Isikuandmed ja töötlemine
Isikuandmete liigitus
Kuigi isikuandmete kaitse üldmäärus määratleb ainult kaks isikuandmete liiki- tavalised ja eriliigilised isikuandmed, siis praktikas on võimalik eristada ka kolmandat kategooriat, milleks on tundlikud isikuandmed. Selline eristamine on vajalik nii andmekaitsespetsialisti määramise kui isikuandmete töötleja koostatava andmekaitsealase mõjuhinnangu tegemise seisukohalt.
Isikuandmeteks loetakse kõiki andmeid tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad isiku füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust. Seega tuleb isikuandmetena käsitleda kõiki andmeid, mis kasvõi kaudseltki on füüsilise isikuga seostatavad.
Näide
Mingis nimekirjas olev ainsa Jaan Tamme puhul piisab otseseks tuvastamiseks tema nimest. Kui nimekirjas on kõik Eestis elavad Jaan Tammed, siis nimest üksi ei piisa, kuid koos isikukoodi ja/või koduse aadressiga on isik selgesti eristatav nimekaimudest ning otseselt tuvastatav.
Isiku tuvastamine võib olla kaudne, eri andmetest kombineeritult – räägitakse nime nimetamata ettevõtjast, kes on üks Tallinnas asuva osaühingu N.N. viiest osanikust ning ühtlasi Tartumaal paikneva talukoha omanik. Igaüks saab äriregistrist tuvastada, kes need viis osanikku on ning tuvastada kinnistusraamatust, et neist vaid Jaan Tammel on Tartumaal talu.
Tavalised isikuandmed on teave inimese ehk füüsilise isiku (andmesubjekti) kohta, millega saab teda otse või kaudselt tuvastada. Tuleb arvestada, et isikuandmed on ainult füüsilisel isikul – juriidilisel isikul puudub eraelu ning seega ka isikuandmed. Tavaliste isikuandmete alla kuuluvad näiteks: nimi, isikukood, asukohateave, võrguidentifikaatorid (tunnused, mis sidevõrgus aitavad viia konkreetse isikuni), samuti füüsilised, füsioloogilised, vaimsed, majanduslikud, kultuurilised ja mistahes muud tuvastamist võimaldavad tunnused ja nende kombinatsioonid.
Tundlikud isikuandmed ei ole üldmääruses eraldi loetletud, kuid määratletavad kui isiku privaatelule suuremat ohtu valmistavate andmetena ning mis ei kuulu eriliiki isikuandmete loetellu. Tundlikeks loetakse samuti neid andmed, mille avaldamisega kaasneb oht elule ja tervisele, identiteedivargusele ning kui võib kaasneda varaline ja mainekahju jms. Näiteks on tundlike andmetena käsitletav sotsiaalabi saamine, samuti kriminaal- ja väärteomenetlusega kogu toimumise protsessi jooksul seotud andmed. Selleks saavad olla makseteenustega seotud andmed pankades, krediitkaardi andmed, digitaalsed usaldusteenuse andmed digiallkirjastamiseks, mitteavalik teave inimese varandusliku seisu kohta, sõnumisaladusega kaetud sideandmed, reaalajas asukohatuvastuse andmed, krediidireiting jm profileerimine, millel on õiguslik tagajärg või oluline mõju. Paljudel juhtudel osutub tundlikuks inimese kohta käiv info, mis on avaliku teabe seaduse alusel käsitletav kui juurdepääsupiiranguline teave.
Eriliiki isikuandmete alla kuuluvad enamus selliseid andmeid, mis varasema sõnastuse järgi olid Eestis käsitletavad kui delikaatsed isikuandmed. Nendeks on isikuandmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed (ennekõike sõrmejälje-, peopesajälje- ja silmaiirisekujutised), geneetilised, samuti terviseandmed või andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.
Enne üldmääruse (25.05.2018) jõustumist käsitleti delikaatsete isikuandmetena ka andmeid süüteo toimepanemise või selle ohvriks langemise kohta, kui polnud toimunud veel avalikku kohtuistungit või õigusrikkumisega seotud menetlus polnud lõppenud. Peale üldmääruse kehtimahakkamist on süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete samastatavad eriliigiliste isikuandmetena.
Liigitus on koostatud üldmääruse artiklite 4 lg 1, 9 lg 1 ning 10 põhjal.
Mis on korrapärane ja süstemaatiline andmetöötlus?
1) Mõiste korrapärane laieneb andmetöötlusele, mis toimub pidevalt või teatud ajavahemike tagant ega ei ole juhuslik.
2) Süstemaatiline andmetöötlus on planeeritud ja metoodiline.
Mis on isikuandmete töötlemine põhitegevuse raames?
Põhitegevuse määratlemisel välistame sellest tugitegevused. Iseenda töötajate andmete töötlemine (nt. palga- ja puhkusearvestus, pääsuõiguste haldamine) ei ole põhitegevus.
Põhitegevus on see, milleks ettevõte/asutus on loodud, või mis on vähemalt üks tema võtmetegevusi. Andmekaitsespetsialisti määramise kohustusega seonduv isikuandmete töötlemine peab olema sellise tegevuse lahutamatu osa. Näiteks ei ole ilma isikuandmete töötlemiseta võimalik osutada:
a) tervishoiuteenust,
b) finantsteenust,
c) sideteenust,
d) kindlustusteenust.
Mis on ulatuslik andmetöötlus?
Andmetöötluse ulatuslikkust saab määratleda väga erinevate näitajate põhjal. Euroopa andmekaitsenõukogu on soovitanud lähtuda näiteks:
a)andmetöötluses hõlmatud isikute arvust või osakaalust asjaomases elanikkonnas,
b)töödeldavate isikuandmete mahust ja/või erinevate andmekirjete arvust,
c)isikuandmete töötlemise kestusest või pidevusest,
d)isikuandmete töötlemise geograafilisest ulatusest.
Allikas. https://www.aki.ee
