Tere, Meinhard
Suur tänu, et pöördusite inspektsiooni poole.
Kooskõlastame andmesubjekti nõusolekuta isikuandmete töötlemise täidesaatva riigivõimu asutuste poliitika kujundamise eesmärgil tehtavad uuringuid (ehk poliitikakujundamise uuringuid) ning erandjuhtudel eriliiki isikuandmetel põhinevad uuringuid. Kooskõlastamisel
kontrollime nõuete täitmist, st kogu uuringu eesmärgil tehtav andmetöötlus peab vastama isikuandmete kaitse regulatsiooni (sh IKÜM) nõuetele.
Oluline on teada, et uuringu kooskõlastamisel me ei kontrolli andmetöötluse vastavust IKÜM-i nõuetele täies mahus, sest andmetöötluse eest peab vastutama ja selle õiguspärasuse tagama iga vastutav töötleja ise. Sõltuvalt juhtumist laseme kooskõlastusprotsessi
käigus puudused kõrvaldada või lisame täiendavad selgitused kooskõlastamise otsuse selgitavasse osasse.
Uuringu kooskõlastuse otsus antakse vastutavale töötlejale ehk riigiasutusele, kuigi reeglina kasutatakse selleks partnereid ehk isikuandmete töötlemise mõttes volitatud töötlejaid. Andmete hävitamise kohustus on vastutaval töötlejal ehk tema ülesanne on jälgida
volitatud töötlejaga sõlmitud lepingu täitmist ning kontrollida andmete hävitamise toimumist. Praktikas on esinenud olukordi, kus andmete hävitamise tähtaja osas palutakse pikendust, sest uuringu läbiviimise ajakava on algselt planeeritud liiga optimistlikult
(nt võtab arvatust kauem aega kooskõlastamine, sh eetikakomiteega, samuti andmekogudest andmete saamine, uuringu enda analüüsiprotsess jms).
Isiku nõusolekuta töödeldavate andmete hävitamisest teavitamist oleme nõudnud eelkõige selleks, et nö fikseerida andmetöötluse lõpetamine. Me ei jälgi hävitamisest teavitamist jooksvalt. Kord aastas kontrollime ning saadame kirja nendele, kes ei ole tähtajaks
hävitamisakti või kinnituskirja saatnud.
Riigiasutusele on meil võimalik teha ettekirjutus (kuid mitte määrata sunniraha selle käigus). Riigiasutustele tehtud ettekirjutuse mittetäitmisel saame pöörduda protestiga halduskohtusse või ettekirjutuse saaja kõrgemalseisva asutuse poole. Lisaks on õigus
pöörduda ka riigiasutuse enda poole teenistusliku järelevalve korraldamiseks või ametniku suhtes distsiplinaarmenetluse algatamiseks.
Seni ei ole olnud vajadust kellegi suhtes mingeid meetmeid tarvitusele võtta. Praktikas ei ole probleemiks andmete hävitamata jätmine, vaid pigem sellest teavitamata jätmine.
Head vana aasta lõppu!
Katrin Haug
Andmekaitse Inspektsioon
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga.
Tundmatu saatja korral palume linke ja faile mitte avada.
|
Tere taas
Märkasin nüüd, et sarnased kirjad on saatnud AKI ka teistele ministeeriumitele. Ehk iseenesest võib fookuse KaM-ist tõmmata laiemaks.
Parimat
Meinhard
Tere!
Jäi silma AKI nõudekiri kaitseministeeriumile seoses 2024. aasta uuringuga "Avalik arvamus riigikaitsest riigipiiri äärsetes maakondades". Nõudekirjas tuuakse välja, et kaitseministeerium ei ole kinnitanud algandmete hävitamist, kuigi tähtaegadeks olid vastavalt
30.09.2024 ja 31.01.2025.
Sellega seoses mõtlesingi uurida, et kas AKI-le on teada mis põhjusel on algandmete hävitamine viibinud? Ühtlasi, kas saaksite veidi kirjeldada laiemat konteksti selle protsessi taga: arvestades, et tähtaja ja mu poolt viidatud nõudekirja vahele jäi ligi üks
aasta, siis kas AKI ja KaMi vahel oli sel perioodil veel mingit suhtlust? Kas sain AKI-le esitatud taotlusest õigesti aru, et kohustus kontaktibaas hävitada ühe kuu jooksul oli Norstatil, kelle siseserveris andmed krüpteeritult salvestati ning kaitseministeerium
pidi vastutava asutusena veenduma, et Norstat tõepoolest ka hävitab need? Kui palju AKI kogemuses selliseid juhtumeid üldse esineb, kui riigiasutus teeb uuringu, milleks käideldakse isikuandmeid, aga neid ei hävitata nõutud aja jooksul? Millised ohud, millised
sanktsioonid sellistel juhtudel on esinenud või võivad esineda?
Kena aasta lõppu soovides
Meinhard Pulk, 58068381
Postimees