GDPR: isikuandmete kaitse üldmäärus

Alates 25. maist 2018 tuleb isikuandmete töötlemisel juhinduda Euroopa Liidu isikuandmete kaitse üldmäärusest 2016/679, , mida tähistatakse lühendiga GDPR (General Data Protection Regulation). Kuna õppeasutused töötlevad suures mahus isikuandmeid, sh alaealiste isikuandmeid, siis puudutab uus üldmäärus ka kõiki Eesti koole ja lasteaedu.

25. maiks 2018 peavad õppeasutused olema veendunud, et nad järgivad isikuandmeid töödeldes üldmäärust ja peavad olema vajadusel valmis seda ka tõendama.

Haridus- ja Teadusministeeriumi tellimusel ning Hariduse Infotehnoloogia Sihtasutuse koordineerimisel on valminud ülevaatlik juhendmaterjal, mis aitab selgitada, mida üldmäärus koolide ja lasteaedade jaoks kaasa toob ja kuidas tagada nõuetele vastavust.

Juhendmaterjali väljatöötamises osalesid FocusIT OÜ partnerid Doris Matteus, Jaan Oruaas, Janek Part ja Anu Tanila, HITSA juristid Raili Sassian ja Katri Samarütel ning Grant Thornton Baltic OÜ riskijuhtimisteenuste valdkonna juht Siiri Antsmäe ja õigusnõustaja Allan Kubu.


Vaata ka veebiseminari, kus juhendmaterjali koostajad Doris Matteus (FocusIT OÜ) ja Maili Torma (Grant Thornton Baltic OÜ) selgitavad, mida koolid ja lasteaiad uuest üldmäärusest teadma peaks:




Uue üldmäärusega jäävad isikuandmete töötlemise üldised põhimõtted samaks, kuid on ka mõningaid muudatusi. 

Suuremad muudatused on järgnevad:

  • iga asutus peab kirjeldama ja dokumenteerima, milliseid isikuandmeid, millisel eesmärgil ja millisel õiguslikul alusel ta töötleb;
  • kuivõrd koolid töötlevad isikuandmeid, sealhulgas alaealiste isikuandmeid, süsteemselt ja suures ulatuses, siis peab asutuses olema määratud andmekaitsespetsialist;
  • reguleeritud andmesubjekti õigustest tulenevalt peab olema valmis andma teavet, milliseid isikuandmeid töödeldakse ning millisel eesmärgil;
  • viima läbi andmekaitsealase mõjuhinnangu, et selgitada välja, kas rakendatavad organisatsioonilised, füüsilised ja infotehnoloogilised turvameetmed on piisavad, et tagada nõutud tasemel isikuandmete kaitse;
  • registreerima andmekaitsealased rikkumised, teatama neist andmekaitsespetsialistile ning teavitama Andmekaitse Inspektsiooni rikkumistest, mis põhjustavad tõenäoliselt suurt ohtu isikute õigustele ja privaatsusele.

AKI seisukoht õpilaste ja vilistlaste nimekirjade avalikustamise kohta.

Üldmääruse rakendamisel soovitame täiendavalt tutvuda juhendmaterjalidega Andmekaitse Inspektsiooni veebilehel ning samuti saab tekkivate küsimustega pöörduda Andmekaitse Inspektsiooni poole infotelefonil või e-posti teel. HITSA ei paku isikuandmete kaitse alast nõustamist.