Kinnitatud
Kohtla-Järve Lasteaia Punamütsike
direktori käskkirjaga
nr 10/2-2
23. mai 2019.a.
SIKUANDMETE TÖÖTLEMISE PÕHIMÕTTED
Sisukord
1. Eesmärk, käsitlusala.
2. Mõisted.
3. Vastutus, töökorraldus,
4. Isikuandmete töötlemine.
5. Andmesubjekti õigused ja juurdepääs andmetele.
6. Seire, aruandlus, järelevalve.
1. EESMÄRK, KÄSITLUSALA
1.1.Käesoleva juhendiga sätestatakse isikuandmete töötlemise ja kaitse ulatus Kohtla-Järve Laseaias Punamütsike (edaspidi „asutus“) ning sätestatakse töökorraldus ja nõuded isikuandmete töötlemisele, infovarast ülevaate saamisele, selle haldamisele ja kasutamisel. Juhendiga sätestamata isikuandmete töötlemise küsimustes tuleb lähtuda õigusaktidest.
1.2.Isikuandmete kaitse eesmärgiks on kaitsta isikuandmete töötlemisel füüsilise isiku põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele.
Käesolevas eeskirjas toodud mõisted tuginevad õigusaktidel, sihtasutuse järelevalveasutuste poolt koostatud suunistel.
2.1.Isikuandmed - mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on.
2.2.Isikuandmete töötlemine - iga isikuandmetega tehtav toiming, sealhulgas isikuandmete vaatamine, kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine isikuandmetele, päringute teostamine ja väljavõtete tegemine, isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine, või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest.
2.3.Andmesubjekt - isik, kelle isikuandmeid töödeldakse.
2.4.Isikuandmetega seotud rikkumine - turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.
2.5.Eriliigilised isikuandmed (delikaatsed isikuandmed) - isikuandmed, mis näitavad rassilist või etnilist päritolu, usulisi ja filosoofilisi veendumusi, ametiühingusse kuulumist, terviseandmed, geneetilised andmed, biomeetrilised andmed üheseks füüsilise isiku tuvastuseks, füüsilise isiku suguelu või seksuaalorientatsiooni andmed.
2.6.Andmesubjekti nõusolek - vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.
2.7. Vastutav töötleja - füüsiline või juriidiline isik, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.
2.8.Volitatud töötleja - füüsiline või juriidiline isik, kes töötleb isikuandmeid vastutava töötleja nimel.
3.1.Isikuandmete kaitse korraldamise eest vastutab asutuse juhtkond.
3.2.Juhtkond määrab andmekaitse eest vastutaja, avaldab tema kontaktandmed ja teatab need Andmekaitse inspektsioonile (edaspidi „AKI“).
3.3.Andmekaitse eest vastutaja ülesanneteks on:
3.3.1. Koolitada ja nõustada asutuses isikuandmetega kokku puutuvaid töötajaid, õpetajaid, õpilasi ja lapsevanemaid seoses nende kohustustega.
3.3.2. Jälgida kehtivate andmekaitsenormide põhimõtete rakendamist ja järgimist asutuses.
3.3.3. Nõustada andmekaitsealase mõjuhinnangu koostamist.
3.3.4. Teha koostööd koolipidaja ja järelevalveasutustega.
3.3.5. Menetleda kõiki asutusele saabunud isikuandmete töötlemisega seotud päringuid ja nõudeid.
3.3.6. Isikuandmete töötlemisega seotud rikkumiste dokumenteerimine.
4.1.Isikuandmeid töödeldakse vaid juhul, kui selleks on olemas õiguslik alus.
4.2.Isikuandmete turvaline töötlemine.
4.2.1. Asutus rakendab IT parimaid praktikaid ja asjakohasel määral Eesti avalikus sektoris kaustatav infosüsteemide kolmeastmeline etalonturbe süsteem (ISKE, https://www.riigiteataja.ee/akt/13125331). Lisaks kasutatakse rahvusvahelist standardit ISO/IEC 27001 INFOTEHNOLOOGIA Turbemeetodid Infoturbe halduse süsteemid. Nõuded ning Center of Information Security infoturbe raamistikku (CIS Controls, www.cisecurity.org), et kaitsta andme terviklikkust, käideldavust ja salatatust.
4.2.2. Kõik asutuse töötajad on kohustatud hoidma oma töökohustuste ja/või asutusega suhtluse käigus täitmisel teatavaks saanud isikuandmeid konfidentsiaalsena.
4.2.3. Kõik asutuse töötajad on kohustatud osalema tööandja poolt väljapakutud väljaõppel isikuandmete kaitse alal.
4.3. Isikuandmete säilitustähtajad.
4.3.1. Kõigile asutuse valduses olevatele isikuandmetele määratakse säilitustähtajad, mis kirjeldatakse asjaajamise korras või isikuandmete töötlemise ülevaates.
4.3.2. Säilitustähtajad määratakse õigusaktide alusel, selliste puudumisel lähtuvalt töötlemise eesmärgist.
4.4.Isikuandmete kaitse tegevuste planeerimine ja kujundamine.
4.4.1. Juhtkond koos andmekaitse eest vastutajaga hindab uue tegevuse juures andmetöötlusega seotud ohte ning aitab rakendada meetmeid, et tagada andmetöötluse vastavus õigusaktidele.
4.4.2. Juhtkond koos andmekaitse eest vastutajaga hindab mõjuhinnangu koostamise vajadust ning vajadusel koostab selle.
4.5.Isikuandmete töötlemise ülevaade.
4.5.1. Juhtkond koostab isikuandmete töötlemise ülevaate.
4.5.2. Juhul kui toimub ükskõik milline muudatus isikuandmete töötlemisel (näiteks hakatakse töötlema uusi või uute isikute isikuandmeid, kaasatakse uus volitatud töötlejad), viiakse muudatus viivitamatult sisse isikuandmete töötlemise ülevaatesse.
4.6.Rikkumised isikuandmete töötlemisel.
4.6.1. Kõik isikuandmete töötlemisega seotud rikkumised asutuses dokumenteeritakse.
4.6.2. Isikuandmete töötlemisega seotud rikkumised dokumenteerib andmekaitse eest vastutav isik. Töötajad on kohustatud isikuandmete töötlemisega seotud rikkumise info edastama viivitamatult andmekaitse eest vastutavale isikule.
4.6.3. Isikuandmetega seotud rikkumisest järelevalveasutuse ja andmesubjekti teatamise kohustus sõltub sellest, mis on oht andmesubjekti õigustele ja vabadustele. Ohu suurus hinnatakse igakordse juhtumi korral. Teavitamise vajaduse üle otsustab juhtkond koos andmekaitse eest vastutajaga.
4.6.4. Kui rikkumine põhjustab või tõenäoliselt põhjustab andmesubjektide õigustele ja vabadustele suurt ohtu, esitab andmekaitse eest vastutaja AKI-le rikkumisteate[1] ning teavitab sellest ka andmesubjekti.
4.6.5. Kui asutus on isikuandmete volitatud töötleja, tuleb rikkumisest teatada vastutavale töötlejale.
4.7. Eriliigiliste isikuandmete töötlemine.
4.7.1. Eriliigilisi isikuandmeid töödeldakse ainult seadusandluses ettenähtud juhtudel.
4.7.2. Eriliigilisi isikuandmeid edastatakse vaid krüpteeritult.
4.7.3. Asutuse töötajaid ja õpetajaid, kelle töökohustuste tõttu puutuvad nad kokku eriliigiliste andmetega, võimaldatakse täiendav koolitus.
4.8.Nõusoleku kasutamine isikuandmete töötlemise alusena.
4.8.1. Nõusolek isikuandmete töötlemiseks võetakse andmesubjektilt ainult siis, kui isikuandmeid plaanitakse töödelda tegevuste käigus, mida ei näe ette asutuse avaliku teenuse jaoks kehtestatud seadusandlus või ei toimu lepingu alusel või muudel seadusandluses võimaldatud juhtudel (nt isikuandmete avalikustamine asutuse veebides ja sotsiaalmeediakanalites või teavitustegevuste käigus).
4.8.2. Nõusolek küsitakse reeglina asutuse tavapäraste tegevuste jaoks , mis on kirjeldatud punktis 4.7.1 ennetavalt kogu andmesubjekti ja asutuse eeldatava suhte ajaks (nt õpilase kogu õppeaja kohta).
4.8.3. Andmesubjektil on õigus igal ajal oma nõusolek tagasi võtta.
4.9.Isikuandmete edastamine (sh kolmandatesse riikidesse).
4.9.1. Asutus edastab isikuandmeid vaid neile volitatud töötlejatele, kes suudavad tagada isikuandmete kaitse üldmääruse nõuete täitmiseks piisava andmekaitse taseme.
4.9.2. Asutus sõlmib volitatud töötlejaga isikuandmete töötlemise lepingu, milles sätestatakse kõik isikuandmete kaitse üldmäärusest tulenevad töötlemise tingimused, sh õigus volitatud töötlejat auditeerida, sanktsioonid rikkumiste korral ning minimaalsed turvameetmed.
4.10. Isikuandmete töötlemine avalikus kohas.
4.10.1. Kui seadus ei sätesta teisiti, asendab andmesubjekti nõusolekut avalikus kohas avalikustamise eesmärgil toimuva heli- või pildimaterjali jäädvustamise puhul tema teavitamine jäädvustamisest sellises vormis, mis võimaldab tal heli- või pildimaterjali jäädvustamise faktist aru saada ja enda jäädvustamist soovi korral vältida. Teavitamiskohustus ei kehti avalike ürituste puhul, mille avalikustamise eesmärgil jäädvustamist võib mõistlikult eeldada[2].
5.1.Asutus teavitav andmesubjekti isikuandmete töötlemisest ja töötlemise tingimustest.
5.2.Asutus teavitab andmesubjekte isikuandmete töötlemisest oma veebilehel avaldatud üldistes andmekaitsetingimustes.
5.3.Andmesubjektil on õigus tutvuda isikuandmetega, mida asutus on tema kohta kogunud. Samuti on tal õigus nõuda nende andmete parandamist või ebatäpsete andmete kustutamist ja töötlemise piiramist.
5.4.Andmesubjekt saab esitada punktis 5.3 nimetatud õiguste rakendamiseks asutusele taotluse. Seejuures peab andmete taotleja oma isikusamasust või andmete taotlemise õigust tõendama.
5.5.Taotlus rahuldatakse või sellele esitatakse põhjendatud keeldumine esimesel võimalusel, kuid mitte hiljem kui ühe kuu jooksul. Kui avaldust on vaja täpsustada või kui isikuandmete töötlus on aeganõudev, võib asutus avalduse rahuldamise tähtaega pikendada kuni kahe kuu võrra informeerides sellest taotlejat.
5.6.Kui andmesubjekt leiab, et asutus on isikuandmete töötlemisel rikkunud tema õigusi, on tal õigus pöörduda Andmekaitse Inspektsiooni või kohtu poole.
6.1.Isikuandmete töötlemisele kehtestatud nõuete täitmise üle teostab asutusesisest seiret ja järelevalvet andmekaitse eest vastutaja juhtkond.
05.06.2019 10:15