Page History

...

• Riskide hindamise etapis tuleb otsustada, millised riskid on väikesed ja millised on keskmisest suuremad, nii et neid tuleb maandada. Selleks tuleb välja pakkuda meetmed, mis vähendavad riski tõenäosust ja mõju. Need võivad olla tehnilised (turvalised infosüsteemid), õiguslikud (andmevahetusleping volitatud töötlejaga) või korralduslikud (vajaduspõhine juurdepääs andmetele). Pärast riskide maandamist tuleks riske uuesti hinnata, kuni need on allapoole keskmist. Kui riski ei saagi täiesti maandada, tuleb kirjeldada seiretegevust selle pidevaks jälgimiseks ja maandamiseks kogu uurimistöö vältel. Seda nimetatakse riskide haldamiseks ja see eeldab valmidust ja võimekust tegutseda, kui mõni riskidest realiseerub või tuvastatakse mõni uus risk. Riskide haldamise eel tuleb kokku leppida, milline on eri osaliste vastutus, kes riske seirab ja kuidas neile reageeritakse.

2.14.2.     Isikuandmete töötlemisega seotud ohtude hindamine

...

Esiteks tuleb hinnata infoturberiske, et tagada isikuandmete terviklus, käideldavus, konfidentsiaalsus ja turvaline töötlemine. Enamasti tegelevad sellega ülikooli infoturbespetsialistid, kes kindlustavad teadlastele sobivad töövahendid (vt alaptk 3.1).

Teiseks peab arvestama isikuandmete töötlemisel tekkiva võimaliku kahjuga andmesubjektidele. Kui uuringuga kaasneb suur risk kahjustada inimeste õigusi ja vabadusi, on vastutaval töötajal üldmääruse kohaselt kohustus koostada andmekaitsealane mõjuhinnang, mis on üks riskide hindamise erivorme.

...

Andmekaitses on tähtsal kohal suure ohu mõiste. Üldmääruses ja Andmekaitse Inspektsiooni juhendites on aga isikuandmete suure ohuga töötlemist määratletud veidi erinevalt.

1.Üldmääruses on toodud kolm näidet suure ohuga andmetöötlusest:

• inimeste süsteemne, ulatuslik ja automatiseeritud hindamine või jälgimine (sh profiilianalüüsi koostamine), millel on inimestele õiguslikud või muud samaväärse mõjuga tagajärjed;
• eriliiki või süütegudega seotud isikuandmete ulatuslik töötlemine;
• avalike alade ulatuslik jälgimine.

Nendel juhtudel on mõjuhinnangu tegemine kohustuslik. Muudes olukordades tuleb vastutaval töötlejal ohu suurust ise hinnata. Oluline on seejuures kahju inimeste õigustele ja vabadustele – kui esineb arvestatav tõenäosus inimeste õiguse ja vabadusi kahjustada, ongi tegemist suure ohuga.

2. Andmekaitse Inspektsioon on seadnud andmekaitsealase mõjuhinnangu tegemisele lisakriteeriumid – töötlemise ulatuslikkus ja süsteemsus. Andmekaitse Inspektsiooni isikuandmete töötleja üldjuhendi peatüki järgi on andmetöötlus süsteemne, kui see on metoodiline ja planeeritud. Kuna teadustöö on vaikimisi alati süsteemne, tuleb vastutaval töötlejal suure ohu hindamisel pöörata tähelepanu eelkõige töötlemise ulatuslikkusele, sealjuures nii kvantitatiivselt (suur andmesubjektide arv) kui ka kvalitatiivselt (eriliiki ja süüteoandmed).

Andmekaitse Inspektsioon on kirjutises „Mõjuhinnangu tegemine“ täpsustanud, millal kaasneb töötlemise ulatuslikkusega nii suur oht, etandmekaitsealane mõjuhinnang on vajalik:

...

Andmekaitse peaspetsialist tuleb kindlasti kaasata siis, kui mõjuhinnangu tulemusena leitakse, et suur oht püsib ja kavandatud meetmed ei aita seda täielikult kaotada või piisavalt maandada. Koostöös otsitakse maandamisvõimalusi ja vajaduse korral saab pidada nõu Andmekaitse Inspektsiooniga.

[1] Ehkki IT-, riigikaitse-, keskkonna- ja mõnes muus valdkonnas on tavaks pidada riski ja ohtu eri mõisteteks (vt nt https://akit.cyber.ee/term/52-risk ja https://akit.cyber.ee/term/93-oht, https://eits.ria.ee/et/seletav-sonaraamat/o?id=96649ad7b153a7f6d3bae608d0b1cbfe, https://sonaveeb.ee/search/unif/dlall/mil/risk/1 ja https://sonaveeb.ee/search/unif/dlall/mil/oht/1, https://www.riigiteataja.ee/akt/163255), on need terminid siin juhendis eri õigusaktide ja juhendite sõnastuse tõttu kasutusel sünonüümidena.