Isikuandmetega seotud rikkumine on üldmääruse artikli 4 punkti 12 kohaselt turvanõuete eiramine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.

Andmekaitsealase rikkumisega on tegemist näiteks siis, kui

  • avalikuks on saanud andmed, mis ei tohiks olla avalikud;
  • andmed on kogemata kustutatud või neile ei saa vajalike toimingute tegemiseks enam juurdepääsu ka mitte varukoopia taastamisel;
  • andmetele on pääsenud juurde volitamata isikud: näiteks kaasatakse teadusuuringu andmeanalüüsi etappi üliõpilasi, aga nendega ei sõlmita enne konfidentsiaalsuslepet;
  • teadusuuringu jaoks on küsitud kirjalik nõusolek kindlal eesmärgil andmete töötlemiseks, aga neid andmeid kasutatakse uuringuga mitte seotud eesmärgil;
  • isikuandmeid kogutakse vaikimisi nõusoleku (opt-out) alusel, millest keeldumiseks peab andmesubjekt astuma samme.

Rikkumine võib kahjustada inimest ja tema huve, põhjustades füüsilist, materiaalset või mittemateriaalset kahju. Selle vältimiseks on ülikoolil kui vastutaval töötlejal kohustus saada täielik ülevaade andmete töötlemisest ja kontroll selle üle.

3.5.1.    Andmekaitsealasest rikkumisest tuleb kohe teada anda

Kui ülikoolis toimub isikuandmete alane rikkumine, tuleb sellest viivitamata teavitada ülikooli andmekaitse peaspetsialisti (andmekaitse@ut.ee). Tegutseda tuleb võimalikult kiiresti, et lõpetada näiteks volitamata juurdepääs andmetele, nende väärkasutus või muu rikkumine. Et hoida ära sarnased juhtumid tulevikus, võib olla vajalik anda juhtumist teada ka arvutiabile (arvutiabi@ut.ee).

Andmekaitse peaspetsialisti tuleb teavitada ka juhul, kui on vaid rikkumise kahtlus – siis saab täpsemad asjaolud välja selgitada.

3.5.2.    Pärast rikkumisest teavitamist tuleb olla valmis teabe jagamiseks

Üldmääruse artikli 33 lõike 5 alusel on ülikoolil kohustus dokumenteerida kõik isikuandmetega seotud rikkumised, sealhulgas nende asjaolud, mõju ja võetud parandusmeetmed. Seepärast hakatakse pärast rikkumist seda uurima ja vajaduse korral lisateavet koguma. Rikkumisega seotud inimestel tuleb olla valmis andma andmekaitsespetsialistile kirjalikke selgitusi või esitama vajalikke materjale.

Rikkumise põhjuste ja tagajärgedega tegelemiseks tuleb varuda aega. On väga oluline tekkinud olukord lahendada (andmeleke lõpetada, andmesubjekte teavitada, hinnata, mis juhtus ja miks, teha kindlaks, kui paljudele andmed avaldati, kogu protsess üle vaadata jm). See kõik on väga ajamahukas.

Ülikooli andmekaitse peaspetsialist teavitab rikkumisest ka Andmekaitse Inspektsiooni, kes võib omakorda ülikooli suhtes rikkumismenetlust alustada.

3.5.3.    Rikkumise võimalikud tagajärjed

Kui rikkumise uurimine on lõppenud, tuleb leida lahendused, mis tagavad, et samasugust intsidenti enam ei juhtu. Näiteks võib rakendada lisakaitsemeetmeid, suurendada teadlikkust, korrigeerida protseduure vms.

Üldmääruse artikli 82 lõike 1 järgi on igaühel, kes on isikuandmete alase rikkumise tõttu kannatanud materiaalset või mittemateriaalset kahju, õigus saada vastutavalt või volitatud töötlejalt hüvitist tekitatud kahju eest. IKS-i 6. peatükis loetletakse vastutava töötleja kohustuste rikkumisel kohaldatavate rahatrahvide suurus. Andmekaitse Inspektsioon võib ettekirjutuse täitmatajätmise korral rakendada sunniraha. Samuti võib ülikool võtta töötaja vastutusele, kui selgub, et rikkumine on toimunud tema hooletuse tõttu.

Lisaks IKS-ile ja üldmäärusele on isikuandmete alaste rikkumiste eest sätestatud sanktsioonid ka karistusseadustiku §-des 157–1572. Karistusseadustik võimaldab vastutusele võtta süüteo toime pannud füüsilist isikut ehk konkreetset ülikooli töötajat, kelle süül rikkumine toimus.

Loe lisaks

  • No labels