Teksti suurus:

• Väike
• Keskmine
• Suur

Broneeringuinfo andmekogu põhimäärus

Vastu võetud 08.02.2019 nr 6
RT I, 12.02.2019, 8
jõustumine 15.02.2019

Muudetud järgmiste aktidega (näita)

Määrus kehtestatakse politsei ja piirivalve seaduse § 25² lõike 2 alusel.

1. peatükk Üldsätted 

§ 1.  Broneeringuinfo andmekogu asutamine

  (1) Määrusega asutatakse andmekogu ametliku nimega broneeringuinfo andmekogu (edaspidi andmekogu) ja kinnitatakse andmekogu pidamise põhimäärus.

  (2) Andmekogu ametlik lühend on BRIIS.

§ 2.  Andmekogu vastutav ja volitatud töötleja

  (1) Andmekogu vastutav töötleja on Politsei- ja Piirivalveamet.

  (2) Andmekogu volitatud töötleja on Siseministeeriumi infotehnoloogia- ja arenduskeskus.

§ 3.  Andmekogu pidamine ja ülesehitus

  (1) Andmekogu peetakse digitaalse andmekoguna. Andmeid töödeldakse automatiseeritult.

  (2) Andmekogu turbeaste on M (keskmine) ja turvaklass K2T1S2.

  (3) Andmekogu on liidestatud infosüsteemide andmevahetuskihiga X-tee (edaspidi X-tee).

§ 4.  Andmekogusse kantavad andmed

  (1) Andmekogusse kantakse järgmised andmed:
  1) lennureisija broneeringuinfo andmed;
  2) broneeringuinfo andmete analüüsimisel saadud andmed.

  (2) Lennureisija broneeringuinfo andmed on:
  1) ees- ja perekonnanimi või -nimed;
  2) sünniaeg ja -koht;
  3) kodakondsus või kodakondsused;
  4) sugu;
  5) elukoha aadress, telefoninumber ja e-posti aadress;
  6) reisidokumendi liik ja number, dokumendi väljastanud riigi nimi, dokumendi kehtivuse lõppkuupäev;
  7) broneeringu number, kuupäev või pileti väljastamise kuupäev;
  8) kavandatava reisi kuupäev või kuupäevad;
  9) broneeritud reisi täielik marsruut;
  10) püsikliendi staatuse teave;
  11) reisiettevõtja ja reisiagendi andmed;
  12) reisija staatus, sealhulgas kinnitused ja lennule registreerimine, teave kinnitamata kohaga reisimise või lennule ilmumata jäämise kohta ning teave selle kohta, kas reisijaga on kaasas istekohata alaealine;
  13) järgmise reisi broneeringuinfo;
  14) pileti, kaasa arvatud ühesuunapilet, andmed, sealhulgas pileti number ja väljastamise kuupäev, ning pileti hinnastamise andmed;
  15) istekoha number ja muu teave selle kohta;
  16) pagasiandmed;
  17) broneeringus märgitud kaasreisijate arv ja nimed;
  18) teave makseviiside kohta, sealhulgas arve saatmise aadress ja krediitkaardiandmed;
  19) selle lennu andmed, millega seoses broneeringuinfo edastati, sealhulgas lennuettevõtja, lennu number, lennu väljumis- ja saabumiskuupäev ning väljumis- ja saabumisaeg, väljumis- ja saabumislennujaam ning teave lennukoodi jagamise kohta;
  20) täiendav teenindusinfo, sealhulgas kogu olemasolev teave ilma saatjata reisiva alaealise kohta, kasutatavad keeled, lähtepunktis oleva hooldaja nimi ja kontaktandmed ning seos alaealisega, sihtpunktis oleva hooldaja nimi ja kontaktandmed ning seos alaealisega, saatev ja vastu võttev lennujaama töötaja.

  (3) Broneeringuinfo andmete analüüsimisel saadud andmed on:
  1) reisija viide;
  2) jälgimisnimekiri või riskikriteeriumi viide;
  3) jälgimisnimekirja või riskikriteeriumi tabamuse aeg;
  4) andmed seotud tegevuste kohta.

  (4) Lisaks käesoleva paragrahvi lõikes 1 toodud andmetele kantakse andmekogusse muudatused, mis tehakse andmetes pärast lennuettevõtja poolt broneeringuinfo andmete esmakordset edastamist.

§ 5.  Andmekogu andmete kaitse

  Andmekogu vastutav ja volitatud töötleja tagavad organisatsiooniliste ja tehnoloogiliste meetmetega andmete tervikluse, kaitse ja säilimise.

2. peatükk Andmete esitamine ja töötlemine 

§ 6.  Andmeandjad

  (1) Andmekogusse esitab andmeid:
  1) riigipiiri seaduse § 9⁷ lõike 1 alusel lennuettevõtja;
  2) politsei ja piirivalve seaduse § 25³ lõikes 2 toodud asutus.

  (2) Andmekogu vahetab andmeid järgmiste andmekogudega:
  1) Eesti kodakondsuse saanud, taastanud või kaotanud isikute andmekogu;
  2) Eestis seadusliku aluseta viibivate ja viibinud välismaalaste andmekogu;
  3) elamislubade ja töölubade register;
  4) Interpoli andmebaasid;
  5) isikut tõendavate dokumentide andmekogu;
  6) piirikontrolli andmekogu;
  7) politsei andmekogu;
  8) Schengeni infosüsteemi riiklik register;
  9) sissesõidukeeldude riiklik register;
  10) viisainfosüsteem;
  11) viisaregister;
  12) välismaalase lühiajalise Eestis töötamise registreerimise andmekogu.

§ 7.  Andmete kandmine andmekogusse

  (1) Andmekogusse andmete kandmisega ja kannete töötlemisega seotud toimingud on:
  1) andmete kandmine andmekogusse;
  2) andmete kustutamine;
  3) andmete pseudonüümimine;
  4) pseudonüümitud andmete taasisikustamine.

  (2) Kui võimalik, tehakse käesoleva paragrahvi lõike 1 punktides 1–3 nimetatud toimingud automatiseeritult. Erandkorras teeb käesoleva paragrahvi lõike 1 punktides 1–3 nimetatud toimingud vastutava töötleja teenistuja käsitsi viivitamata pärast andmeandjalt andmete saamist.

  (3) Pseudonüümitud andmed taasisikustab vastutava töötleja määratud isik, arvestades politsei ja piirivalve seaduse § 25² lõigetes 6–7 ja käesoleva määruse §-s 10 sätestatut.

§ 8.  Lennuettevõtja poolt broneeringuinfo andmete edastamine

  (1) Lennuettevõtja edastab broneeringuinfo andmed muutmata kujul ja turvalise elektroonilise kanali kaudu, mille on selleks otstarbeks loonud vastutav töötleja.

  (2) Lennuettevõtja on kohustatud esitama broneeringuinfo andmed:
  1) 24–48 tundi enne lennu määratud väljumisaega;
  2) viivitamata pärast pardalemineku sulgemist.

  (3) Broneeringuinfo andmekogu vastutava töötleja taotluse alusel edastab lennuettevõtja broneeringuinfo andmed ka käesoleva paragrahvi lõikes 2 sätestatust erineval ajal.

  (4) Broneeringuinfo andmete edastamisel käesoleva paragrahvi lõike 2 punktis 2 sätestatud korras võib lennuettevõtja piirduda andmete ajakohastamisega.

  (5) Lennuettevõtja edastab broneeringuinfo andmed turvaliste meetoditega, kasutades selleks otstarbeks ette nähtud protokolle ja toetavaid andmevorminguid komisjoni rakendusotsuse 2017/759/EL kohaselt. Kui protokollid ja toetavad andmevormingud ei ole kättesaadavad, edastab lennuettevõtja broneeringuinfo andmed elektrooniliste vahenditega, mis on andmetöötluseks kohaldatavate tehniliste turvameetmete ja korralduslike meetmete seisukohast piisavalt kindlad.

  (6) Kui lennuettevõtja on kogunud reisijaid käsitlevat eelteavet, mis on loetletud direktiivi 2016/681/EL lisas I, edastab ta kõnealuse teabe vastutavale töötlejale.

  (7) Tehnilise rikke korral edastatakse broneeringuinfo andmed mõnel muul asjakohasel viisil, säilitades isikuandmete kaitsel enne tehnilist riket tagatud samaväärse turvalisuse taseme ja järgides isikuandmete kaitset reguleerivates õigusaktides sätestatud reegleid.

  (8) Eestisse saabuvate lennureisijate broneeringuinfo andmed edastatakse ka juhul, kui lend teeb enne Eestisse saabumist vahepeatuse või kui lennureisijal on ümberistumine teise Euroopa Liidu liikmesriigi või kolmanda riigi territooriumil.

  (9) Kui lennukoodi jagavad mitu lennuettevõtjat, vastutab kõigi reisijate broneeringuinfo andmete edastamise eest see lennuettevõtja, kes lendu teostab.

§ 9.  Broneeringuinfo andmete töötlemise kriteeriumid

  (1) Kriteeriumid, mille alusel hinnatakse politsei ja piirivalve seaduse § 25⁴ lõike 1 punktis 1 kirjeldatud reisijaid, peavad olema sihipärased, proportsionaalsed ja konkreetsed.

  (2) Kriteeriumid ja lennureisijate analüüsimise põhjal tehtav otsus ei tohi põhineda inimese rassil, etnilisel päritolul, poliitilisel seisukohal, usutunnistusel, filosoofilisel veendumusel, ametiühingusse kuuluvusel, terviseseisundil, seksuaalelul, seksuaalsel sättumusel või muul diskrimineerival alusel.

§ 10.  Broneeringuinfo andmete pseudonüümimine ja taasisikustamine

  (1) Pseudonüümimise käigus varjatakse andmed, mis võimaldavad reisija isiku tuvastada, sealhulgas andmed, mis on sätestatud politsei ja piirivalve seaduse § 25² lõike 3 punktides 1, 5, 6, 10, 17, 18 ja 20.

  (2) Kui rahuldatakse taotlus taasisikustada politsei ja piirivalve seaduse § 25² lõikes 6 loetletud andmed, tehakse toiming viivitamata.

  (3) Politsei ja piirivalve seaduse § 25² lõikes 6 loetletud andmete taasisikustamise taotluse saamise korral on vastutava töötleja volitatud ametnik kohustatud põhjendama taotletava toimingu tegemisest keeldumist esimesel võimalusel, kuid hiljemalt taotluse saamise päevale järgneva viie tööpäeva jooksul.

  (4) Politsei ja piirivalve seaduse § 25² lõikes 6 toodud andmete taasisikustamise taotlus ja otsus, millega on antud luba need andmed taasisikustada või põhjendus selle tegemisest keelduda, säilitatakse viis aastat, aga mitte kauem kui asjakohase otsuse aluseks olevaid broneeringuinfo andmeid.

§ 11.  Valepositiivsete tabamuste säilitamine

  (1) Valepositiivseid tabamusi võib säilitada selleks, et vältida tulevikus samadel alustel tekkivaid tabamusi.

  (2) Valepositiivseid tabamusi säilitatakse kuni viis aastat kande tegemisest alates.

§ 12.  Isikuandmete töötlemise toimingute logimine

  (1) Isikuandmete töötlemise toimingud logitakse isikuandmete kaitse seaduse § 36 kohaselt.

  (2) Isikuandmete töötlemise logiandmed säilitatakse kuni viis aastat päringu või kande tegemisest arvates, aga mitte kauem kui nende aluseks olevaid broneeringuinfo andmeid.

§ 13.  Info säilitamise kohustus

  (1) Broneeringuinfo üksus säilitab info vähemalt:
  1) broneeringuinfo üksuses broneeringuinfo töötlemise eest vastutava üksuse nimetuse, töötajate nimede ja kontaktandmete ning juurdepääsulubade eri tasemete kohta;
  2) Europoli, teiste liikmesriikide pädevate asutuste ja broneeringuinfo üksuste esitatud taotluste kohta;
  3) kolmanda riigi poolt esitatud taotluste kohta ja broneeringuinfo edastamise kohta kolmandale riigile.

  (2) Käesoleva paragrahvi lõike 1 punktis 1 loetletud info säilitatakse 5 aastat töösuhte lõppemisest arvates, pärast mida see arhiveeritakse viieks aastaks.

  (3) Käesoleva paragrahvi lõike 1 punktides 2–3 loetletud info säilitatakse 5 aastat taotluse esitamisest arvates.

§ 14.  Andmekaitseametniku õigused ja kohustused

  (1) Broneeringuinfo andmete töötlemise üle teostab järelevalvet vastutava töötleja andmekaitseametnik.

  (2) Andmekaitseametnikul on juurdepääs kõikidele broneeringuinfo üksuse töödeldud andmetele, logiandmetele ja dokumentidele.

  (3) Andmesubjekti kontaktisik broneeringuinfo andmete töötlemise küsimuste korral on andmekaitseametnik.

3. peatükk Juurdepääs andmekogu andmetele 

§ 15.  Juurdepääs andmekogu andmetele

  (1) Andmekogu on piiratud juurdepääsuga ja andmekogu andmed on ette nähtud asutusesiseseks kasutamiseks.

  (2) Juurdepääs andmekogu andmetele antakse vastutava töötleja ametnikele ja töötajatele neile teenistuskohustuste täitmiseks määratud ulatuses. Juurdepääsuõiguse andmekogule annab vastutav töötleja kasutajagruppide kaupa või isikuliselt.

  (3) Andmekogu volitatud töötlejal on juurdepääsuõigus andmekogule oma ülesannete täitmiseks ning andmekogu arendaval või hooldaval isikul arendus- või hoolduslepingus sätestatud ulatuses ja tingimustel.
[RT I, 07.08.2019, 3 - jõust. 10.08.2019]

  (4) Järelevalveasutusel on juurdepääsuõigus andmekogusse kantud andmetele talle seadusega pandud ülesannete täitmiseks.

§ 16.  Andmekogust andmete väljastamine

  (1) Juurdepääs andmekogu andmetele võimaldatakse:
  1) autentimisega veebiportaali kaudu;
  2) X-tee või muu turvalise elektroonilise andmevahetuskanali kaudu;
  3) väljavõtte edastamisega e-kirjaga või paberil.

  (2) Andmekogu vastutav töötleja väljastab andmekogu andmeid asutusele, kellel on selleks seadusest või seaduse alusel kehtestatud õigusaktist tulenev õigus.

  (3) Vastutav töötleja sõlmib käesoleva paragrahvi lõikes 2 toodud asutusega kokkuleppe, milles on ette nähtud andmete väljastamise tingimused, kord ja viis.

  (4) Juurdepääsuõiguse käesoleva paragrahvi lõikes 2 nimetatud asutusele võib anda neile väljastatavate andmete osas käesoleva paragrahvi lõike 1 punktides 1–3 toodud viisil.

  (5) Andmesubjektile või tema seaduslikule esindajale võimaldatakse juurdepääs andmesubjekti kohta käivatele andmetele käesoleva paragrahvi lõike 1 punktis 3 nimetatud viisil.

  (6) Andmekogu vastutav töötleja peab arvestust andmete väljastamise aja, andmekoosseisu ja andmete saajate üle.

  (7) Andmekogust väljastatakse andmeid tasuta.

4. peatükk Vastutava ja volitatud töötleja ülesanded 

§ 17.  Vastutava töötleja ülesanded

  Vastutav töötleja:
  1) tagab andmekogu pidamise õigusaktides sätestatud nõuete järgi;
  2) rakendab andmekogu andmete käideldavuse, tervikluse ja konfidentsiaalsuse tagamiseks asjakohaseid organisatsioonilisi, füüsilisi ja infotehnoloogilisi turvameetmeid;
  3) vastutab isikuandmete töötlemise nõuete täitmise eest;
  4) korraldab andmekogu arendamist;
  5) vastutab andmekogu andmete nõuetekohase väljastamise eest;
  6) teostab järelevalvet andmekogu pidamise ja kasutamise üle;
  7) tagab õigustatud isikutele juurdepääsu andmekogu andmetele.

§ 18.  Volitatud töötleja ülesanded

  Volitatud töötleja:
  1) tagab andmekogu majutamiseks vajaliku infotehnoloogilise taristu ja selle tehnilise valmisoleku;
  2) rakendab koos vastutava töötlejaga andmekogu turvanõuetele vastavaid organisatsioonilisi, füüsilisi ja infotehnoloogilisi andmeturbemeetmeid;
  3) teeb andmekogu vastutavale töötlejale ettepanekuid andmekogu arendamiseks.

5. peatükk Järelevalve teostamine, andmekogu rahastamine ja likvideerimine 

§ 19.  Järelevalve teostamine

  (1) Järelevalvet andmekogu pidamise üle teostatakse avaliku teabe seaduse, isikuandmete kaitse seaduse ja muude isikuandmete kaitset reguleerivate õigusaktide kohaselt.

  (2) Järelevalvet teostama volitatud isikul on õigus tutvuda andmekogusse kantud andmete ja nende alusdokumentidega, siseneda ruumidesse, kus andmeid töödeldakse või kus paiknevad nende töötlemiseks kasutatavad seadmed, ning saada vastutavalt töötlejalt teavet andmete väljastamise ja kasutamise kohta.

  (3) Kui andmekogu pidamisel on ilmnenud puudusi, kõrvaldab andmekogu vastutav töötleja puudused järelevalvet teostanud isiku ettekirjutuses määratud tähtajaks.

§ 20.  Andmekogu pidamise rahastamine

  Andmekogu pidamisega kaasnevad kulud kaetakse vastutavale ja volitatud töötlejale riigieelarvest selleks eraldatud vahenditest.

§ 21.  Andmekogu likvideerimine

  Andmekogu likvideeritakse seaduses sätestatud korras.

6. peatükk Rakendussäte 

§ 22.  Määruse jõustumine

  Määrus jõustub 15. veebruaril 2019. a.