| Dokumendiregister | Ravimiamet |
| Viit | JUH-1/14 |
| Registreeritud | 13.02.2025 |
| Sünkroonitud | 14.02.2025 |
| Liik | Üldkäskkiri |
| Funktsioon | JUH Juhtimine |
| Sari | JUH-1 Üldkäskkirjad |
| Toimik | JUH-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Kärolin Jenas (RA, Arendus-ja haldusosakond) |
| Originaal | Ava uues aknas |
KINNITATUD
Ravimiameti peadirektori
veebruari 2025
käskkirjaga nr 14
ANDMEKAITSE KORD
SISUKORD
1. SISSEJUHATUS ............................................................................................................... 1
2. ASJAKOHASED ÕIGUSAKTID .................................................................................... 1
3. MÕISTED .......................................................................................................................... 2
4. ANDMETE TÖÖTLEMISE PÕHIMÕTTED ............................................................... 3
5. VASTUTUS ....................................................................................................................... 3
6. ANDMESUBJEKTI ÕIGUSED ...................................................................................... 4
7. ANDMETE AVALDAMINE KOLMANDATELE OSAPOOLTELE ........................ 5
1. SISSEJUHATUS
1.1 Käesolev juhend kirjeldab andmetele juurdepääsu andmise ning andmete kogumise,
töötlemise, säilitamise ja kustutamise põhimõtted, Ravimiameti ja teenistujate vastutust ja
käitumisjuhiseid, Ravimiameti teenistujatele suunatud tegevusjuhiseid andmete turvalisust
mõjutavate intsidentidele ja andmesubjektide pöördumistele reageerimiseks.
1.2 Selles dokumendis on sätestatud, kuidas kogutakse, kasutatakse ja jagatakse andmeid ning
kuidas saab andmesubjekt oma isikuandmetele nende uuendamiseks ja parandamiseks
juurdepääsu.
2. ASJAKOHASED ÕIGUSAKTID
1) Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute
kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi
95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus).
2) Isikuandmete kaitse seadus (IKS).
3) Ebaausa konkurentsi takistamise ja ärisaladuse kaitse seadus (EKTÄKS).
4) Avaliku teabe seadus (AvTS).
5) Ravimiseadus (RavS).
6) Andmekaitse Inspektsiooni juhised.
3. MÕISTED
3.1 Andmed - andmeteks, mille töötlemisele käesolev juhend kohaldub, on 1) isikuandmed, sh
eriliigilised isikuandmed ja 2) andmed, mida tuleb käsitleda ärisaladusena. Muu
juurdepääsupiiranguga teabe töötlemisel lähtub Ravimiameti teenistuja ülalviidatud
õigusaktidest.
3.2 Isikuandmed - igasugune teave tuvastatud või tuvastatava füüsilise isiku
(„andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt
tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood,
asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise,
füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.
3.3 Eriliiki isikuandmed - eriliiki isikuandmeteks loetakse selliseid isikuandmeid, mis
annavad teavet isiku rassilise või etnilise kuuluvuse kohta, näitavad tema poliitilisi,
religioosseid või maailmavaatelisi veendumusi, seksuaalset sättumust, ametiühingusse
kuulumist või on seotud isiku tervisega. Biomeetrilised andmed ja geeniandmed on samuti
eriliiki isikuandmed. Eriliiki isikuandmed puudutavad eriti isiklikke ja intiimseid
eluvaldkondi, seetõttu võib nende seadusevastane või hooletu töötlemine viia eelarvamuste
tekke või diskrimineerimiseni. Nendel asjaoludel on eriliiki isikuandmete töötlemine
lubatud üksnes erandjuhtudel.
3.4 Isikuandmete töötlemine - isikuandmete või nende kogumitega tehtav automatiseeritud
või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine,
korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute
tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks
tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või
hävitamine.
3.5 Ärisaladus - ärisaladus on ettevõtja konkurentsieelis. Ärisaladuseks on eelkõige
kaubanduslikku või tehnilist laadi teave, mis ei ole avalikult kättesaadav ja mida ettevõtja
hoiab salajas, sest selle teabe teistele isikutele õigustamata teatavaks saamine kahjustab
ettevõtja ärihuve. Ärisaladus on teave, mis vastab EKTÄKS § 5 lõikes 2 sätestatud
tingimustele.
3.6 Andmesubjekt – isikuandmete puhul on andmesubjektiks füüsiline isik ehk inimene, kelle
andmeid töödeldakse. Ärisaladuse puhul on andmesubjektiks juriidiline isik, kelle ärihuve
see puudutab.
3.7 Krüpteerimine - loetaval kujul oleva informatsiooni muutmine loetamatuks. Failide
krüpteerimine aitab kaitsta failide sisu.
3.8 Pseudonümiseerimine – isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa
enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et
sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise
isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid.
3.9 Anonüümimine - teabest kõikide jälgede kaotamist, mis võiksid viia tuvastatavate
isikuteni. Kui pseudonüümimine ja krüptimine on tagasipööratav umbisikustamine, siis
anonüümimine tähendab tagasipööramatut ehk lõplikku umbisikustamist.
4. ANDMETE TÖÖTLEMISE PÕHIMÕTTED
4.1 Ravimiamet on haldusasutus, mis töötleb isikuandmeid seaduse ja nende alusel antud
õigusaktidega temale pandud ülesannete täitmisel ja täitmiseks ning seadusega lubatud
ulatuses.
4.2 Andmete töötlemine Ravimiametis on seaduslik, õiglane ja andmesubjektile läbipaistev
(seaduslikkus, õiglus, läbipaistvus).
4.3 Isikuandmete töötlemise põhimõtted on kooskõlas isikuandmete kaitse üldmääruse artiklis
5 sätestatud nõuetega.
4.4 Andmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning
neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus.
4.5 Isikuandmete töötlemine on igasugune isikuandmetega tehtav toiming nagu kogumine,
dokumenteerimine, kohandamine, muutmine, lugemine, säilitamine, hävitamine jmt.
4.6 Ravimiametis töödeldakse nii isikuandmeid, sh eriliigilisi isikuandmeid, kui ettevõtja
ärisaladusena käsitletavaid andmeid.
4.7 Üldiseid isikuandmeid töödeldakse isikutega suhtlemisel, kui teada on isiku nimi ja
kontaktandmed (nimi, elukoha aadress, telefoninumber või e-maili aadress).
4.8 Eriliigilisi isikuandmeid töödeldakse järelevalve tegemisel (näiteks retseptiravimite müüki
kontrollides, kliiniliste uuringute inspekteerimisel), patsiendi kõrvaltoime teatiste
kogumisel ja vaktsiinikahju taotluse menetluses põhjusliku seose hindamisel.
4.9 Töödeldavate andmete liigid, nende töötlemise alused ja säilitustähtajad on
dokumenteeritud Ravimiameti töötlemistoimingute registrist (S:\SAMyld\Andmekaitse).
4.10 Ravimiametis säilitatakse teenistujate ja klientide isikuandmeid töötlemistoimingute
registris kirjeldatud eesmärkidel.
4.11 Isikuandmeid töödeldakse senikaua, kuni neid on vaja eesmärgi täitmiseks ning
vastavalt kehtestatud säilitusaegadele (seadustest või tehingu iseloomust tulenevad
säilitusajad). Kui isikuandmete säilitusaeg on möödunud, isikuandmed kustutakse vastavalt
andmekaitsealasele seadusandlusele.
4.12 Andmesubjektile on Ravimiameti veebilehel avaldatud teave isikuandmete töötlemisest.
5. VASTUTUS
5.1 Ravimiamet tagab, et isikuandmeid töötlevad teenistujad on teadlikud
andmekaitseregulatsioonist ja isikuandmete vastutustundliku töötlemise põhimõtetest.
Teadlikkust andmete töötlemise olulisusest ja järgimise vajadusest hoitakse ja tõstetakse
järjepidevalt. Teenistujaid koolitatakse vähemalt kord aastas.
5.2 Kogutud isikuandmetele määratakse säilitamistähtaeg sõltuvalt andmete töötlemise
eesmärgist. Säilitamistähtaja saabumisel isikuandmeid sisaldav andmestik kustutatakse või
isikuandmed anonüümitakse.
5.3 Iga teenistuja vastutab selle eest, et tema valduses olevad isikuandmed oleksid hoolikalt
hoitud ning nõuetekohaselt töödeldud. Isikuandmeid, millele juurdepääsuõigus on
teenistujal oma tööülesannete täitmiseks, ei tohi edastada kõrvalistele isikutele.
5.4 Kui teenistujal on oma ülesannete täitmiseks antud juurdepääs mõnele andmekogule või
infosüsteemile, tohib sealt teha üksnes tööülesannetega seonduvaid päringuid. Lubatud ei
ole teha päringuid kellegi palvel või mõnel muul eesmärgil (lisaks, vt p 5.10).
5.5 Kui teenistuja saadab e-kirja ekslikult valele adressaadile, tuleb e-kirja saajat koheselt
teavitada toimunud eksimusest ning vajadusest saadud kiri kustutada. Teenistuja kustutab
e-kirja saadetud andmete hulgast (lisaks, vt p 5.10).
5.6 Ravimiameti teenistujatel on juurdepääs tema ülesannete täitmiseks vajalikele
isikuandmetele. Juurdepääs piiratud juurdepääsuga andmete võrguketastel ja
dokumendihaldussüsteemis on määratud isikupõhiselt teenistuja tööülesannetest lähtuvalt.
5.7 Isikuandmetega kokku puutuvad teenistujad:
1) töötlevad isikuandmeid üksnes isikuandmete kaitse üldmääruses ja isikuandmete kaitse
seaduses ettenähtud tingimustel ja korras ning lubatud eesmärkidel;
2) hoiduvad turvanõuete rikkumisest, mis põhjustab edastatavate, salvestatud või muul
viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku,
muutmise või loata avalikustamise või neile juurdepääsu;
3) täidavad Ravimiameti rakendatud asjakohaseid tehnilisi ja korralduslikke meetmeid, mis
tagavad isikuandmete töötlemise kooskõlas isikuandmete kaitse üldmääruse ja
isikuandmete kaitse seadusega,
4) täidavad teisi isikuandmete kaitse üldmäärusest ja isikuandmete kaitse seadusest
tulenevaid kohustusi.
5.8 Andmete volitatud töötleja on TEHIK. Sõlmitud teenuslepingu kohaselt tagab volitatud
töötleja logimise, logide regulaarse kontrolli, varundamise ja varukoopiate säilitamise.
Andmete varundamise aeg on kokku lepitud teenuslepingu lisades, ligipääsu taotletakse
põhjendatud vajadusel vastavalt Infovara juurdepääsuõiguste haldamise korrale.
5.9 Ravimiamet teeb logide pistelist ja juhtumipõhist kontrolli, kontrollib ja testib regulaarselt
andmete töötlemisel tehniliste meetmete rakendamist, et veenduda nende tõhususes,
turvalisuses ning vastavuses asjakohaste õigusaktidega.
5.10 Andmete volitamata töötlemisest teavitab teenistuja viivitamatult Ravimiameti
andmekaitsespetsialisti (kontakt: [email protected]). Koheselt tuleb võtta
meetmed, et rikkumine lõpetada.
5.11 Andmekaitsespetsialist hindab, kas toimunud rikkumine kujutab endast tõenäolist ohtu
andmesubjekti õigustele ja vabadustele. Sellisel juhul vormistatakse selle kohta nõutud
dokumendid ning esitatakse need Andmekaitse Inspektsioonile. Kui rikkumise tulemusena
tekib andmesubjekti õigustele ja vabadustele tõenäoliselt suur oht, teavitatakse sellest
andmesubjekti, et andmesubjektil oleks võimalik endal võtta vajalikke ettevaatusabinõusid
olukorra leevendamiseks.
6. ANDMESUBJEKTI ÕIGUSED
6.1 Saada kinnitust, kas tema isikuandmeid töödeldakse (õigus saada ülevaadet).
6.2 Saada tasuta teavet, milliseid andmeid tema kohta töödeldakse (õigus olla informeeritud).
6.3 Nõuda isikuandmete kustutamist, kui seda võimaldavad ka teistest seadustest tulenevad
nõuded (õigus unustamisele).
6.4 Nõuda isikuandmete korrigeerimist ja täiendamist, kui need on ebakorrektsed (õigus
parandada enda andmeid).
6.5 Nõuda oma isikuandmete töötlemise piiramist (õigus töötlemise piiramisele).
6.6 Õigus saada enda isikuandmed struktureeritud ja masinloetavas formaadis (õigus andmete
edastamisele).
6.7 Õigus vaidlustada enda isikuandmete töötlemist (õigus esitada vastuväiteid).
6.8 Õigus igal ajal tagasi võtta vabalt antud nõusolek enda andmete töötlemiseks.
6.9 Andmesubjektile eriliigiliste isikuandmete saatmisel andmed krüpteeritakse, ärisaladuse
saatmisel andmed võimalusel krüpteeritakse või küsitakse kirjalik nõusolek krüpteerimata
kujul saatmiseks.
6.10 Teenistuja hoiab oma isikuandmeid ja isiklikke dokumente ainult selleks ettenähtud
markeeritud kaustas W-kettal. Personaalse võrguketta kasutamise kohta on sätestatud
Infovara kasutamise kord. Teenistusest lahkumise korral saab teenistuja isiklikud
dokumendid kaasa võtta.
6.11 Ravimiametist lahkunud teenistuja faile ja elektronkirju säilitatakse üks aasta, pikemaks
säilitamiseks peab kasutaja vahetu juht saatma IT-kasutajatoele põhjendatud taotluse enne
teenistuja teenistus- või töösuhte lõppemist märkides failide ja elektronposti säilitamise
soovitud tähtaja. Pärast seatud tähtaega kustutatakse teenistuja personaalseks kasutuseks
antavatelt seadmetelt ja andmekandjatelt (sh irdandmekandjad) kõik andmed.
7. ANDMETE AVALDAMINE KOLMANDATELE OSAPOOLTELE
7.1 Andmeid kolmandatele osapooltele ei jagata, välja arvatud juhul kui selleks on
andmesubjekti nõusolek või kui see on seadusega nõutud (sh kohtuvaidluste korral).
Isikuandmete kolmandate osapooltega jagamine võib osutuda vajalikuks näiteks
kriminaalmenetluse käigus tehtud päringutele vastamiseks, ohtlike olukordade vältimiseks
või intellektuaalomandi kaitseks.
7.2 Andmete jagamisel kolmandatele osapooltele õigustatud huvi olemasolul andmed vajadusel
anonümiseeritakse, asendades piiratud juurdepääsuga andmed kas varjutuse või xxx-ga.
KÄSKKIRI
veebruar 2025 nr 14
Andmekaitse korra kinnitamine
Vabariigi Valitsuse seaduse § 74 lõike 1, ning sotsiaalministri 11. oktoobri 2005.a. määruse nr
105 „Ravimiameti põhimäärus“ § 7 punkti 13 alusel
1. Kinnitan Ravimiameti andmekaitse korra.
2. Tunnistan kehtetuks Ravimiameti peadirektori 19. oktoobri 2020. a käskkirja nr 35
„Isikuandmeid töötlevate ametnike ja töötajate määramine“.
3. Arendus- ja haldusosakonna dokumendihalduse spetsialistil teha käskkiri teatavaks
Ravimiameti ametnikele ja töötajatele dokumendihaldussüsteemi kaudu.
Vaide käskkirjale saab esitada peadirektorile 30 päeva jooksul arvates käskkirja teatavaks
tegemisest vastavalt haldusmenetluse seaduse § 71 lõikele 1 ja §-le 75. Kui ametnik või töötaja
soovib käskkirja vaidlustada halduskohtus, võib ta vastavalt halduskohtumenetluse seadustiku
§ 7 lõikele 1 ja § 46 lõikele 1 esitada kaebuse käskkirja peale Tartu Halduskohtule või oma
teenistuskoha järgi Tallinna Halduskohtule 30 päeva jooksul arvates käskkirja teatavaks
tegemisest.
(allkirjastatud digitaalselt)
Katrin Kiisk
Peadirektor
Heleni Mäe