Andmekaitse Inspektsioon (AKI) algatas 2024. aastal seire, et saada ülevaade, kas ja kuidas täidetakse avalikus sektoris isikuandmete kaitse üldmääruses (IKÜM) sätestatud kohustust dokumenteerida kõik isikuandmetega seotud rikkumised. Seire raames küsiti asutustelt infot selle kohta, kuidas dokumenteeritakse isikuandmete töötlemisega seotud rikkumisi ja kui palju on asutuses rikkumisi olnud. Seiresse valiti 11 avaliku sektori asutust: Majandus- ja kommunikatsiooniministeerium, Tarbijakaitse ja Tehnilise Järelevalve Amet, Rahandusministeerium, Maksu- ja Tolliamet, Tervisekassa, Pärnu linnavalitsus, Rae vallavalitsus, Kohtla-Järve linnavalitsus, Põlva vallavalitsus, Elva vallavalitsus ja Haapsalu linnavalitsus.
Asutustelt saadud vastuseid võrreldi AKI-le esitatud rikkumisteadete arvuga ja Riigi Infosüsteemi Ameti küberintsidentide registri väljavõtetega, et tuvastada, kas intsidentide sisus oli kattuvusi või erinevusi. Kokkuvõttes oli avaliku sektori asutustel probleeme nii isikuandmete rikkumistega seotud intsidentide tuvastamisega kui ka dokumenteerimisega. Lisaks oli mitmel asutusel raskendatud rikkumistega seotud detailse ülevaate väljastamine AKI-le. 11 asutusest kahel oli esitatud andmete põhjal IKÜM-i nõuete täitmine korras.
Esimene probleem seostus eelkõige sellega, et asutustele ei olnud täpselt selge, mis on isikuandmetega seotud rikkumine. Selle tagajärjel võis ilmneda teine probleem, kus asutus ei suutnud õigel ajal või korrektselt intsidenti dokumenteerida.
Vastavalt IKÜM-i artikli 4 lõike 1 punktile 12 on isikuandmetega seotud rikkumine turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või juurdepääsu neile. Näiteks võivad sellised rikkumised olla ametnike tehtud volitamata päringud eri registrisse (nn uudishimupäringud), õigustamatu isikuandmete avaldamine (nt isikuandmete avaldamine avalikus dokumendiregistris, süsteemis või kodulehel) või küberründe tagajärjel hävitatud või lekkinud andmed.
Intsidendiga on tegemist ka siis, kui toimub turvaintsident, mille tõttu ei ole isikuandmed teatud aja jooksul kättesaadavad, kuna juurdepääsu puudumine andmetele võib märkimisväärselt mõjutada füüsiliste isikute õigusi ja vabadusi. Selguse huvides olgu öeldud, et kui isikuandmed ei ole kättesaadavad kavandatud süsteemihoolduse tõttu, ei ole see turvanõuete rikkumine.
Vastavalt IKÜM-i artikli 33 lõikele 5 on vastutaval andmetöötlejal isikuandmetega seotud rikkumise korral kohustus intsident dokumenteerida. Rikkumiste dokumenteerimine on seotud IKÜM-i artikli 5 lõikes 2 sätestatud vastutuse põhimõttega. Kuivõrd andmetöötleja peab kõik rikkumised dokumenteerima, on soovituslik pidada sisemist registrit rikkumiste kohta. Registri ülesehitus on iga andmetöötleja enda otsustada, kuid teatavad elemendid peavad siiski olemas olema, näiteks on IKÜM-i artikli 33 lõikes 5 sätestatud, et kirjas peavad olema rikkumise põhjused, toimunu kirjeldus, mõjutatud isikuandmed ja võetud parandusmeetmed.
Lisaks nendele üksikasjadele on soovitatav, et vastutav töötleja dokumenteeriks ka rikkumisele reageerimiseks tehtud otsuste põhjendused. Eelkõige tuleks asjaomase otsuse põhjendused dokumenteerida juhul, kui rikkumisest ei teatata. Seejuures tuleks esitada ka põhjused, mille alusel vastutav töötleja leiab, et rikkumisest ei tulene tõenäoliselt ohtu üksikisikute õigustele ja vabadustele. Alternatiivina, kui vastutav töötleja leiab, et isikuandmete kaitse üldmääruse artikli 34 lõike 3 mis tahes tingimus on täidetud, peaks ta olema suuteline esitama selle kinnituseks piisavaid tõendeid.
IKÜM-i artiklite 33 ja 34 nõuete paremaks täitmiseks oleks hea, kui andmetöötleja oleks sisemistes kordades või juhendites reguleerinud intsidentide haldamise protsessi, millega on kehtestatud kord, mida järgida pärast rikkumise avastamist, sealhulgas juhised selle kohta, kuidas intsidendi ulatust piirata, seda ohjata ja andmed taastada ning kuidas ohtu hinnata ja rikkumisest teatada.
Kolmandaks probleemiks tuvastas AKI, et mitmel juhul oli raskendatud isikuandmete rikkumistega seotud ülevaate väljastamine, sest asutus pidas ülevaated dokumendiregistri osana.
IKÜM-i artikli 33 lõikes 5 seonduv dokumenteerimise kohustus on seotud artikli 5 lõikes 2 sätestatud vastutuse põhimõttega. Nii teavitamisele mittekuuluvate kui ka teavitamisele kuuluvate rikkumiste registreerimise eesmärk on samuti seotud vastutava töötleja isikuandmete kaitse üldmääruse artiklist 24 tulenevate kohustustega ning järelevalveasutus võib asjaomaseid kandeid näha nõuda. Seetõttu julgustatakse vastutavaid töötlejaid looma asutusesisest rikkumiste registrit hoolimata sellest, kas neil on rikkumisest teatamise kohustus või mitte.
Vastutav töötleja võib otsustada dokumenteerida rikkumised isikuandmete töötlemise toimingute registreerimise raames, mida tehakse vastavalt IKÜM-i artiklile 30. Eraldi registrit ei ole vaja, kui rikkumisega seotud teave on selgelt tuvastatav ja taotluse korral saab teha registrist rikkumisega seotud andmete väljavõtte. Register on asutusele abiks andmekaitseliste riskide haldamisel, aidates tuvastada korduvaid mustreid ja suunata tegevusi kolleegide teadlikkuse suurendamiseks.
Dokumendihaldussüsteem (DHS) on avalikus sektoris üks variantidest isikuandmete rikkumistega seotud dokumentide koondamiseks, aga peab samal ajal võimaldama täita IKÜM-ist tulenevaid kohustusi, sh analüüsida ja täpsemat ülevaadet anda asutuste isikuandmetega seotud rikkumiste kohta. DHS-i kasutamine isikuandmete rikkumistega seotud registri pidamiseks avalikus sektoris võib olla ebasobiv, sest probleeme võib esineda andmete jälgitavuse, haldamise ja säilitamise nõuetega, mis suurendab õiguslike riskide tekkimise võimalust. Seetõttu tuleks kasutada lahendusi, mis on loodud andmekaitse vajadusi arvestades.
- Kommenteerimiseks logi sisse või registreeru