Andmekaitse Inspektsiooni logo

Lisa 1. Andmekaitsealase mõjuhinnangu tegemise kontrollnimekiri

Isikuandmete kaitse üldmäärus näeb ette enne kõrge ohuga andmetöötlusega alustamist viia läbi andmekaitsealane mõjuhinnang. See on tegevus, mille käigus andmetöötleja hindab ja analüüsib, milliseid isikuandmeid ja milliste vahenditega ta oma tegevuse eesmärkide täitmiseks töötleb ning kas ja milliseid organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid rakendab. Mõjuhinnang on oluline tööriist, mis annab organisatsiooniülese teadmise andmetöötlustoimingutest tervikuna. see võimaldab hinnata, kas andmete kaitseks rakendatavad asjakohased meetmed on piisavad, et Euroopa andmekaitseasutused on koostanud mõjuhinnnagu läbiviimise kontrollnimekirja, mille järgimine aitab tagada vastavust üldmäärusega. Koostatakse isikuandmete töötlemise toimingute kirjeldus, mille käigus (art. 35 lg 7 p. a): üksikisikule tekkivat võimalikku kõrget privaatsusriivet leevendada vastuvõetavale tasemele.

Euroopa andmekaitseasutused on koostanud mõjuhinnnagu läbiviimise kontrollnimekirja, mille järgimine aitab tagada vastavust üldmäärusega. Koostatakse isikuandmete töötlemise toimingute kirjeldus, mille käigus (art. 35 lg 7 p. a):

  • arvestatakse töötlemise laadi, ulatust, konteksti ja eesmärke (pp. 90);
  • registreeritakse töödeldavad isikuandmed, nende saajad ja andmete säilitustähtajad;
  • kaardistatakse varad, kes või mis andmetöötluses osalevad (töötajad, riist- ja tarkvara, andmesideseadmed, andmekandjad);
  • kui on olemas, arvestatakse valdkonna toimimisjuhenditega (art. 35 lg 8);

Hinnatakse isikuandmete töötlemise toimingute vajalikkust ja proportsionaalsust (art. 35 lg 7 p. b) ning kavandatakse meetmed isikuandmete kaitsele (art. 35 lg 7 p. d, pp. 90), võttes arvesse:

  • isikuandmete kogumise täpselt ja selgelt kindlaksmääratud ning õiguspäraseid eesmärke (art. 5 lg 1 p. b);
  • isikuandmete töötlemise seaduslikkust (art. 6); töödeldavate isikuandmete minimaalsust st töödeldakse ainult neid andmeid, mis on vajalikud eesmärkide täitmiseks (art. 5 lg 1 p. c);
  • isikuandmete säilitustähtaegu st andmeid säilitatakse ainult seni, kuni see on vajalik eesmärkide täitmiseks (art. 5 lg1 p. e); isikuandmete töötlemise turvalisust (art. 32);
  • isiku teavitamise kohustust (art. 12-14);
  • isiku õigust tutvuda andmetega ning õigust andmete ülekandmisele (art. 15 ja 20);
  • isiku õigust andmete parandamisele ja kustutamisele (art. 16, 17 ja 19);
  • isiku õigust vastuväidete esitamiseks ning õigust isikuandmete töötlemise piiramisele (art. 18, 19 ja 21);
  • suhteid volitatud töötlejatega (art. 28);
  • kaitsemeetmeid isikuandmete edastamisel kolmandatele riikidele ja rahvusvahelistele organisatsioonidele (peatükk 5);
  • järelevalveasutusega eelkonsulteerimist (art. 36).

Hinnatakse isikuandmete töötlemise toimingutega kaasnevaid võimalikke ohte (art. 35 lg 7 p. c), võttes arvesse:

  • ohu päritolu, allikaid, laadi, eripära, tõenäosust ja mõju (pp. 84, 90) andmete käideldavusele, terviklusele ja konfidentsiaalsusele;
  • ohu realiseerumisel isikule tekkivat võimalikku füüsilist, varalist või mittevaralist kahju (nt maine kahju, rahaline kahju, identiteedivargus või –pettus, diskrimineerimine (pp. 75)). Teisisõnu, määratakse isikule tekkiva tõenäolise ohu (kahju) tase;
  • Valitakse turvameetmed ohtude (riskide) haldamiseks ning aktsepteeritakse jääkrisk (art. 35 lg 7 p. d), pp. 90).

Kaasatakse huvitatud isikud:

  • küsitakse nõu andmekaitsespetsialistilt (art. 35 lg 2);
  • vajaduse korral küsitakse isikute või nende esindajate seisukohti (art. 35 lg 9).

Last updated: 06.01.2025