Andmekaitsepoliitika

KÄSKKIRI

Rahandusministeeriumi andmekaitsepoliitika

Vabariigi Valitsuse seaduse § 53 lõike 1, § 54 lõike 1 ning Vabariigi Valitsuse 22.12.2011

määruse nr 177 „Rahandusministeeriumi põhimäärus“ § 12 punktide 1, 14 ja 15 ning § 13

lõike 1 alusel:

1. Kinnitan Rahandusministeeriumi andmekaitsepoliitika (lisatud).

2. Käskkiri jõustub allkirjastamise päeval.

(allkirjastatud digitaalselt)

Merike Saks

kantsler

29.12.2025

nr 68

Vastutav osakond: Strateegia- ja finantsosakond Kinnitatud: Kantsleri {regDateTime} käskkiri

nr {regNumber}

Protsessi koordinaator: Andmete valdkonna

juht

Versioon: Algversioon

Rahandusministeerium 1 (6)

Eelmine versioon: -

RAHANDUSMINISTEERIUMI ANDMEKAITSEPOLIITIKA

Andmed dokumendi muutmise kohta

Versiooni

nr

Käskkirja kpv ja nr Jõustumise

kuupäev

Muudatuse kirjeldus

Ver 01 Kantsleri käskkiri nr

{regNumber},

{regDateTime}

{regDateTime} Algse täisversiooni loomine.

1 ÜLDSÄTTED

1.1 Eesmärk ja sisu:

1.1.1 Tagada, et Rahandusministeerium (edaspidi RAM) töötleb isikuandmeid kooskõlas

Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679, füüsiliste isikute kaitse

kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi

95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L

119, 04.05.2016, lk 1–88) (edaspidi üldmäärus) ja muude asjakohaste õigusaktidega.

1.1.2 Andmekaitsepoliitikas kasutatavad mõisted on defineeritud üldmääruse Artiklis 4.1

1.1.3 Sätestada isikuandmete töötlustoiminguid.

1.2 Kasutusulatus ja vastutus:

1.2.1 Andmekaitsepoliitika (edaspidi poliitika) väljatöötamise ja uuendamise eest vastutab

andmekaitsespetsialist. RAMi andmekaitsespetsialisti teenust osutab RMIT.

1.2.2 Poliitika on kohustuslik kõigile RAM-i ametnikele ja töötajatele (edaspidi

teenistuja), kelle kohustus on tagada korra järgimine ka muus lepingulises suhtes

olevate isikute poolt, kes töötlevad RAM-ilt saadud andmeid oma tööülesannete

täitmisel või kutsetegevuses.

1.2.3 Poliitika kehtib kõikides töö tegemise kohtades, sh kaugtööl.

1.2.4 Poliitika ei kohaldu riigisaladusele ega salastatud välisteabele.

2 ISIKUANDMETE TÖÖTLEMISE PÕHIMÕTTED

2.1 RAM on vastutav töötleja isikuandmete osas, mis puudutavad tema teenistujaid, isikuid,

kelle andmed on kantud andmekogudesse, mille vastutav töötleja on RAM, andmesubjekti

enda poolt edastatud või lepingu alusel teatavaks saanud ning seaduse alusel edastatud

isikuandmete osas.

1 Isikuandmete kaitse üldmäärus

Vastutav osakond: Strateegia- ja finantsosakond Kinnitatud: Kantsleri {regDateTime} käskkiri

nr {regNumber}

Protsessi koordinaator: Andmete valdkonna

juht

Versioon: Algversioon

Rahandusministeerium 2 (6)

Eelmine versioon: -

2.2 Isikuandmeid töödeldakse eelkõige õigusaktidega pandud ülesannete ja kohustuste ning

avaliku võimu teostamise eesmärgil. Samuti võib töötlemine tuleneda õigustatud huvist,

kui töötlemine pole seotud RAM’i põhiülesannete täimisega.

2.3 Isikuandmeid kogutakse ainult nendel eesmärkidel, mis on õigusaktides sätestatud või

käesolevas poliitikas ja andmekaitsetingimustes määratletud ning neid ei töödelda hiljem

muul viisil.

2.4 Isikuandmed on õiged ja vajaduse korral ajakohastatud ning töötleja rakendab mõistlikke

meetmeid, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutataks või

parandataks esimesel võimalusel.

2.5 Juhul, kui andmete säilitamise viis ei ole määratud kindlaks õigusaktiga, säilitatakse

isikuandmeid kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on

vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse.

2.6 Isikuandmeid ei tohi töödelda isiklikuks huviks.

2.7 Isikuandmeid võib teistele asutustele või isikutele edastada ainult õigusaktides sätestatud

alustel, ulatuses ja korras või andmesubjekti taotlusel ainult tema isikuandmeid, mille

puhul ei rakendu seadusest tulenevad piirangud.

2.8 Teenistuja, kes edastab isikuandmeid, peab veenduma, et vastuvõtjal on õigus andmeid

saada ning, et ta rakendab andmete töötlemisel asjakohaseid kaitsemeetmeid.

2.9 Isikuandmeid sisaldava dokumendi koostamisel ja saabunud, kuid juurdepääsupiirangu

märketa dokumendi registreerimisel tuleb iga kord hinnata, kas selles sisalduvad üldised

isikuandmed või eriliiki isikuandmed ning vastavalt sellele kehtestada teabele

juurdepääsupiirang.

2.10 Isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse,

sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise,

hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke

meetmeid. Võimalusel isikuandmed anonümiseeritakse või pseudonümiseeritakse.

3 ISIKUANDMETE TÖÖTLEMISE SEADUSLIKKUS

3.1 Isikuandmeid võib töödelda ainult EL isikuandmete kaitse üldmääruses, isikuandmete

kaitse seaduses ja teistes asjakohastes õigusaktides sätestatud alustel või kui:

3.1.1 andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel

konkreetsel eesmärgil;

3.1.2 isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu

täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt

andmesubjekti taotlusele;

3.1.3 isikuandmete töötlemine on vajalik vastutava töötleja seadusest tuleneva ülesande

täitmiseks;

3.1.4 isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku

eluliste huvide kaitsmiseks;

3.1.5 isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või

vastutava töötleja avaliku võimu teostamiseks;

3.1.6 isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud

huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid

Vastutav osakond: Strateegia- ja finantsosakond Kinnitatud: Kantsleri {regDateTime} käskkiri

nr {regNumber}

Protsessi koordinaator: Andmete valdkonna

juht

Versioon: Algversioon

Rahandusministeerium 3 (6)

Eelmine versioon: -

või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui

andmesubjekt on alaealine.

3.2 Kui isikuandmete töötlemise aluseks on andmesubjekti nõusolek, peab andmesubjekti

nõusolek olema tõendatav ja igal ajahetkel andmesubjekti poolt tagasivõetav sama lihtsalt

kui see anti. Näit. küpsiste (inglise k. cookie) seadmesse paigaldamise nõusolek või foto

kasutamise nõusolek.

4 ISIKUANDMETE SÄILITAMINE JA EDASTAMINE

4.1 Isikuandmeid säilitatakse senikaua, kuni on vajalik nende töötlemine eesmärgi

saavutamiseks, kui õigusaktid ei sätesta muid tähtaegu. Isikuandmete säilitamise tähtaeg

dokumenteeritakse Isikuandmete töötlemise registris.

4.2 Kui tähtaega ei ole võimalik määratleda, määrab vastutav töötleja andmete säilitamise

põhimõtted.

4.3 Pärast andmete säilitamise tähtaja möödumist tuleb isikuandmed kustutada/hävitada või

tagastada vastutavale töötlejale.

4.4 Isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes

huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil,

eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse asjakohaseid

tehnilisi ja korralduslikke meetmeid.

4.5 Isikuandmeid on lubatud edastada:

4.5.1 Euroopa Liidu siseselt;

4.5.2 Euroopa Liidu välistesse riikidesse, kuhu edastamine võrdsustatakse andmete

Euroopa Liidu sisese edastamisega (Island, Liechtenstein, Norra);

4.5.3 Euroopa Komisjoni andmekaitse taseme piisavuse otsuse alusel.

4.6 Edastamine ülejäänud riikidesse või rahvusvahelistele organisatsioonidele on

isikuandmete edastamine mittepiisava andmekaitsetasemega riiki ning edastamisel tuleb

rakendada lisakaitsemeetmeid (üldmääruse art 46–49) või see võib toimuda

erandolukordades.

4.7 Isikuandmete edastamisel tuleb kasutada turvalist andmeedastusviisi või kaitsta andmeid

lubamatu töötlemise eest muul viisil, näiteks krüpteerimisega.

5 TURVAMEETMED

5.1 Isikuandmete töötlemisel rakendatakse organisatsioonilisi, füüsilisi ja infotehnoloogilisi

turvameetmeid, et minimeerida nende loata töötlemine või terviklikkuse kahjustumine.

Turvameetmete rakendamist kirjeldatakse teenuse tehnilises dokumentatsioonis.

5.2 Turvameetmete rakendatuse kohta toimuvad kontrollid ja auditid, mis võivad olla nii

asutusesisesed kui ka selle välised, ning mida viiakse läbi vähemalt kord nelja aasta

jooksul.

6 ANDMESUBJEKTIDE KATEGOORIAD

6.1 Veebisaitide külastajad, sh küpsistega nõustunud isikud.

6.2 Tööle kandideerijad, teenistujad ja praktikandid, töölt lahkunud.

6.3 Partnerite ja kodanike esindajad.

6.4 Isikud, kelle andmeid kasutatakse andmekogudes ning rakendustes.

Vastutav osakond: Strateegia- ja finantsosakond Kinnitatud: Kantsleri {regDateTime} käskkiri

nr {regNumber}

Protsessi koordinaator: Andmete valdkonna

juht

Versioon: Algversioon

Rahandusministeerium 4 (6)

Eelmine versioon: -

6.5 Rikkumisest teatajad.

6.6 Küsitlustes või uuringutes osalenud isikud.

6.7 Koolitustel osalejad.

6.8 Lobistid.

6.9 Võlakirjaemissioonis osalejad, sh seoses sellega intressimaksetelt tulumaksu tasumise

kohustuse edasilükkamise vormi esitanud isikud.

7 RAHANDUSMINISTEERIUMI ANDMEKOGUD

7.1 Rahandusministeerium on järgmiste andmekogude vastutavaks töötlejaks:

Andmekogu nimi Andmekogu volitatud töötleja

1 Eesti Vabariigi riigieelarve

infosüsteem

2 Eesti väärtpaberite keskregister registripidaja

3 pensioniregister pensioniregistri pidaja

4 riigi kinnisvararegister RMIT

5 tegelike kasusaajate andmekogu RIK, Tartu maakohtu

registriosakond

6 riigiabi ja vähese tähtsusega abi

register

RMIT

7 Audiitortegevuse register Audiitorkogu

7.2 Vastutava töötleja ülesandeid täidab osakond, kelle põhiülesannete hulka kuulub vastava

valdkonna poliitika kujundamine või tegevuse korraldamine.

8 ERILIIKI ISIKUANDMED

Eriliiki isikuandmeid on keelatud töödelda, kui selleks ei ole andmesubjekti taasesitamist

võimaldavas vormis antud nõusolekut või õigusaktist tulenevat alust.

9 ANDMESUBJEKTI ÕIGUSED

9.1 Andmesubjektidel on õigus:

9.1.1 olla informeeritud isikuandmete töötlemisest;

9.1.2 tutvuda enda isikuandmetega;

9.1.3 ebaõigete isikuandmete parandamisele;

9.1.4 isikuandmete kustutamisele (unustamisele);

9.1.5 isikuandmete töötlemise piiramisele;

9.1.6 isikuandmed üle kanda;

9.1.7 esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes;

9.1.8 nõuda, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud

töötlusel, sh profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi

või avaldab talle märkimisväärset mõju (näit. veebipõhine tööle värbamine ilma

inimsekkumiseta).

9.2 Andmesubjekti õigused ei ole absoluutsed, vaid neid tuleb kaaluda koosmõjus teiste

isikute õiguste ja kohustustega.

Vastutav osakond: Strateegia- ja finantsosakond Kinnitatud: Kantsleri {regDateTime} käskkiri

nr {regNumber}

Protsessi koordinaator: Andmete valdkonna

juht

Versioon: Algversioon

Rahandusministeerium 5 (6)

Eelmine versioon: -

9.3 Isikuandmete töötlemise teave on avaldatud RAM kodulehel2.

10 TEENISTUJATE ÕIGUSED JA KOHUSTUSED

10.1 Iga teenistuja ja struktuuriüksus vastutab andmekaitse eest oma pädevuse piires.

10.2 Isikuandmete töötlemise registris peab olema kajastatud, mis andmeid teenuses

töödeldakse, kust neid saadakse ja kellele edastatakse.

10.3 Enne isikuandmetega seotud toimingu tegemist peab teenistuja veenduma selle toimingu

õiguspärasuses ja vajadusel konsulteerima andmekaitsespetsialistiga.

10.4 Eelnõude koostamisel, uuringute läbiviimisel, tehniliste lahenduste ja andmekogude

juurutamisel ja käiku võtmisel peab vastutav üksus või teenistuja hindama, kas esineb

kokkupuude isikuandmetega ning isikuandmete töötlemise puhul kaasama

andmekaitsespetsialisti, et hinnata isikuandmete töötlemise mõju ja riski isikuandmete

turvalisusele.

10.4.1 Andmekaitsealane mõjuhinnang tuleb teha enne isikuandmete töötlemist, kui

töötlemine võib põhjustada kõrget riski andmesubjektide (inimeste) õigustele ja

vabadustele. Mõjuhinnangu tegemise kohustus tuleneb isikuandmete kaitse

üldmääruse artiklist 35 ja Andmekaitse Inspektsiooni juhistest3.

10.5 Juhtkonnal on üldvastutus andmekaitse eest.

10.6 Andmekaitsespetsialist vastutab:

10.6.1 Rahandusministeeriumi kontakti teavitamise ja Rahandusministeeriumi

nõustamise eest seoses nende kohustusega täita isikuandmete töötlemist

reguleerivaid õigusakte ning andmekaitse poliitikas sätestatud kohustuste, riskide

ja probleemidega;

10.6.2 vastutava töötleja või volitatud töötleja poolt isikuandmete kaitse põhimõtete

täitmise jälgimise eest vastavalt isikuandmete töötlemist reguleerivatele

õigusaktidele;

10.6.3 isikuandmete töötlemise registri halduse ja ajakohasena hoidmise eest;

10.6.4 koos personali- ja õigusosakonnaga andmekaitsekoolituse korraldamise ja

teenistujate nõustamise eest;

10.6.5 andmekaitsealase mõjuhinnanguga seotud nõu andmise eest;

10.6.6 andmetöötluslepingute ja andmekaitsealaste kokkulepete läbivaatamise ja

sobivaks hindamisel kooskõlastuse eest;

10.6.7 andmekaitse järelevalveasutusega suhtlemise eest;

10.6.8 andmekaitseauditi läbiviimise korraldamise eest.

10.7 Kõik teenistujad läbivad andmekaitsekoolituse.

11 RIKKUMISEST TEAVITAMINE

11.1 Iga teenistuja, kes töötleb isikuandmeid, peab teadma kuidas toimida isikuandmete

töötlemise rikkumise või rikkumise kahtluse puhul.

11.2 Rikkumisest tuleb teavitada viivitamata asutuse andmekaitsespetsialisti

([email protected]) või IT-abi ([email protected]).

2 https://www.fin.ee/privaatsussatted 3 5. peatükk. Andmekaitsealane mõjuhinnang | Andmekaitse Inspektsioon

Vastutav osakond: Strateegia- ja finantsosakond Kinnitatud: Kantsleri {regDateTime} käskkiri

nr {regNumber}

Protsessi koordinaator: Andmete valdkonna

juht

Versioon: Algversioon

Rahandusministeerium 6 (6)

Eelmine versioon: -

11.3 Andmekaitsespetsialist hindab andmekaitse järelevalveasutuse ja andmesubjektide

informeerimise vajadust.

12 TEABE JA SALADUSE HOIDMINE

Teenistuja ei tohi nii teenistus- või töösuhte ajal kui ka pärast selle lõppu avaldada talle

teenistuse või töö tõttu teatavaks saanud riigi- ja ärisaladust, salastatud välisteavet, teiste

inimeste perekonna- ja eraellu puutuvaid andmeid ning muud asutusesiseseks kasutamiseks

tunnistatud teavet.