Avaliku sektori rikkumiste registrite seire

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Majandus- ja Kommunikatsiooniministeerium

Tarbijakaitse ja Tehnilise Järelevalve Amet

Rahandusministeerium

Maksu- ja Tolliamet

Pärnu Linnavalitsus

Rae Vallavalitsus

Kohtla-Järve Linnavalitsus

Põlva Vallavalitsus

Elva Vallavalitsus

Haapsalu Linnavalitsus

27.08.2024 nr 2.1.-4/24/888-2186-1

Avaliku sektori rikkumiste registrite seire

Andmekaitse Inspektsioon on algatanud omaalgatusliku seire, et saada ülevaade, kas ja kuidas

täidetakse avalikus sektoris isikuandmete kaitse üldmääruses (IKÜM) sätestatud kohustust

dokumenteerida kõik isikuandmetega seotud rikkumised.

Isikuandmetega seotud rikkumine on turvanõuete rikkumine, mis põhjustab edastatavate,

salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise,

kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.

Intsidendi korral on vastutaval andmetöötlejal kohustus isikuandmete rikkumised

dokumenteerida1. Kuivõrd andmetöötleja peab kõik rikkumised dokumenteerima, on soovituslik

pidada sisemist registrit rikkumiste kohta. Rikkumiste dokumenteerimine on seotud IKÜM artikli

5 lõikes 2 sätestatud vastutuse põhimõttega. Registri ülesehitus on iga andmetöötleja enda

otsustada, kuid teatavad elemendid peavad siiski olemas olema, näiteks IKÜM artikli 33 lõikes 5

on sätestatud, et kirjas peavad olema rikkumise põhjused, toimunu kirjeldus, mõjutatud

isikuandmed ja võetud parandusmeetmed.

Tulenevalt eeltoodust on Andmekaitse Inspektsiooni eesmärk kaardistada avaliku sektori asutuste

poolt IKÜM nõuete täitmine eelkõige isikuandmetega seotud rikkumiste dokumenteerimisel.

Avalikus sektoris, kus isikuandmete käitlemine on teenuste osutamisel ja kodanike õiguste kaitse

tagamisel sageli kriitilise tähtsusega, ei ole isikuandmete rikkumiste dokumenteerimine mitte

ainult regulatiivne nõue, vaid usalduse ja vastutuse säilitamise põhiaspekt.

Sellest tulenevalt valis inspektsioon senisele praktikale tuginedes kuus kohaliku omavalitsuse

asutust ja viis riigiasutust, kellelt küsitakse välja dokumenteeritud rikkumiste ülevaade. . Valitud

asutuste kohta valmib analüüs, kas ja kuidas on avalikus sektoris täidetud IKÜM artikkel 33 lg 5

sätestatud kohustus. Ning kas asutusele on üheselt selge, mis on isikuandmete rikkumine ning

kuidas toimub riski hindamine teavitamise kohustuse täitmisel.2

1 Vastav kohustus tuleneb IKÜM artikkel 33 lõikest 5. 2 IKÜM artikkel 33 ja 34 alusel selleks, et hinnata, kas tuleb rikkumisest teavitada järelevalveasutust ja/või andmesubjekte, peab vastutav töötleja hindama ohtu füüsiliste isikute õigustele ja vabadustele.

2 (2)

Inspektsioon viib seire läbi isikuandmete kaitse üldmääruse artikkel 58 ja isikuandmete kaitse

seaduse § 56 alusel ning seetõttu on küsimustele vastamine Teile kohustuslik.

Eelnevast tulenevalt palun hiljemalt 05.09.2024 [email protected] edastada Teie asutuse

dokumenteeritud rikkumiste ülevaade.

Lugupidamisega

(allkirjastatud digitaalselt)

Eleri Pilliroog

andmeturbe ekspert

peadirektori volitusel