Selgitustaotlus

Dokumendiregister Andmekaitse Inspektsioon
Viit 2.2-9/25/1387-1
Registreeritud 02.05.2025
Sünkroonitud 05.05.2025
Liik Sissetulev kiri
Funktsioon 2.2 Loa- ja teavitamismenetlused
Sari 2.2-9 Selgitustaotlused
Toimik 2.2-9/2025
Juurdepääsupiirang Avalik
Juurdepääsupiirang
Adressaat R.R
Saabumis/saatmisviis R.R
Vastutaja Maarja Kirss (Andmekaitse Inspektsioon, Koostöö valdkond)
Originaal Ava uues aknas

Failid

E-kiri.eml
Outlook-plwxcrwq.png
Outlook-plwxcrwq.png
E-kiri.eml

Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga.
Tundmatu saatja korral palume linke ja faile mitte avada.

Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga.
Tundmatu saatja korral palume linke ja faile mitte avada.

Tere. 

Tekkis küsimus isikuandmete töötlemise lõpetamisega peale töölepingu lõppu. 

Töötaja sõlmib töölepingu juriidilisekehaga, ettevõttega. 
  • Ta suhtleb tööalaselt chatis (näiteks vestlused 1:1) - ettevõtte konto alt ees.perenimi@ettevõtte.ee
    • Peale töölepingu lõppemist tema konto suletakse, kuid tema nimi jääb teisele poole näha (ettevõtte teine töötaja kes jääb tööle) saab eelnevalt juttu näha (ajalugu)
    • Mis saab grupi vestlustest, kus lihttekstina on kellegi nime (näiteks ees-perenimi) mainitud. Sellise info otsimine võib osutuda äärmuslikult keeruliseks - kuidas neid nõudeid täita?
  • Ta kasutab tööde registreerimisel pöördumist - tõsi töömaili pealt ees.perenimi@ettevõte.ee
    • Peale töölt lahkumis suletakse koheselt küll konto, kuid jäävad tööd registrisse järgi, tõsi konto on küll suletud kuid eelnevalt registreeritud tegevused on andmebaasis (näiteks tagasivaateks, mõne tulevase intsidenti lahendamiseks). 
    • Kui sama tööde portaalis teksti sees kasutatakse Ees-, perenime on keeruline  leida ning võimatu tagada, et enam ei ole.  Näiteks: "Pange Mart Papli lauale arvuti" - kas ma peaksin sellisele nõudele tähelepanu pöörduma. 
  • Kuidas käituda emailidega peale töötaja lahkumist. 
    • Tõsi konto suletakse, emaili arhiivid kokkulepitud ajal kustutatakse aga näiteks samas näiteks teise poole väljasaadetud mailide, või kolmandal osapoole kirjas võib olla kasutaja nimi sees (samas näiteks "Mart Pappel").  Kas selline nõue on tühine, sest tööandja ei kontrolli mis inimesed omavahel räägivad ning selline tegevus ei ole ka ettevõtte poolt nõutud.
  • Milline nõue on koosoleku raportitel? Kas äri võib koosolekute raportite tähtajaks määrata 10 aastat, sest need võivad olla mõne kestvuslepinguga?
    • Dokumendis, osalenud inimeste nimede kustutamine võib osunduda keeruliseks, kui kasutatakse Wordi dokumente või PDF-e?
  • Isikuandmete töötleja üldjuhendist, lehekülg 29 leia: pealekirja "Mida tähendab (suur) oht?" Isikuandmetega seotud rikkumisest teatamise kohustus sõltub sellest, mis on oht andmesubjekti õigustele ja vabadustele.
    • Näites on toodud "riive omandi puutumatusele (Salasõnade lekkimise tulemusena saadi juurdepääs inimese kasutajakontole ja tehti oste tema nimel ja arvel)."
      • Loen, et teavitamine on, kui 50 000 kontot lekkinud?, ehk kui suurtelt kogustelt lihtandmete lekkimiste juures on mul teavitamise kohustus. 
      • Toome analoogi 50 töötajaga ettevõte, saadi ettevõtte andmetele ligi, kuigi riskianalüüs ja mõju hinnang näitab, et kasutasin võimalike tänapäevaseid lahendusi. Annan teada lekkimisest RIAle aga kas mul on ka otsene nõue AKI-le sellest teada anda? Loen nõudes 72h jooksul ning kui inimestele tekib suur oht.  Kas saaks seda nõuet konkretiseerida palun. 
  • Tihti loe "pseudonüümimist, anonüümimist". Sellist nõuet saaks täita e-teenuste ja andmebaaside korral. Kahjuks staatiliste andmete puhul seda täita ei saaks. Ainukene võimalus siin juhul on kustutamine või käisitsi töötlemine. 
    • Näiteks ühisfotod ettevõtte sisportaalis?
  • Andmete ülekandmine töösuhte lõpetamisel. Kas endisel töötajal on õigus ka siin sellise nõuet esitada ning tööandja peab sead võimaldama. Näiteks kõik emailid? Või näiteks võrgulogid (viide eelpool toodud dokumendile, lehekülg 37 -  nutirakendusse tekkinud andmed rakenduse kasutaja tegevuste kohta)?
    • Seisab küll, et vajaduse ei pea kõiki andmeid kustutama kui subjekt ei nõua seda - kuid pean kopeerima. Kuidas käituda PDF-ide  ja piltide puhul, kas mul on kohustus selliseid andmeid "üle kanda"?
  • Lõpetuseks küsimus. Kaitsemeetmete kohta. Kui kasutada volitatud andmetöötlejaid siis on tihti neil kodulehel väljas pikad tekstid ja heal juhul vastavad GDPR või ISO või E-ITS nõuetele, kuid ei ole välja toodud mismoodi nad tavad andmete turbe ning tänaseks ma ei ole ka väga kaugele oma nõuetega jõudnud. Näiteks kas nad krüpteerivad, varunvad ja kus jms. 
    • Andme subjekt võib küsida, kes töötleb mis asjaoludel ja kui kaua, kuid kas ta võib konkreetselt töötlejat küsida või piisab kui vastata näitesk "IT-osakond"?

Ette tänades vastuste eest. 
 

Parimate soovidega.  

 

 

Rainer Renn

Grex IT OÜ

Mob: +372 55 69 7276

E-post: rainer@grex.ee

www.grex.ee

 

Käesolev e-kiri ja selle lisad on konfidentsiaalsed. Juhul, kui Te ei ole e-kirja määratud adressaat või kirjas ei ole viidatud teisiti, palume Teil sellest meile viivitamatult teada anda ja e-kiri koos lisadega kustutada.

Käesoleva e-kirja loata avalikustamine, kopeerimine, levitamine või selle sisu muul viisil kasutamine on rangelt keelatud.

 

Kirja saadab Teile Grex IT OÜ