| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-8/24/2100-2 |
| Registreeritud | 10.09.2024 |
| Sünkroonitud | 11.09.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-8 Teiste asutuste juriidiline nõustamine |
| Toimik | 2.3-8 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Mustamäe Riigigümnaasium |
| Saabumis/saatmisviis | Mustamäe Riigigümnaasium |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Emma Loore Sinitamm
Tallinna Mustamäe Riigigümnaasium
Teie 15.08.2024 nr Meie 10.09.2024 nr 2.3-8/24/2100-2
Vastus nõudekirjale
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise seoses koolis isikuandmete töötlemisega.
Küsite sisuliselt, kuidas koostada asutuse isikuandmete töötlemisega seotud dokumente.
Kuna Te ei ole selgitanud, kas Te olete pöördunud oma asutuse andmekaitsespetsialisti poole, siis
esmalt märgime, et asutus saab/peab saama asutuses andmetöötlusega seotud küsimustes pöörduda
vajadusel oma andmekaitsespetsialisti poole. Äriregistri andmetel on Tallinna Mustamäe
Riigigümnaasiumi (77001547) andmekaitsespetsialistiks määratud Rosetta Heidorf
([email protected]). Asutuse andmekaitsespetsialist teab kõige paremini, milliseid andmeid, millisel
alusel ning kuidas asutuses töödeldakse, mistõttu tulebki esmalt pöörduda asjakohase isiku poole.
Andmekaitsespetsialistidest, sh kes saab olla andmekaitsespetsialistiks ning millised kompetentsid
peavad andmekaitsespetsialistil olema, leiab inspektsiooni veebilehelt siit: Andmekaitsespetsialist
| Andmekaitse Inspektsioon (aki.ee).
Järgnevalt peame siiski vajalikuks selgitada teadmiseks isikuandmete töötlemise põhimõtteid
üldiselt.
Isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Euroopa Parlamendi ja Nõukogu
määruses (EL) 2016/679 (IKÜM) ning isikuandmete kaitse seaduses, kust saab lugeda täpsemate
reeglite kohta
Nii sätestabki isikuandmete kaitse üldmääruse (IKÜM) art 5 lg 1 p a, et isikuandmete töötlemine
peab olema seaduslik ja andmesubjektile läbipaistev; samuti tohib isikuandmeid töödelda (sh
koguda, edastada jne) üksnes kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning
koguda tuleb eesmärgi seisukohalt võimalikult vähe andmeid (art 5 lg 1 p c). Isikuandmete
töötlemise õiguslike aluste loetelu on sätestatud IKÜM artiklis 6 (lg 1 p a ehk nõusolek on üks
võimalikest õiguslikest alustest).
Andmetöötlejal tuleb esmalt mõelda läbi andmetöötluse protsessid ning informeerida neist ka
andmesubjekte enne andmete töötlemist.
Oluline on, et enne andmete kogumist tuleb andmetöötlejal koostada andmekaitsetingimused või
viidata juba koostatud andmekaitsetingimustele, kus selgitatakse, milliseid andmeid, millisel
eesmärgil ning õiguslikul alusel töödeldakse. Andmekaitsetingimused on kirjeldus, mis aitab
inimesel omada ülevaadet, mida tema andmetega tehakse. Seetõttu on oluline, et
andmekaitsetingimused oleksid sõnastatud lihtsalt ja inimesele arusaadavalt ning need peavad
olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad (nt asutuse võrgulehel).
2 (3)
Andmetöötleja saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse
protsesse. Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see
andmekaitsetingimustest.
Ettevõtte või asutuse andmekaitsetingimuste dokument peaks vastama vähemalt neljale „milline
on“ küsimusele.
1. Milline on andmete kogumise õiguslik alus?
2. Milline on andmete elutsükkel ehk kui kaua andmeid erinevates andmetöötlusprotsessides
kasutatakse?
3. Milline on ettevõtte või asutuse roll erinevate andmete töötlemisel, s.t kas tegemist on
vastutava, kaasvastutava või volitatud töötlejaga?
4. Milline on inimese võimalus saada teavet enda andmete kohta?
Olulised on ka vastused kolmele „kas“ küsimusele.
1. Kas toimub andmete automaattöötlus?
2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?
3. Kas on esitatud andmetöötleja enda kontaktandmed?
Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest
ning sellest, kui paljusid töötlustoiminguid ja milliseid inimeste gruppe see puudutab. Nt peaks
olema andmete säilitamine minimaalne ehk kustutatud kohe kui eesmärk on täidetud (kui osutub
vajalikuks andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne
põhjendatud aeg, millal andmed kustutatakse).
Märgime, et vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1
sätestatud põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende
täitmist tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava
töötleja kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse,
sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise
või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
Isikuandmete töötlemisel (sh kogumisel, säilitamisel, edastamisel vms) peab eelkõige jälgima
kõige tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata
isikute kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest,
õigustamata edastamised vms).
Andmetöötlejal on oluline teadvustada, et andmesubjektil on õigus teada, kuidas tema
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (ettevõttevälised isikud, nt
haigekassa) ning kes neid andmeid veel töötleb (ettevõttesisesed isikud ning ettevõttega seotud
isikud, nt raamatupidamisteenuse osutaja), mistõttu tasub eeskirjad kirja panna ning
andmesubjektidele tutvustada enne tema isikuandmete töötlemist (sh Teie poolt viidatud andmete
kogumist). Soovi korral võib andmesubjekt pöörduda selgituste saamiseks andmetöötleja poole
(sh milliseid andmeid ning kui kaua säilitatakse jne), kellel tuleb andmesubjektile kuu aja jooksul
vastata. Seejärel saab andmesubjekt vajadusel pöörduda Andmekaitse Inspektsiooni poole.
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma.
Lisaks juhime tähelepanu, et järelevalveasutusena, kel võib tekkida olukord, kus samas küsimuses
tuleb hiljem läbi viia järelevalvemenetlus, ei saa me anda õigusnõu. Seega juhul, kui teie
andmekaitsespetsialist ei saa teid aidata, aga teil on vaja konkreetsemat õiguslikku seisukohta
lähtuvalt konkreetsetest asjaoludest ning töödeldavatest andmetest, siis soovitame pöörduda
õigusnõustajate (advokaadid, juristid jne) poole. Näiteks juba valminud andmekaitsetingimustele
ja töötlemistoimingute ülevaatele õigusliku hinnangu saamiseks. Samuti leiab informatsiooni
andmetöötleja vastutusest ning kohustustest isikuandmete töötlemisel siit.
3 (3)
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|