Turbe õigusaspektid. Isikuandmete kaitse Andmeturve ja krüptoloogia, 5. kontaktsessioon Valdo Praust 11. november 2016

Peamised seadused, mis reguleerivad andmeturvet Isikuandmete kaitse seadus – reguleerib isikuandmetega ümberkäimise korda Avaliku teabe seadus – reguleerib avaliku sektori andmekogude olukorda, selle alusel on kehtestatud mh ka ISKE ja turvaline andmevahetuskeskkond X-tee). Kunagi täitis sama rolli andmekogude seadus E-identimise ja e-tehingute usaldusteenuste seadus – reguleerib kõike seda, mis teeb digisignatuurist õiguslikus mõttes digiallkirja, põhineb vastaval eurodirektiivil. Kuni 2016 täitis sama rolli digitaalallkirja seadus 2

Avaliku teabe seadus Avaliku teabe seaduse põhieesmärk on on tagada üldiseks kasutamiseks mõeldud teabele avalikkuse ja igaühe juurdepääsu võimalus, lähtudes demokraatliku ja sotsiaalse õigusriigi ning avatud ühiskonna põhimõtetest, ning luua võimalused avalikkuse kontrolliks avalike ülesannete täitmise üle. Täiendavalt reguleerib ta avaliku sektori (riik + omavalitsused) andmekogude asutamise ja haldamise alused ning järelevalve andmekogude haldamise üle Varem tegeles avaliku sektori andmekogudega andmekogude seadus, nüüd seda enam ei ole 3

Andmekogu Andmekogu (ehk register) on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks Andmekogu on lihtsustatult võttes andmebaas, millele on lisatud halduslikud ja õiguslikud komponendid 4

Vastutav ja volitatud töötleja, I Andmekogu vastutav töötleja (haldaja) on riigi- või kohaliku omavalitsuse asutus, kes korraldab andmekogu kasutusele võtmist, andmekogu pidamist ja andmete töötlemist. Andmekogu vastutav töötleja vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest Andmekogu vastutav töötleja võib volitada andmete töötlemise ja andmekogu majutamise teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava töötleja poolt ettenähtud ulatuses. Selline subjekt on volitatud töötleja 5

Vastutav ja volitatud töötleja, II Vastutavaks töötlejaks on andmekogude seaduse põhjal andmekogu omanik. Riigi või kohaliku omavalitsuse andmekogu vastutava töötleja õiguste teostaja määratakse seaduses või seaduse alusel Volitatud töötleja on isik, kes peab andmekogu või töötleb andmeid andmekogu vastutava töötleja tellimusel Volitatud töötleja on seega andmekogu tehniline pidaja 6

Riigi infosüsteem Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid Andmekogude pidamiseks kehtestab Vabariigi Valitsus määrusega järgmised kindlustavad süsteemid: klassifikaatorite süsteem geodeetiline süsteem aadressiandmete süsteem infosüsteemide turvameetmete süsteem (nn ISKE koos määrusega) infosüsteemide andmevahetuskiht (nn X-tee) riigi infosüsteemi haldussüsteem 7

X-tee projekt: olemus Infosüsteemide andmevahetuskiht (edaspidi X-tee) on asutuste ja isikute vahelist turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust ning riigi infosüsteemile turvalist juurdepääsu võimaldav tehniline infrastruktuur ja organisatsiooniline keskkond Tehniliselt koosneb X-tee kesksüsteemist ja põhineb andmete edastamisel kokkulepitud protokolli põhjal üle turvalise TLS-protokolli. X-tee liideseks liidestuva infosüsteemi juures on turvaserver, mis peab ühendust teiste turvaserveritega 8

Milleks isikuandmete töötlemisele piirangud? Et kaitsta inimese eraelu puutumatust: kaasaja digitaalne ja Internetiga ühendatud maailm võimaldab erinevais paigus olevatest andmetest ülikiirest otsimist ning tulemuste võrdlemist ning analüüsi – süüdi on digitaalteabe head omadused. Kui ei saa kaitsta tehniliste vahenditega, tuleb kaitsta seaduse jõuga Paberkandjal andmete maailmas ei olnud see teema aktuaalne, kuna puudusid efektiivsed teabe korrastamise, edastamise ja süstematiseerimise vahendid 9

Straßburgi (Strasbourg’i) konventsioon isikuandmete kaitse alusena 28. jaanuar 1981, ETS 108 Konventsiooni peamiseks eesmärgiks on tagada igale isikule, olenemata kodakondsusest või alalisest elukohast, tema põhiõiguste ja vabaduste austamine. Eriti on rõhutatud isikuandmete automatiseeritud töötlemisel isiku privaatsuse tagamist On Riigikogu poolt ratifitseeritud (RT II, 2001, 1, 3) Sellest konventsioonil algas isikuandmete kaitse tava Euroopas 10

Eurodirektiivid 95/46/EU ja 2016/679 Täielik nimetus: ”Euroopa Parlamendi ja Nõukogu direktiiv 95/46/EU üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta” On vastu võetud Euroopa Parlamendi ja Euroopa Liidu Nõuogu poolt 24. oktoobril 1995 Sätestab isikuandmete kaitse head tavad Euroopas, mis on üle võetud sh Eesti isikuandmete kaitse seaduses 2016. aasta kevadel asendas vana direktiivi uus isikuandmete kaitse üldmäärus 2016/679, mis jõustub Eestis 2018. aasta mais. Hetkel on selle kohane Eesti rahvuslik taristu koostamisel 11

Isikuandmete kaitse seadus Isikuandmete kaitse seaduse eesmärk on kaitsta isikuandmete töötlemisel füüsilise isiku põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele Seadus seab isikuandmete töötlemisele terve hulga piiranguid, tingimusi ja kohustusi Seaduse algne versioon pärines 1996. aastast Hetkel (alates janauarist 2008) kehtib seaduse kolmas variant: teine variant seadusest kehtis ajavahemikul 2003-07 Seaduse kolme versiooni paragrahvid ja nende numeratsioon omavahel ei kattu 12

Isikuandmete kaitse seaduse kohaldamisala Kohaldub igasugusele isikuandmete töötlemisele, v.a. juhtudel, kus:   isikuandmeid töötleb füüsiline isik isiklikul otstarbel isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma et neid andmeid Eestis muul viisil töödeldaks Kriminaalmenetluses ja kohtumenetluses rakendatakse seda seadust menetlusseadustikes sätestatud erisustega

Isikuandmete mõiste Isikuandmed – mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on Isikuandmeteks loetakse kõik inimesega seostatud või seostatavad andmed, kui isik on üheselt määratud või kaudselt määratav Kaudsel identifitseerimisel on levinud nn “viie printsiip”, st andmeid loetakse isikuandmeteks, kui andmekomplektile vastab vähem kui viis erinevat isikut 14

Isikuandmete töötlemine   Isikuandmete töötlemine on iga isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine isikuandmetele, päringute teostamine ja väljavõtete tegemine, isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest NB! Töötlemine ei ole ainult muutmine, vaid kõik, mis toimub isikuandmetega tema elutsükli erinevate faadide vältel – loomine, salvestamine, muutmine, edastamine, kasutamine, hävitamine

Isikuandmete liigitus   Isikuandmete seadus jagab isikuandmed kahte kategooriasse, millede käitlustingimused on erinevad: delikaatsed isikuandmed ülejäänud (nn tavalised) isikuandmed Vahepeal olid defineeritud eraldi ka eraelulised isikuandmed, praegu ei ole

Delikaatsed isikuandmed, I  Delikaatsete isikuandmete alla kuuluvad: Poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta Etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed Andmed terviseseisundi või puude kohta Andmed pärilikkuse informatsiooni kohta

Delikaatsed isikuandmed, II  Delikaatsete isikuandmete alla kuuluvad: Biomeetrilised andmed - eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed Andmed seksuaalelu kohta Andmed ametiühingu liikmelisuse kohta Andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist

Isikuandmete töötlemise põhimõtted, I Seaduslikkuse põhimõte – isikuandmeid võib koguda ausal ja seaduslikul teel Eesmärgikohasuse põhimõte – isikuandmeid võib koguda üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning isikuandmeid ei või töödelda viisil, mis ei ole andmetöötluse eesmärkide saavutamisega kooskõlas Minimaalsuse põhimõte – isikuandmeid võib koguda vaid ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks  

Isikuandmete töötlemise põhimõtted, II Kasutuse piiramise põhimõte – isikuandmeid võib muudel eesmärkidel kasutada üksnes andmesubjekti nõusolekul või selleka pädeva organi loal Andmete kvaliteedi põhimõte – isikuandmed peavad olema ajakohased, täielikud ning vajalikud antud andmetöötluse eesmärgi saavutamiseks

Isikuandmete töötlemise põhimõtted, III Turvalisuse põhimõte – isikuandmete kaitseks tuleb rakendada turvameetmeid, et kaitsta neid tahtmatu või volitamata muutmise, avalikuks tuleku või hävimise eest Individuaalse osaluse põhimõte – andmesubjekti tuleb teavitada tema kohta kogutavatest andmetest, talle tuleb anda juurdepääs tema kohta käivatele andmetele ja tal on õigus nõuda ebatäpsete või eksitavate andmete parandamist

Isikuandmete töötleja(d) Isikuandmete töötleja (vastutav töötleja) on füüsiline või juriidiline isik, välismaa äriühingu filiaal või riigi- või kohaliku omavalitsuse asutus, kes töötleb või kelle ülesandel töödeldakse isikuandmeid Töötleja määrab kindlaks isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseisu, isikuandmete töötlemise korra ning viisi ja isikuandmete kolmandatele isikutele edastamise lubamise (Vastutav) töötleja võib haldusakti või lepinguga volitada isikuandmeid töötlema teist isikut või asutust (volitatud töötleja), kui seadusest või määrusest ei tulene teisiti 22

Erinevad subjektid sikuandmete töötlemisel Isikuandmete töötleja ehk vastutav töötleja on see, töötleb või kelle ülesandel töödeldakse isikuandmeid Isikuandmete volitatud töötleja on isik, kellele vastutav töötleja on edasi volitanud andmete (tehnilise) töötlemise Andmesubjekt on isik, kelle andmeid töödeldakse Kõik ülejäänud isikud on töötlemise suhtes kolmandad isikud

Isikuandmete töötlemise lubatavus tulenevalt seadusest Üldreegel: isikuandmete töötlemine on lubatud ainult isiku nõusolekul   Haldusorgan võib isikuandmeid töödelda üksnes avaliku ülesande täitmise käigus seaduse, välislepingu või Euroopa Liidu Nõukogu või Euroopa Komisjoni otsekohalduva õigusaktiga ettenähtud kohustuse täitmiseks  Nõusolek peab olema kirjalikku taasesitamist võimaldavas vormis, välja arvatud juhul, kui vorminõude järgmine ei ole andmetöötluse erilise viisi tõttu võimalik

Isikuandmete töötlemine teadusuuringu või riikliku statistika tarbeks, I   Andmesubjekti nõusolekuta võib teadusuuringu või riikliku statistika vajadusteks töödelda andmesubjekti kohta käivaid andmeid üksnes kodeeritud kujul Enne isikuandmete üleandmist teadusuuringu või riikliku statistika vajadustel töötlemiseks asendatakse isiku tuvastamist võimaldavad andmed koodiga Tagasikodeerimine ja selle võimalus on lubatud ainult täiendavate teadusuuringute või riikliku statistika vajadusteks Isikuandmete töötleja määrab nimeliselt isiku, kellel on ligipääs tagasikodeerimist võimaldavatele andmetele

Delikaatsete isikuandmete töötlemise registreerimine Kui isikuandmete töötleja ei ole määranud kindlaks isikuandmete kaitse eest vastutavat isikut, on isikuandmete töötleja kohustatud registreerima delikaatsete isikuandmete töötlemise Andmekaitse Inspektsioonis   Registreerimistaotlus tuleb esitada vähemalt üks kuu enne delikaatsete isikuandmete töötlemise algust. Selle oluline lisa on andmete töötlemisel kasutatavate turvameetmete kirjeldus Kui asutuses on määratud isikuandmete kaitse eest vastutav isik, siis töötlemist registreerima ei pea!

Andmesubjekti õigused, I Andmesubjektil on õigus saada teavet ja tema kohta käivaid isikuandmeid isikuandmete töötlemisel   Õigus on teada: milliseid isikuandmeid on kogutud isikuandmete töötlemise eesmärke isikuandmete koosseisu ja allikaid kellele isikuandmete edastamine on lubatud kolmandaid isikuid, kellele tema isikuandmeid on edastatud isikuandmete töötleja või tema esindaja kontaktandmeid

Andmesubjekti õigused, II Andmesubjektil on õigus saada enda kohta käivaid isikuandmeid üks kord aastas tasuta. Paberkandjal koopiate eest on õigus nõuda tasu alates 21. leheküljest kuni 19 senti (kui pole ette nähtud riigilõivu) Andmesubjekti õigust saada teavet ja enda kohta käivaid isikuandmeid piiratakse, kui see võib kahjustada: teiste isikute õigusi ja vabadusi lapse põlvnemise saladuse kaitset kuriteo tõkestamist või kurjategija tabamist kriminaalmenetluses tõe väljaselgitamist Andmesubjekti tuleb tema õigusi piiravat otsusest viitega alusele teavitada

Turvanõuded töötluskeskkonnale   Isikuandmete töötleja on kohustatud kasutusele võtma organisatsioonilised, füüsilised ja infotehnilised turvameetmed isikuandmete kaitseks: andmete tervikluse osas – juhusliku või tahtliku volitamata muutmise eest andmete käideldavuse osas – juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest andmete konfidentsiaalsuse osas – volitamata töötlemise eest.

Olulisemad tehnilised nõuded Isikuandmete kaitse seadus nõuab, et isikuandmete töötleja:   peab kaitsma andmeid juhusliku või tahtliku volitamatu muutmise eest peab kaitsma andmeid juhusliku hävimise ja tahtliku hävitamise eest peab kaitsma andmeid konfidentsiaalsuse osas volitamata töötlemise eest peab võimaldama kindlaks teha, millal, kellele ja milliseid isikuandmeid edastati On oma olemuselt käideldavuse, tervikluse ja konfidentsiaalsuse nõuded,v.a. juurdepääsuandmete säilitamise nõue, mis on lisaks

Isikuandmed vs ISKE: konfidentsiaalsus Isikuandmete kaitse seaduse §§ 10-18 (ptk 2) määravad kindlalt ära isikute ringi, kes võivad isikuandmeid töödelda. Ülejäänud neid töödelda ei tohi Võrreldes seda ISKE konfidentsiaalsusosaklassi definitsioonidega tuleneb, et delikaatsete isikuandmete konfidentsiaalsusosaklass peab olema S2. Tavalistel isikuandmetel loetakse baastasemeks üldiselt S1. Äripoole erilised nõuded võivad seda ainult tõsta, mitte langetada 31

Isikuandmed vs ISKE : terviklus Isikuandmete kaitse seaduse § 6 p 5 kohaselt peavad isikuandmed olema “... ajakohased, täielikud ning vajalikud seatud andmetöötluse eesmärgi saavutamiseks” Sama seaduse § 25 lg 2 p 3 kohaselt tuleb tagada, et “... tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja millistele isikuandmetele andmetöötlussüsteemis juurdepääs saadi...” Siit saab sisu osas järeldada (võrrelduna ISKE turvaosaklasside definitsioonidega), et vajalik on vähemalt terviklusosaklass T2 32

Mis muutub mais 2018 uue isikuandmete kaitse üldmäärusega?, I Kaob ära delikaatsete isikuandmete mõiste, selle asemel räägitakse detailselt isikuandmete eriliikidest erinevat liiki andmetest (nt terviseandmetest) Senisest täpsemalt kirjeldatakse krüpteerimise ja pseudonümiseerimise protsessi Oluliselt on täpsustatud andmesubjekti õigusi (sh saada teavet tema kohta hoitavatest andmetest) Oluliselt on detailsemaks tehtud piirangute osa, mil isikuandmete töötlemist ei piirata (riigi- ja avalik julgeolek, riigikaitse jpt)

Mis muutub mais 2018 uue isikuandmete kaitse üldmäärusega?, II Tekib andmekaitsealase mõjuhinnangu kohustus teatud juhtudel (kui võimalik mõju isiku põhivabaduste rikkumisele on suur) Avalikus sektoris muutub andmekaitseametniku roll kohustuslikuks (senini on vabatahtlik, alternatiiv registreerimisele) Tekib andmekaitsealane sertifitseerimine ja vastavad asutused, see hakkab asendama täna Eestis kehtivat registreerimist järelevalveasutuses Täpsustatud on isikuandmete edastamise korda ja piiranguid kolmandatesse riikidesse