Töötlemine on andmekaitsealane üldtermin andmetega tehtavate kõikvõimalike toimingute kohta. Selle alla kuuluvad andmete kogumine, salvestamine, kopeerimine, muutmine, süstematiseerimine, pärimine, edastamine ja hävitamine. Isikuandmete töötlemine kestab andmete saamisest kuni nende hävitamiseni ja hõlmab kõiki toiminguid, mis jäävad nende vahele.

Töötlemiseks loetakse ka isikustatud või pseudonüümitud andmete anonüümimist, mis peab koos sellele eelneva andmete kogumisega vastama üldistele andmekaitsepõhimõtetele.

Üldmääruses eristatakse isikuandmete töötlemisel kolme vastutavat rolli.

  1. Vastutav töötleja on isik või asutus, kes määrab töötlemise eesmärgid ja vahendid ehk kontrollib sisuliselt isikuandmete töötlemist. Vastutav töötleja on enamasti juriidiline isik, kelle juures isikuandmete töötlemine toimub. Tartu Ülikool on vastutav töötleja asutusena, teadlane aga vastutab kõige selle eest, mida ta oma töös isikuandmetega teeb. Tema seab andmetöötluseesmärgid ja ütleb, milliseid andmeid ta kogub ja milliste vahenditega. See, et ülikool võib olla isikuandmete vastutav töötleja, ei tähenda, et iga ülikooli töötaja pääseb isikuandmetele juurde. Juurdepääs peab olema vajaduspõhine ja piiritletud teadlastega, kes on konkreetse projekti või uuringuetapiga seotud. Kui tegu on tundlike andmetega, näiteks laste või eriliiki isikuandmetega, tuleb ligipääsu veelgi kitsendada neile teadlastele, kel on tingimata vaja isikustatud andmeid töödelda.
  2. Kui isikuandmete kohta teevad otsuseid mitu asutust ühiselt, näiteks ülikool koos teiste teadusasutustega, on nad kaasvastutavad töötlejad. Kaasvastutus eeldab, et koostööasutused määravad töötlemise eesmärgid ja vahendid ühiselt. Näiteks Euroopa Liidu rahastatud projektide puhul on võimalik, et projekti partnerid vastutavad kas igaüks enda tegevuse eest või on kaasvastutajad sõltuvalt töö- ja otsustuste jaotusest.
  3. Volitatud töötleja on isik või asutus, keda vastutav töötleja on eraldi lepingu alusel volitanud isikuandmeid töötlema. Volitatud töötleja tegutseb vastutava töötleja nimel, kuid kuna ta ei saa määrata ega muuta isikuandmete töötlemise eesmärke ja vahendeid, ei ole ta vastutav töötleja. Ülikoolis töölepinguga töötav inimene ei ole volitatud töötleja, sest ülikool ei saa iseennast volitada. Kuid selleks võib olla näiteks ülikooli teadlane, keda mõni muu avalik või eraasutus on eraldi kokkuleppe alusel palganud analüüse või ekspertiisi tegema.

Enamasti ei ole teadlane siiski ei volitatud ega vastutav töötleja: ta täidab oma tööülesannete kaudu ülikooli kui vastutava töötleja kohustusi. Kui teadlane on näiteks rahvusvahelise teadusprojekti põhi- või vastutav täitja, on kogu projekti vältel vastutav või kaasvastutav töötleja – olenevalt teadusasutuste kokkuleppest – tema ülikool. See ei tähenda mõistagi, nagu oleks teadlane vastutusest vabastatud. Hea tava on määrata konkreetses uuringus töödeldavate andmete eest eraldi vastutav uurija, kes peab tagama andmetöötluse korrektsuse. Tema ülesanne on kindlustada andmete konfidentsiaalne ja turvaline töötlemine ning juhendada isikuandmeid töötlevaid teadlasi.

Nii vastutav uurija kui ka vastutav töötleja peavad järgima andmekaitsepõhimõtteid, kuid erinev on see, kellele nad aru annavad. Vastutav töötleja ehk ülikool annab andmekaitsealase rikkumise korral aru Andmekaitse Inspektsioonile, vastutav uurija enda tööandjale ehk ülikoolile, samuti tuleb tal teavitada ülikooli andmekaitse peaspetsialisti. Ülikooli kohustus on hinnata isikuandmete töötlemisega seotud võimalikke riske ja võtta meetmeid nende maandamiseks, kuid riskianalüüsi koostamine on teadlase tööülesanne.

Niisiis sõltub teadlaste ja ülikooli kokkuleppest, millised andmekaitsekohustused on millise töötaja kanda. Ülikooli asjaajamiseeskirjas on sätestatud, et isikuandmete kaitse eest vastutavad andmekaitse spetsialist, struktuuriüksuse juht ja isikuandmeid töötlev töötaja. Igal isikuandmeid töötleval töötajal kohustus tagada andmete terviklus ja konfidentsiaalsus. Struktuuriüksuse juhil tuleb tagada kõikide isikuandmete töötlemise toimingute registreerimine.

Kolmas isik on isik või asutus, kes ei ole ei andmesubjekt, vastutav ega volitatud töötleja ega tööta vastutava ega volitatud töötleja alluvuses. Lihtsustatult on see isik, kel ei ole isikuandmete töötlemises selget rolli. Teadustöö puhul võivad kolmandad isikul olla näiteks teadlase pereliikmed, töö oponent või retsensent, tööd publitseeriva kirjastuse töötajad jne.

Lisaks eristatakse andmekaitses vastuvõtjaid ehk isikuid või asutusi, kellele andmeid õiguslikul alusel edastatakse, kuid see on vaid olukorrapõhine roll. Vastuvõtja võib olla nii vastutav töötleja, volitatud töötleja kui ka kolmas isik.

Iga asutus, sh ülikool kehtestab andmekaitsetingimused, mida peab järgima iga teadustöösse kaasatud isik alates intervjuud transkribeerivast üliõpilasest kuni teadusprojekti juhtiva professorini. Tingimusi tuleb täita ka vaatamata töötlemise eesmärgile. Ülikoolis kehtivad samad tingimused nii personali-, õppe- kui ka teadustööga seotud isikuandmetele. Teadustöö eesmärk ei vähenda vajadust isikuandmeid kaitsta või isikute õigustega arvestada.

  • No labels