Teksti suurus:

Broneeringuinfo andmekogu asutamine ja andmekogu pidamise põhimäärus

Väljaandja:Siseminister
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:26.03.2016
Redaktsiooni kehtivuse lõpp:14.02.2019
Avaldamismärge:RT I, 23.03.2016, 3

Broneeringuinfo andmekogu asutamine ja andmekogu pidamise põhimäärus

Vastu võetud 21.03.2016 nr 10

Määrus kehtestatakse riigipiiri seaduse § 98 lõike 9 alusel.

1. peatükk Üldsätted 

§ 1.  Broneeringuinfo andmekogu asutamine, pidamise eesmärk ja nimetus

 (1) Määrusega asutatakse andmekogu nimetusega broneeringuinfo andmekogu (edaspidi andmekogu). Andmekogu ametlik lühend on BRIIS.

 (2) Andmekogu ingliskeelne nimetus on Passenger Name Record Database.

 (3) Andmekogu pidamise eesmärk on töödelda lennureisijat ja -reisi puudutavat broneeringuinfot terrorikuritegude ja teiste raskete kuritegude menetlemiseks, avastamiseks ja ärahoidmiseks.

§ 2.  Andmekogu vastutav ja volitatud töötleja ning andmekogu majutaja

 (1) Andmekogu vastutav töötleja on Politsei- ja Piirivalveamet (edaspidi vastutav töötleja).

 (2) Andmekogu volitatud töötlejad on Kaitsepolitseiamet ning Maksu- ja Tolliamet (edaspidi volitatud töötleja).

 (3) Andmekogu majutab Siseministeeriumi infotehnoloogia- ja arenduskeskus.

§ 3.  Andmesubjekt

  Andmesubjekt on lennureisija, kes saabub Eestisse ja lahkub Eestist Eesti õhuruumi kaudu.

§ 4.  Andmekogu andmete õiguslik tähendus

  Andmekogusse kantud andmetel on informatiivne tähendus.

§ 5.  Andmekogu pidamine ja ülesehitus

 (1) Andmekogu peetakse ühetasandilise digitaalse andmekoguna.

 (2) Andmekogu turbeaste on keskmine (M) ja andmekogu turvaklass on K2T2S2.

 (3) Andmekogu koosneb:
 1) broneeringuinfo andmetest;
 2) broneeringuinfo andmete analüüsimisel saadud andmetest.

 (4) Andmekogu on liidestatud infosüsteemide andmevahetuskihiga (edaspidi X-tee).

2. peatükk Andmekogusse kantavad andmed 

§ 6.  Andmekogusse kantavad andmed

 (1) Broneeringuinfo andmetena kantakse andmekogusse:
 1) andmesubjekti isikuandmed;
 2) andmesubjekti reisidokumendi andmed;
 3) reisi andmed.

 (2) Andmesubjekti isikuandmed on:
 1) ees- ja perekonnanimi või -nimed;
 2) sünniaeg- ja koht;
 3) kodakondsus;
 4) sugu;
 5) elukoha aadress, telefoninumber ja e-posti aadress.

 (3) Andmesubjekti reisidokumendi andmed on:
 1) dokumendi liik ja number;
 2) dokumendi väljastanud riik;
 3) dokumendi kehtivuse lõppkuupäev.

 (4) Andmesubjekti reisi kohta käivad andmed on:
 1) broneeringu number, kuupäev või pileti väljastamise kuupäev;
 2) kavandatava reisi kuupäev või kuupäevad;
 3) broneeritud reisi täielik marsruut;
 4) püsikliendi staatuse teave;
 5) reisibüroo või reisiagendi nimi;
 6) reisija staatus, sealhulgas kinnitused ja lennule registreerimine, teave kinnitamata kohaga reisimise või lennule ilmumata jäämise kohta ning teave selle kohta, kas reisijaga on kaasas istekohata alaealine;
 7) järgmise reisi broneeringu info;
 8) pileti andmed, kaasa arvatud pileti number, pileti väljastamise kuupäev ja ühe suuna piletid, pileti hinnastamise andmed;
 9) istekoha number ja muu teave selle kohta;
 10) pagasiandmed;
 11) broneeringus märgitud kaasreisijate arv ja nimed;
 12) makseviise käsitlev teave, sealhulgas arve saatmise aadress ja krediitkaardiandmed;
 13) lennu andmed, millega seoses broneeringuinfo edastati, sealhulgas lennuettevõtja, lennu number, lennu väljumis- ja saabumiskuupäev ning väljumis- ja saabumisaeg, väljumis- ja saabumislennujaam, teave lennukoodi jagamise kohta;
 14) täiendav teenindusinfo, sealhulgas kogu olemasolev teave ilma saatjata reisiva alla 18-aastase alaealise kohta, kasutatavad keeled, lähtepunktis oleva hooldaja nimi ja kontaktandmed ning seos alaealisega, sihtpunktis oleva hooldaja nimi ja kontaktandmed ning seos alaealisega, saatev ja vastuvõttev lennujaama töötaja.

 (5) Andmekogusse kantakse ka andmete muudatused, mis tehakse andmetes pärast käesoleva paragrahvi lõikes 1 nimetatud andmete edastamist.

 (6) Broneeringuinfo andmete analüüsimisel saadud andmetena kantakse andmekogusse:
 1) reisija viide;
 2) jälgimisnimekirja või riskikriteeriumi viide, mille vastavus saadakse broneeringuinfo andmetest;
 3) jälgimisnimekirja või riskikriteeriumi tabamuse aeg;
 4) andmed seotud tegevuste kohta.

3. peatükk Andmete töötlemine 

§ 7.  Andmeandjad

 (1) Käesoleva määruse § 6 lõikes 1 loetletud andmed esitab andmekogusse vedaja, kes toimetab Eestisse saabuvaid ja Eestist lahkuvaid reisijaid Eesti õhuruumi kaudu.

 (2) Andmekogu vahetab andmeid järgmiste andmekogudega:
 1) Interpoli andmebaasid;
 2) viisaregister;
 3) viisainfosüsteem;
 4) politsei andmekogu;
 5) isikut tõendavate dokumentide andmekogu;
 6) Schengeni infosüsteem;
 7) piirikontrolli infosüsteem;
 8) Maksu- ja Tolliameti andmekogud.

§ 8.  Andmete andmekogusse kandmine

 (1) Andmete andmekogusse kandmisega seotud toimingud on:
 1) andmete kandmine andmekogusse;
 2) andmete kustutamine;
 3) andmete pseudonüümistamine;
 4) pseudonüümistatud andmete taasisikustamine.

 (2) Käesoleva paragrahvi lõike 1 punktides 1–3 nimetatud toimingud tehakse andmekogus automatiseeritult. Erandkorras teeb käesoleva paragrahvi lõike 1 punktis 1 nimetatud toimingu vastutav töötleja käsitsi viivitamata pärast andmeandjalt andmete saamist.

 (3) Käesoleva paragrahvi lõike 1 punktis 4 nimetatud toimingu teeb vastutav töötleja käesoleva määruse §-s 10 sätestatud korras.

 (4) Andmete andmekogusse kandmise õigsuse eest vastutab vastutav töötleja. Andmekogusse kantavate andmete aluseks olevate andmete õigsuse eest vastutab andmeandja.

§ 9.  Andmete andmekogusse esitamise kord

 (1) Andmeandja edastab broneeringuinfo muutmata kujul elektrooniliselt vastutava töötleja veebiteenuse kaudu.

 (2) Andmeandja edastab broneeringuinfo:
 1) 24–48 tundi enne lennu määratud väljumisaega ja
 2) viivitamata pärast lennule pealemineku sulgemist.

 (3) Andmeandja edastab broneeringuinfo käesoleva paragrahvi lõikes 2 esitatud tähtaegadest muul ajal vastutava töötleja taotlusel, kui see on vajalik terrorikuritegude ja teiste raskete kuritegude menetlemise, avastamise või ärahoidmise eesmärgil.

 (4) Andmeandja edastab broneeringuinfo rahvusvahelisele broneeringuinfo edastamise standardile vastaval kujul või sellest tuletatud kokkulepitud andmeformaadis.

§ 10.  Isikustatud andmete pseudonüümistamine ja pseudonüümistatud andmete taasisikustamine

 (1) Isikustatuna kajastatakse andmeid andmekogus kaks aastat, pärast seda pseudonüümistatakse automaatselt kõik broneeringuinfot puudutavad käesoleva määruse § 6 lõigetes 2 ja 3 ning lõike 4 punktides 1, 4, 6–8, 11, 12 ja 14 nimetatud andmed.

 (2) Pseudonüümistatud andmeid on võimalik taasisikustada broneeringuinfo andmekogu vastutava töötleja loal üksnes riigipiiri seaduse § 97 lõikes 4 nimetatud asutuse üksikjuhtumil põhineva põhjendatud taotluse korral, kui see on vajalik terrorikuritegude või teiste raskete kuritegude menetlemiseks, avastamiseks või ärahoidmiseks.

 (3) Käesoleva paragrahvi lõikes 2 nimetatud taotluse rahuldamisel teeb vastutav töötleja taotletava toimingu viivitamata. Andmekogusse lisatakse märge vastutava töötleja loa andmise otsuse kohta.

 (4) Käesoleva paragrahvi lõikes 2 nimetatud taotluse saamisel on vastutav töötleja kohustatud põhjendama taotletava toimingu tegemisest keeldumist taotluse saamise päevale järgneva viie tööpäeva jooksul.

§ 11.  Andmete säilitamine ja kustutamine

 (1) Broneeringuinfo andmeid säilitatakse andmekogus viis aastat andmete andmekogusse kandmisest arvates, pärast seda andmed kustutatakse.

 (2) Broneeringuinfoga edastatud andmed, mis ei ole loetletud käesoleva määruse § 6 lõigetes 2–4, kustutatakse viivitamata.

§ 12.  Andmete logimine

 (1) Iga andmekogusse tehtud päringu või kande kohta säilitatakse vähemalt järgmised logiandmed:
 1) toimingu tegija tuvastamist võimaldavad andmed;
 2) toimingu tegemise kuupäev ja kellaaeg;
 3) toimingu liik.

 (2) Logiandmeid säilitatakse viis aastat päringu või kande tegemisest arvates.

§ 13.  Broneeringuinfo andmete analüüsimine

  Broneeringuinfo andmeid analüüsitakse automaatselt ühe korra pärast andmeandja edastatud broneeringuinfo laekumist, arvestades käesoleva määruse § 9 lõigetes 2 ja 3 sätestatud tähtaegu.

4. peatükk Juurdepääs andmekogusse kantud andmetele 

§ 14.  Juurdepääs andmekogusse kantud andmetele

 (1) Andmekogu on piiratud juurdepääsuga ja andmekogusse kantud andmed on ette nähtud asutusesiseseks kasutamiseks, kui käesolevas määruses ei ole sätestatud teisiti.

 (2) Andmekogusse kantud andmed on juurdepääsupiiranguga isikuandmete kaitse seaduse ja avaliku teabe seaduse ning nende alusel kehtestatud õigusaktide kohaselt.

 (3) Juurdepääs andmekogu andmetele on Siseministeeriumi infotehnoloogia- ja arenduskeskuse töötajatel neile tööülesannete täitmiseks määratud ulatuses ning andmekogu arendaval või hooldaval isikul arendus- või hoolduslepingus sätestatud ulatuses ja tingimustel.

 (4) Juurdepääs andmekogu andmetele võimaldatakse juurdepääsuõiguse andmisega või andmete väljastamisega.

§ 15.  Andmekogu andmetele juurdepääsu võimaldamise viisid

 (1) Juurdepääs andmekogu andmetele võimaldatakse:
 1) autentimisega veebportaali kaudu;
 2) X-tee või muu turvalise elektroonilise andmevahetuskanali vahendusel;
 3) digitaalse või paberil väljavõttega.

 (2) Andmesubjektile või tema seaduslikule esindajale võimaldatakse juurdepääs andmekogu andmetele vaid käesoleva paragrahvi lõike 1 punktis 3 nimetatud viisil. Väljavõte andmekogu andmetest edastatakse isiklikult, posti teel või digitaalselt.

 (3) Andmekogudega toimub andmevahetus X-tee vahendusel või muul turvalist elektroonilist andmevahetust võimaldaval viisil.

 (4) Andmekogust väljastatakse andmeid tasuta.

§ 16.  Juurdepääsuõiguse andmine

 (1) Andmesubjektil või tema seaduslikul esindajal on õigus saada käesoleva määruse § 15 lõike 1 punktis 3 nimetatud viisil teavet vaid käesoleva määruse § 6 lõikes 1 loetletud andmekogusse kantud andmete kohta.

 (2) Terrorikuritegude ja teiste raskete kuritegude menetlemisel kohaldatakse isikuandmete töötlemisel kriminaalmenetluse seadustikus sätestatut.

 (3) Juurdepääsuõigust võivad taotleda asutuste esindajad, kellel on selleks seadusest või seaduse alusel kehtestatud õigusaktist või andmekogu asutamise eesmärgist tulenev õigus.

 (4) Juurdepääsuõiguse saamiseks peab andmesubjekt või asutus esitama vastutavale töötlejale kirjaliku taotluse, milles peab esitama vähemalt järgmised andmed:
 1) taotluse esitaja nimi või nimetus;
 2) isiku- või registrikood;
 3) taotluse esitaja ametikoht või asutus;
 4) juurdepääsuõiguse taotlemise eesmärk ja vajaduse põhjendus ning viide andmete saamise alusele;
 5) selle isiku ees- ja perekonnanimi, kellele juurdepääsuõigust taotletakse, isikukood ning ametikoht;
 6) juurdepääsuvajaduse kestus;
 7) andmete kirjeldus või loetelu, millele juurdepääsuõigust taotletakse;
 8) andmetele juurdepääsu soovitud viis.

 (5) Juurdepääsuõiguse saamiseks peab andmesubjekti seaduslik esindaja esitama vastutavale töötlejale kirjaliku taotluse, milles peab esitama vähemalt järgmised andmed:
 1) taotluse esitaja ees- ja perekonnanimi ning isikukood;
 2) esindatava ees- ja perekonnanimi ning isikukood;
 3) juurdepääsuõiguse taotluse põhjendus;
 4) seos esindatavaga;
 5) esindusõigust kinnitava dokumendi koopia.

 (6) Vastutav töötleja otsustab juurdepääsuõiguse andmise või sellest keeldumise ja juurdepääsuõiguse andmise ulatuse 30 päeva jooksul taotluse saamisest arvates.

 (7) Käesoleva paragrahvi lõikes 3 nimetatud asutus on kohustatud tema või tema esindaja juurdepääsuvajaduse lõppemisest teavitama vastutavat töötlejat viivitamata enne selle lõppemist.

 (8) Käesoleva paragrahvi lõikes 3 nimetatud asutustega võib vastutav töötleja sõlmida juurdepääsuõiguse andmisel lepingu, milles sätestatakse nende andmete koosseis, millele juurdepääs võimaldatakse, ning andmetele juurdepääsu andmise õiguslik alus, eesmärk, tingimused, kord ja viis.

5. peatükk Vastutava ja volitatud töötleja ülesanded 

§ 17.  Vastutava töötleja ülesanded

  Vastutav töötleja:
 1) tagab andmekogu pidamise õigusaktides sätestatud nõuete järgi;
 2) rakendab koos volitatud töötlejaga andmekogus sisalduvate andmete käideldavuse, tervikluse ja konfidentsiaalsuse tagamiseks vastavaid organisatsioonilisi, füüsilisi ja infotehnoloogilisi turvameetmeid;
 3) vastutab koos volitatud töötlejaga isikuandmete töötlemise nõuete täitmise eest;
 4) korraldab andmekogu arendamist;
 5) vastutab andmekogu andmete nõuetekohase väljastamise eest;
 6) otsustab pseudonüümistatud andmete taasisikustamise;
 7) tagab õigustatud isikutele juurdepääsu andmekogule;
 8) analüüsib broneeringuinfot vastavalt varem kindlaks määratud hindamiskriteeriumidele ja välistest andmekogudest saadud infole.

§ 18.  Volitatud töötleja ülesanded

  Volitatud töötleja:
 1) tagab andmekogu pidamise õigusaktides sätestatud nõuete järgi;
 2) vastutab andmekogu toimingute õiguspärasuse eest;
 3) vastutab isikuandmete nõuetekohase töötlemise eest;
 4) teeb andmekogu vastutavale töötlejale ettepanekuid andmekogu arendamiseks;
 5) analüüsib broneeringuinfot vastavalt varem kindlaks määratud hindamiskriteeriumidele ja välistest andmekogudest saadud infole.

§ 19.  Siseministeeriumi infotehnoloogia- ja arenduskeskuse ülesanded

  Siseministeeriumi infotehnoloogia- ja arenduskeskus tagab andmekogu majutamiseks vajaliku infotehnoloogilise keskkonna ja selle tehnilise valmisoleku teenusleppes kokkulepitud ulatuses ja korras.

6. peatükk Järelevalve teostamine, andmekogu rahastamine ja likvideerimine 

§ 20.  Järelevalve teostamine

 (1) Järelevalvet andmekogu pidamise üle teostatakse vastavalt isikuandmete kaitse seadusele ning avaliku teabe seadusele.

 (2) Järelevalvet teostama volitatud isikul on õigus tutvuda andmekogusse kantud andmete ja nende alusdokumentidega, siseneda ruumidesse, kus andmeid töödeldakse või kus paiknevad nende töötlemiseks kasutatavad seadmed, ning saada vastutavalt töötlejalt teavet andmete väljastamise ja kasutamise kohta.

 (3) Andmekogu pidamisel tekkinud puuduste ilmnemise korral on andmekogu vastutav töötleja kohustatud likvideerima järelevalvet teostanud isiku ettekirjutuses kajastatud puudused ettekirjutuses määratud tähtajaks.

§ 21.  Andmekogu pidamise rahastamine

  Andmekogu pidamisega kaasnevad kulud kaetakse vastutavale töötlejale ja andmekogu majutajale selleks riigieelarvest eraldatud vahenditest.

§ 22.  Andmekogu likvideerimine

 (1) Andmekogu likvideerimise otsustab valdkonna eest vastutav minister.

 (2) Andmekogu likvideeritakse kooskõlas arhiiviseaduses ja avaliku teabe seaduses sätestatud nõuetega.

Hanno Pevkur
Siseminister

Hannes Kont
Päästepoliitika asekantsler kantsleri ülesannetes