Rikkumisteated

PrintPDF Jaga

Kiire tehnoloogiline areng ja üleilmastumine on tekitanud isikuandmete kaitsel uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab nii era- kui ka avaliku sektori asutustel kasutada isikuandmeid oma tegevuses enneolematus ulatuses.

Isikuandmete töötlemise käigus võib paraku esineda turvanõuete rikkumisi, mis võivad põhjustada edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurepääsu. Sellist turvanõuete rikkumist käsitleb andmekaitse üldmäärus isikuandmetega seotud rikkumisena.

Seni pidid isikuandmetega seotud rikkumistest teavitama Andmekaitse Inspektsiooni kõik üldkasutatava elektroonilise sideteenuse osutajad. Teatud juhtudel tuli teavitada ka teenust kasutavaid üksikisikuid. Vastav kohustus tulenes Euroopa Komisjoni määrusest (EL) 611/2013.

25. mail 2018 kehtima hakkava andmekaitse üldmääruse artikli 33 kohaselt laieneb rikkumisteadete edastamise kohustus kõikidele isikuandmete töötlejatele.

Järelevalveasutuse teavitamine

Kui isikuandmete vastutav töötleja on tuvastanud isikuandmetega seotud rikkumise, mis tõenäoliselt kujutab endast ohtu füüsiliste isikute õigustele ja vabadustele, peab sellest teavitama pädevat järelevalveasutust. Eestis on selleks Andmekaitse Inspektsioon.

Vastavalt üldmääruse artiklile 33(1) peab teavitamine toimuma põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast rikkumise teada saamist. Seda siis ka juhul, kui kõik rikkumise põhjused ei ole veel teada või pole lõplikult selge näiteks rikkumist puudutavate isikute arv.

Täiendavate asjaolude ilmnemisel on andmetöötleja kohustatud need põhjendamatu viivituseta järelevalveasutusele edastama jätkuteavitusena. Andmetöötleja peab põhjendama, miks ei olnud esialgses teatises võimalik kõiki rikkumist puudutavaid asjaolusid anda.

Kui rikkumise tuvastab isikuandmete volitatud töötleja, teavitab ta sellest põhjendamatu viivituseta vastutavat töötlejat, kes omakorda teavitab siis järelevalveasutust (artikkel 33(2)).

Ühelt poolt annab üldmäärus andmetöötlejale kaalutlusõiguse hinnata, millal on tegu ohuga füüsiliste isikute õigustele ja vabadustele.

Teisalt selgitavad määruse põhjenduspunktid 75, 76 ja 85, et erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui:

  • töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju;
  • andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle;
  • töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta;
  • hinnatakse isiklikke aspekte (nt isiku vaated, seisukohad, isikuomadused, sotsiaalne staatus), eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel või prognoosimisel, et luua või kasutada isiklikke profiile;
  • töödeldakse kaitsetute füüsiliste isikute, eriti laste isikuandmeid;
  • töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.

Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks, kas andmetöötlustoimingutega kaasneb oht või suur oht.

Rikkumisteavituse sisu

Määruse artikkel 33(3) annab loetelu teabest, mida rikkumisteavitus peab sisaldama.

  • isikuandmetega seotud rikkumise laadi kirjeldus. Selleks võib olla näiteks andmete kaotsiminek või hävimine, vargus, koopia tegemine. Samuti volituseta muutmine, lugemine või edastamine;
  • võimaluse korral tuleb nimetada asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv;
  • andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;
  • isikuandmetega seotud rikkumise võimalike tagajärgede kirjeldus;
  • kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

Rikkumiste dokumenteerimine

Vastutav töötleja peab artikli 33(5) kohaselt dokumenteerima kõik isikuandmetega seotud rikkumised ehk:

  • millised on rikkumise asjaolud,
  • milline on rikkumiste mõju füüsilistele isikutele,
  • milliseid parandusmeetmeid (nt tehnilised, korralduslikud) vastutav töötleja rakendab kahjustatud isikuandmete suhtes.

Andmesubjekti teavitamine

Eelnevalt selgitasime, et andmetöötleja peab isikuandmetega seotud rikkumiste korral hindama füüsilisele isikule tekkiva ohu tõenäosust ja tõsidust.

Kui rikkumise tulemusena tekib füüsiliste isikute õigustele ja vabadustele tõenäoliselt suur oht, peab vastutav töötleja, vastavalt artiklile 34(1), põhjendamatu viivituseta sellest teavitama ka andmesubjekti.

Teavituse eesmärk on lisaks andmetöötlejale võimaldada ka andmesubjektil endal võtta vajalikke ettevaatusabinõusid ohu leevendamiseks.

Teates tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks.

Määruse artikkel 34(2) kohustab andmesubjektile edastama:

  • andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nime ja kontaktandmed;
  • isikuandmetega seotud rikkumise võimalike tagajärgede kirjelduse;
  • vastutava töötleja poolt võetud või võtmiseks kavandatud meetmete kirjelduse isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

Määruse põhjenduspunkt 86 selgitab, et näiteks kahju tekkimise otsese ohu leevendamise vajadus eeldaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid isikuandmetega seonduvate rikkumiste jätkumise või samalaadsete isikuandmetega seonduvate rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist.

Samas näeb määruse artikkel 34(3) ette juhud, mil andmesubjekti teavitamist ei nõuta.

  • vastutav töötleja on kehtestanud asjakohased tehnilised ja korralduslikud kaitsemeetmed ja neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);
  • vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline, või
  • see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul tehakse avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.

Juhul kui andmetöötleja ei pea vajalikuks andmesubjekte informeerida, annab määruse artikkel 34(4) järelevalveasutusele siiski õiguse vastutavalt töötlejalt vastavat teavitamist nõuda.

Lõpetuseks anname mõned selgitused isikuandmete töötlemise toimingute liikidest, mis kujutavad oma laadi, ulatuse, konteksti ja eesmärkide poolest tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele ning mida peaks arvestama kui suure ohuga andmetöötlustoimingud.

Määruse põhjenduspunkti 89 kohaselt on selleks:

  • uue tehnoloogia kasutamine. See ei pea ilmtingimata olema ajalises plaanis uus, vaid võib olla näiteks tark- või riistvara, mis on turul juba mõnda aega olnud kättesaadav, kuid mida andmetöötleja ei ole seni kasutanud, kuid plaanib kasutusele võtta;
  • andmetöötlustoimingud on uut tüüpi ning mille puhul vastutav töötleja ei ole varem andmekaitsealast mõjuhinnangut teostanud. Näiteks uute toodete või teenuste arendamine ning pakkumine;
  • kus toimingud muutuvad vajalikuks seoses esmasest töötlemisest möödunud ajaga.

Määruse põhjenduspunkt 91 täiendab:

  • ulatuslikud isikuandmete töötlemise toimingud, mille eesmärk on töödelda suurt hulka isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil ja mis võivad mõjutada paljusid andmesubjekte;
  • isikuandmeid töödeldakse selleks, et võtta vastu otsuseid konkreetsete füüsiliste isikute kohta pärast millist tahes füüsiliste isikutega seotud isiklike aspektide profiilianalüüsil põhinevat süstemaatilist ja põhjalikku hindamist või pärast seda, kui töödeldakse eriliikidesse kuuluvaid isikuandmeid (nt terviseandmed), biomeetrilisi andmeid või andmeid süüteoasjades süüdimõistvate kohtuotsuste ja rikkumiste või nendega seotud turvameetmete kohta;
  • avalike alade ulatusliku jälgimise puhul, eriti kui kasutatakse elektroonilisi optikaseadmeid (nt videokaamerad korrakaitse või valve eesmärgil), või mis tahes muude toimingute puhul, kui pädev järelevalveasutus leiab, et töötlemine võib kujutada endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige sellepärast, et need takistavad andmesubjektidel õiguse või teenuse või lepingu kasutamist, või sellepärast, et neid teostatakse süstemaatiliselt suures ulatuses.

Rikkumisteadete edastamise hõlbustamiseks loob Andmekaitse Inspektsioon oma võrgulehele vastava veebiteenuse. Anname selle valmimisest täiendavalt teada.


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner