Andmekaitse ja isikuandmete vastutustundliku töötlemise põhimõtted

Oleme jõudnud ajastusse, kus tehnoloogia võimaldab töödelda tohutul hulgal isikuandmeid kiiresti ilma inimese vahetu sekkumiseta. Sellises olukorras on inimesel järjest keerulisem jälgida kes, millal ja milliseid tema andmeid töötleb. Enda andmete avalikustamine on inimese õigus ning põhineb eelkõige vabal tahtel. Seaduse mõttes räägime õigusest eraelu puutumatusele. Eesti Vabariigis tagab sellise õiguse Eesti vabariigi põhiseadus, kuid konkreetsemalt aitab tagada eraelu kaitset isikuandmete kaitse seadus.

Valitsusasutused järgivad vastutustundliku isikuandmete töötlemise põhimõtteid

25. maist 2018 kohaldatava Euroopa Liidu isikuandmete kaitse üldmääruse üks eesmärke oli anda inimesele tagasi kontroll tema andmete kasutamise üle. Seetõttu on inimestel tekkinud õigustatud ootus, et riigi kogutud isikuandmeid kasutatakse õiguspäraselt. Kindlustunne, et riik ei väärkasuta tema kasutuses olevaid isikuandmeid, aitab kaasa usaldusväärse suhte säilitamisele riigi ja üksikisiku vahel. Usaldus riigi vastu toob inimesed aktiivsemalt osalema riigielus, andes nii valitsusasutuse otsusele suurema legitiimsuse. 

Valitsusasutused tegutsevad alati ja üksnes õigusaktide alusel. Õiglase tasakaalu isiku privaatsusõiguse ja riigi ülesannete eesmärgipärase täitmise vahel paneb paika suuresti seadusandja. Samas saab ka valitsusasutus ise seaduse rakendamisel astuda samme, mis kinnitaksid inimesele, et tema andmete töötlemine toimub vastutustundlikult. Lisaks olemasolevale õiguslikule raamistikule saab valitsusasutus toetuda põhiväärtustele ning neist isikuandmete töötlemise konteksti jaoks tuletatud vastutustundlikele põhimõtetele.

Põhimõtted ei dubleeri ega asenda isikuandmete kaitse üldmääruse ega isikuandmete kaitse seaduse norme, vaid loovad valitsusasutuse otsuste motiveerimiseks täiendava vastutustundlikest väärtustest kantud põhimõtete raamistiku. 

Väärtused on isikuandmete vastutustundliku töötlemise põhimõtete vundament, millele konkreetse põhimõtte rakendamisel ja sisustamisel tuginema peaks.

Väärtused koosmõjus põhimõtetega loovad isikuandmete vastutustundliku töötlemise põhimõtete raamistiku.

  • Inimväärikus

    Isikuandmete töötlemisel on inimene eesmärk, mitte vahend

  • Läbipaistvus

    Selgitused isikuandmete töötlemise etappide kohta on inimesele hõlpsasti kättesaadavad ning mõistetavad.
  • Usaldus

    Isikuandmete töötlemine toimub vaid põhjendusel, ulatusel ja viisil, mis tagavad inimese usalduse valitsusasutuse ja seega ka riigi vastu.
  • Konfidentsiaalsus

    Kolmandatele isikutele ligipääsu võimaldamine isikuandmetele toimub üksnes selge õigusliku aluse olemasolul.
  • Vastutus

Isikuandmete töötlemisel kehtivaid õigusnorme ja väärtuspõhimõtteid järgides on riik eeskujuks teistele.

  • Tasakaal

Isikuandmete töötlemisel tagatakse tasakaal inimese eraelu puutumatuse ja innovatsiooni vahel.

Põhimõtted

Väärtustele tuginevad põhimõtted annavad juhised, millest isikuandmete töötlemisel lähtuda.

1. Valitsusasutus tagab, et isikuandmeid töötlevad ametnikud ja töötajad (teenistujad) on teadlikud andmekaitseregulatsioonist ja isikuandmete vastutustundliku töötlemise põhimõtetest. Teadlikkust isikuandmete töötlemise olulisusest ja järgimise vajadusest hoitakse ja tõstetakse järjepidevalt. Asutus kehtestab selle tagamiseks vajalikud sisereeglid;
2. Inimese õigust tutvuda oma andmetega tohib piirata üksnes siis, kui see on vajalik teise vähemalt sama kaaluka õiguse kaitsmiseks;
3. Kogutud isikuandmetele määratakse säilitamistähtaeg sõltuvalt andmete töötlemise eesmärgist. Säilitamistähtaja saabumisel isikuandmeid sisaldav andmestik kustutatakse või isikuandmed anonüümitakse;
4. Eriliigiliste isikuandmete töötlemisel tuleb olla tavapärasest hoolsam. Kasutusele tuleb võtta tavapärasest rangemad kaitsemeetmed1;
5. Isikuandmete edastamisel välisriiki2 tuleb veenduda, et see on põhjendatud ning täidetud on õiguslikud eeldused3;
6. Isikuandmete kasutamist automaatse otsuse tegemiseks, sh profileerimiseks, kaalutakse ja põhjendatakse hoolikalt ning rakendatakse vajalikke kaitsemeetmeid;
7. Teadusuuringuteks vajalike andmete kasutamist võimaldatakse ennekõike isikustamata kujul. Andmete kasutamiseks võimaldaja veendub, et tegemist on teadusuuringuga ning küsitud andmed on vajalikud teadusuuringu eesmärgi saavutamiseks4;
8. Inimese õigus tutvuda tema andmete ja nende kasutamisega tagatakse võimalikult lihtsalt ja kiirelt. Selleks edendatakse andmejälgijate kasutamist5;
9. Oma ülesannete täitmisel kasutatakse riiklikesse andmekogudesse kogutud isikuandmeid. Inimeselt küsitakse tema andmeid siis, kui andmekogus neid ei ole, ent need on siiski vajalikud seadusest tulenevate ülesannete täitmiseks;

1 Tehnilised ja korralduslikud meetmed nt konkreetsed säilitamistähtajad, piiratud juurdepääsuõigused, täiendav logide kontroll
2 Riigid, mis ei kuulu Euroopa Majanduspiirkonda (EEA)
3 nt on olemas Euroopa Komisjoni otsus piisava andmekaitsetaseme kohta, kasutatakse asjakohaseid kaitsemeetmeid või edastatakse erandlike tingimuste kohaselt
4 Riik peab edendama teadusuuringute tarbeks edastatavate isikuandmete tugevamat kaitset. Tagada tuleb võimekus erinevates andmekogudes sisalduvate isikuandmete omavaheliseks seostamiseks ja tulemuse anonüümseks muutmiseks. Vastav kompetents ja oskusteave on täna olemas Statistikaametil. Ameti pädevust ja volitusi tuleks laiendada selliselt, et riigis oleks/tekiks isikuandmete teadusuuringute käigus töötlemiseks ajakohane tehnoloogiline lahendus isikuandmete turvaliseks seostamiseks ja avaldatavate tulemite anonüümimiseks
5 https://www.ria.ee/et/riigi-infosusteem/x-tee/andmejalgija.html

10. Teenuse või tehnoloogilise lahenduse väljatöötamisel ei kaalu ainult odavam hind üles isiku õigust eraelu puutumatusele;
11. Riiklike andmekogude ja muude andmete kogumite (andmeait, andmejärv, andmevaramu, andmeladu) toimimisel lähtutakse andmekogude pidamise ühtsetest põhimõtetest ja alustest6;
12. Teenuse ja tehnoloogilise lahenduse disainimisel hinnatakse nii positiivset kui negatiivset mõju inimese privaatsusõigusele ning rakendatakse isiku põhiõigusi parimal võimalikul moel tagavad kaitsemeetmeid;
13. Isikuandmete töötlemist reguleeriva/käsitleva eelnõu koostamisel ja isikule osutatava teenuse disainimisel vajaliku andmekaitsealase mõjuhinnangu koostamisel lähtutakse ühtsetest alustest7;
14. Tehnoloogiliste lahenduste riigihangete tingimused hõlmavad isikuandmete töötlemise põhimõtteid ja reegleid8 ja käesolevaid põhimõtteid;
15. Infosüsteemide ja teenuste arendamisel isikuandmete töötlemisel kasutatakse riigis keskselt kokku lepitud tehnoloogilisi lahendusi ja standardeid9;
16. Isikuandmed on arusaadavalt kirjeldatud, st andmete kohta on olemas kirjeldus (kirjeldavad metaandmed), mis abistab andmetest arusaamist ja näitab ära, millised on kirjeldatud andmestiku isikuandmed. Need andmekirjeldused on tehtud avalikult kättesaadavaks;
17. Teenuse, andmekogu ja tehnoloogilise lahenduse arendamiseks sh testimiseks ja parendamiseks kasutatakse eelkõige väljamõeldud andmeid ehk testandmeid10;
18. Teenuse ja tehnoloogilise lahenduse arendamisel eelistatakse varianti, mis on sihtgrupile lihtne ja arusaadav. Selle üks osa on selge ja lihtne (võimalusel visuaalne) teave teenuse toimimisest, sh andmetöötlusest;
19. Teenuse disainimisel lähtutakse ühtsest kontrollküsimustikust11.

6 Justiitsministeeriumi eestvedamisel töötatakse välja andmekogude asutamise ja pidamise ühtsed põhimõtted
7 Andmekaitsealase mõjuhinnangu osas on üldinfo kättesaadav Andmekaitse Inspektsiooni andmetöötleja üldjuhendis:
1) mõjuhinnangu põhiosa: https://www.aki.ee/et/isikuandmete-tootleja-uldjuhendi-veebitekst#peat%C3%BCkk5.5
2) mõjuhinnangu tegemise kontrollnimekiri:
https://www.aki.ee/et/isikuandmete-tootleja-uldjuhendi-veebitekst#lisa1.1
8 isikuandmete kaitse üldmääruse artikkel 5
9 nt ISKE: https://www.ria.ee/et/kuberturvalisus/iske/juhendid-ja-materjalid.html ja X-tee: https://www.riigiteataja.ee/akt/106082019017
10 Majandus- ja Kommunikatsiooniministeeriumi eestvedamisel töötatakse välja testandmete loomise metoodika
11 Majandus- ja Kommunikatsiooniministeeriumi eestvedamisel töötatakse praktiline juhis vastutustundliku andmetöötluse põhimõtete rakendamise kohta teenuse disainimisel

Isikuandmete vastutusttundliku töötlemise põhimõtete dokumendi on koostanud ekspertrühm koosseisus: Mirjam Rannula (Justiitsministeerium), Dan Bogdanov (Cybernetica AS), Ethel Bubõr (Sotsiaalministeerium), Helena Lepp (Majandus- ja Kommunikatsiooniministeerium), Tanel Mällo, Nele Nisu (Sotsiaalministeerium), Kertu Nurmsalu (Siseministeerium), Kaidi Paju (Riigikantselei), Raavo Palu (Andmekaitse Inspektsioon), Tuulikki Sillajõe (Statistikaamet).

Isikuandmete kaitse seadus (lühend - IKS)

Andmekaitse Inspektsioon

Andmekaitse Inspektsioon aitab kujundada ühiskonda, kus väärtustatakse üksikisiku õigust eraelule ja riigi tegevuse läbipaistvust. 

Amet kuulub Justiitsministeeriumi valitsemisalasse ning ametit juhib peadirektor Pille Lehis.

Viimati uuendatud 24.03.2022