| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/1035-4 |
| Registreeritud | 13.05.2024 |
| Sünkroonitud | 14.05.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | LUNATUM Kodufüsioteraapia |
| Saabumis/saatmisviis | LUNATUM Kodufüsioteraapia |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Ksenia Kurganov
Teie 09.04.2024 nr Meie 13.05.2024 nr 2.2-9/24/1035-4
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie pöördumise, milles küsite, kas Te võite paigaldada eKliiniku
tarkvara tööülesannete täitmiseks isiklikule arvutile või peate ostma kõigile oma töötajatele eraldi
tööarvutid.
Selgitame, et isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Euroopa Parlamendi ja
Nõukogu määruses (EL) 2016/679 (IKÜM) ning isikuandmete kaitse seaduses.
Isikuandmete kaitse üldmääruse (IKÜM) art 5 lg 1 p a sätestab, et isikuandmete töötlemine peab
olema seaduslik ja andmesubjektile läbipaistev; samuti tohib isikuandmeid koguda üksnes
kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning koguda tuleb eesmärgi seisukohalt
võimalikult vähe andmeid (art 5 lg 1 p c). Seda, millisel õiguslikul alusel ja eesmärgil
andmetöötlust läbi viiakse, peab IKÜM art 5 lg 2 kohaselt selgitama ja tõendama andmetöötleja
ehk Teie ise. Kui õiguslik alus puudub, siis andmeid töödelda ei tohi.
Märgime, et vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1
sätestatud põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende
täitmist tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava
töötleja kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase
turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku
kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või
korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f). Seda, kas
näiteks koduarvuti vastab eelnevale kriteeriumile (näiteks on koduarvutil rohkem kasutajaid kui
tööarvutil vms), saab teada vastutav töötleja.
Isikuandmete töötlemisel peab eelkõige jälgima kõige tavapärasemaid turvameetmeid. Näiteks
tuleb teha nii, et andmed ei jõuaks õigustamata isikute kätte (igasugused andmelekked, mis
tulenevad ebapiisava turvalisega süsteemidest, õigustamata edastamised, õigustamata programmi
sisenemised vms). Seda, millist konkreetset seadet, sh andmebaasi või arvutitarkvara ettevõte
kasutab, on siiski ettevõtte enda valida. Teadma peab, et vastutus võimalike andmekaitseliste
rikkumiste puhul lasub eelkõige vastutaval andmetöötlejal, mistõttu tasub oma tegevused
alati läbi kaaluda (sh millist seadet, andmebaasi või süsteemi kasutada jne). Kuna antud juhul
töödeldakse muuhulgas eriliigilisi andmeid (terviseandmeid), siis peab andmetöötleja olema eriti
kaalutletud oma tegevustes.
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma ning tutvuma muu teabega
2 (2)
inspektsiooni veebilehel. Samuti soovitame läbi vaadata Riigi Infosüsteemi Ameti (RIA) poolt
Teile jagatud soovitused.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|