1) Delikaatsete isikuandmete töötlemise registreerimine
Vastavalt isikuandmete kaitse seaduse (IKS) § 27 lg 1 on vastutav töötleja kohustatud registreerima delikaatsete isikuandmete töötlemise Andmekaitse Inspektsioonis enne isikuandmete töötlemise algust.
Delikaatsed isikuandmed on:
1) poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;
2) etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;
3) andmed terviseseisundi või puude kohta;
4) andmed pärilikkuse informatsiooni kohta;
5) biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed);
6) andmed seksuaalelu kohta;
7) andmed ametiühingu liikmelisuse kohta;
8) andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.
Registreerimistaotluses tuleb esitada vastavalt IKS § 28 lg 2:
1) isikuandmete töötleja, sealhulgas volitatud töötleja nimi, registri- või isikukood, tegevuskoht, asu- või elukoht ja muud kontaktandmed;
2) viide isikuandmete töötlemise õiguslikule alusele;
3) isikuandmete töötlemise eesmärgid;
4) isikuandmete koosseis;
5) isikute kategooriad, kelle andmeid töödeldakse;
6) isikuandmete allikad;
7) isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud;
8) isikuandmete töötlemise koht või kohad;
9) isikuandmete välisriiki edastamise tingimused;
10) käesoleva seaduse § 25 lõikes 2 nimetatud isikuandmete organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete üksikasjalik kirjeldus;
11) käesoleva seaduse § 16 lõike 3 alusel antud eetikakomitee seisukoht, kui see on olemas.
Tartu Linnavalitsus on registreerinud Andmekaitse Inspektsioonis delikaatsete isikuandmete töötlemise 29. veebruaril 2008. a (registreerimistaotlus , taotluse täiendused , AKI otsus ).
Töötlemine registreeriti 5 aastaks järgmistes üksustes:
-Tartu linna laste nõustamiskomisjonis
-haridusosakonnas
-linnamajanduse osakonnas
-sotsiaalabi osakonnas
-linnavarade osakonnas
-Linnakantseleis
-tervishoiuosakonnas
Registreerimine ei hõlmanud hallatavaid asutusi, kes pidid enda asutuses andmete töötlemise kohta eraldi registreerimismenetluse ise läbi viima. Asutused on nii registreerinud töötlemist kui määranud vastutavaid isikuid.
2) Isikuandmete kaitse eest vastutava isiku määramine
Isikuandmete töötleja ei ole kohustatud registreerima delikaatsete isikuandmete töötlemist Andmekaitse Inspektsioonis, kui ta on määranud isikuandmete kaitse eest vastutava isiku.
Isikuandmete kaitse eest vastutava isiku määramisest ja tema volituste lõppemisest tuleb viivitamata teavitada Andmekaitse Inspektsiooni. Isikuandmete kaitse eest vastutava isiku määramisel tuleb Andmekaitse Inspektsioonile teatada tema nimi ja kontaktandmed. Seda teavitamiskohustust täitmata ei ole delikaatsete isikuandmete töötlemine lubatud ilma töötlemist Andmekaitse Inspektsioonis registreerimata.
Isikuandmete kaitse eest vastutav isik on oma tegevuses sõltumatu isikuandmete töötlejast ning kontrollib, et isikuandmete töötleja töötleb isikuandmeid käesoleva seaduse ja teiste õigusaktide kohaselt. IKS seletuskirja kohaselt isikuandmete kaitse eest vastutav isik võib põhimõtteliselt olla isikuandmete töötleja ehk asutuse töötaja, kuid ei pea seda olema (nt on mõeldav, et mõni andmeturbespetsialist asub mitmetele isikuandmete töötlejatele lepingu alusel vastavat teenust pakkuma). Oluline on, et isikuandmete kaitse eest vastutavale isikule oleks tagatud piisav sõltumatus, et tal oleks takistamatult ja tõhusalt võimalik oma ülesandeid täita. Sellest järeldub, et vastutav isik ei saa samal ajal olla ise andmete töötleja.
Isikuandmete kaitse eest vastutava isiku nimetamisega seoses toimub küll delikaatsete isikuandmete töötlemise eelduste formaalne lihtsustamine, kuid see ei tähenda, et isikuandmete töötlemise nõuded muutuksid leebemaks. Endiselt on vaja isikuandmete töötlemisel tagada piisavate turvameetmete rakendamine ning töötlemine peab toimuma õiguspäraselt. Isikuandmete kaitse eest vastutava isiku määramisel langeb lihtsalt osaliselt ära Andmekaitse Inspektsiooni vajadus teostada isikuandmete töötleja suhtes eelkontrolli ning isikuandmete töötleja poolt andmekaitse nõuete täitmist kontrollib isikuandmete kaitse eest vastutav isik, kes peab ka isikuandmete töötleja andmetöötlemiste registrit. Registris tuleb üles tähendada põhiliselt samad andmed, mis tuleks esitada Andmekaitse Inspektsioonile delikaatsete isikuandmete töötlemise registreerimise taotluse esitamisel (§ 28 lg 2 nimetatud andmed).
Kui isikuandmete kaitse eest vastutav isik on isikuandmete töötlejat teavitanud avastatud rikkumisest isikuandmete töötlemisel ning isikuandmete töötleja ei võta viivitamata tarvitusele meetmeid rikkumise kõrvaldamiseks, teavitab isikuandmete kaitse eest vastutav isik avastatud rikkumisest Andmekaitse Inspektsiooni. Kui isikuandmete kaitse eest vastutav isik kahtleb, millised nõuded on isikuandmete töötlemisele kohaldatavad või milliseid turvameetmeid tuleb isikuandmete töötlemisel rakendada, peab ta enne isikuandmete töötlemise alustamist küsima selle kohta Andmekaitse Inspektsiooni arvamust.
Põhimõtteliselt võib määrata kogu asutuse jaoks ühe isikuandmete kaitse eest vastutava isiku või ka valdkondade kaupa erinevad isikud.
Isikuandmete kaitse eest vastutav isik peab oma asutuse või ettevõtte isikuandmete töötlemist jälgima sellise pilguga, et register oleks dünaamiline ja kajastaks jooksvalt tegelikke asjaolusid ning vastaks tõele. Asutuse või ettevõtte töövaldkonda reguleerivate õigusaktide süvaanalüüs, mis puudutab isikuandmete töötlemise lubatavust, tuleb asutusel või ettevõttel endal eelnevalt läbi viia.
3) Edasine tegevus
Kuna 29. veebruaril k.a möödub töötlemise registreerimise tähtaeg, on sellest hetkest keelatud delikaatsete isikuandmete töötlemine linnavalitsuses. Kuna eelmine registreerimismenetlus kestis 6 kuud ning IKS kohaselt tuleb uus registreerimistaotlus esitada 3 kuud enne tähtaja möödumist, siis ei ole võimalik õigeaegselt enam vastavat menetlust läbi viia ja seega on mõistlik määrata töötlemise eest vastutavad isikud, et töötlemise õigus säiliks.
Selleks tuleks kõikidel osakonnajuhatajatel koguda andmed oma valdkonnas delikaatsete isikuandmete töötlemisest. Andmed, mida tuleb koondada ja mida iga vastutav isik peab andmetöötlemise registris hakkama pidama, on järgmised:
1. Isikuandmete töötleja, sealhulgas volitatud töötleja nime, registri- või isikukoodi, tegevuskohta, asu- või elukohta ja muid kontaktandmeid:
2. Viidet isikuandmete töötlemise õiguslikule alusele;
3. Isikuandmete töötlemise eesmärke;
4. Isikuandmete koosseisu;
5. Isikute kategooriaid, kelle andmeid töödeldakse;
6. Isikuandmete allikaid;
7. Isikuid või nende kategooriaid, kellele isikuandmete edastamine on lubatud
Aluseks saab võtta eelmises registreerimistaotluses esitatud info, mida vajadusel muudetakse/täiendatakse.
Kui andmed on koondatud, tuleb linnavalitsusel määrata vastava valdkonna isikuandmete töötlemise eest vastutav isik. Eeldatavalt võiksid need olla osakonnajuhatajad (va juhul kui nad on ka ise vastavate andmete töötlejad), kuna ka vastavalt Tartu Linnavalitsuse infoturbe poliitikale vastutavad osakonnajuhatajad struktuuriüksustes turvanõuete rakendamise eest.
Juhul kui vastutavaks isikuks olemine osutub liigselt koormavaks tegevuseks, on võimalik samaaegselt jätkata ka töötlemise registreerimise menetlusega Andmekaitse Inspektsioonis ja vastutavate isikute määramisest loobuda.