Sa oled siin

Andmekogude kooskõlastamisest

12.11.2019

Avaliku sektori andmekogud on riigi, omavalitsuste, avalik-õiguslike juriidiliste isikute ning muude avalikke ülesandeid täitvate isikute andmekogud. Andmekogusid normib avaliku teabe seaduse 51. peatükk. See piirdub üksnes avaliku sektori andmekogudega ega hõlma erahuvides peetavaid andmekogumeid.

  • Andmekaitse Inspektsioon kooskõlastab andmekogu dokumentatsiooni protsessi neljas etapis, milleks on andmekogu asutamine, kasutusele võtmine, andmekoosseisu muutmine, lõpetamine (sh. andmekogu jagunemisel, andmekogude ühendamisel).
 
Kooskõlastuse läbimiseks on vajalik esitada 
  1. Andmetöötluse õiguslik alus. Alusdokumendid, milleks on näiteks andmekogu põhimäärus/kavand, infosüsteemi lähteülesanne, seadusemuudatuse seletuskiri jms selgitused, mis aitavad aru saada andmekogu eesmärkidest.
  2. Andmekaitsealane mõjuhinnang (alates 25. mai 2018) – sel teemal tutvuda infoga inspektsiooni isikuandmete töötleja üldjuhendis (5. peatükk „Andmekaitsealane mõjuhinnang“) ning sama juhendi lisa 1 („Andmekaitsealase mõjuhinnangu tegemise kontrollnimekiri“))  ning Euroopa andmekaitseasutuste ühisarvamusega andmekaitsealase mõjuhinnangu läbiviimiseks.
  3. Mis andmeid töödeldakse. Andmete koosseis (võimalikult detailne, kuid samas selgelt arusaadav ja eestikeelne loend töödeldavatest andmetest). Andmete koosseisu juures ära määratleda: põhiandmed, teistest andmekogudest saadavad andmed, isikuandmed ning eriliigilised isikuandmed.
  4. Andmete (sh logide) säilitamise tähtajad (eraldi dokument või viide planeeritavale säilitamistähtajale, sh esitada ka põhjendused säilitamistähtaja valiku osas)
  5. Kes on andmetöötleja(d). Andmekogu vastutav, volitatud töötleja, haldaja, omanik (kes vastutab mille eest)
  6. Teabevahetus teiste infosüsteemidega (arhitektuuridokumendid, andmeandjad, andmesaajad, alam- ja üleminfosüsteemid, kellel on andmetele juurdepääs, teised asutuse infosüsteemid/rakendused, mis andmekoguga hakkavad infot vahetama)
  7. Kuidas andmeid kaitstakse. AK-teave uues andmekogus, kasutajate juurdepääs teabele
  8. Logimine (sh mida logitakse), logisüsteemid, planeeritavad sisekontrolli mehhanismid (kes, kui tihti, mil viisil)
  9. Planeeritavad turbemeetmed (ISKE klass(id), rahvusvahelised standardid, kasutajate autentimine)

Andmekogude kooskõlastamine toimub Riigi Infosüsteemi haldussüsteemi RIHA kaudu. 

Dokumentatsiooni esitamise eesmärk on aidata Andmekaitse Inspektsioonil kui kooskõlastajal aru saada, milleks, kelle poolt ja kuidas uus andmekogu luuakse. Inspektsioon hindab uue andmetöötluse võimaliku eraelulise riive suurust eraisikule ning seda, kas planeeritav andmetöötlus vastab Eesti Vabariigi põhiseaduses, isikuandmete kaitse üldmääruses, isikuandmete kaitse seaduses, avaliku teabe seaduses ja vastavas eriseaduses välja toodud põhimõtetele.

Inspektsioon vaatab dokumentatsiooni läbi ja teeb otsuse 20-tööpäeva jooksul, peale dokumentatsiooni või teabe esitamist. Selle aja jooksul võib inspektsioon vajadusel küsida asja läbivaatamiseks vajalikke täiendavaid selgitusi. 

Kui dokumentatsiooni esitaja ei anna asja läbivaatamiseks vajalikke täiendavaid selgitusi või ei esita inspektsiooni küsitud täiendavat dokumentatsiooni RIHA kooskõlastamise perioodil (20 tööpäeva), võib inspektsioon kooskõlastamisest keelduda või anda eitava arvamuse.

Inspektsioon võib anda andmekogule tingimusliku kooskõlastuse või arvamuse ning samuti on õigus kooskõlastamisest keelduda, kui tegu pole andmekoguga, objekt on avaliku teabe seaduse ja isikuandmete kaitse seaduse seisukohast vähetähtis. Eitav arvamus antakse koos põhjendustega, vajadusel kuulatakse ära dokumentatsiooni esitaja vastuväited.

 

 

Pange tähele!

Dokumentatsioon tuleb esitada uuesti kooskõlastamisele, kui seda muudetakse andmekogu kasutuselevõtmise või andmekoosseisu muutmise kooskõlastamise ning selle Riigi Infosüsteemi Haldussüsteemis (RIHA) registreerimise vahelisel ajal.

Kuna Eesti riigiasutuste asjaajamiskeeleks on eesti keel, siis aktsepteerib inspektsioon üksnes eestikeelset dokumentatsiooni (keeleseaduse § 10 lg 1). Võõrkeelsed andmeväljad, aga samuti arusaamatu sisuga (näiteks üksnes asjaosalistele mõistetavate lühenditega) andmeväljad loetakse läbivaatamisel tühjadeks andmeväljadeks.
 
Andmekogude kooskõlastamisel tegutseb Andmekaitse Inspektsioon Vabariigi Valitsuse määrus "Riigi infosüsteemi haldussüsteem" alusel. Vaata täpsemalt § 7. Andmekogu dokumentatsiooni kooskõlastamine 
 
  • Andmekogude juhend (1.11 MB, PDF)
    Juhend annab ülevaate avaliku sektori andmekogude reguleerimise praktilistest küsimustest