| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-8/24/1954-2 |
| Registreeritud | 27.08.2024 |
| Sünkroonitud | 28.08.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-8 Teiste asutuste juriidiline nõustamine |
| Toimik | 2.3-8 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Täiskasvanute E-Gümnaasium |
| Saabumis/saatmisviis | Täiskasvanute E-Gümnaasium |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Reio Kiidli
Täiskasvanute E-Gümnaasium
Teie 29.07.2024 nr Meie 27.08.2024 nr 2.3-8/24/1954-2
Vastus nõudekirjale
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles kirjutate: Kirjutan Täiskasvanute E-Gümnaasiumist ja palume nõu kooli arenguvestluste tulemuste säilitamise kohta. Nimelt: kas ja kui pikaks ajaks võib kool talletada õppijaga läbiviidud arenguvestluse tulemusi, mis sisaldavad isiklikke andmeid? kas ja kui pikaks ajaks võib kool talletada õppijatega läbiviidud arenguvestluste kokkuvõtteid, mis sisaldavad vastuste üldistusi ja ettepanekuid õppetöö parendamiseks?
Kuna Te ei ole selgitanud, kas Te olete pöördunud oma andmekaitsespetsialisti poole, siis esmalt
märgime, et ettevõte saab/peab saama ettevõttes andmetöötlusega seotud küsimustes pöörduda
vajadusel oma andmekaitsespetsialisti poole. Äriregistri andmetel on Õpitee OÜ
andmekaitsespetsialistiks määratud Piret Meresma ([email protected]). Ettevõtte
andmekaitsespetsialist teab kõige paremini, milliseid andmeid, millisel alusel ning kuidas
ettevõttes töödeldakse, sh millised on töödeldavate andmete säilitamise tähtaeg.
Andmekaitsespetsialistidest, sh kes saab olla andmekaitsespetsialistiks ning millised kompetentsid
peavad andmekaitsespetsialistil olema, leiab inspektsiooni veebilehelt siit: Andmekaitsespetsialist
| Andmekaitse Inspektsioon (aki.ee).
Etteruttavalt ütleme siiski, et sellist reeglit kaua Teie poolt viidatud andmeid säilitada võib üheski
õigusaktis sätestatud ei ole. Iga andmetöötleja kohustus on läbi mõelda oma
andmetöötlusprotsessid sh milliseid andmeid, millisel eesmärgil ja millisel õiguslikul alusel ning
kaua ta säilitab. Vajadusel peab ta olema valmis tehtud otsuseid ka põhjendama nii
andmesubjektidele ehk isikutele, kelle andmeid töödeldakse kui ka järelevalveasutusele. Selleks
ongi paljudel äriühingutel määratud andmekaitsespetsialist, kelle töö hulka kuulub selliste
protsesside juurutamine, aga ka kokkulepitud reeglitest kinnipidamise kontroll.
Isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Euroopa Parlamendi ja Nõukogu
määruses (EL) 2016/679 (IKÜM) ning isikuandmete kaitse seaduses, kust saab lugeda täpsemate
reeglite kohta
Nii sätestabki isikuandmete kaitse üldmääruse (IKÜM) art 5 lg 1 p a, et isikuandmete töötlemine
peab olema seaduslik ja andmesubjektile läbipaistev; samuti tohib isikuandmeid töödelda (sh
koguda, edastada jne) üksnes kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning
koguda tuleb eesmärgi seisukohalt võimalikult vähe andmeid (art 5 lg 1 p c). Isikuandmete
töötlemise õiguslike aluste loetelu on sätestatud IKÜM artiklis 6 (lg 1 p a ehk nõusolek on üks
võimalikest õiguslikest alustest).
2 (3)
Ent nagu öeldud, tuleb andmetöötlejal esmalt mõelda läbi andmetöötluse protsessid ning
informeerida neist ka andmesubjekte enne andmete töötlemist.
Oluline on, et enne andmete kogumist tuleb andmetöötlejal koostada andmekaitsetingimused või
viidata juba koostatud andmekaitsetingimustele, kus selgitatakse, milliseid andmeid, millisel
eesmärgil ning õiguslikul alusel töödeldakse. Andmekaitsetingimused on kirjeldus, mis aitab
inimesel omada ülevaadet, mida tema andmetega tehakse. Seetõttu on oluline, et
andmekaitsetingimused oleksid sõnastatud lihtsalt ja inimesele arusaadavalt ning need peavad
olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad (nt võrgulehel).
Andmetöötleja saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse
protsesse. Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see
andmekaitsetingimustest.
Ettevõtte või asutuse andmekaitsetingimuste dokument peaks vastama vähemalt neljale „milline
on“ küsimusele.
1. Milline on andmete kogumise õiguslik alus?
2. Milline on andmete elutsükkel ehk kui kaua andmeid erinevates andmetöötlusprotsessides
kasutatakse?
3. Milline on ettevõtte või asutuse roll erinevate andmete töötlemisel, s.t kas tegemist on
vastutava, kaasvastutava või volitatud töötlejaga?
4. Milline on inimese võimalus saada teavet enda andmete kohta?
Olulised on ka vastused kolmele „kas“ küsimusele.
1. Kas toimub andmete automaattöötlus?
2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?
3. Kas on esitatud andmetöötleja enda kontaktandmed?
Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest
ning sellest, kui paljusid töötlustoiminguid ja milliseid inimeste gruppe see puudutab. Nt peaks
olema andmete säilitamine minimaalne ehk kustutatud kohe kui eesmärk on täidetud (kui osutub
vajalikuks andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne
põhjendatud aeg, millal andmed kustutatakse).
Märgime, et vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1
sätestatud põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende
täitmist tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava
töötleja kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse,
sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise
või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
Isikuandmete töötlemisel (sh kogumisel, säilitamisel, edastamisel vms) peab eelkõige jälgima
kõige tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata
isikute kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest,
õigustamata edastamised vms).
Andmetöötlejal on oluline teadvustada, et andmesubjektil on õigus teada, kuidas tema
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (ettevõttevälised isikud, nt
haigekassa) ning kes neid andmeid veel töötleb (ettevõttesisesed isikud ning ettevõttega seotud
isikud, nt raamatupidamisteenuse osutaja), mistõttu tasub eeskirjad kirja panna ning töötajale
tutvustada enne tema isikuandmete töötlemist (sh Teie poolt viidatud andmete kogumist). Soovi
korral võib andmesubjekt pöörduda selgituste saamiseks andmetöötleja poole selgituste saamiseks
(sh milliseid andmeid ning kui kaua säilitatakse jne) ning seejärel vajadusel Andmekaitse
Inspektsiooni poole.
3 (3)
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma.
Lisaks andmekaitsespetsialistile, kui teil on vaja konkreetsemat õiguslikku seisukohta lähtuvalt
konkreetsetest asjaoludest ning töödeldavatest andmetest, siis soovitame pöörduda õigusnõustajate
(advokaadid, juristid jne) poole. Samuti leiab informatsiooni andmetöötleja vastutusest ning
kohustustest isikuandmete töötlemisel siit.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|