Sa oled siin

Soovitused asutustele

18.09.2019

Andmekaitse Inspektsiooni soovitused isikuandmete kaitse regulatsioonide ning avaliku teabe alaste normide paremaks rakendamiseks aastal 2019.

  • Määra pädev andmekaitsespetsialist ning hoolitse selle eest, et asutuses oleks ka infoturbejuht (oma personali hulgast või väljaspoolt).
  • Rakenda kohaseid ning vajalikke turvameetmeid isikuandmete kaitseks.
  • Kehtesta ning rakenda sisekontrolli mehhanisme, et avastada isikuandmete töötlemise nõuete ning asutusesiseseks kasutamiseks mõeldud teabe töötlemise nõuete rikkumisi oma asutuse sees.
  • Kaardista, koosta, uuenda. Vajalik on: bilansi-laadset andmetöötluse registrit, mis annaks ennekõike ülevaate töödeldavatest isikuandmetest ning nende töötlemise õiguslikest alustest;  küberturvalisuse seaduse kohast riskianalüüsi turvameetmete võtmiseks;  ülevaadet infovarade kohta vastavalt „Teenuste korraldamise ja teabehalduse aluste“ määruse §-le 12;  arhiivieeskirjale vastavat dokumentide liigitusskeemi.
  • Veendu, et nii avalikkusele kui ka teenistujatele suunatud andmetöötlustingimused on uuendatud, sh piisavalt selgelt, lihtsalt ja arusaadavalt sõnastatud. Taga, et andmetöötlustingimused oleksid hõlpsasti üles leitavad asutuse veebilehelt.
  • Ole valmis olukordadeks, kus andmesubjekt soovib tutvuda enda isikuandmetega, nõuab nende parandamist, kustutamist, töötlemise piiramist või soovib esitada vastuväiteid. Kui sa parandad, kustutad või piirad isikuandmete töötlemist, siis ole ka valmis nendest toimingutest teavitama ka neid vastuvõtjaid, kes on asutuselt isikuandmeid saanud.
  • Uuri andmete edastamisel kolmandatesse riikidesse, kas selleks on olemas kohane õiguslik raamistik – nt on olemas Euroopa Komisjoni otsus piisava andmekaitsetaseme kohta, millal kasutatakse asjakohaseid kaitsemeetmeid või kuna edastatakse isikuandmeid erandlike tingimuste kohaselt. Arvestades hetkeolukorda, on see vajalik selgeks teha ka olukorras, kus isikuandmeid soovitakse edastada Ühendkuningriiki – eriti juhul, kui toimub leppeta-Brexit.
  • Tee varasemalt selgeks, milliste isikuandmete töötlemise nõuete rikkumise korral pead 72 tunni jooksul teavitama Andmekaitse Inspektsiooni. Teatavates olukordades tuleb teavitada andmesubjekte ja Riigi Infosüsteemi Ametit.
  • Enne kui alustad asutuse jaoks sisuliselt uut laadi isikuandmete töötlemisega, vii läbi kirjalik andmekaitsealane mõjuhinnang. Kui see uut laadi isikuandmete töötlemine on seotud olukorraga, kus õigusaktide muudatuste tõttu toimub asutusele isikuandmete töötlemiseks lisaõiguste või võimaluste andmine, siis kontrolli, kas selles õigusakti eelnõu seletuskirjas on ka tehtud andmekaitsealane mõjuhinnang. Kui eelnõu seletuskirjas sellekohast analüüsi pole või see ei hõlma kõiki planeeritavaid isikuandmete töötlemise toiminguid, siis vii läbi andmekaitsealane mõjuhinnang.
  • Vii läbi kirjalik avaandmete mõjuhinnang (vt avaliku teabe seaduse § 31 ).
  • Vaata üle, kui asutus on loonud eraõigusliku juriidilise isiku või andnud sellele üle avalikke ülesandeid, siis aita ettevõttel selgeks teha, mis osas talle võivad kohalduda avaliku teabe seaduse nõuded.
  • Veendu, et riigi infosüsteemide haldussüsteemi kantud andmekogude andmed on kaasajastatud ning vajalikud kooskõlastused läbinud.
  • Tegele sellega, et asutuse veebileheküljed ning mobiilirakendused oleksid juurdepääsetavad. Sel teemal tutvu avaliku teabe seaduse §-ga 32, Euroopa Parlamendi ja nõukogu direktiiviga nr 2016/2102 ning Euroopa Komisjoni rakendusmäärusega nr 2018/1523.
  • Koolita teenistujaid, jaga selgitusi ning (kirjalikke) juhendmaterjale, mis aitavad asutuse nimel isikuandmeid õiguspäraselt töödelda.
  • Kontrolli, et teenistujatel on teadmised dokumendihaldusest ja juurdepääsupiirangute kehtestamist – selleks on vaja teha koolitusi.
  • Võta vastutus. Asutuse dokumendihalduse eest vastutavad isikud peaksid kontrollima oma asutuse dokumendiregistri välisvaadet, et kontrollida võimalikke eksimusi ja rikkumisi.

Õigusdirektor Raavo Palu