4. peatükk. Isikuandmete töötlemisülevaade

Miks seda vaja on ja kes selle koostama peavad?

Üldmääruse ja direktiivi üks läbivaid põhimõtteid on andmetöötleja vastutus. Andmetöötleja vastutab inimeste suhtes seadusliku, õiglase ning läbipaistva andmetöötluse korraldamise eest.³⁶

Seda kõike ei saa teha, kui andmetöötlejal ei ole omaenda andmetöötlusest täit pilti. Seetõttu peab ta kaardistama oma andmetöötlustoimingud. Nimetame selle tulemusena valminud dokumenti isikuandmete töötlemisülevaateks.

Ülevaade on see, mida peavad silmas üldmääruse art. 30 ja direktiivi art. 24 (seda üle võttev IKS § 37). Kumbki neist artiklitest ei pea silmas iga üksiku toimingu tegemist sisaldavat registritlogiraamatut (vaatamata üldmääruse ja direktiivi artikli ebaõnnestunud pealkirjale).

Üldmääruse art. 30 on ebaõnnestunud sõnastusega ka ses osas, kellele see kohustus on suunatud. Art. 30 lg 5 loob esmalt väära mulje, nagu kehtiks see vaid andmetöötlejatele, kellel on 250 ja enam töötajat. Tegelikult ütleb see säte muuhulgas, et ülevaate peavad koostama kõik, kelle andmetöötlus ei ole juhuslik. Kui aga ettevõttel/asutusel on vähemalt üks töötaja ja/või vähemalt üks füüsilisest isikust klient, siis nende andmete töötlemine ei ole juhuslik.

Lõige 5 sisaldab veel kahte erisust ülevaate koostamise nõude osas – seda tuleb teha ka a) eriliiki ning süüteoandmete töötlemise korral, b) samuti siis, kui andmetöötlus kujutab endast tõenäolist ohtu. Mittejuhusliku andmetöötluse erisus on aga niivõrd lai, et neil kahel lisaerisusel puudub praktiline tähendus.

Kokkuvõtlikult: üldmäärus kohustab kõiki andmetöötlejaid, kellel on vähemalt üks töötaja ja/või vähemalt üks füüsilisest isikust klient, koostama isikuandmete töötlemise ülevaate.

Direktiiv ning IKS on ses osas õnneks selge, pannes ülevaate koostamise nõude kõigile õiguskaitseasutustele.

Millega tasub töötlemisülevaate koostamist ühitada?

Inspektsioon soovitab ülevaate koostamise ühitada teiste dokumentide koostamisega, mis samuti käsitlevad andmehaldust ettevõttes/asutuses. Säästate omaenda aega ja energiat, kui ühitate kaardistamise/dokumenteerimise. Lisaks on tulemus kvaliteetsem, sest väldite dokumentide vahel vastuolusid.

Soovitus ettevõtetele – samaaegselt töötlusülevaate koostamisega koostage/uuendage järgmisi dokumente:

a) avalikud andmekaitsetingimused (vt selle juhendi 10. ptk, üldmääruse art. 12 jj),
b) kui olete elutähtsa/olulise teenuse osutaja küberturvalisuse seaduse mõttes (§ 7 lg 2 p. 1- 2), siis riskianalüüs, 
c) kui kavandate mingit uut tundlikku ulatuslikku andmetöötlust, siis andmekaitseline mõjuhinnang (vt selle juhendi 5. ptk, üldmääruse art. 35).

Soovitus asutustele – samaaegselt töötlusülevaate koostamisega koostage/uuendage järgmisi dokumente:

a) avalikud andmekaitsetingimused (vt selle juhendi 10. ptk, üldmääruse art. 12 jj, direktiivi art. 12 jj, IKS § 22 jj, lisaks avaliku teabe seaduse § 28 lg 1 p. 311 ),
b) riskianalüüs küberturvalisuse seaduse kohaselt (§ 7 lg 2 p. 1-2),
c) kui kavandate mingit uut tundlikku ulatuslikku andmetöötlust, siis andmekaitseline mõjuhinnang (vt selle juhendi 5. ptk, üldmääruse art. 35, direktiivi art. 27, IKS § 38).
d) isikuandmeid sisaldava teabe avaandmeteks tegemisel mõjuhinnang (avaliku teabe seaduse § 31 lg 3);
e) teenuste ülevaade (valitsuse määruse „Teenuste korraldamise ja teabehalduse alused“ § 12);
f) dokumentide liigitusskeem (valitsuse määruse „Arhiivieeskiri“ §-d 6-8).

Mida peab töötlemisülevaade sisaldama?

Vastutava töötleja ülevaade peab sisaldama vähemalt järgmist:

• vastutava töötleja, kaasvastutava töötleja (kui on), vastutavate töötlejate (kui on) ja andmekaitsespetsialisti (kui on) nimi ja kontaktandmed;
• isikuandmete töötlemise eesmärgid;
• andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;
• vastuvõtjate kategooriad, kellele isikuandmed avalikustatakse;
• kui isikuandmeid edastatakse kolmandasse riiki, siis andmed selle kohta koos riigi nimega, ning muu teave edastamise asjaolude ja kaitsemeetmete kohta;³⁷
• eri andmeliikide kustutamiseks ette nähtud tähtajad;
• turvameetmete üldine kirjeldus. Lisaks vastutavale töötlejale peab ülevaate koostama ka volitatud töötleja. Näiteks raamatupidamis- ja personaliarvestusteenuseid osutav ettevõte on oma lepingupartnerite volitatud töötleja.

Volitatud töötleja andmetöötlusülevaade peab sisaldama vähemalt:

• volitatud töötleja enda, vastutava(te) töötleja(te), teiste volitatud töötlejate (kui on) ning omaenda andmekaitsespetsialisti (kui on) nime ja kontaktandmeid;
• vastutava töötleja nimel tehtava töötlemise kategooriaid (seda on kõige lihtsam esitada viitega teenuse nimetusele, nt. andmemajutus-, raamatupidamis-, logistika-, inkassoteenus – vajadusel täpsustage, kellele mis teenuseid osutate);
• kui isikuandmeid edastatakse kolmandasse riiki, siis teave selle kohta koos riigi nimega, ning muu teave edastamise asjaolude ja kaitsemeetmete kohta;³⁸
• turvameetmete üldist kirjeldust.

Arusaadavalt vajab ülevaade aja- ja asjakohastamist, kui andmetöötluses toimuvad olulised muutused.

Avaliku sektori asutuste osas peab inspektsioon vajalikuks veeru lisamist avaliku teabe režiimi kohta. Näidake andmeliikide kaupa, milline on nende juurdepääsetavus: kas a) juurdepääsupiiranguga teave, b) teabenõudega küsitav teave , c) võrgulehel avaldatav teave, d) avaandmed.³⁹

Ülevaate mõnest veerust lähemalt

Eesmärk:

Isikuandmete töötleja peab suutma põhjendada seost kogutavate andmete ning nende töötlemise eesmärgi vahel. Kindlasti ei saa eesmärgiks olla andmete kogumine/töötlemine iseenesest, see on vahend eesmärgi saavutamiseks.

Eesmärgina ei saa näidata ka töötlemise alust (näiteks „avaliku võimu teostamine“ või „lepingu täitmine“). Eraõigusliku isiku puhul on tavaliselt eesmärgiks teenuse osutamine (nt veoteenus, raamatupidamisteenus, elukindlustusteenus, andmesideteenus jne).

Andmesubjektide kategooriad

Teenuseosutajate puhul on ettevõtte-välisteks andmesubjektideks eeskätt nende kliendid. Samuti töödeldakse füüsilisest isikust koostööpartnerite andmeid, võib-olla ka juriidilisest isikust koostööpartnerite töötajate andmeid. Maja-sisese andmetöötluse subjektideks on omaenda töötajad ja praktikandid. Kui majas käib palju külastajaid, kelle isikud tuvastatakse, siis ka nemad. Andmesubjektide kategooriaid võib vastavalt vajadusele moodustada ka teistel alustel. Näiteks õpilased, lapsevanemad, üliõpilased, õpetajad/õppejõud, tugipersonal jne.

Isikuandmete liigid

Töötlusülevaate koostamise puhul tuleb kasutada mõistliku detailsusastmega liigitust. Toome näiteks võimaliku kliendiandmete liigutuse: nimi, kasutajatunnus, sidevahendite andmed, ostuajalugu, ette- ja järelmaksuandmed, võlgnevusandmed, ostueelistuste analüüs, kliendisuhte tekkimise ja lõppemise aeg, nõusolek saada reklaami.

Millises vormis peab töötlusülevaade olema?

Üldmääruse nõuab, et ülevaade peab olema kirjalikus või elektroonilises vormis, suulisest ei piisa. Muid vormistusnõudeid ei ole.

Ülevaade võib olla nii ühes kui mitmes dokumendis. Näiteks asutus võib lugeda oma ülevaate osaks enda peetava andmekogu kirjelduse riigi infosüsteemi haldussüsteemis, kui see sisaldab üldmääruse artiklis 30 nõutud teavet.

Andmekaitse Inspektsioon võib andmetöötlejalt ülevaate välja nõuda, seega tuleb tagada, et ülevaate elektrooniline vorming võimaldaks kopeerimist ja avamist.

³⁶Vt üldmääruse art. 5 lg 1 p. a ja lg 2; direktiivi art. 4 lg 1 p. a ja lg 4

³⁷Silmas peetakse riike ja rahvusvahelisi organisatsioone väljaspool Euroopa majanduspiirkonda. Euroopa majanduspiirkond on Euroopa Liit ning Island, Norra ja Liechtenstein.

³⁸Silmas peetakse riike ja rahvusvahelisi organisatsioone väljaspool Euroopa majanduspiirkonda. Euroopa majanduspiirkond on Euroopa Liit ning Island, Norra ja Liechtenstein.

³⁹Kõik avalikud andmed avaliku teabe seaduse järgi ei ole automaatselt avaandmed. Avaandmed on digitaalandmed, mille teabevaldaja on andmekogumina teinud masinloetaval kujul avatud vormingus kättesaadavaks ja sellisena tähistanud. Erinevalt muudest avalikest andmetest ei kehti isikuandmeid sisaldavatele avaandmetele mingid edasikasutamise piirangud. Seetõttu tuleb enne andmete avaandmeteks andmist viia läbi avaliku teabe seaduse §-s 31 ettenähtud mõju hindamine.