| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/760-2 |
| Registreeritud | 25.03.2024 |
| Sünkroonitud | 25.03.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Job Norway NUF |
| Saabumis/saatmisviis | Job Norway NUF |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39, 10134 Tallinn Telefon 627 4135
Registrikood 70004235 E-post [email protected] www.aki.ee
Lp Helen Kasepuu
Job Norway NUF
Teie 21.03.2024 nr Meie 25.03.2024 nr 2.2-9/24/760-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie pöördumise, milles kirjutate: Kuidas saan kindel olla, et IT teenuseid pakkuv ettevõte edastab (tagastab) kõik isikuandmed teenuse tellijale? Renditööga tegelev ettevõte tellis (ja maksis täies mahus) tarkvara IT ettevõttelt. Lepiti ka kokku (lepingus), et rendiettevõte hoiab töötajatega seotud isikuandmed uues tarkvaras IT ettevõtte serveris. Nüüd teatas IT ettevõte pankrotiavaldusest. Rendiettevõte leidis endale teise teenusepakkuja ning andmed (tarkvara) tõsteti teise serverisse. Nüüd aga selgus, et IT ettevõte on jätnud endale koopia isikuandmetest ja meie tarkvara nö uuem versioon on nende käes. Kuidas saan kõik andmed kätte? Kuidas saan kindel olla, et IT ettevõte tagastab (käitleb korrektselt) isikuandmeid?
Teadmata kõiki asjaolusid, saab öelda, et selliste olukordade jaoks peavad kohustused ja nende
täitmise kontrollimise võimalused olema kokkulepitud lepingus, millega reguleeritakse ka
isikuandmete töötlemist.
Isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Euroopa Parlamendi ja Nõukogu
määruses (EL) 2016/679 (IKÜM) ning isikuandmete kaitse seaduses.
Isikuandmete kaitse üldmääruse (IKÜM) art 5 lg 1 p a sätestab, et isikuandmete töötlemine peab
olema seaduslik ja andmesubjektile läbipaistev; samuti tohib isikuandmeid koguda üksnes
kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning koguda tuleb eesmärgi
seisukohalt võimalikult vähe andmeid (art 5 lg 1 p c). Seda, millisel õiguslikul alusel ja
eesmärgil andmetöötlust läbi viiakse, peab IKÜM art 5 lg 2 kohaselt selgitama ja tõendama
andmetöötleja ise. Kui õiguslik alus puudub, siis andmeid töödelda ei tohi. Eriti olukorras, kus
vastutav andmetöötleja ei tea vastust küsimustele, kuidas saada oma andmeid kätte volitatud
töötleja andmebaasist või kuidas olla kindel, et IT ettevõte töötleb isikuandmeid vastavalt
seadustele.
Vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1 sätestatud
põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende täitmist
tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava töötleja
kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas
kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või
kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
2 (2)
Kokkuvõtvalt selgitame, et isikuandmete töötlemisel peab eelkõige jälgima kõige
tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata isikute
kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest, õigustamata
edastamised vms). Seda, millist konkreetset andmebaasi või arvutitarkvara ettevõte
kasutab, on ettevõtte enda valida. Teadma peab, et vastutus andmekaitseliste rikkumiste
puhul lasub eelkõige vastutaval andmetöötlejal, mistõttu tasub oma tegevused alati läbi
kaaluda (sh millist andmebaasi või süsteemi kasutada, kas ning milliseid andmeid on üldse vaja
koguda- minimaalsuse põhimõte).
Isikuandmete kaitse üldmääruse (EL) 2016/679 art 33 kohaselt on kõigil isikuandmete
vastutavatel töötlejatel kohustus isikuandmete turvanõuete rikkumisest teada anda
järelevalveasutusele. Seda juhul, kui rikkumise tagajärjeks võib olla oht füüsilise isiku õigustele
ja vabadustele. Eestis tuleb sellisest rikkumisest teada anda Andmekaitse Inspektsioonile.
Rohkem informatsioon rikkumisteate kohta leiate siit. Rikkumisteadet saab esitada siit.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Selgitustaotlus | 21.03.2024 | 5 | 2.2-9/24/760-1 🔒 | Sissetulev kiri | aki | Job Norway NUF |