Vaata fondia.com
Sisu puudutab Eesti seadusandlust.
 

Andmekaitsealane mõjuhinnang

Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele.

Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitsespetsialistilt, kui see on määratud.

Andmekaitsealane mõjuhinnang tuleb teha, kui toimub:

  1. füüsiliste isikute isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

  2. andmete eriliikide või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

  3. avalike alade ulatuslik süstemaatiline jälgimine.

Millal on aga andmetöötlus süstemaatiline  ja ulatuslik?

Andmekaitse Inspektsioon on oma Isikuandmete töötleja üldjuhendis  märkinud, et andmetöötlus on süstemaatiline kui see on planeeritud ja metoodiline. Ulatuslikuks andmetöötluseks võib Andmekaitse Inspektsiooni arvamuse kohaselt lugeda andmetöötlust, kui see hõlmab 5000 ja enama inimese kohta käivaid eriliiki või süüteoandmeid, 10000 ja enama inimese kohta suurt ohtu põhjustavaid andmeid (nt oht varale või sõnumisaladuse rikkumisele jms) ning 50000 ja enama inimese kohta ülejäänud isikuandmete puhul.

Andmekaitsealane mõjuhinnang peab sisaldama:

  1. kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatilist kirjeldust;

  2. isikuandmete töötlemise toimingute vajalikkust ja proportsionaalsuse hindamist eesmärkide suhtes;

  3. andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnangut, ning

  4. ohtude käsitlemiseks kavandatud meetmeid, sealhulgas tagatisi, turvameetmeid ja mehhanisme isikuandmete kaitse tagamiseks ja üldmääruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

Üldmääruses sätestatud andmekaitsealane mõjuhinnang tuleb teha nende andmetöötlustoimingute osas, millega andmetöötleja alustas pärast üldmääruse kohaldama hakkamisest, so 25. maist 2018.a.