| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/24/888-2766-1 |
| Registreeritud | 30.10.2024 |
| Sünkroonitud | 31.10.2024 |
| Liik | Otsus |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/24/888 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Eleri Pilliroog (Andmekaitse Inspektsioon, Tehnoloogia valdkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Põlva Vallavalitsus
30.10.2024 nr 2.1.-4/24/888-2766-1
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) algatas seire, et saada ülevaade, kas ja kuidas täidetakse avalikus
sektoris isikuandmete kaitse üldmääruses (IKÜM) sätestatud kohustust dokumenteerida kõik
isikuandmetega seotud rikkumised.
Seire raames küsisime Teilt infot selle kohta, kuidas dokumenteerite isikuandmete töötlemisega
seotud rikkumisi ja palju on asutuses olnud rikkumisi. Seiresse valiti 11 avaliku sektori asutust, sh
KOV-id.
Seejärel võrreldi esitatud vastuseid AKI-le esitatud rikkumisteadete arvuga ja Riigi Infosüsteemi
Ameti küberintsidentide registri väljavõtetega, et tuvastada, kas intsidentide sisus oli kattuvusi või
erinevusi. Kokkuvõttes oli avaliku sektori asutustel probleeme nii isikuandmete rikkumistega
seotud intsidentide tuvastamisel kui ka dokumenteerimisel. Lisaks oli mitmel asutusel raskendatud
rikkumistega seotud detailse ülevaate väljastamine AKI-le. 11-st asutusest kahel oli esitatud
andmete põhjal IKÜM nõuete täitmine korras.
Seire tulemusel juhime Teie tähelepanu alljärgnevale.
Tuvastasime, et dokumenteerite isikuandmetega seotud rikkumisi asutuse dokumendiregistri
osana, kuid soovitame tungivalt kaaluda alternatiivset võimalust, sest vastasel juhul võib tekkida
oht, et asutusel puudub selge ja detailne ülevaade isikuandmetega seotud rikkumistest.
IKÜM artikli 33 lõikes 5 seonduv dokumenteerimise kohustus on seotud artikli 5 lõikes 2
sätestatud vastutuse põhimõttega. Nii teavitamisele mittekuuluvate kui ka teavitamisele kuuluvate
rikkumiste registreerimise eesmärk on samuti seotud vastutava töötleja isikuandmete kaitse
üldmääruse artiklist 24 tulenevate kohustustega ning järelevalveasutus võib asjaomaseid kandeid
näha nõuda. Seetõttu julgustatakse vastutavaid töötlejaid looma asutusesisest rikkumiste registrit
hoolimata sellest, kas neil on rikkumisest teatamise kohustus või mitte
Vastutav töötleja võib otsustada dokumenteerida rikkumised isikuandmete töötlemise toimingute
registreerimise raames, mida tehakse vastavalt IKÜM artiklile 30. Eraldi registrit ei ole vaja, kui
rikkumisega seotud teave on selgelt tuvastatav ja taotluse korral saab teha registrist rikkumisega
seotud andmete väljavõtte. Registri ülesehitus on iga andmetöötleja enda otsustada, kuid teatavad
elemendid peavad siiski olemas olema, näiteks IKÜM artikli 33 lõikes 5 on sätestatud, et kirjas
peavad olema rikkumise põhjused, toimunu kirjeldus, mõjutatud isikuandmed ja võetud
2 (2)
parandusmeetmed. Register on asutusele abiks andmekaitseliste riskide haldamisel, aidates
tuvastada korduvaid mustreid ja suunata tegevusi kolleegide teadlikkuse suurendamiseks.
Dokumendihaldussüsteem (DHS) on avalikus sektoris üks variantidest isikuandmete rikkumistega
seotud dokumentide koondamiseks aga peab samal ajal võimaldama täita IKÜM-ist tulenevaid
kohustusi sh analüüsida ja täpsemat ülevaadet anda asutuste isikuandmetega seotud rikkumiste
kohta. DHS-i kasutamine isikuandmete rikkumistega seotud registri pidamiseks avalikus sektoris
võib olla ebasobiv, sest probleeme võib esineda andmete jälgitavuse, haldamise ja säilitamise
nõuetega, mis suurendab õiguslike riskide tekkimise võimalust. Seetõttu tuleks kasutada
lahendusi, mis on loodud andmekaitse vajadusi arvestades.
Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota.
Lugupidamisega
Eleri Pilliroog
andmeturbe ekspert
peadirektori volitusel