Vaata fondia.com
Sisu puudutab Eesti seadusandlust.
 

Isikuandmetega seotud rikkumine

Isikuandmetega seotud rikkumiseks loetakse turvanõuete rikkumist, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.

Isikuandmetega seotud rikkumise korral peab vastutav töötleja teavitama isikuandmetega seotud rikkumisest pädevat järelevalveasutusst põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui järelevalveasutust teavitatakse hiljem kui 72 tunni jooksul, tuleb esitada selle kohta põhjendus.

Vastav teavitus peab sisaldama vähemalt järgmist:

  1. kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv;

  2. teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

  3. kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

  4. kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

Eesti Andmekaitse Inspektsioon on loonud eraldi vormi isikuandmetega seotud rikkumisest teavitamiseks. Rikkumisteate vorm ning õpetus, kuidas isikuandmetega seotud rikkumisest Andmekaitse Inspektsiooni teavitada on leitav siit.

Kui teavet ei ole võimalik esitada teatise esitamisega samal ajal, võib selle esitada järk-järgult ilma põhjendamatu viivituseta.

Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumise asjaolud, selle mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldama järelevalveasutusel kontrollida kirjeldatud nõuete täitmist.

Vajalikuks võib osutuda ka andmesubjekti teavitamine. Nimelt, vastutav töötleja teavitab põhjendamatu viivitusesta andmesubjekti, kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.

Andmesubjekti ei ole vaja teavitada, kui:

  1.  vastutav töötleja on kehtestanud asjakohased tehnilised ja korralduslikud kaitsemeetmed ja neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);

  2. vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline, või

  3. see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul tehakse avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.

Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib järelevalveasutus pärast selle hindamist, kas isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu, seda vastutavalt töötlejalt nõuda või otsustada, kas esineb alus andmesubjekti mitteteavitamiseks.