Andmekaitsesuunised – 11. küsimus

Pöörduge tagasi andmekaitsesuuniste avalehele

Andmekaitsesuunised – 11. küsimus

Mida teha isikuandmetega seotud rikkumise korral?  

Kohaldatakse 2. stsenaariumi puhul, välja arvatud komisjoni failivahetusteenuse kasutamise puhul

Isikuandmetega seotud rikkumine – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või võimaldab neile juurdepääsu.

Isikuandmetega seotud rikkumisest teatamine

Isikuandmetega seotud rikkumise korral peab korraldajate rühma esindaja pärast sellest teada saamist teavitama põhjendamatu viivituseta ja põhimõtteliselt hiljemalt 72 tunni jooksul pädevat andmekaitseasutust, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele.

Teade peab sisaldama vähemalt järgmist:

• andmetega seotud rikkumise kirjeldus, sealhulgas mõjutatud allakirjutanute arv ja andmete liigid;
• andmekaitseametniku (või muu asjakohase kontaktpunkti) nimi ja kontaktandmed;
• andmetega seotud rikkumise tõenäolised tagajärjed, arvestades teemat ning
• meetmed, mida vastutav töötleja on võtnud rikkumise heastamiseks või leevendamiseks.

Kui teavet ei ole võimalik korraga esitada, võib selle esitada osade kaupa, kuid viivitusteta.

Esindaja peab dokumenteerima ka faktid, nende mõju ja juba võetud parandusmeetmed (või need, mis tuleb kiiresti võtta, nähes ühtlasi ette asjaomase kava).

Ohud õigustele ja vabadustele

Kui rikkumisega kaasneb tõenäoliselt suur oht allakirjutanute õigustele ja vabadustele, tuleb neid sellest teavitada, välja arvatud juhul, kui:

• võetud meetmed (nt krüpteerimine, tingimusel et krüptovõtme kaitstust ei ole rikutud) on muutnud andmed loetamatuks või tagavad, et ohud tõenäoliselt enam ei realiseeru, või
• allakirjutanute individuaalne teavitamine nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul võidakse allakirjutanuid rikkumisest teavitada avaliku teadaande kaudu.

MÄRKUS. 

Kui andmeid töödeldakse koostöös komisjoniga ühisvastutuse alusel ja andmetega seotud rikkumine ei ole seotud korraldajate rühma liikmete käitumisega, täidab eespool nimetatud kohustusi komisjon. Korraldajate rühm peaks isikuandmetega seotud rikkumiste lahendamisel komisjoni vajaduse korral ja võimaluste piires abistama.

Viited:

• Isikuandmete kaitse üldmääruse artiklid 33 ja 34
• Komisjoni korduma kippuvad küsimused andmekaitse kohta – Mis on isikuandmetega seotud rikkumised ja mida tuleks sellise rikkumise korral teha?