Isikuandmete kaitse tavad Eestis (0)

Tallinna Polütehnikum
Isikuandmete kaitse tavad Eestis
Referaat
Sandra Lott
PA-10B
Tallinn 2011

Sisukord

Sisukord 2
Sissejuhatus 3
Isikuandmed 4
Isikuandmete liigitus 4
Delikaatsed isikuandmed 4
Kuidas sai alguse isikuandmete kaitsmine ? 5
Isikuandmete kaitse algus Eestis 5
Andmete umbisikustamine 6
Isikuandmete töötlemine 7
Isikuandmete töötlemise põhimõtted 8
Isikuandmete töötleja 8
Erinevad subjektid 9
Nõusolek andmete töötlemiseks 10
Andmesubjekti õigused 11
Turvanõuded töötluskeskkonnale 12
Olulisemad tehnilised nõuded 12
Kokkuvõte 13
Kasutatud materjal 14

Sissejuhatus

Viimasel ajal on hakatud järjest rohkem rääkima isikuandmete kaitsest. Mõned arvavad , et hetkel kehtiv isikuandmete kaitse seadus ei ole sobiv. Selles referaadis saame teada täpsemalt mis on üldse isikuandmed ning miks neid on vaja kaitsta ja kuidas on isikuandmed kaitstud Eestis.

Isikuandmed

Isikuandmed on mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on. Isikuandmete kaitse seadus on seadus, mis kaitseb füüsilise isiku põhiõiguseid ja põhivabadusi isikuandmete töötlemisel kooskõlas avalike huvidega. Seaduse eesmärk on kaitsta isikuandmete töötlemisel füüsilise isiku põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele.

Isikuandmete liigitus

Isikuandmete seadus jagab isikuandmed kahte kategooriasse - delikaatsed isikuandmed ja ülejäänud (niiöelda tavalised) isikuandmed. Vahepeal olid ka eraldi eraelulised isikuandmed, aga praegu ei ole.

Delikaatsed isikuandmed

• poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta
  
• etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed
  
• andmed terviseseisundi või puude kohta
  
• andmed pärilikkuse informatsiooni kohta
  
• biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed)
  

• andmed seksuaalelu kohta
  
• andmed ametiühingu liikmelisuse kohta
  
• andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist
  

Kuidas sai alguse isikuandmete kaitsmine ?

Varem olid kõik andmed paberi peal, kõik dokumendid ja isikuandmed. Nüüdseks on järjest rohkem enamikke andmeid digikujul. Vähemal või rohkemal määral on digiandmed tihti seotud ka internetiga. See muutus on andmete otsimise võimalust ja kiirust strateegiliselt muutnud. Kui inimene suudab teha maksimaalselt kümme üksteisele järgnevat tegevust, siis arvutid töötavad miljoneid kordi kiiremini.
Tegelikult oli digitaalsele kujule üleminek põhjustatud just mugava ja kiire otsimisvõimaluse tõttu, mis sellega kaasnes. Kui meil oleks arhiiv, mis sisaldaks miljoneid paberdokumente ja sealt oleks vaja teatud märksõna otsida, siis kuluks selleks sadu aastaid. Kui need dokumendid oleks failidena arvutis kuluks selleks vaid sekundi murdosa. Väga hea näide on ülemaailmne otsingusüsteem Google. See leiab enam kui neljast miljonist temas registreeritud avalikust veebilehest üles selle märksõna, mida on sul vaja ning seda kõigest sekundiga .
 Kogu inimkonna eluaja on olnud tähtsus isiku privaatsusel. Paberdokumentide ajastul oli inimese privaatsuse rikkumine väga raske. Kuigi inimeste mitmest tegevusest jäid erinevatesse kohtadesse maha kirjalikud jäljed, olid need kõik eraldi ja väga raske oli seoseid leida. Sellega said hakkama ainult suurriikide luureorganisatsioonid. Nüüdseks on kõik hoopis teisiti. Väga kergelt saab inimese erinevaid tegevusi teada näiteks veebi vahendusel. Kirjutad isiku nime vastavasse otsingumootorisse ning saad üsna lihtsalt teada tema tegemistest.
Kuna internetis saab iga tavainimene teha sellise nuhkimistöö, mis niiöelda paber-ajastul oli omane vaid luureorganisatsioonidele, siis otsustati asja hakata õiguslikult piirama.

Isikuandmete kaitse algus Eestis

Isikuandmete kaitse seaduse eesmärk on kaitsta isikuandmete töötlemisel füüsilise isiku põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele. Esimene isikuandmete kaitse seadus jõustus Eestis 19. juulil 1996.aastal. Kuna interneti maailm koguaeg uuenes hakati mõtlema, et vana isikukaitse seadust oleks vaja uuendada . Lõpuks otsustati koguni täiesti uus seadus kirjutada. 2001.aasta veebruaris saigi koostamisega alustatud. Uut seadust valmistasid ette oma ala eksperdid , kuhu kuulusid juristid ja andmeturbe -eksperdid.
Riigikogu võttis 17.oktoobril 2002.aastal isikuandmete kaitse seaduse eelnõu arutamisele. Seal oli kõige muuhulgas sisse kirjutatud ka võimalus isikuandmete kasutamine teadusuuringuteks ilma isiku nõusolekuta. Sellega ei olnud Riigikogu nõus ja leidis, et isikuandmete töötlemise lubamine teaduse eesmärgil ilma isiku nõusolekuta kahjustab liigselt inimeste privaatsust. Seega see paragrahv eemaldati eelnõust.
12.veebruaril 2003 võeti seadus vastu. Seal oli kirjas, et andmeid uurimusteks saab koguda vaid küsitluste abil ja ka sellega peab olema nõusolek küsitletava enda andmete kasutamise kohta. Õnneks oli olemas veel üks võimalus – andmete umbisikustamine.
Eelmine seadus kestis kuni 2007-nda aastani, mil otsustati jällegi interneti maailma uuenemise pärast. Alates 1.jaanuarist 2008 hakkas kehtima uus seadus, niiöelda kolmas variant.

Andmete umbisikustamine

Andmete umbisikustamine tähendab seda, et kui andmete põhjal ei ole võimalik isikut kindlaks teha, siis sellised andmed ei ole isikuandmed ning nende kohta ei kehti isikuandmete kaitse seadus. Ehk neid saab kasutada ilma isiku nõusolekuta.
Kui tegemist on uuringuga, kus andmeid võetakse ainult ühest andmekogust, saab umbisikustamist teostada üsnagi lihtsalt. Selleks tuleb isikut tuvastada võimaldavad andmed asendada teatud kokkuleppelise koodiga.
Number 579
Teele Vits
49102066034
Vallaline
kõrgharidusega
Number 579
[ none ]
[none]
Vallaline
kõrgharidusega
Kui uuringud hõlmavad mitmes andmekogus hoitavaid andmeid, on lugu veidi keerulisem, aga lahendatav. Lahendamiseks on kaks võimalust.
E Kodeerimis-keskus
simene võimalus on turvalise kodeerimiskeskuse loomine, mis teenindaks mitut andmekogu . On võimalik programmiga luua eraldiseisev kodeerimiskeskus, mis väljastaks nime ja/või isikukoodi põhjal kokkuleppelise koodi. Samas ei saa programm väljastada koodi põhjal ei nime ega ka isikukoodi.
Teele Vits 498766544253748596847
49102066034
Teine võimalus on kasutada kokkuleppelise koodi loomisel krüptograafilisi võtteid. Krüptograafia on IT maailmas üheks peamiseks tööriistaks, mis tagab andmete kaitsmise. Muuhulgas pakub krüptograafia niiöelda ühesuunalise funktsiooni teenust. Lühidalt seisneb põhimõte selles, et näiteks suurus A ja B, kus suurusest A saab suurust B arvutada, kuid B põhjal A leidmine ehk taastamine on praktikas võimatu. Ehk see põhimõtteliselt võimaldab nimest ja isikukoodist kindlate algoritmide abil leida kokkuleppelise koodi, aga seda koodi ei saa tagasi nimeks ega isikukoodiks arvutada.
Ühesuunaline funktsioon
Teele Vits 14bfhK847gjdW578
49102066034 jshh6790GLW23dfp
IT maailmas on mõlemad eeltoodud variandid teoreetiliselt lahendatavad. Nende praktiline lahendatavus sõltub huvigruppide tahtest säärased IT-teenused üles ehitada.

Isikuandmete töötlemine

Töötlemine ei ole kindlasti ainult muutmine. Isikuandmete töötlemine on iga isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine , korrastamine, säilitamine, muutmine ja avalikustamine , juurdepääsu võimaldamine isikuandmetele, päringute teostamine ja väljavõtete tegemine, isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine , kustutamine või hävitamine või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest.

Isikuandmete töötlemise põhimõtted

Seaduslikkuse põhimõte – isikuandmeid võib koguda ausal ja seaduslikul teel

Eesmärgikohasuse põhimõte – isikuandmeid võib koguda üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning isikuandmeid ei või töödelda viisil, mis ei ole andmetöötluse eesmärkide saavutamisega kooskõlas

Minimaalsuse põhimõte – isikuandmeid võib koguda vaid ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks

Kasutuse piiramise põhimõte – isikuandmeid võib muudel eesmärkidel kasutada üksnes andmesubjekti nõusolekul või sellega pädeva organi loal

Andmete kvaliteedi põhimõte – isikuandmed peavad olema ajakohased, täielikud ning vajalikud antud andmetöötluse eesmärgi saavutamiseks

Turvalisuse põhimõte – isikuandmete kaitseks tuleb rakendada turvameetmeid, et kaitsta neid tahtmatu või volitamata muutmise, avalikuks tuleku või hävimise eest

Individuaalse osaluse põhimõte – andmesubjekti tuleb teavitada tema kohta kogutavatest andmetest, talle tuleb anda juurdepääs tema kohta käivatele andmetele ja tal on õigus nõuda ebatäpsete või eksitavate andmete parandamist

Isikuandmete töötleja

Isikuandmete töötleja ( vastutav töötleja) on füüsiline või juriidiline isik, välismaa äriühingu filiaal või riigi- või kohaliku omavalitsuse asutus, kes töötleb või kelle ülesandel töödeldakse isikuandmeid.

• Töötleja määrab kindlaks isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseisu, isikuandmete töötlemise korra ning viisi ja isikuandmete kolmandatele isikutele edastamise lubamise
  
• (Vastutav) töötleja võib haldusakti või lepinguga volitada isikuandmeid töötlema teist isikut või asutust (volitatud töötleja), kui seadusest või määrusest ei tulene teisiti
  
• Andmekogu vastutav töötleja (haldaja) on riigi- või kohaliku omavalitsuse asutus, kes korraldab andmekogu kasutusele võtmist, andmekogu pidamist ja andmete töötlemist. Andmekogu vastutav töötleja vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest
  
• Andmekogu vastutav töötleja võib volitada andmete töötlemise ja andmekogu majutamise teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava töötleja poolt ettenähtud ulatuses. Selline subjekt on volitatud töötleja
  
• Volitatud töötleja on kohustatud täitma vastutava töötleja juhiseid andmete töötlemisel ja andmekogu majutamisel ning tagama andmekogu turvalisuse
  
• Andmekogu vastutav töötleja korraldab riigi poolt kohalikule omavalitsusele pandud või delegeeritud ülesannete täitmiseks asutatud andmekogu keskse tehnoloogilise keskkonna loomise ja haldamise
  
• Vastutav ja volitatud töötleja võivad kokku langeda, kuid ei pea kokku langema, vajadusel võib neid eristada. Volitatud töötlejaid võib ühel andmekogul olla mitmeid
  
• Vastutavaks töötlejaks on andmekogude seaduse põhjal andmekogu omanik. Riigi või kohaliku omavalitsuse andmekogu vastutava töötleja õiguste teostaja määratakse seaduses või seaduse alusel
  
• Volitatud töötleja on isik, kes peab andmekogu või töötleb andmeid andmekogu vastutava töötleja tellimusel
  
• Volitatud töötleja on seega andmekogu tehniline pidaja
  

Erinevad subjektid

• Isikuandmete töötleja ehk vastutav töötleja on see, töötleb või kelle ülesandel töödeldakse isikuandmeid
  
• Isikuandmete volitatud töötleja on isik, kellele vastutav töötleja on edasi volitanud andmete (tehnilise) töötlemise
  
• Andmesubjekt on isik, kelle andmeid töödeldakse
  
• Kõik ülejäänud isikud on töötlemise suhtes kolmandad isikud
  
• Isikuandmete töötlemise lubatavus tulenevalt seadusest
  
• Üldreegel: isikuandmete töötlemine on lubatud ainult isiku nõusolekul
  
• Haldusorgan võib isikuandmeid töödelda üksnes avaliku ülesande täitmise käigus seaduse, välislepingu või Euroopa Liidu Nõukogu või Euroopa Komisjoni otsekohalduva õigusaktiga ettenähtud kohustuse täitmiseks 
  
• Nõusolek peab olema kirjalikku taasesitamist võimaldavas vormis, välja arvatud juhul, kui vorminõude järgmine ei ole andmetöötluse erilise viisi tõttu võimalik
  

Nõusolek andmete töötlemiseks

• Nõusolekus peavad olema selgelt määratletud andmed, mille töötlemiseks luba antakse, andmete töötlemise eesmärk ning isikud, kellele andmete edastamine on lubatud, samuti andmete kolmandatele isikutele edastamise tingimused ning andmesubjekti õigused tema isikuandmete edasise töötlemise osas
  
• Vaikimist või tegevusetust nõusolekuks ei loeta
  
• Nõusolek võib olla osaline ja tingimuslik
  
• Nõusolek peab olema antud andmesubjekti vabal tahtel
  
• Nõusolekus peavad olema selgelt määratletud andmed, mille töötlemiseks luba antakse, andmete töötlemise eesmärk ning isikud, kellele andmete edastamine on lubatud, samuti andmete kolmandatele isikutele edastamise tingimused ning andmesubjekti õigused tema isikuandmete edasise töötlemise osas
  

• Delikaatsete isikuandmete töötlemiseks tuleb isikule selgitada, et tegemist on delikaatsete isikuandmetega ning võtta selle kohta kirjalikku taasesitamist võimaldav nõusolek
  
• Andmesubjekti nõusolek kehtib andmesubjekti eluajal ning 30 aastat pärast andmesubjekti surma, kui andmesubjekt ei ole otsustanud teisiti
  
• Nõusoleku võib andmesubjekt igal ajal tagasi võtta. Nõusoleku tagasivõtmisel ei ole tagasiulatuvat jõudu
  
• Vaidluse korral eeldatakse, et andmesubjekt ei ole oma isikuandmete töötlemiseks nõusolekut andnud. Andmesubjekti nõusoleku tõendamise kohustus on isikuandmete töötlejal
  
• Delikaatsete isikuandmete töötlemise registreerimine
  
• Kui isikuandmete töötleja ei ole määranud kindlaks isikuandmete kaitse eest vastutavat isikut, on isikuandmete töötleja kohustatud registreerima delikaatsete isikuandmete töötlemise Andmekaitse Inspektsioonis
  
• Registreerimistaotlus tuleb esitada vähemalt üks kuu enne delikaatsete isikuandmete töötlemise algust. Selle oluline lisa on andmete töötlemisel kasutatavate turvameetmete kirjeldus
  
• Kui asutuses on määratud isikuandmete kaitse eest vastutav isik, siis töötlemist registreerima ei pea.
  

Andmesubjekti õigused

Andmesubjektil on õigus saada teavet ja tema kohta käivaid isikuandmeid isikuandmete töötlemisel
Õigus teada:

• milliseid isikuandmeid on kogutud
  
• isikuandmete töötlemise eesmärke
  
• isikuandmete koosseisu ja allikaid
  
• kellele isikuandmete edastamine on lubatud
  
• kolmandaid isikuid, kellele tema isikuandmeid on edastatud
  
• isikuandmete töötleja või tema esindaja kontaktandmeid
  

Andmesubjektil on õigus saada enda kohta käivaid isikuandmeid üks kord aastas tasuta. Paberkandjal koopiate eest on õigus nõuda tasu alates 21. leheküljest kuni 3 krooni
Andmesubjekti õigust saada teavet ja enda kohta käivaid isikuandmeid piiratakse, kui see võib kahjustada:

• teiste isikute õigusi ja vabadusi
  
• lapse põlvnemise saladuse kaitset
  
• kuriteo tõkestamist või kurjategija tabamist
  
• kriminaalmenetluses tõe väljaselgitamist
  

 
Andmesubjekti tuleb tema õigusi piiravat otsusest viitega alusele teavitada

Turvanõuded töötluskeskkonnale

Isikuandmete töötleja on kohustatud kasutusele võtma organisatsioonilised, füüsilised ja infotehnilised turvameetmed isikuandmete kaitseks:

• andmete tervikluse osas – juhusliku või tahtliku volitamata muutmise eest
  
• andmete käideldavuse osas – juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest
  
• andmete konfidentsiaalsuse osas – volitamata töötlemise eest.
  

Olulisemad tehnilised nõuded

Isikuandmete kaitse seadus nõuab, et isikuandmete töötleja:

• peab kaitsma andmeid juhusliku või tahtliku volitamatu muutmise eest
  
• peab kaitsma andmeid juhusliku hävimise ja tahtliku hävitamise eest
  
• peab kaitsma andmeid konfidentsiaalsuse osas volitamata töötlemise eest
  
• peab võimaldama kindlaks teha, millal, kellele ja milliseid isikuandmeid edastati
  

Kokkuvõte

Selle referaadi tegemisel sain väga palju teada isikuandmete kaitse kohta Eestis. Näiteks kuidas andmeid koguda nii, et kõik oleks seadusega kooskõlas. Isikuandmed on väga privaatsed ja neid tuleb kindlasti kaitsta kuna interneti maailmas saab iga inimese kohta ikka veel vägagi lihtsalt olulise info teada.

Kasutatud materjal

http://www.sotsioloogia.ee/vana/esso3/1/valdo_praust.ht m
http://et.wikipedia.org/wiki/Isikuandmete_kaitse_seadus
enos .itcollege.ee/~valdo/turve_ohtune/turve14.ppt
14