| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2111-2 |
| Registreeritud | 13.09.2024 |
| Sünkroonitud | 16.09.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | SA Pärnu Haigla |
| Saabumis/saatmisviis | SA Pärnu Haigla |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Jaana Allingu
Sihtasutus Pärnu Haigla
Teie 16.08.2024 nr Meie 13.09.2024 nr 2.2-9/24/2111-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles kirjutate: Pärnu Haiglal on plaanis võtta kasutusele Jira Cloud tarkvara pilveversioonina. Soovime seetõttu täpsustada mõningaid punkte GDPR vaatest, et kas peaksime millegagi selles osas arvestama või mingeid kohandusi teostama. Oleme läbi viinud riskianalüüsi ja selle käigus tuvastasime riskid, millele leidsime ka leevendavad meetmed. Eelanalüüsi käigus tuvastasime, et kui kasutame Jira tooteid erinevate infosüsteemide tõrgete edastamiseks IT spetsialistidele, siis edastatavad piletid võivad sisaldada isikuandmeid teksti kujul või screenshotina. Pärast lahendatud tõrget suletakse pilet, kuid isikuandmed jäävad piletisse alles. Seda võib olla vaja hilisemalt uuesti avada või tuvastada samasisulisi tõrkeid ja varasemalt rakendatud lahendusi. Oleme planeerinud oma tööprotsessidesse ümberkorraldusi ja rakendada IT lahendusi, et vähendada kogutud isikuandmete hulka.Kas selline tegevus on GDPR vaatest lubatud või peaksime midagi veel ennetavalt tegema või rakendama, et selline tegevus oleks lubatud ja vastav GDPR määrusega.
Esmalt märgime, et seda, millist konkreetset andmebaasi või arvutitarkvara ettevõte kasutab, on
asutuse enda valida. Teadma peab, et vastutus võimalike andmekaitseliste rikkumiste puhul lasub
eelkõige vastutaval andmetöötlejal, mistõttu tasub oma tegevused alati läbi kaaluda (sh millist
andmebaasi või süsteemi kasutada, kas ning milliseid andmeid on üldse vaja koguda-minimaalsuse
põhimõte).
Andmetöötlejal on oluline teadvustada, et andmesubjektil on õigus teada, kuidas tema
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (asutusevälised isikud, nt
haigekassa vms) ning kes neid andmeid veel töötleb (asutusesisesed isikud ning asutusega seotud
isikud, nt raamatupidamisteenuse osutaja või muud teenuse osutajad), mistõttu tasub eeskirjad
kirja panna ning andmesubjektile tutvustada enne tema isikuandmete töötlemist. Soovi korral võib
andmesubjekt pöörduda selgituste saamiseks andmetöötleja poole ja vajadusel Andmekaitse
Inspektsiooni poole ning sellisel juhul tuleb andmetöötlejal korrektseid selgitusi ka jagada.
Te ei ole pöördumises Andmekaitse Inspektsioonile (AKI) viidanud, et milliste järeldusteni ning
millistel kaalutlustel Te olete jõudnud, sh kas Teie hinnangul on selline andmetöötlus isikuandmete
kaitse üldmääruse vaatest lubatud? Andmetöötlejal peab endal olema teadmine, kas siis selline
andmetöötlus on lubatud (sh millisel konkreetsel õiguslikul alusel ja eesmärgil).
Selgitame, et AKI ei saa nii napi pöördumise pinnalt jagada ammendavaid selgitusi, mistõttu tuleks
teil inspektsioonile edastada sisuliseks arusaamiseks mõjuhinnang (riskihinnang vms) koos
võimalike leevendusmeetmete, järeldustega ning muu olulisega.
Etteruttavalt saame koheselt viidata, et haigla peab teadvustama muuhulgas, et teenuse
andmetöötlusest kolmandates riikides (sh Austraalias ning USA-s) ning analüüsis kajastama,
kuidas on sellisel juhul võimalikud riskid maandatud.
2 (2)
Eelnevast tulenevalt, palume edastada haigla koostatud analüüsid ning lõppjäreldused
aadressil [email protected]. Peale dokumentidega tutvumist saaksime juba vajadusel kokku
leppida kohtumise võimalikuks konsultatsiooniks (IKÜM artikkel 36 alusel).
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma. Samuti on antud juhul
oluline juhend isikuandmete töötlemisest töösuhetes. Samuti leiab informatsiooni andmetöötleja
vastutusest ning kohustustest isikuandmete töötlemisel siit.
Olukorras, kus Andmekaitse Inspektsioon ei osuta õigusabi, siis kui Teil on vaja konkreetsemat
õiguslikku seisukohta lähtuvalt konkreetsetest asjaoludest, kogutavatest andmetest ning
kasutatavast teenusest, siis soovitame ka pöörduda õigusnõustajate (advokaadid, juristid jne)
poole.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|