Andmeturbe eesmärgid
- Konfidentsiaalsus: Tagada, et andmetele ja andmetöötlusseadmetele pääsevad juurde ainult selleks volitatud isikud, vältides kõrvaliste isikute ligipääsu ja andmete omavolilist lugemist või kopeerimist.
- Terviklus ja autentsus: Tagada, et andmed pärinevad autentsest allikast ning neid ei ole volituseta muudetud ega kustutatud. Andmete muudatused peavad olema tuvastatavad.
- Käideldavus: Tagada, et andmed on õigeaegselt ja hõlpsasti kättesaadavad isikutele, kellel on selleks luba ja vajadus.
- Pääsuõiguste haldus: Tagada, et igaühel on juurdepääs üksnes nendele andmetele ja töötlemisviisidele, mis on talle lubatud.
- Jälgitavus ja vastutus: Tagada, et tagantjärgi on võimalik tuvastada, kes, millal ja millele juurde pääses, andmeid salvestas, muutis, kustutas või edastas, ning miks seda tehti.
- Korralduslikud : Kujundada töökorraldus ja protsessid nii, et need toetaksid andmekaitse nõuete täitmist ja andmeturbe eesmärkide saavutamist.
- Personali teadlikkus: Tagada oma alluvuses isikuandmeid töötlevatele isikutele kohane väljaõpe ja teadlikkus andmeturbe põhimõtetest ning nõuetest.
Andmeturbe regulatsioonid ja standardid
Andmekaitseõiguses on andmeturbekorraldus jäetud pigem üldiseks ja lähtub andmekaitseriskide hindamisest. Sobiva andmeturbe raamistiku rakendamine on iga andmetöötleja otsus, kuid isikuandmete puhul tuleb lähtuda kolmest põhilisest normist.
1. Isikuandmete kaitse üldmääruse (IKÜM) artikkel 5 lg 1 p f sätestab turvalisuse põhimõtte, mis sätestab, et isikuandmeid tuleb töödelda viisil, mis tagab nende asjakohase turvalisuse, kasutades asjakohaseid tehnilisi ja korralduslikke meetmeid.
2. Turvalisuse põhimõtet täiendab IKÜM artikkel 32, mis sätestab turvalisuse eesmärgid. Näiteks tuleb tagada isikuandmeid töötlevate süsteemide ja
teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus. Tuleb tagada võimekus taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral (nt ka varukoopiate pidamine). Samuti peab andmetöötleja kirjeldama reeglid turvameetmete korrapäraseks testimiseks ja hindamiseks.
3. IKÜM artikkel 25 rõhutab vajadust lõimida andmekaitse meetmed igasse etappi andmetöötlusprotsessis. See hõlmab tehniliste ja korralduslike meetmete rakendamist, et tagada, et isikuandmeid töödeldakse vaikimisi ainult vajalikus ulatuses ning vastavalt konkreetsele eesmärgile.
- Õiguskaitseasutuste puhul tuleb enamikel juhtudel kohaldada isikuandmete kaitse seadust (IKS § 12 jj).
- Eesti infoturbestandard (E-ITS) esitab nõuded ja juhiseid organisatsiooni infoturbe halduse süsteemidele. Küberturvalisuse seadus sätestab, kellel on kohustus rakendada E-ITS-i.
- Rahvusvaheliselt on tuntum standard ISO 27001 infoturbe juhtimissüsteem.
Tasub meeles pidada, et ei ole universaalset andmeturbestandardit, mis sobiks kõigile andmetöötlejatele. Iga organisatsioon peab alati lähtuvalt oma andmekaitseriskidest kaardistama sobivaimad meetmed andmeturbe tagamiseks.
Andmeturbe soovitused e-poodidele | Andmekaitse Inspektsioon
Loe inspektsiooni kvartaalseid ülevaateid isikuandmetega seotud rikkumiste kohta AKI uudiskirjast.
Kuula ka AKI andmehäälingu episoode, mis käsitlevad andmeturbe teemasid oma ala ekspertidega.
Mida teeme meie andmeturbe alal?
- kontrollime andmeturvet järelevalvemenetluses, sh seireid ja auditeid tehes;
- vaatame eelkonsulteerimise raames läbi esitatud andmekaitsealaseid mõjuhinnanguid;
- hindame andmeturvet avaliku sektori andmekogude kooskõlastamisel ning teenuste kasutuselevõtul;
- sanktsioneerime isikuandmete ebaturvalise töötlemise eest, samuti juurdepääsupiiranguga avaliku teabe väljastamise eest;
- koolitame asutusi isikuandmete turvalise töötlemise teemal.
Andmeturvet korraldab ja järelevalvet teeb avaliku teabe seaduse ning hädaolukorra seaduse ning küberturvalisuse seaduse alusel ka Riigi Infosüsteemi Amet.
Last updated: 12.05.2025