Sisukord
Riik võib isikuandmeid töödelda vaid seadusega ette nähtud piirides. Isikuandmete töötlemine võib olla mõnes õigusaktis otse reguleeritud või tuletatud sellise akti täitmise vajadusest. Seadus peab lisaks töötlemiseks volituse andmisele reguleerima ka, milliseid andmeid töödeldakse, kaua neid võib säilitada ning milliseid kaitsemeetmeid tuleb kasutada.
Kas inimesel on õigus teada, milliseid isikuandmeid riik on tema kohta kogunud?
Inimesele on õigus nõuda riigilt teavet selle kohta, mis andmeid ja milleks tema kohta kogutakse ja kasutatakse ning õigusvastase isikuandmete kogumise, kasutamise ja avaldamise lõpetamist.
Selline õigus on nii isikuandmete kaitse üldmääruse (GDPR) alusel kui ka eriseadustes, nt tervishoiuteenuste korraldamise seaduse kohaselt peab patsiendil olema juurdepääs oma isikuandmetele tervise infosüsteemis. Eestis on enamus isikuandmeid digitaalsed ning inimene tutvuda ametiasutuste kogutud isikuandmetega läbi Eesti.ee veebiportaali.
Kuidas nõuet esitada?
Kui Eesti.ee portaali kaudu ei saa inimene juurdepääsu tema isikuandmetele ning puuduvad ka eriseadused, siis saab inimene nõude esitada vabas vormis taotlusena ametiasutusele. Taotluse võiks digiallkirjastada, et ametiasutus saaks veenduda nõude esitaja isikusamasuses.
Seejärel võite oodata vastust mitte hiljem kui ühe kuu jooksul – vastamise aega võib pikendada kahe kuu võrra vaid siis kui taotlus on väga keerukas ja mahukas. Kuid ka vastamise aja pikendamisest tuleb kuu jooksul teada anda. Isikuandmete töötlemise õiguste osas nõuete esitamine on üldiselt tasuta.
Kui pöördumine on aga selgelt põhjendamatu või korduv, siis võib riik küsida mõistlikku tasu või keelduda meetmete võtmisest, kuid seda alati konkreetselt põhjendades. Vastutav töötleja võib esitada teabe hiljem, piirata selle esitamist või keelduda selle väljastamisest, kui see võib:
1) takistada või kahjustada süüteo tõkestamist, avastamist või menetlemist või karistuse täideviimist;
2) kahjustada teise isiku õigusi ja vabadusi;
3) ohustada riigi julgeolekut;
4) ohustada avaliku korra kaitset;
5) takistada ametlikku uurimist või menetlust.
Kas ametiasutusi saab karistada isikuandmete rikkumise eest?
Isikuandmete kaitse määruse alusel on mõned riigiasutused juba saanud karistada isikuandmete töötlemise rikkumise tõttu. Näiteks trahviti Norra linna omavalitsust 170 000 euro suuruse trahviga, kuna omavalitsuse kooli töötajate ja õpilaste isikuandmed ei olnud piisavalt turvatud ning neile oli ebaseaduslik ligipääs.
Maltal trahviti Maa-ametit 5000 euroga, kuna ebapiisava turvalisuse taseme tõttu oli saanud kõigile kättesaadavaks üle 10 GB tundlikke isikuandmeid. Väiksema trahvi summas 3200 eurot sai Ungari Kecskemét linnapea büroo, kuna nad olid ebaseaduslikult avaldanud isiku andmed, kes oli oma tööandja peale kaevanud ning seepeale töölt lahti lastud.
