Mõjuhinnang on riskide kaardistamine ja hindamine

27. Mar 2019
PrintPDF Share

Mõjuhinnang on nagu alustava ettevõtte SWOT analüüs, aga seda viiakse läbi isikuandmete töötlemise spektris, et maandada kõikvõimalikud isikuandmetele rakenduvad ohud ning riskid inimeste privaatsusele digimaailmas.

Vaatamata sellele, et teatavatel juhtudel tuleb mõjuhinnangu nõue isikuandmete kaitse üldmäärusest, on see andmetöötlejale hea tööriist, hoidmaks ära kõikvõimalike halbade stsenaariumide realiseerumine. 

Kui näiteks start-up ettevõte tahab hakata välja töötama uuenduslikku tehnoloogiat, samuti uut tarkvaratoodet või riistvara, eeldab see andmetöötlusriskide maandamiseks mõjuhinnangu tegemist. Siiski ei ole see kohustus absoluutne. Mõjuhinnang tuleb teha, kui isikuandmete töötlemise laad, ulatus, kontekst või eesmärk võib  kaasa tuua inimestele suure füüsilise, varalise või mittevaralise kahju ehk ohu  ning andmetöötlus on ulatuslik ja süsteemne.

Oht hõlmab sündmust ja selle tagajärgi ning seda hinnatakse mõju, tõenäosuse ja inimese vaatenurgast. Töötlemise ulatuslikkuse ja süsteemsuse määratlemisel tuleb aga andmetöötlejal lähtuda kindlatest kriteeriumidest.

Siseriikliku andmetöötluse juures määrab ulatuslikkuse kriteeriumi kohalik andmekaitseasutus. Eestis on selleks Andmekaitse Inspektsioon.

Kui Eesti vastutava andmetöötleja tegevus ulatub lisaks veel näiteks Lätti, tuleb aga järgida Euroopa andmekaitsenõukogu kinnitatud vastavaid kriteeriume. Kõikide Euroopa liikmesriikide piiriülest andmetöötlust puudutavate mõjuhinnangute nimekirjad on koostatud sarnasel põhimõttel ja kooskõlastatud Euroopa Andmekaitsenõukoguga.

Eestis on siseriikliku mõjuhinnangu ulatuslikkuse kriteeriumid järgnevad:

  • eriliiki või süüteoandmeid 5000 ja enama inimese kohta;
  • suurt ohtu põhjustavaid andmeid 10 000 ja enama inimese kohta;
  • ülejäänud isikuandmed 50 000 ja enama inimese kohta.

Mõjuhinnangu koostamise kohta saab põhjalikumalt lugeda Isikuandmete töötleja üldjuhendi peatükist nr 5. Selles juhendis on selgitatud nii Eestis kehtivaid mõjuhinnangu ulatuslikkuse kriteeriume kui ka mitmes liikmesriigis piiriülest andmetöötlust puudutavate mõjuhinnangute vajalikkuse kriteeriume. Juhend on kättesaadav https://www.aki.ee/et/juhised.

Mõjuhinnangu tegemise kohustust ei ole andmetöötlusele, mis on olnud kasutusel juba enne isikuandmete kaitse üldmääruse kehtima hakkamist.


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner