You are here

Isikuandmed ja töötlemine

09.05.2019

Isikuandmete liigitus

Kuigi isikuandmete kaitse üldmäärus määratleb ainult kaks isikuandmete liiki, siis praktikas on võimalik eristada ka kolmandat kategooriat. Selline eristamine on vajalik nii andmekaitsespetsialisti määramise kui isikuandmete töötleja koostatava andmekaitsealase mõjuhinnangu tegemise seisukohalt. Allolev liigitus on koostatud üldmääruse artiklite 4 lg 1, 9 lg 1 ning 10 põhjal.

Tavalised isikuandmed on teave inimese ehk füüsilise isiku (andmesubjekti) kohta, millega saab teda otse või kaudselt tuvastada. Tuleb arvestada, et isikuandmed on ainult füüsilisel isikul – juriidilisel isikul puudub eraelu ning seega ka isikuandmed. Tavaliste isikuandmete alla kuuluvad näiteks: nimi, isikukood, asukohateave, võrguidentifikaatorid (tunnused, mis sidevõrgus aitavad viia konkreetse isikuni), samuti füüsilised, füsioloogilised, geneetilised, vaimsed, majanduslikud, kultuurilised ja mistahes muud tuvastamist võimaldavad tunnused ja nende kombinatsioonid. 

Tundlikud isikuandmed ei ole üldmääruses eraldi loetletud, kuid määratletavad kui isiku privaatelule suuremat ohtu valmistavate andmetena ning mis ei kuulu eriliiki isikuandmete loetellu. Tundlikeks loetakse samuti neid andmed, mille avaldamisega kaasneb oht elule ja tervisele, identiteedivargusele ning kui võib kaasneda varaline ja mainekahju jms. Näiteks on tundlike andmetena käsitletav sotsiaalabi saamine, samuti kriminaal- ja väärteomenetlusega kogu toimumise protsessi jooksul seotud andmed. Selleks saavad olla makseteenustega seotud andmed pankades, krediitkaardi andmed, digitaalsed usaldusteenuse andmed digiallkirjastamiseks, mitteavalik teave inimese varandusliku seisu kohta, sõnumisaladusega kaetud sideandmed, reaalajas asukohatuvastuse andmed, krediidireiting jm profileerimine, millel on õiguslik tagajärg või oluline mõju. Paljudel juhtudel osutub tundlikuks inimese kohta käiv info, mis on avaliku teabe seaduse alusel käsitletav kui juurdepääsupiiranguline teave. 

Eriliiki isikuandmete alla kuuluvad enamus selliseid andmeid, mis varasema sõnastuse järgi olid Eestis käsitletavad kui delikaatsed isikuandmed. Nendeks on isikuandmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed (ennekõike sõrmejälje-, peopesajälje- ja silmaiirisekujutised), terviseandmed või andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta. 

Enne üldmääruse (25.05.2018) jõustumist käsitleti delikaatsete isikuandmetena ka andmeid süüteo toimepanemise või selle ohvriks langemise kohta kui polnud toimunud veel avalikku kohtuistungit või õigusrikkumisega seotud menetlus polnud lõppenud. Edaspidiselt on süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine reguleeritud üldmääruse artiklis 10. Arvestades nende isikuandmete olemust, on võimalik neid samastada eriliiki isikuandmetega – näiteks andmekaitsespetsialisti määramise otsustamisel kui ka andmekaitsealase mõjuhinnangu koostamise seisukohalt.

 

 

Isikuandmete töötlemise põhimõtted

  • Seaduslikkus ja läbipaistvus. Isikuandmete töötlemiseks peab alati olema mingi seaduslik alus. Samuti peab olema see isikule läbipaistev ning tehtud vastavalt nõuetele.
  • Eesmärgipärasus. Isikuandmete töötlemine peab alati olema seotud mingi eesmärgiga. Kui Teil on soov mingeid isikuandmeid saada või koguda, siis peab alati kaardistama, miks mul neid isikuandmeid vaja läheb? Mis on see eesmärk, mida ma tahan saavutada? Teatud eesmärgid on õiguspärased ja teatud ei ole, aga eesmärk peab alati eksisteerima. Näiteks mul on vaja sõlmida töötajaga tööleping ning hinnata töötaja sobivust töökohale. Siis tuleb uus küsimus, millised on need minimaalsed andmed, et ma saaksin seda eesmärki täita?
  • Minimaalsus. Andmeid tuleb koguda nii vähe kui võimalik teatud eesmärgi saavutamiseks. Igaks juhuks andmete kogumine on ebaseaduslik. Tuleb kaardistada, milliseid andmeid on vaja. Näiteks töölepingu sõlmimiseks ning töötaja sobivuse hindamiseks on töökohast olenevalt õigus nõuda hariduslikke, kvalifikatsiooni, läbitud koolituste andmeid – kõike, mis on töösuhte loomiseks oluline.
  • Õigsus. Andmed peavad olema aja- ja asjakohased. Teatud ajaperioodi tagant on hea üle vaadata, kas isikuandmed vajavad uuendamist. Väga hea, kui on olemas infosüsteem, kus on võimalik automaatselt andmeid uuendada, näiteks isikud saavad ise sisse logida ja oma andmeid muuta. Samuti peavad töötajad olema informeeritud, kui on vaja andmeid muuta, siis kuidas saab seda teha.
  • Säilitamise piirang. Ükski isikuandmete hulk ei tohi olla igavene. Säilitamiseks peab olema konkreetne põhjus. Kui eesmärk on saavutatud ja kui ei ole muid seadusest tulenevaid õigustusi, miks neid säilitada, siis tuleb need hävitada. Isikuandmed on kindla säilitustähtajaga.
  • Usaldusväärsus  ja konfidentsiaalsus. Isikuandmete töötleja peab tagama, et andmed hoitakse kättesaamatult kolmandate isikute eest, et ei oleks volitamata ligipääse, juhuslikku kaotamist, hävimist või kahjustumist.
  • Vastutus. Isikuandmete töötleja vastutab alati ka tema käsutuses olevate isikuandmetega tehtud toimingute eest ning peab olema valmis nõuetekohast töötlemist ka tõendama.

 Isikuandmete töötlemisel tuleb kasutada turvameetmeid ning vajadusel määrata andmekaitsespetsialist.