Andmekaitse Inspektsiooni logo

Lisa 4. Andmetöötluse laad, ulatus, kontekst, eesmärk, korrapärasus, süstemaatilisus

Isikuandmete kaitse üldmäärus sisustab 26 mõistet (vt art. 4). Õiguskaitseasutuste andmekaitsedirektiiv selgitab 16 mõistet (vt art. 3). Samas kasutavad nii üldmäärus kui direktiiv mitmeid õiguslikult sisustamata ning küllalt laia tõlgendamisruumi võimaldavaid termineid, millele otseseid selgitusi õigusaktis pole antud, kuid millest arusaamine on õigusnormide täitmiseks oluline. Nendeks on isikuandmete töötlemise laad, ulatus, kontekst, eesmärk.

Nimetatud terminid on üldmääruses ja direktiivis läbivalt andmetöötlejatele üheks kriteeriumiks, et:

  1. rakendada isikuandmete kaitseks asjakohaseid turvameetmeid;
  2. rakendada lõimitud ja vaikimisi andmekaitse põhimõtteid;
  3. täita andmetöötlustoimingute registreerimiskohustust;
  4. teostada andmekaitsealane mõjude hindamine;
  5. käsitleda isikuandmetega seotud rikkumisi;
  6. määrata andmekaitsespetsialist.

Järgnevalt püüamegi neid termineid kontrollküsimustiku abil paremini avada. Andmetöötleja saab neid kasutades ise oma andmetöötlust hinnata.

1. Isikuandmete töötlemise laad, hindamisel arvestada:
1.1. Kuidas vastutav töötleja isikuandmeid töötleb. Kas ise või kasutab ka volitatud töötlejaid;
1.2. Kas isikuandmeid edastada kolmandatele isikutele;
1.3. Kas isikuandmeid töödeldakse paberil või elektrooniliselt (automatiseeritud);
1.4. Kas lisaks isikuandmetele töödeldakse ka eriliigilisi isikuandmed;69
1.5. Kas töödeldakse laste või vanurite (haavatavamad inimrühmad) isikuandmeid;
1.6. Kas andmetöötluses kasutatakse uusi, kaasaegseid tehnoloogiaid;
1.7. Kas isikuandmeid töödeldakse eraldi või kombineeritult teiste andmetega;
1.8. Kas töödeldavad isikuandmed on pärit avalikest allikatest (nt isik on ise avaldanud);
1.9. Kas andmetöötlusega (nt profileerimine) luuakse uut isikustatud teavet;
1.10. Kas andmetöötlusega kaasneb isikutele õiguslikke tagajärgi;

2. Isikuandmete töötlemise ulatus, hindamisel arvestada:
2.1. Andmetöötluses osalevate isikute ja nende kategooriate (nt kliendid, patsiendid) arv;
2.2. Töödeldavate isikuandmete ja nende liikide ehk andmekoosseisude arv (arvestades nt eriliigiliste isikuandmete osakaalu nn „tavalistes“ isikuandmetes);
2.3. Kui laialt on organisatsioon ja seda toetav tehniline keskkond isikuandmete töötlemisse kaasatud (arvestades kaasvastutavate ja -volitatud töötlejate arvu, kolmandatele isikutele edastamist, andmetöötluses kasutatavaid infovarasid);
2.4. Kas isikuandmete töötlemine on organisatsiooni põhitegevuse osa või toimub see pigem erandkorras (on juhtumipõhine);
2.5. Milline on andmetöötluse geograafiline ulatus (nt kas ainult riigisisene või toimub ka piiriülene andmetöötlus).

Ulatuslikku andmetöötlust selgitame pikemalt juhendi andmekaitsespetsialisti ja andmekaitsealase mõjuhinnangu peatükkides 3 ja 5.

3. Isikuandmete töötlemise kontekst, hindamisel arvestada:
3.1. Isikuandmete töötlemise eesmärke ja õiguslikke aluseid;
3.2. Millised pooled on isikuandmete töötlemisse kaasatud (nt analüütikud, turundajad, logistikud, inkassoettevõtted);
3.3. Kas isikuandmete töötlemise on organisatsiooni põhitegevuse lahutamatu osa või kõrvaltegevus;
3.4. Isikute kategooriaid, kelle isikuandmeid töödeldakse (nt töötajad, lapsed, vanurid, patsiendid, kliendid). Ehk, kas isikuandmeid töödeldakse nt töö- või kliendisuhetes, õppeprotsessis, tervishoiuteenuse osutamiseks, sotsiaalkaitse valdkonnas, turundustegevuses sh veebireklaamide näitamiseks;
3.5. Isikuandmete säilitamistähtaegu;
3.6. Kas ja kellele isikuandmeid edastatakse;
3.7. Millist tehnoloogiat isikuandmete töötlemisel kasutatakse (nt pilvetehnoloogia, töötajate isiklikud seadmed, sise- või avalikud võrgud, kas võrguliikluse ja andmete kaitseks on kasutusel kaasaegsed krüptolahendused).
3.8. Eri andmekoosseisude alustel isikuandmete kokkuviimise lihtsus isikuga (nn linkimine).

4. Isikuandmete töötlemise eesmärk, hindamisel arvestada:
4.1. Kas isikuandmeid töödeldakse organisatsiooni ja töötajate vahelise lepingu täitmiseks sh võrgu- ja infoturbe tagamiseks ning infovaradele ja ruumidele ligipääsude korraldamiseks;
4.2. Kas isikuandmeid töödeldakse toodete/teenuste pakkumiseks k.a müügi- ja turundustegevuse edendamiseks ning klienditoe osutamiseks;
4.3. Kas isikuandmeid töödeldakse isiku pöördumiste, avalduste, taotluste menetlemiseks;
4.4. Kas isikuandmeid töödeldakse seadusejärgsete kohustuste täitmiseks (nt raamatupidamise korraldamine, töötasu- ja maksude, kandideerimiste, puhkuste, töövõime, haiguspäevade arvestus).

5. Isikuandmete korrapärane töötlemine, hindamisel arvestada:
5.1. Kas isikuandmete töötlemine toimub pidevalt või kindlate ajavahemike tagant kindla perioodi jooksul;
5.2. Kas isikuandmete töötlemine toimub kindlaksmääratud aegadel;
5.3. Kas isikuandmete töötlemine toimub pidevalt või perioodiliselt.70

6. Isikuandmete süstemaatiline töötlemine, hindamisel arvestada:
6.1. Kas isikuandmete töötlemine toimub mingi süsteemi alusel;
6.2. Kas isikuandmete töötlemine on eelnevalt korraldatud, organiseeritud või metoodiline;
6.3. Kas isikuandmete töötlemine toimub andmete kogumise üldkava raames;
6.4. Kas isikuandmete töötlemine toimub strateegia elluviimise raames.71

68Direktiiv võeti üle isikuandmete kaitse seaduse 4. peatükiga. Selle peatüki üks säte, § 13, määratleb, et selle peatüki tähenduses kasutatakse termineid üldmääruse art. 4 ning art 9 lõike 1 tähenduses. Samas paragrahvis määratletakse ka ära õiguskaitseasutuse mõiste.

69Vt eriliigiliste isikuandmete määratlust üldmäärus art 9.

70Euroopa andmekaitsenõukogu „Suunised andmekaitseametnike kohta“.

71Euroopa andmekaitsenõukogu „Suunised andmekaitseametnike kohta“. Vt ka Euroopa andmekaitsenõukogu „Suuniseid, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679“.

Last updated: 09.12.2024