Täpsustav selgitustaotlus

Irina Meldjuk

Andmekaitse Inspektsioon

Tänan info eest!

Meie küsimus on põhimõtteline – kui täpselt ja otseselt peab olema isikuandmete töötlemine õigusaktides toodud, kui isikuandmeid töödeldakse juriidilise kohustuse täitmiseks.

Näitena viidatakse sageli hasartmängu seadusele, kus on väga selgelt isikuandmete töötlemine välja toodud. Meie aga ei leia kõigist oma tegevustega seotud õigusaktidest nii selget lähenemist.

Seega soovin edastada ka konkreetse teema kohta täiendavalt infot ja õigusaktid, millele tugineme.

Pääsuõiguste ja isikulubade väljastamiseks töötleme isikuandmeid isikuandmete kaitse üldmääruse artikli 6 punkti 1 lõike c alusel juriidilise kohustuse täitmiseks.

Me lähtume sadamaseaduse § 15 ja 16, mille kohaselt viib Transpordiamet läbi sadama ja sadamarajatise turvalisuse riskianalüüsi ning sadamapidaja koostab selle alusel turvaplaani.

Sadamaseaduse §15 lg 5 alusel kirjeldab riskianalüüs muu hulgas sadamapidaja ja sadamarajatise valdaja kohustusi ja tegevusi turvalisuse tagamisel. Majandus- ja kommunikatsiooniministri 07.10.2011 määruse nr 97 „Sadama ja sadamarajatise turvalisuse riskianalüüsis kajastatavate teemade täpsustatud loetelu ja riskianalüüsi läbiviimise kord“ lisa „Riskianalüüsi etapid“ lisa p 4.1 alusel määratakse riskianalüüsis kindlaks kriitiliste nõrkuste vähendamiseks mõeldud meetmed, menetlused ja tegevused, kusjuures erilist tähelepanu tuleb pöörata sissepääsu kontrollimise ja sissepääsu piiramise vajadusele ja vahenditele. 

Sadamaseaduse §16 lg 11 sätestab, et sadama ja sadamarajatise turvaplaanides peab olema kirjeldatud sadamasse ja sadamarajatisse sissepääsu korraldus, isikut tõendavate dokumentide kontrollimise korraldus jm. Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 725/2004 toodud ISPS koodeksi https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0725:ET:HTML A osa punkt 16 nõuab, et sadamarajatise turvaplaanis peavad olema ette nähtud meetmed loata juurdepääsu välistamiseks sadamarajatisele, rajatises sildunud laevadele ja rajatise piirangualadele.

Seega on meil juriidiline kohustus kontrollida, kes sadamasse siseneb, ning sellega seotud isikuandmete töötlemine on seaduslik ja vajalik sadamasse ligipääsu piiramiseks ja loa andmiseks ning sadamasse siseneva isiku isikusamasuse kontrollimiseks.

Lisaks on sisenemise erisused Muuga sadama puhul seotud vabatsooni staatusega. Ligipääsu piiramise ja isikusamasuse kontrollimise kohustused tulenevad Maksu- ja Tolliameti nõuetest Muuga vabatsooni töökorralduses (avalikustatud https://www.ts.ee/eeskirjad-tasud/).

Kuna turvalisuse riskianalüüs on tunnistatud juurdepääsupiiranguga teabeks avaliku teabe seaduse § 35 lg 1 p 9 kohaselt (turvasüsteemide, turvaorganisatsiooni või turvameetmete kirjeldus), siis ei saa me seda dokumenti jagada.

Samuti ütleb Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 725/2004 toodud ISPS koodeksi A osa punkt 15.7, et sadamarajatise turvalisuse hindamise lõpetamisel koostatakse aruanne, mis sisaldab kokkuvõtet hindamise läbiviimise kohta, hindamise käigus avastatud iga haavatava koha kirjeldust ja selliste vastumeetmete kirjeldust, mida võib kasutada sellise haavatavuse kõrvaldamiseks. Aruannet kaitstakse loata juurdepääsu või avalikustamise eest.

Sama A osa punkt 16.8 ütleb turvaplaani kohta, et plaani kaitstakse loata juurdepääsu või avalikustamise eest.

Seega ei saa me ka turvaplaani jagada.