Delikaatsed isikuandmed (0)

TALLINNA POLÜTEHNIKUM
Delikaatsed isikuandmed
Referaat
Juhendaja : Luisa Pani
Koostaja: Eliise Saar
Rühm: KPE-09

Tallinn 2011

Sisukord

Sisukord 2
Sissejuhatus 3
Andmekaitse seadus 4
Delikaatsed isikuandmed 6
Delikaatsete iskuandmete töötlemine 8
Delikaatsete isikuandmete registreerimine 9
Kokkuvõte 10
Kasutatud kirjandus 11

Sissejuhatus

Isikuandmed on mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on.
Isikuandmete kaitse seadus kaitseb füüsilise isiku põhiõiguseid ja põhivabadusi isikuandmete töötlemisel kooskõlas avalike huvidega.
Isiku privaatsuse tagamiseks rakendatakse andmekaitsereegleid juhul, kui isikuandmeid pole veel õiguspärasel viisil avalikustatud. Isikuandmete avaldamise õigupärasus hõlmab endas lisaks institutsionaalsele andmete avaldamisele ka isiku enda poolt vaba tahtega andmete avaldamise, välja arvatud juhtumid, kui isiku teovõime on piiratud, kuna ta ei suuda aru saada isikuandmete tähendusest ja tema isikuandmete avaldamise õigus on delegeeritud piiratud teovõimega isiku eestkostjale.
Avalikustatud andmete taasavaldamine tähendab andmetele viitamist või andmete tsiteerimist/kopeerimist. Õiguspäraselt avalikustatud andmete kasutamise õiguspärasus on autorikaitse huvisfäär.
Eestis on arvukalt riiklikke andmekogusid, milles sisaldub palju informatsiooni riigi elanike kohta ( Rahvastikuregister , liiklusregister). Koos erinevate ametkondade asjaajamise muutumisega üha elektroonilisemaks on järjest rohkemaid neist andmekogudest võimalik kasutada elektrooniliselt . Samas käivad suurema mugavusega kahjuks kaasas ka suuremad ohud. Digitaalinformatsiooni kaitsmise meetodid on võrdlemisi uued ning kasutajale raskemini hoomatavad kui tavalised füüsilised turvameetmed. Samuti on arvutis failide kujul hoitavate andmete kopeerimine võimalik kiiresti, ilma kvaliteeti kaotamata ning jälgi jätmata.
Tulenevalt isikuandmete kaitse seadusest on kõik andmetöötlejad, kes puutuvad kokku delikaatsete isikuandmetega, kohustatud registreerima delikaatsete isikuandmete töötlemise või muudatused delikaatsete isikuandmete töötlemisel Andmekaitse Inspektsioonis .

Andmekaitse seadus

Andmekaitse seaduse eesmärk on isikuandmete töötlemisel füüsilise isiku põhiõiguste ja põhivabaduste kaitsmine kooskõlas avalike huvidega.
Seadus sätestab:

1) isikuandmete töötlemise tingimused ja korra;

2) riikliku järelevalve teostamise korra isikuandmete töötlemisel;

3) vastutuse isikuandmete töötlemise nõuete rikkumise eest.
Käesolevat seadust ei kohaldata:

1) füüsilise isiku poolt isikuandmete töötlemisele isiklikul otstarbel;

2) kui töödeldakse õiguspäraselt avalikuks kasutamiseks antud isikuandmeid;

3) kui isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma et neid andmeid Eestis muul viisil töödeldaks;

4) kui töödeldakse riigisaladust sisaldavaid isikuandmeid, välja arvatud käesoleva seaduse 1. ja 3. peatükk.
Isikuandmed on andmed tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad selle isiku füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust.
Eraelulised isikuandmed on:

1) perekonnaelu üksikasju kirjeldavad andmed;

2) sotsiaalabi või sotsiaalteenuste osutamise taotlemist kirjeldavad andmed;

3) isiku vaimseid või füüsilisi kannatusi kirjeldavad andmed;

4) isiku kohta maksustamisega kogutud teave, välja arvatud teave maksuvõlgnevuste kohta.
Andmekaitse seadused peavad vältima isiku personaalse informatsiooni sattumist sellelt arvutisüsteemilt, kus see seaduslikult asub, teistesse arvutisüsteemidesse ilma isiku nõusolekuta. Näiteks Suurbritannias nõuab 1984. aasta kehtestatud andmekaitse seadus, et kõik personaalset informatsiooni töötlevad andmekasutajad peavad olema registreeritud. Eestis reguleerib andmekaitset 1966. aasta vastu võetud "Isikuandmete kaitse seadus", mis viidi Euroopa Liidu nõuetega kooskõlla 2003. aasta oktoobris ning mille täitmist kontrollib Andmekaitse Inspektsioon. Andmekaitse Inspektsioon on Justiitsministeeriumi valitsemisalas tegutsev sõltumatu järelevalveasutus Eesti Vabariigis. Arvutis olevate andmete või programmi ebaseadusliku vahetamise, kustutamise , rikkumise või sulustamise eest, kui sellega on tekitatud oluline kahju, samuti arvutisse andmete või programmi ebaseadusliku sisestamise eest, kui sellega on tekitatud oluline kahju, – karistatakse rahalise karistuse või kuni üheaastase vangistusega. Sama teo eest eesmärgiga takistada arvuti- või telekommunikatsioonisüsteemi tööd – karistatakse rahalise karistuse või kuni kolmeaastase vangistusega.
Autoriõiguse seadus (vastuvõetud 1992. aasta) kehtestab järgmised nõuded:

• Kaitstakse teoseid (palju liike); teosteks pole näiteks ideed, päevauudised, faktid ja andmed
  
• Autori varalised õigused on võõrandatavad, isiklikud mitte
  
• Autor otsustab, kellel ja mis tingimustel ta oma teoseid kasutada lubab
  
• Autoriõigus tekib teose loomisega (vajalik tajutav väljendus) automaatselt
  
• Copyright , patent, leping
  
• Teoste edasi levitamine, välja rentimine , avalik esitus jms on enamasti autori või levitaja poolt lepinguga piiratud
  
• Isiklikuks tarbeks (mitteäriliselt) tohib kopeerida (ka võrgust "tõmmata") ja sõpradega koos vaadata
  

Delikaatsed isikuandmed

Vastavalt isikuandmete kaitse seaduse § 4 lg 2 alusel on delikaatseteks isikuandmeteks:

• Poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;
  
• Etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;
  
• Andmed terviseseisundi või puude kohta;
  
• Andmed pärilikkuse informatsiooni kohta;
  
• Biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed);
  
• Andmed seksuaalelu kohta;
  
• Andmed ametiühingu liikmelisuse kohta;
  
• Andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.
  

Andmekaitse inspektsiooni peadirektori Urmas Kuke sõnul ei kuulu nimi ja sünnipäev delikaatsete isikuandmete hulka ja meedia vahendusel õnnitluste edastamine ei ole keelatud.
Urmas Kukk ütles, et info, mille järgi rikutakse raadioõnnitlustega isikuandmetekaitse seadust, ei ole korrektne .
"Üldine põhimõte, mis ei ole muutunud 1996. aastast, kui esimest korda isikuandmetekaitse seadus vastu võeti, on see, et igasugune isikuandmete avalikustamine saab toimuda ainult  andmesubjekti nõusolekul," ütles Kukk.
Ta rõhutas, et seadusesse tuli täiendus, mille järgi võib ajakirjanduses isikuandmeid avalikustada ilma andmesubjekti nõusolekuta juhul, kui selleks on avalik huvi ja see on kooskõlas ajakirjanduseetika reeglitega. “Kui need punktid on täidetud, siis ei ole mingit probleemi isikuandmete avalikustamisega. Muidugi täpsustab veelkord , et isiku nimi ja sünnipäev ei ole delikaatsed isikuandmed."
Kui keegi ütleb, et avalikku huvi ei ole, siis Kuke sõnul vaadatakse seda üksikkaasusena, mitte ei laiendata kõikidele teistele juhtumitele. "Me eeldame, et kõik isikuandmed on avaldatud seadust järgides /.../. Eraldi kontrolli me ei tee."
Arvutiekspert Tõnu Samueli sõnul jättis Eesti Interneti Sihtasutus (EIS) kõigi umbes 60 000 Eesti domeeniomaniku andmed laokile. EISi väitel muukis Samuel ise nende süsteemi sisse, et neid diskrediteerida. Nii ehk naa – suur hulk isikuandmeid läks rändama.
Täpsuse nimel tuleb öelda, et Samuel sai kätte umbes 60 000 isiku andmed, kellest suur osa on firmade ja asutuste täiesti avalikud kontaktid. Kuid seal hulgas on ka ligi 16 000 eraisikut, kes ei pruugi tahta, et näiteks nende mobiilinumber või koduaadress levivad.

Delikaatsete iskuandmete töötlemine

Haridusasutustes (alaealiste komisjonides, nõustamiskomisjonides, õppenõukogudes jpt) töödeldakse hulgaliselt erinevaid delikaatseid isikuandmeid - näiteks arenguvestluse käigus ja psühholoogi poolt kogutud teave, samuti teave tervise seisundi, hariduslike erivajaduste jms kohta. Tulenevalt isikuandmete kaitse seadusest on kõik andmetöötlejad, kes puutuvad kokku delikaatsete isikuandmetega, kohustatud registreerima delikaatsete isikuandmete töötlemise või muudatused delikaatsete isikuandmete töötlemisel Andmekaitse Inspektsioonis.
Delikaatsete isikuandmete töötlemiseks loetakse kõiki andmetega tehtavaid toiminguid : andmete kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine isikuandmetele, päringute teostamine ja väljavõtete tegemine, isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine, või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest.
Delikaatsete isikuandmete töötlemine on keelatud, kui:

delikaatsete isikuandmete töötlemine on Andmekaitse Inspektsiooni poolt registreerimata;

delikaatsete isikuandmete töötlemise registreerituse tähtaeg on möödunud ning vastutav töötleja ei ole esitanud uut registreerimistaotlust;

Andmekaitse Inspektsioon on delikaatsete isikuandmete töötlemise peatanud või keelanud.

Delikaatsete isikuandmete registreerimine

Kui isikuandmete töötleja ei ole määranud kindlaks käesoleva seaduse §-s 30 sätestatud isikuandmete kaitse eest vastutavat isikut, on isikuandmete töötleja kohustatud registreerima delikaatsete isikuandmete töötlemise Andmekaitse Inspektsioonis. Kui isikuandmeid töötleb volitatud töötleja, esitab käesolevas peatükis sätestatud taotlusi vastutav töötleja.
Isiku majandustegevust ei registreerita ega anta talle tegevusluba või litsentsi tegevusalal, millega kaasneb delikaatsete isikuandmete töötlemine, kui isikuandmete töötleja ei ole registreerinud delikaatsete isikuandmete töötlemist Andmekaitse Inspektsioonis või määranud isikuandmete kaitse eest vastutavat isikut.
Delikaatsete isikuandmete töötlemine registreeritakse viieks aastaks. Isikuandmete töötleja on kohustatud vähemalt kolm kuud enne registreeringu tähtaja möödumist esitama uue registreerimistaotluse.
Andmekaitse Inspektsioon keeldub delikaatsete isikuandmete töötlemise registreerimisest, kui:

1) töötlemiseks puudub seaduslik alus;

2) töötlemise tingimus ei vasta käesolevas seaduses, muus seaduses või selle alusel kehtestatud õigusaktis sätestatud nõudele;

3) rakendatud isikuandmete organisatsioonilised, füüsilised ja infotehnilised turvameetmed ei taga käesoleva seaduse §-s 25 sätestatud nõuete täitmist.
Registreerimistaotlus esitatakse Andmekaitse Inspektsioonile isikuandmete töötlejate registrisse kandmiseks vähemalt üks kuu enne delikaatsete isikuandmete töötlemise algust.
Delikaatsete isikuandmete töötlemise registreerimiskohustuse ja isikuandmete välisriiki edastamise nõuete ning andmesubjekti teavitamise kohustuse rikkumine:
Delikaatsete isikuandmete töötlemise registreerimiskohustuse, isikuandmete kaitse turvameetmete või isikuandmete töötlemise muude nõuete eiramise eest – karistatakse rahatrahviga kuni 300 trahviühikut.
Sama teo eest, kui selle on toime pannud juriidiline isik, – karistatakse rahatrahviga kuni 32 000 eurot.

Kokkuvõte

Infotehnoloogia areng pakub meile palju uusi mugavaid võimalusi, kuid põhjustab kahjuks ka mõndagi ebameeldivat. Üheks näiteks on elektrooniliste registrite pidamine, mis ühest küljest võimaldab teha laiahaardelisi uuringuid kiiremini kui ei kunagi varem, kuid teisest küljest lubab registrites sisalduvat delikaatset infot inimeste vastu ka märksa tõhusamalt ära kasutada.
Paraku tuleb registris sisalduvaid andmeid registri ülesannete täitmiseks väga sageli konkreetsete isikutega siduda. Isegi juhul, kui andmekogu pidamise ainus eesmärk on tugevasti umbisikustatud statistika, läheb viiteid andmesubjektidele vaja andmete uuendamisel ja teiste registritega linkimisel. Sellega seoses peab alati kusagil eksisteerima osapool, kes suudab registrisse kuulujaid kindlaks teha. Küsimus seisneb ai- nult selles, kui kergesti ründaja andmeid sellelt osapoolelt kätte saab ning kui palju kahju ta seejärel teha võib.
Kokkuvõtlikult võib öelda, et volitatud töötleja poolsete rünnete ohtu polegi praktiliselt võimalik maandada, selle asemel toob kodeerimiskeskuse lahendus aga sisse hoopis täiendavaid turvariske.
Tegelikult algab probleem volitatud töötleja kui riskiallika hindamisest. Registri legaalsed kasutajad on ründajatega võrreldes oluliselt halvemas seisus. Selleks, et registritele toetudes teha head ning viia läbi uuringuid, millest sisuliselt tulu tõuseks, peavad kasutatavad andmed olema täpsed ja isikustatavad. Samas selleks, et halba teha ning registritesse kantud isikuid delikaatsete info abil rünnata, piisab ka ebatäpsetest andmetest. Iga delikaatseid isikuandmeid sisaldava registri kohta tuleb koostada loetelu registriga töötavate isikute rollidest, määrata rollipõhised pääsuõigused ning täiendada infosüsteeme nende õiguste alusel.

Kasutatud kirjandus

1. www. riigiteataja .ee
2. et.wikipedia.org
3. www.kollis.pri.ee
4. www.uudised.err.ee
5. etv.err.ee