumise taotluste koguarvust
vaidlustanud teabe sisu, mida olete talle esitlenud isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti 1 alapunktide a-h ja artikli 15 lõike 2 kohaselt või viidanud selle puudulikkusele?
Koopia saamise õigus 5.10 Kui andmesubjekt taotleb isikuandmete kaitse üldmääruse artikli 15 lõike 3 kohaselt
töödeldavate isikuandmete koopiat, siis kas esitate: [--] Dokumendid, mis on spetsiaalselt koostatud vastava andmetega tutvumise taotluse jaoks
7
[--] Väljavõtted andmebaasidest [--] Ärakirjad [--] Teie ja andmesubjekti vahelise suhtluse [--] Täielikud või osalised dokumendid, mis sisaldavad isikuandmeid [--] Muu (palun täpsustage)
5.11 Kui annate juurdepääsu isikuandmeid sisaldavatele dokumentidele:
a) Kuidas valite, millistele dokumentidele Te juurdepääsu võimaldate? b) Millal väljastate kogu dokumendi ja millal ainult osa dokumendist? Millistele kriteeriumidele tuginete oma otsuse tegemisel (nt kui dokument sisaldab ärisaladust)?
5.12 Kui esitate isikuandmeid sisaldavaid väljavõtteid või täielikke või osalisi dokumente, kuidas
tagate, et nendes sisalduvad isikuandmed on andmesubjektile arusaadavad isikuandmete kaitse üldmääruse artikli 12 lõike 1 lause 1 tähenduses (nt selgitava dokumendiga)?
5.13 Kas Te annate andmesubjektile lisaks isikuandmete kaitse üldmääruse artiklis 15 lõikes 3
viidatud koopiale ka muid andmetega tutvumise võimalusi (nt suuline teave, kohapealne või kaugjuurdepääs)? Kui jah, siis palun selgitage muid andmetega tutvumis võimalusi ja täpsustage, millistel tingimustel te neid võimaldate. Kui see on asjakohane, siis palun eristage oma vastuseid andmesubjektide eri kategooriate kaupa.
Töötlemise erivormid 5.14 Kas võimaldate juurdepääsu mittetekstilistele isikuandmetele, nagu pildid, videod (nt
videovalve) või helisalvestised? Kui jah, kirjeldage palun sidevahendeid, mille kaudu Te andmetega tutvumist võimaldate, selle formaati ning kas ja kuidas te selliseid mitte- tekstilisi isikuandmeid teisendate või muudate.
Eripärad 5.15 Kas olete võtnud meetmeid, et võimaldada lühikese säilitamistähtajaga isikuandmetega
tutvumist (näiteks juhul, kui andmed tuleks kustutada 48 tunni jooksul, kuid andmetega tutvumise taotluse menetlemine võtab kauem aega kui need 48 tundi)? Kui jah, siis kirjeldage neid meetmeid.
5.16 Kui Teie poolt töödeldavad isikuandmed muutuvad alates taotluse esitamise kuupäevast
kuni kuupäevani, mil Te nende andmetega tutvuda võimaldate, siis kas esitate: (a) isikuandmed, mida töötlesite taotluse kättesaamise ajal (b) isikuandmed, mida töötlete andmetega tutvumise võimaldamise otsuse tegemise ajal (c) teabe selle kohta, et andmed on vahepeal muutunud
5.17 Kui andmesubjekt taotleb ainult osalist tutvumist tema kohta töödeldavate andmetega, kas
ja mis mahus Te selle taotluse täidate (osaline andmetega tutvumise taotlus)? Millistel asjaoludel peate taotlust osaliseks andmetega tutvumise taotluseks? Kas osalisele andmetega tutvumise taotlusele vastates lisate juurde teabe, mida on kirjeldatud isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktides a-h ja lõikes 2?
5.18 Kas esitate korduvate andmetega tutvumise taotluste korral lühikese ajaperioodi jooksul
(kui seda ei saa pidada ülemääraseks isikuandmete kaitse üldmääruse artikli 12 lõike 5 tähenduses) ainult teabe muudatuste kohta, mis on toimunud pärast viimast teabe esitamist andmesubjektile, või esitate täieliku teabe kõigi töödeldavate isikuandmete kohta?
6 Andmetega tutvumise taotluste piirangud
8
6.1 Palun loetlege kõige sagedasemad asjaolud, mille korral Te keeldute andmete tutvumise taotluse rahuldamisest, samuti alused, millel Teie keeldumine põhineb. Kas teavitate andmesubjekti oma keeldumisest ja selle põhjustest?
6.2 Milliseid isikuandmeid või andmeid töötlemise kohta Te vastusena oma andmetega
tutvumise taotlusele ei esita (nt andmed varukoopiates, oma raamatupidamises, veebipoes, rakendustes jne)? Kui Te ei esita teatud tüüpi andmeid: Millisel õiguslikul alusel jätate vastava teabe esitamata? Kas teavitate andmesubjekti oma otsusest jätta isikuandmed välja ja selle õiguslikust alusest? Kui see on asjakohane, siis palun eristage oma vastuseid andmesubjektide eri kategooriate kaupa.
6.3 Millistel asjaoludel annate andmesubjektile teavet nende konkreetsete üksikisikute kohta
(isiksustatud kujul), kes Teie organisatsioonis isikuandmeid töötlevad? 6.4 Mil määral kontrollite enne andmetega tutvumise võimaldamist kooskõlas isikuandmete
kaitse üldmääruse artikliga 15 ja eelkõige enne koopia saatmist, kas see mõjutab teiste isikute õigusi ja vabadusi? Kirjeldage vastavat protsessi, sealhulgas seoses andmetega tutvumise võimaldamisega mitte-tekstilistele isikuandmetele, näiteks piltidele, video- või häälsalvestistele (nt kas võimaldate sellistel juhtudel osalist tutvumist töödeldavate andmetega).
6.5 Kui sageli piirasite 2023. aastal saadud andmetega tutvumise taotluste koguarvust
andmesubjektile esitatud teavet kolmandate isikute õiguste kaitseks (mitteavaldamine, redigeerimine jne)?
6.6 Millistel asjaoludel peate andmetega tutvumise taotlust selgelt põhjendamatuks või
ülemääraseks isikuandmete kaitse üldmääruse artikli 12 lõike 5 tähenduses? Kui leiate, et taotlus on selgelt põhjendamatu või ülemäärane, siis milliste kriteeriumide alusel otsustate kas Te ei peaks sellisele taotlusele üldse vastama või nõudma mõistlikku tasu? Kuidas arvutate mõistlikku tasu ja kuidas teavitate andmesubjekti sellisest tasust?
6.7 Kui paljusid taotlusi 2023. aastal saadud andmetega tutvumise taotluste koguarvust
pidasite selgelt põhjendamatuks ja kui paljusid ülemääraseks? 6.8 Palun nimetage kõige sagedasemad liidu või liikmesriikide õigusnormid, mida
kohaldatakse, kui keeldute (täielikult või osaliselt) andmetega tutvumise taotluste rahuldamisest.
7 Muud küsimused
7.1 Kas olete teadlik Euroopa Andmekaitsenõukogu suunistest 01/2022 (28. märtsil 2023 vastu võetud versioon 2.0) andmesubjektide õiguste kohta – õigus tutvuda andmetega? Kui jah, siis kas kasutate viidatud suunisteid praktikas tekkivate küsimuste korral?
7.2 Kas olete pärast viidatud suuniste avaldamist teinud andmetega tutvumise taotluste menetlemise praktikasse muudatusi või täiendusi?
Kuupäev
9
Kontaktisik lisaküsimuste korral (nimi, e-post/telefoninumber) Lisade loetelu