Andmekaitsealase mõjuhinnangu tegemise kontrollnimekiri

PrintPDF Jaga

Isikuandmete kaitse üldmäärus näeb ette, et enne kõrge riskiga andmetöötlusega alustamist tuleb läbi viia andmekaitsealane mõjuhinnang. See on tegevus, mille käigus andmetöötleja hindab ja analüüsib, milliseid isikuandmeid ja milliste vahenditega ta oma tegevuse eesmärkide täitmiseks töötleb ning kas ja milliseid organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid rakendab.

Mõjuhinnang on oluline tööriist, mis annab organisatsiooniülese teadmise andmetöötlustoimingutest tervikuna. See võimaldab hinnata, kas andmete kaitseks rakendatavad asjakohased meetmed on piisavad, et üksikisikule tekkivat võimalikku kõrget privaatsusriivet leevendada vastuvõetavale tasemele.

Euroopa andmekaitseasutused on koostanud ühise mõjuhinnnagu läbiviimise kontrollnimekirja, mille järgimine aitab tagada andmetöötleja vastavust üldmäärusega.

OK? 

Kohustus

Viide määrusele

Koostatakse isikuandmete töötlemise toimingute kirjeldus, mille käigus:

art. 35(7)(a)
arvestatakse töötlemise laadi, ulatust, konteksti ja eesmärke, põhjenduspunkt 90
registreeritakse töödeldavad isikuandmed, nende saajad ja andmete säilitustähtajad,  
kaardistatakse varad, kes või mis andmetöötluses osalevad (töötajad, riist- ja tarkvara, andmesideseadmed, andmekandjad),  
kui on olemas, arvestatakse valdkonna toimimisjuhenditega.  art. 35(8)

Hinnatakse isikuandmete töötlemise toimingute vajalikkust ja proportsionaalsust  ning kavandatakse meetmed isikuandmete kaitsele, võttes arvesse:

art. 35(7)(b), art. 35(7)(d), põhjenduspunkt 90
isikuandmete kogumise täpselt ja selgelt kindlaksmääratud ning õiguspäraseid eesmärke, art. 5(1)(b)
isikuandmete töötlemise seaduslikkust, art. 6
töödeldavate isikuandmete minimaalsust st töödeldakse ainult neid andmeid, mis on vajalikud eesmärkide täitmiseks, art. 5(1)(c)
isikuandmete säilitustähtaegu st andmeid säilitatakse ainult seni, kuni see on vajalik eesmärkide täitmiseks, art. 5(1)(e)
isiku teavitamise kohustust, art. 12, 13 ja 14
isiku õigust tutvuda andmetega ning õigust andmete ülekandmisele, art. 15 ja 20
isiku õigust andmete parandamisele ja kustutamisele, art. 16, 17 ja 19
isiku õigust vastuväidete esitamiseks ning õigust isikuandmete töötlemise piiramisele, art. 18, 19 ja 21
suhteid volitatud töötlejatega, art. 28
kaitsemeetmeid isikuandmete edastamisel kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, peatükk 5
järelevalveasutusega eelkonsulteerimist. art. 36

Hinnatakse isikuandmete töötlemise toimingutega kaasnevaid võimalikke riske, võttes arvesse:

art. 35(7)(c)
riski päritolu, allikaid, laadi, eripära, tõenäosust ja tõsidust andmete käideldavusele, terviklusele ja konfidentsiaalsusele, põhjenduspunkt 84, 90
riski realiseerumisel isikule tekkivat võimalikku füüsilist, materiaalset või mittemateriaalset kahju (nt maine kahju, rahaline kahju, identiteedivargus või –pettus, diskrimineerimine. põhjenduspunkt 75
 
Valitakse turvameetmed riskide haldamiseks ning aktsepteeritakse jääkrisk art. 35(7)(d), põhjenduspunkt 90
 

Kaasatakse huvitatud isikud:

küsitakse nõu andmekaitsespetsialistilt, art. 35(2)
vajaduse korral küsitakse isikute või nende esindajate seisukohti. art. 35(9)

 

PDF-versioon nimekirja mugavaks printimiseks või salvestamiseks avaneb siit: Andmekaitsealase mõjuhinnangu tegemise kontrollnimekiri


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner