Andmekogude kooskõlastamine

PrintPDF Jaga

Avaliku sektori andmekogud on riigi, omavalitsuste, avalik-õiguslike juriidiliste isikute ning muude avalikke ülesandeid täitvate isikute andmekogud. Andmekogusid normib avaliku teabe seaduse 51. peatükk. See piirdub üksnes avaliku sektori andmekogudega ega hõlma erahuvides peetavaid andmekogumeid.

Andmekaitse Inspektsioon kooskõlastab andmekogu dokumentatsiooni andmekogu elutsükli neljas etapis:

  • andmekogu asutamisel,
  • kasutusele võtmisel,
  • andmekoosseisu muutmisel,
  • lõpetamisel (sh. andmekogu jagunemisel, andmekogude ühendamisel).

Kooskõlastuse läbimiseks on vajalik esitada allolev dokumentatsioon. Dokumentatsiooni esitamise eesmärk on aidata Andmekaitse Inspektsiooni kooskõlastajal aru saada, milleks, kelle poolt ja kuidas uus andmekogu luuakse. Hindame eelkõige, kuid mitte ainult, uue andmetöötluse võimaliku eraelulise riive suurust eraisikule ning seda, kas planeeritav andmetöötlus vastab Eesti Vabariigi põhiseaduses, isikuandmete kaitse seaduses, avaliku teabe seaduses ja vastavas eriseaduses välja toodud põhimõtetele.

Andmekogu dokumentatsioon esitatakse kas läbi DVK või inspektsiooni nimele krüpteerituna meiliaadressile info@aki.ee. Vajadusel võib kokku leppida muu andmeedastusviisi (nt andes inspektsiooni kooskõlastajale ligipääsu asutuse infosüsteemile, kus teave asub), arvestades sellega, et inspektsioon säilitab dokumendiregistris esitatud teabe ka peale kooskõlastusprotsessi lõppu.

  1. Andmetöötluse õiguslik alus. Alusdokumendid (andmekogu põhimäärus/kavand, infosüsteemi lähteülesanne, seadusemuudatuse seletuskiri jms selgitused, mis aitavad aru saada andmekogu eesmärkidest)
    • Mõjuhinnang (alates 25. mai 2018) – sel teemal tutvuda infoga siin ja siin ning Euroopa andmekaitseasutuste ühisarvamusega andmekaitsealase mõjuhinnangu läbiviimiseks.
  2. Mis andmeid töödeldakse. Andmete koosseis (võimalikult detailne, kuid samas selgelt arusaadav ja eestikeelne loend töödeldavatest andmetest). Andmete koosseisu juures ära määratleda: põhiandmed, teistest andmekogudest saadavad andmed, isikuandmed ning eriliigilised/delikaatsed isikuandmed.
  3. Andmete (sh logide) säilitamise tähtajad (eraldi dokument või viide planeeritavale säilitamistähtajale, sh esitada ka põhjendused säilitamistähtaja valiku osas)
  4. Kes on andmetöötleja(d). Andmekogu vastutav, volitatud töötleja, haldaja, omanik (kes vastutab mille eest)
  5. Teabevahetus teiste infosüsteemidega (arhitektuuridokumendid, andmeandjad, andmesaajad, alam- ja üleminfosüsteemid, kellel on andmetele juurdepääs, teised asutuse infosüsteemid/rakendused, mis andmekoguga hakkavad infot vahetama)
  6. Kuidas andmeid kaitstakse. AK-teave uues andmekogus, kasutajate juurdepääs teabele
  7. Logimine (sh mida logitakse), logisüsteemid, planeeritavad sisekontrolli mehhanismid (kes, kui tihti, mil viisil)
  8. Planeeritavad turbemeetmed (ISKE klass(id), rahvusvahelised standardid, kasutajate autentimine)

Dokumentatsioon esitatakse uuesti kooskõlastamisele, kui seda muudetakse andmekogu kasutuselevõtmise või andmekoosseisu muutmise kooskõlastamise ning selle riigi infosüsteemi haldussüsteemis (RIHA) registreerimise vahelisel ajal.

Inspektsioon kohaldab valitsuse 28.02.2008 määruses nr 58 „Riigi infosüsteemi haldussüsteem“ § 7 lõikes 7 ettenähtud 20-tööpäevast andmekogude kooskõlastamistähtaega, mis hakkab kehtima peale viimase nõutud dokumentatsiooni või teabe esitamist.

Kui dokumentatsiooni esitaja ei anna asja läbivaatamiseks vajalikke täiendavaid selgitusi või ei esita inspektsiooni küsitud täiendavat dokumentatsiooni RIHA kooskõlastamise perioodil (20 tööpäeva), võib inspektsioon kooskõlastamisest keelduda / anda eitava arvamuse.

Selle tähtaja jooksul vaadatakse esitatud dokumentatsioon läbi ning:

  1. andmekogu kooskõlastatakse/objekti kohta antakse arvamus (kusjuures kooskõlastus/arvamus võib olla ka tingimuslik) või
  2. küsitakse asja läbivaatamiseks vajalikke täiendavaid selgitusi (kooskõlastamise 20-tööpäevase perioodi sees) või
  3. keeldutakse kooskõlastamisest (kui tegu pole andmekoguga ning objekt on avaliku teabe seaduse ja isikuandmete kaitse seaduse seisukohast vähetähtis) või antakse eitav arvamus koos põhjendustega, vajadusel kuulatakse ära dokumentatsiooni esitaja vastuväited.

Kuna Eesti riigiasutuste asjaajamiskeeleks on eesti keel, siis aktsepteerib inspektsioon üksnes eestikeelset dokumentatsiooni (keeleseaduse § 10 lg 1). Võõrkeelsed andmeväljad, aga samuti arusaamatu sisuga (näiteks üksnes asjaosalistele mõistetavate lühenditega) andmeväljad loetakse läbivaatamisel tühjadeks andmeväljadeks.


Kasulikud lingid:


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner