| Dokumendiregister | Siseministeeriumi infotehnoloogia- ja arenduskeskus |
| Viit | 5-10/1 |
| Registreeritud | 24.01.2025 |
| Sünkroonitud | 27.01.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 5 Infoturve. Riskijuhtimine. Järelevalve. Andmekaitse. |
| Sari | 5-10 Andmekaitsega seotud dokumentatsioon ja kirjavahetus |
| Toimik | 5-10 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | O. K. |
| Saabumis/saatmisviis | O. K. |
| Vastutaja | Kerli Pill (baasteenuste valdkond, infoturbeosakond) |
| Originaal | Ava uues aknas |
From: Olga Kask <[email protected]>
Sent: Fri, 24 Jan 2025 08:33:56 +0000
To: [email protected]
Subject: Avaliku Teabe Päring: Isikukoodi töötlemise ja kasutamise vastavus GDPR-i nõuetele ning Euroopa Kohtu praktikatele
Kuupäev:
24.01.2025
Teema:
Isikukoodi töötlemise ja kasutamise vastavus GDPR-i nõuetele ning Euroopa Kohtu praktikatele
Austatud Siseministeerium,
Esitan avaliku teabe päringu vastavalt Avaliku teabe seaduse (ATS) § 13 lõikele 1. Päringu eesmärk on selgitada isikukoodi kui identifitseeriva andmeelemendi töötlemise, kättesaadavaks tegemise ja kasutamise vastavust isikuandmete kaitse üldmäärusele (GDPR) ning Euroopa Kohtu praktikatele, võttes arvesse isikukoodi ajaloolist tausta ja selle kaasnevaid isikuandmete kaitse aspekte.
1. Isikukoodi töötlemise õiguslik alus ja vastavus GDPR-ile
Kuidas tagatakse, et isikukoodide töötlemine, sh nende avalikustamine või kättesaadavaks tegemine kolmandatele osapooltele, vastab GDPR artikli 6 lõikele 1, eriti juhul, kui puudub andmesubjekti selgesõnaline nõusolek?
Millisel õiguslikul alusel toimub isikukoodide töötlemine ilma andmesubjekti nõusolekuta ning kuidas see vastab GDPR artikli 5 põhimõtetele nagu seaduslikkus, proportsionaalsus ja minimaalsus?
2. Proportsionaalsus ja minimaalsus
Kuidas tagatakse, et isikukoodide kättesaadavaks tegemine ja kasutamine on kooskõlas GDPR artikli 5 lõikega 1, mis nõuab andmete töötlemise proportsionaalsust ja minimaalsust?
Kas on hinnatud, kas isikukoodide töötlemiseks ja avalikustamiseks oleks võimalik kasutada vähem invasiivseid alternatiive, näiteks anonüümseid identifikaatoreid?
3. Isikukoodi avalikustamise mõju andmesubjektidele
Kuidas hinnatakse isikukoodi avalikustamise mõju andmesubjektide õigustele, sealhulgas potentsiaalset mainekahju, diskrimineerimise ja identiteedivarguse riske?
Kuidas toimub kahjude leevendamine, kui isikukoodide avalikustamine põhjustab andmesubjektidele mittemateriaalset kahju?
4. Rahvusvahelised ja ajaloolised aspektid
Arvestades, et isikukood loodi algselt NSV Liidu katseprojekti raames ja et selle arvutusalgoritm pärineb Ungarist, kuidas tagatakse, et ajaloolised iseärasused ei põhjusta tänapäeval andmekaitsega seotud rikkumisi?
Kuidas käsitletakse isikukoodide töötlemist rahvusvahelises kontekstis, eriti juhtudel, kus isikukoodi kasutatakse andmesubjekti identifitseerimiseks väljaspool Eestit, sealhulgas EL-i või kolmandates riikides?
5. Isikukoodi avalikustamine ja sooandmed
Arvestades, et isikukood sisaldab infot andmesubjekti soo kohta, kuidas tagatakse, et sellise tundliku andme avalikustamine vastab GDPR artikli 9 nõuetele, mis reguleerib delikaatsete andmete töötlemist?
Kuidas tagatakse, et sooandmete kättesaadavaks tegemine ei põhjusta diskrimineerimist ega rikkumisi, mis võivad olla vastuolus GDPR artikliga 5 ("seaduslikkus, õiglus ja läbipaistvus")?
6. Kontrollnumbri metoodilised vead ja nende mõju
Kuidas tagatakse, et isikukoodide kontrollnumbri metoodilised vead ei põhjusta valesid otsuseid ega väärkasutust isikukoodide töötlemisel?
Milliseid meetmeid on rakendatud, et vältida kontrollnumbri arvutusvigu, mis võivad lubada valesti genereeritud isikukoode?
7. Automatiseeritud töötlemine ja läbipaistvus
Kas isikukoodide töötlemisel kasutatakse automatiseeritud otsustusprotsesse, mis võivad oluliselt mõjutada andmesubjekti õigusi?
Kui jah, siis kuidas teavitatakse andmesubjekte sellistest protsessidest vastavalt
GDPR artikli 22 nõuetele, sealhulgas otsuste tegemise loogikast ja selle võimalikust mõjust?
8. Isikukoodide avalikustamise piirangud otsingumootorites
Milliseid meetmeid on rakendatud, et takistada isikukoodide avalikustamist otsingumootorites, näiteks Google ja Bing?
Kuidas toimub eemaldatud isikukoodide täielik kustutamine ka otsingumootorite vahemäludest, et järgida GDPR artiklit 17 ("õigus olla unustatud")?
9. Andmesubjekti õiguste tagamine
Milliseid protseduure ja vahendeid on rakendatud, et andmesubjekt saaks kasutada oma õigusi, sealhulgas tutvuda oma andmetega, neid parandada ja kustutada vastavalt GDPR artiklitele 12–22?
Kuidas tagatakse, et andmesubjekte teavitatakse nende andmete töötlemise ulatusest ja eesmärkidest kooskõlas GDPR artiklitega 13 ja 14?
10. Seire ja auditeerimine
Kuidas toimub isikukoodide avalikustamise ja töötlemise seire, et tagada vastavus GDPR nõuetele?
Kas on läbi viidud sõltumatu audit, mis hindaks isikukoodide töötlemise vastavust Euroopa andmekaitsepraktikatele?
---
Palun vastake kõigile esitatud küsimustele GDPR-i terminoloogiat ja Euroopa Kohtu praktikate nõudeid järgides. Täiendavad selgitused aitavad tagada, et isikukoodide töötlemine vastab õiguslikele ja eetilistele standarditele, kaitstes samas andmesubjektide õigusi.
Lugupidamisega,
Olga Kask
[email protected]