HALDUSÕIGUSRahvastikuõigus

HALDUSÕIGUSTeabeõigus, andmekogud ja statistika

KARISTUSÕIGUSVäärteod

Teksti suurus:

Isikuandmete kaitse seadus

Sisukord

Isikuandmete kaitse seadus - sisukord
Väljaandja:Riigikogu
Akti liik:seadus
Teksti liik:terviktekst
Redaktsiooni jõustumise kp:01.05.2004
Redaktsiooni kehtivuse lõpp:17.02.2007
Avaldamismärge:

Isikuandmete kaitse seadus

Vastu võetud 12.02.2003
RT 2003, 26, 158
jõustumine vastavalt §-le 49.

Muudetud järgmiste aktidega (näita)

VastuvõtmineAvaldamineJõustumine
14.04.2004RT I 2004, 30, 20801.05.2004

1. peatükk ÜLDSÄTTED 

§ 1. Seaduse eesmärk

  Seaduse eesmärk on isikuandmete töötlemisel füüsilise isiku põhiõiguste ja põhivabaduste kaitsmine kooskõlas avalike huvidega.

§ 2. Seaduse kohaldamise ala

 (1) Seadus sätestab:
 1) isikuandmete töötlemise tingimused ja korra;
 2) riikliku järelevalve teostamise korra isikuandmete töötlemisel;
 3) vastutuse isikuandmete töötlemise nõuete rikkumise eest.

 (2) Käesolevat seadust ei kohaldata:
 1) füüsilise isiku poolt isikuandmete töötlemisele isiklikul otstarbel;
 2) kui töödeldakse õiguspäraselt avalikuks kasutamiseks antud isikuandmeid;
 3) kui isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma et neid andmeid Eestis muul viisil töödeldaks;
 4) kui töödeldakse riigisaladust sisaldavaid isikuandmeid, välja arvatud käesoleva seaduse 1. ja 3. peatükk.

§ 3. Haldusmenetluse seaduse kohaldamine

  Käesolevas seaduses ettenähtud haldusmenetlusele kohaldatakse haldusmenetluse seaduse (RT I 2001, 58, 354; 2002, 53, 336; 61, 375) sätteid, arvestades käesoleva seaduse erisusi.

§ 4. Isikuandmed

 (1) Isikuandmed on andmed tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad selle isiku füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust.

 (2) Eraelulised isikuandmed on:
 1) perekonnaelu üksikasju kirjeldavad andmed;
 2) sotsiaalabi või sotsiaalteenuste osutamise taotlemist kirjeldavad andmed;
 3) isiku vaimseid või füüsilisi kannatusi kirjeldavad andmed;
 4) isiku kohta maksustamisega kogutud teave, välja arvatud teave maksuvõlgnevuste kohta.

 (3) Delikaatsed isikuandmed on:
 1) poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;
 2) etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;
 3) andmed terviseseisundi või puude kohta;
 4) andmed pärilikkuse informatsiooni kohta;
 5) andmed seksuaalelu kohta;
 6) andmed ametiühingu liikmelisuse kohta;
 7) kriminaalmenetluses või muus õigusrikkumise väljaselgitamise menetluses kogutav teave enne avalikku kohtuistungit või otsuse langetamist õigusrikkumise asjas või juhul, kui see on vajalik kõlbluse või inimeste perekonna- ja eraelu kaitseks või kui seda nõuavad alaealise, kannatanu, tunnistaja või õigusemõistmise huvid.

§ 5. Isikuandmete töötlemine

  Isikuandmete töötlemine on iga isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine, juurdepääsu võimaldamine, päringute teostamine, väljavõtete tegemine, kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eeltoodud toimingut, sõltumata toimingute teostamise viisist või kasutatavatest vahenditest.

§ 6. Isikuandmete töötlemise põhimõtted

  Isikuandmete vastutav ja volitatud töötleja on kohustatud isikuandmete töötlemisel järgima järgmisi põhimõtteid:
 1) seaduslikkuse põhimõte – isikuandmeid võib koguda ausal ja seaduslikul teel;
 2) eesmärgikohasuse põhimõte – isikuandmeid võib koguda üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning isikuandmeid ei või töödelda viisil, mis ei ole andmetöötluse eesmärkide saavutamisega kooskõlas;
 3) minimaalsuse põhimõte – isikuandmeid võib koguda vaid ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks;
 4) kasutuse piiramise põhimõte – isikuandmeid võib muudel eesmärkidel kasutada üksnes andmesubjekti nõusolekul või selleks pädeva organi loal;
 5) andmete kvaliteedi põhimõte – isikuandmed peavad olema ajakohased, täielikud ning vajalikud antud andmetöötluse eesmärgi saavutamiseks;
 6) turvalisuse põhimõte – isikuandmete kaitseks tuleb rakendada turvameetmeid nende tahtmatu või volitamata muutmise, avalikuks tuleku või hävimise eest;
 7) individuaalse osaluse põhimõte – andmesubjekti tuleb teavitada tema kohta kogutavatest andmetest, talle tuleb võimaldada juurdepääs tema kohta käivatele andmetele ja tal on õigus nõuda ebatäpsete või eksitavate andmete parandamist.

§ 7. Vastutav töötleja

 (1) Vastutav töötleja on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb või kelle ülesandel töödeldakse isikuandmeid. Vastutava töötleja võib kindlaks määrata seaduse või määrusega.

 (2) Kui seadusest või määrusest ei tulene teisiti, peab vastutav töötleja määratlema:
 1) isikuandmete töötlemise eesmärgid;
 2) töödeldavate isikuandmete koosseisu;
 3) isikuandmete töötlemise korra ja viisi;
 4) isikuandmete kolmandatele isikutele edastamise lubamise.

§ 8. Volitatud töötleja

  Volitatud töötleja on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb isikuandmeid vastutava töötleja ülesandel haldusakti või lepingu alusel. Haldusaktis või lepingus määratakse kindlaks isikuandmete töötlemise kord, viisid ja tingimused. Volitatud töötleja võib kindlaks määrata seaduse või määrusega.

§ 9. Andmesubjekt

  Andmesubjekt on isik, kelle isikuandmeid töödeldakse.

§ 10. Kolmas isik

 (1) Kolmas isik on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes ei ole:
 1) vastutav töötleja;
 2) volitatud töötleja;
 3) andmesubjekt;
 4) isik, kes vastutava või volitatud töötleja alluvuses töötleb isikuandmeid.

 (2) Kolmas isik, kes töötleb talle vastutava töötleja poolt üleantud isikuandmeid, loetakse vastutavaks töötlejaks käesoleva seaduse § 7 lõike 1 tähenduses ning ta on kohustatud isikuandmete töötlemisel täitma käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktide nõudeid.

2. peatükk ISIKUANDMETE TÖÖTLEMISE LUBATAVUS 

§ 11. Isikuandmete töötlemise lubatavus

 (1) Isikuandmete töötlemine on lubatud üksnes andmesubjekti nõusolekul, kui seadus ei sätesta teisiti.

 (2) Haldusorgan võib isikuandmeid töödelda üksnes avaliku ülesande täitmise käigus seaduse või välislepinguga ettenähtud kohustuse täitmiseks.

§ 12. Isikuandmete töötlemine andmesubjekti nõusolekul

 (1) Nõusolek isikuandmete töötlemiseks on selge ja teadlik andmesubjekti tahteavaldus, millega andmesubjekt lubab oma isikuandmeid töödelda.

 (2) Enne andmesubjektilt isikuandmete töötlemiseks nõusoleku küsimist peab vastutav või volitatud töötleja andmesubjektile teatavaks tegema:
 1) isikuandmete töötlemise eesmärgi;
 2) isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud;
 3) vastutava töötleja või tema esindaja nime ja vastutava töötleja tegevuskoha aadressi;
 4) juhud, millal andmesubjektil on õigus nõuda isikuandmete töötlemise lõpetamist ning isikuandmete parandamist, sulgemist, kustutamist;
 5) juhud, millal andmesubjektil on õigus saada juurdepääs tema kohta töödeldavatele isikuandmetele.

 (3) Andmesubjekti nõusolek kehtib andmesubjekti eluajal ning 30 aastat pärast andmesubjekti surma, kui andmesubjekt ei ole otsustanud teisiti.

 (4) Nõusoleku võib andmesubjekt igal ajal tagasi võtta. Nõusoleku tagasivõtmisel ei ole tagasiulatuvat jõudu. Nõusoleku suhtes kohaldatakse täiendavalt tsiviilseadustiku üldosa seaduses (RT I 2002, 35, 216; 2003, 13, 64) tahteavalduse kohta sätestatut.

 (5) Vaidluse korral eeldatakse, et andmesubjekt ei ole oma isikuandmete töötlemiseks nõusolekut andnud.

 (6) Käesolevat paragrahvi ei kohaldata, kui isikuandmeid töötleb haldusorgan, välja arvatud käesoleva seaduse § 4 lõikes 3 nimetatud delikaatsete isikuandmete töötlemisel.

§ 13. Isikuandmete töötlemine pärast andmesubjekti surma

 (1) Pärast andmesubjekti surma on andmesubjekti isikuandmete töötlemine lubatud andmesubjekti abikaasa, vanema, vanavanema, lapse, lapselapse, venna või õe kirjalikul nõusolekul, välja arvatud juhul, kui isikuandmete töötlemiseks nõusolekut ei ole vaja, või juhul, kui andmesubjekti surmast on möödunud 30 aastat.

 (2) Käesoleva paragrahvi lõiget 1 ei kohaldata, kui töödeldavateks isikuandmeteks on üksnes andmesubjekti nimi, sugu, sünni- ja surmaaeg ning surmafakt.

§ 14. Isikuandmete töötlemine andmesubjekti nõusolekuta

 (1) Isikuandmete töötlemine on lubatud andmesubjekti nõusolekuta, kui isikuandmeid töödeldakse:
 1) andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks;
 2) andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks;
 3) seaduse või välislepinguga ettenähtud ülesande täitmiseks.

 (2) Isikuandmete edastamine või nendele juurdepääsu võimaldamine kolmandale isikule on lubatud andmesubjekti nõusolekuta:
 1) kui isik, kellele andmed edastatakse, töötleb isikuandmeid seadusega ettenähtud kohustuse täitmiseks;
 2) andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks;
 3) kui kolmas isik taotleb teavet, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja sellele teabele ei ole kehtestatud juurdepääsupiirangut.

 (3) Delikaatsete ja eraeluliste isikuandmete töötlemine on ilma andmesubjekti nõusolekuta lubatud:
 1) seaduse või välislepinguga ettenähtud ülesande täitmiseks;
 2) andmesubjekti või muu isiku elu, tervise ja vabaduse kaitseks.

 (4) Delikaatsete ja eraeluliste isikuandmete edastamine või nendele juurdepääsu võimaldamine kolmandale isikule on lubatud andmesubjekti nõusolekuta:
 1) kui isik, kellele andmed edastatakse, töötleb delikaatseid või eraelulisi isikuandmeid seaduse või välislepinguga ettenähtud ülesande täitmiseks;
 2) andmesubjekti või muu isiku elu, tervise ja vabaduse kaitseks.

 (5) Haiglas viibiva andmesubjekti terviseseisundit kajastavate andmete edastamine või nendele juurdepääs on lubatud tema lähedastele, välja arvatud juhul, kui:
 1) andmesubjekt on andmetele juurdepääsu või nende edastamise keelanud;
 2) uurimist teostav organ on andmetele juurdepääsu või nende edastamise keelanud kuriteo tõkestamise, kurjategija tabamise või kriminaalmenetluses tõe väljaselgitamise huvides.

§ 15. Andmesubjekti teavitamine isikuandmete töötlemisest

 (1) Kui isikuandmete allikaks ei ole andmesubjekt, peab vastutav või volitatud töötleja enne isikuandmete edastamist kolmandale isikule või pärast isikuandmete saamist tegema andmesubjektile teatavaks:
 1) isikuandmete töötlemise eesmärgi;
 2) isikuandmete koosseisu ja allikad;
 3) isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud;
 4) vastutava töötleja või tema esindaja nime ja vastutava töötleja tegevuskoha aadressi;
 5) juhud, millal andmesubjektil on õigus nõuda isikuandmete töötlemise lõpetamist ning isikuandmete parandamist, sulgemist, kustutamist;
 6) juhud, millal andmesubjektil on õigus pääseda juurde tema kohta töödeldavatele isikuandmetele.

 (2) Käesoleva paragrahvi lõikes 1 nimetatud kohustus ei kehti:
 1) kui andmesubjekt on lõikes 1 loetletud asjaoludest teadlik;
 2) kui isikuandmeid töödeldakse seaduse või välislepinguga ettenähtud ülesande täitmiseks;
 3) käesoleva seaduse § 30 lõikes 1 sätestatud juhtudel.

§ 16. Isikukoodi töötlemise lubatavus

  Isikukoodi töötlemine on lubatud ilma andmesubjekti nõusolekuta, kui isikukoodi töötlemine on ette nähtud välislepingus, seaduses või määruses.

§ 17. Automaatsed otsused

 (1) Andmetöötlussüsteemi poolt ilma füüsilise isiku osaluseta otsuse (edaspidi automaatne otsus) tegemine, millega hinnatakse andmesubjekti isiksuseomadusi, võimeid või muid andmesubjekti iseloomuomadusi, kui see toob andmesubjektile kaasa õiguslikke tagajärgi või mõjutab andmesubjekti muul viisil märkimisväärselt, on keelatud, välja arvatud järgmistel juhtudel:
 1) automaatne otsus andmesubjekti suhtes tehakse lepingu sõlmimise või täitmise käigus tingimusel, et andmesubjekti taotlus lepingu sõlmimiseks või täitmiseks rahuldatakse või andmesubjektile on antud võimalus esitada tehtava otsuse suhtes vastuväide oma õigustatud huvi kaitseks;
 2) automaatse otsuse tegemine on ette nähtud seadusega, kui seaduses on sätestatud meetmed andmesubjekti õigustatud huvide kaitseks.

 (2) Andmesubjekti peab enne automaatse otsuse vastuvõtmist teavitama mõistetaval viisil automaatse otsuse vastuvõtmise aluseks olevast andmete töötlemise protsessist ja tingimustest.

3. peatükk ISIKUANDMETE TÖÖTLEMISE NÕUDED JA ISIKUANDMETE TURVAMEETMED 

§ 18. Isikuandmete töötlemise nõuded

  Vastutav töötleja ja volitatud töötleja on isikuandmete töötlemisel kohustatud:
 1) eesmärkide saavutamiseks mittevajalikud isikuandmed viivitamata kustutama või sulgema, kui seadus ei näe ette teisiti;
 2) tagama, et isikuandmed on õiged ja, kui see on eesmärkide saavutamiseks vajalik, viimases seisus;
 3) mittetäielikud ja ebaõiged isikuandmed sulgema ning nende täiendamiseks ja parandamiseks võtma viivitamata kasutusele vajalikud abinõud;
 4) ebaõiged andmed säilitama märkusega nende kasutamise aja kohta koos õigete andmetega;
 5) isikuandmed, mille õigsus on vaidlustatud, sulgema kuni andmete õigsuse kindlakstegemiseni või õigete andmete väljaselgitamiseni.

§ 19. Isikuandmete organisatsioonilised, füüsilised ja infotehnilised turvameetmed

 (1) Vastutav töötleja ja volitatud töötleja on kohustatud kasutusele võtma organisatsioonilised, füüsilised ja infotehnilised turvameetmed isikuandmete kaitseks:
 1) andmete tervikluse osas – juhusliku või tahtliku volitamata muutmise eest;
 2) andmete käideldavuse osas – juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest;
 3) andmete konfidentsiaalsuse osas – volitamata töötlemise eest.

 (2) Vastutav töötleja ja volitatud töötleja on isikuandmete töötlemisel kohustatud:
 1) vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele;
 2) ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
 3) ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati;
 4) tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
 5) tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja millised isikuandmed edastati, samuti selliste andmete muutusteta säilimine;
 6) tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist;
 7) kujundama ettevõtte, asutuse või ühenduse töökorralduse niisuguseks, et see võimaldaks täita andmekaitse nõudeid.

 (3) Vastutav ja volitatud töötleja on kohustatud pidama arvestust isikuandmete töötlemisel kasutatavate tema kontrolli all olevate seadmete ja tarkvara üle, dokumenteerides järgmised andmed:
 1) seadme nimetuse, tüübi ja asukoha ning seadme valmistaja nime;
 2) tarkvara nimetuse, versiooni, valmistaja nime ja kontaktandmed ning tarkvara juurde kuuluvate dokumentide asukoha.

§ 20. Isikuandmeid töötlevatele isikutele esitatavad nõuded

 (1) Isik, kes vastutava või volitatud töötleja alluvuses töötleb isikuandmeid, on kohustatud neid töötlema käesolevas seaduses lubatud eesmärkidel ja tingimustel ning vastavalt vastutava töötleja poolt antud juhistele ja korraldustele.

 (2) Käesoleva paragrahvi lõikes 1 nimetatud isik on kohustatud hoidma saladuses talle tööülesannete täitmisel teatavaks saanud isikuandmeid ka pärast töötlemisega seotud tööülesannete täitmist või töö- või teenistussuhte lõppemist.

 (3) Vastutav töötleja ja volitatud töötleja on kohustatud tagama oma alluvuses isikuandmeid töötlevate isikute isikuandmete kaitse alase väljaõppe.

4. peatükk ERAELULISTE ISIKUANDMETE TÖÖTLEMISEST TEAVITAMINE 

§ 21. Teavitamiskohustus

 (1) Isikuandmete vastutav töötleja on kohustatud Andmekaitse Inspektsiooni eraeluliste isikuandmete töötlemisest teavitama, kui eraelulisi isikuandmeid töödeldakse digitaalkujul arvuti abil või paberkandjate kogumis, kust eraelulised isikuandmed on hõlpsasti kättesaadavad kindla kriteeriumi alusel.

 (2) Teavitamiskohustus ei kehti, kui isikuandmeid töödeldakse riigi põhiregistris või riiklikus registris või kui isikuandmeid töödeldakse seaduse või määruse alusel.

§ 22. Teatis isikuandmete töötlemise kohta

 (1) Käesoleva seaduse § 21 lõikes 1 nimetatud teavitamiskohustuse täitmiseks esitab isikuandmete vastutav töötleja teatise eraeluliste isikuandmete töötlemise kohta (edaspidi  teatis).

 (2) Teatis isikuandmete töötlemise kohta esitatakse digitaalse kandena isikuandmete töötlejate registris vähemalt üks kuu enne isikuandmete töötlemise algust.

 (3) Teatises esitatakse:
 1) vastutava ja volitatud töötleja nimi, registri- või isikukood, tegevuskoht, asu- või elukoht, kontaktandmed (postiaadress, telefon, elektronposti aadress jms);
 2) isikuandmete töötlemise eesmärgid;
 3) isikuandmete koosseis;
 4) isikute kategooriad, kelle andmeid töödeldakse;
 5) isikuandmete allikad;
 6) isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud;
 7) isikuandmete välisriiki edastamise tingimused;
 8) isikuandmete sulgemise, kustutamise ja hävitamise tingimused;
 9) käesoleva seaduse § 19 lõikes 2 nimetatud isikuandmete organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete üldine kirjeldus.

 (4) Teavitamiskohustus loetakse täidetuks teatise isikuandmete töötlejate registrisse kandmise hetkest.

§ 23. Andmete muutmisest teavitamine

  Vastutav töötleja on kohustatud isikuandmete töötlejate registrisse kantud andmete muutmisest või täiendamisest teatama Andmekaitse Inspektsioonile enne vastavate muudatuste ja täienduste rakendamist käesoleva seaduse §-s 22 sätestatud korras.

5. peatükk DELIKAATSETE ISIKUANDMETE TÖÖTLEMISE REGISTREERIMINE 

§ 24. Delikaatsete isikuandmete töötlemise registreerimise kohustus

 (1) Vastutav töötleja on kohustatud registreerima delikaatsete isikuandmete töötlemise Andmekaitse Inspektsioonis.

 (2) Vastutav töötleja, kes taotleb tegevusluba või litsentsi tegevusalal, millega kaasneb delikaatsete isikuandmete töötlemine, on kohustatud enne tegevusloa või litsentsi taotlemist registreerima töötlemise Andmekaitse Inspektsioonis. Tegevusluba või litsentsi ei väljastata, kui delikaatsete isikuandmete töötlemine on registreerimata.

 (3) Delikaatsete isikuandmete töötlemine registreeritakse viieks aastaks. Vastutav töötleja on kohustatud vähemalt kolm kuud enne tähtaja möödumist esitama uue käesoleva seaduse § 25 nõuetele vastava registreerimistaotluse. Tähtaja möödumisel kaotab vastutav töötleja õiguse töödelda delikaatseid isikuandmeid.

 (4) Delikaatsete isikuandmete töötlemine on keelatud, kui:
 1) delikaatsete isikuandmete töötlemine on Andmekaitse Inspektsiooni poolt registreerimata;
 2) delikaatsete isikuandmete töötlemise registreerituse tähtaeg on möödunud ning vastutav töötleja ei ole esitanud uut registreerimistaotlust;
 3) Andmekaitse Inspektsioon on delikaatsete isikuandmete töötlemise peatanud või keelanud.

 (5) Andmekaitse Inspektsioon keeldub delikaatsete isikuandmete töötlemise registreerimisest, kui:
 1) töötlemiseks puudub seaduslik alus;
 2) töötlemise tingimus ei vasta käesoleva seaduse, muu seaduse või selle alusel kehtestatud õigusaktis sätestatud nõudele;
 3) rakendatud isikuandmete organisatsioonilised, füüsilised ja infotehnilised turvameetmed ei taga käesoleva seaduse §-s 19 sätestatud nõuete täitmist.

§ 25. Registreerimistaotlus

 (1) Registreerimistaotlus esitatakse Andmekaitse Inspektsioonile digitaalselt veebilehe kaudu isikuandmete töötlejate registrisse kandmiseks vähemalt üks kuu enne delikaatsete isikuandmete töötlemise algust.

 (2) Registreerimistaotluses esitatakse:
 1) vastutava ja volitatud töötleja nimi, registri- või isikukood, tegevuskoht, asu- või elukoht, kontaktandmed (postiaadress, telefon, elektronposti aadress jms);
 2) isikuandmete töötlemise eesmärgid;
 3) isikuandmete koosseis;
 4) isikute kategooriad, kelle andmeid töödeldakse;
 5) isikuandmete allikad;
 6) isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud;
 7) tingimused isikuandmete välisriiki edastamiseks;
 8) käesoleva seaduse § 19 lõikes 2 nimetatud isikuandmete organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete üksikasjalik kirjeldus.

§ 26. Registreerimistaotluse menetlus

 (1) Andmekaitse Inspektsioon otsustab töötlemise registreerimise või registreerimisest keeldumise 20 tööpäeva jooksul, alates registreerimistaotluse esitamise päevast.

 (2) Andmekaitse Inspektsioon võib kohapeal kontrollida valmisolekut delikaatsete isikuandmete töötlemiseks. Sel juhul pikeneb registreerimistaotluse lahendamise tähtaeg 10 tööpäeva võrra. Kontrollimise tulemusena võib Andmekaitse Inspektsioon anda soovitusi isikuandmete organisatsiooniliste ja infotehniliste turvameetmete rakendamiseks ja tõhustamiseks.

 (3) Vastutava töötleja õigus delikaatsete isikuandmete töötlemiseks tekib käesoleva paragrahvi lõikes 1 nimetatud otsuses määratud tähtpäevast. Kui lõikes 1 nimetatud otsuses on tähtpäev määramata, on vastutaval töötlejal delikaatsete isikuandmete töötlemise õigus alates otsuse isikuandmete töötlejate registrisse kandmisele järgnevast päevast.

 (4) Delikaatsete isikuandmete töötlemise registreerimise otsus loetakse vastutavale töötlejale kättetoimetatuks Andmekaitse Inspektsiooni veebilehel avalikustamisega. Registreerimisest keeldumise otsuse kohta tehakse märge isikuandmete töötlejate registrisse ning otsus tehakse taotlejale teatavaks selle kättetoimetamisega.

 (5) Vastutav töötleja on kohustatud isikuandmete töötlejate registrisse kantud andmete muutmise või täiendamise registreerima Andmekaitse Inspektsioonis. Andmete muutmise või täiendamise registreerimisele kohaldatakse isikuandmete töötlemise registreerimise tähtaegade kohta sätestatut.

§ 27. Isikuandmete töötlejate register

 (1) Riiklik isikuandmete töötlejate register on Vabariigi Valitsuse poolt kehtestatud korras Andmekaitse Inspektsiooni poolt peetav andmekogu, kus registreeritakse eraeluliste isikuandmete töötlemise teatised ja delikaatsete isikuandmete töötlemise registreerimist puudutavad andmed.

 (2) Andmekaitse Inspektsioonile esitatud isikuandmete organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid puudutav teave, samuti teave isikuandmete sulgemise, kustutamise ja hävitamise tingimuste kohta on asutusesiseseks kasutamiseks mõeldud teave.

 (3) Register on Andmekaitse Inspektsiooni veebilehe vahendusel avalikult kasutatav, välja arvatud käesoleva paragrahvi lõikes 2 nimetatud teave ning teave, mis puudutab isikuandmete töötlemist julgeolekuasutustes.

 (4) Registriandmetel on informatiivne tähendus. Delikaatsete isikuandmete töötlemise registreeritust puudutavatel kannetel on õiguslik tähendus.

6. peatükk ISIKUANDMETE EDASTAMINE VÄLISRIIKI 

§ 28. Isikuandmete edastamine välisriiki

 (1) Isikuandmete edastamine Eestis asuvast andmekogust on lubatud riiki, kus on piisav andmekaitse tase.

 (2) [Kehtetu - RT I 2004, 30, 208 - jõust. 01.05.2004]

 (3) Isikuandmete edastamine on lubatud Euroopa Liidu liikmesriiki ning Euroopa Majanduspiirkonna lepinguga ühinenud riiki, samuti riiki, mille isikuandmete kaitse taset on Euroopa Komisjon hinnanud piisavaks. Isikuandmete edastamine ei ole lubatud riiki, mille andmekaitse taset on Euroopa Komisjon hinnanud ebapiisavaks.

 (4) Välisriiki, mis ei vasta käesoleva paragrahvi lõikes 1 sätestatud tingimusele, võib isikuandmeid edastada üksnes Andmekaitse Inspektsiooni loal, kui:
 1) vastutav töötleja garanteerib konkreetsel juhul andmesubjekti õiguste ja eraelu kaitse selles riigis;
 2) konkreetsel isikuandmete edastamise juhul on riigis tagatud piisav andmekaitse tase. Andmekaitse taseme hindamisel tuleb arvesse võtta isikuandmete edastamisega seotud asjaolusid, sealhulgas andmete koosseisu, töötlemise eesmärke ja kestust, andmete edastamise siht- ja lõppriiki ning riigis kehtivat õigust.

 (5) Andmekaitse Inspektsioon informeerib Euroopa Komisjoni käesoleva paragrahvi lõike 4 alusel antud loa andmisest.

 (6) Andmekaitse Inspektsiooni loata võib isikuandmeid edastada välisriiki, kus ei ole tagatud andmekaitse piisav tase:
 1) kui andmesubjekt on selleks andnud nõusoleku;
 2) käesoleva seaduse § 14 lõikes 2 sätestatud juhtudel;
 3) kui andmed edastatakse välisriiki ¹ifreeritud kujul ning de¹ifreerimiseks vajalikke andmeid ei viida välisriiki.
[RT I 2004, 30, 208 - jõust. 01.05.2004]

7. peatükk ANDMESUBJEKTI ÕIGUSED 

§ 29. Andmesubjekti õigus saada teavet ja tema kohta käivaid isikuandmeid isikuandmete töötlemisel

 (1) Andmesubjekti soovil peab vastutav ja volitatud töötleja andmesubjektile teatavaks tegema:
 1) tema kohta käivad isikuandmed;
 2) isikuandmete töötlemise eesmärgid;
 3) isikuandmete koosseisu ja allikad;
 4) kolmandad isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud;
 5) vastutava töötleja nime ja tegevuskoha aadressi.

 (2) Andmesubjektil on õigus saada vastutavalt või volitatud töötlejalt enda kohta käivaid isikuandmeid koopiana. Paberkandjal koopiate valmistamise eest võib vastutav või volitatud töötleja alates 21. leheküljest nõuda tasu kuni kolm krooni iga väljastatud lehekülje eest. Tasu isikuandmete väljastamise eest võib nõuda ka korduva samade isikuandmete väljastamise eest.

 (3) Vastutav või volitatud töötleja on kohustatud andma andmesubjektile teavet ja väljastama nõutavad isikuandmed või põhjendama andmete või teabe andmisest keeldumist avalduse saamise päevale järgneva viie tööpäeva jooksul.

§ 30. Teabe ja isikuandmete saamise õiguse erandid

 (1) Andmesubjekti õigust saada teavet ja enda kohta käivaid isikuandmeid isikuandmete töötlemisel piiratakse, kui see võib kahjustada:
 1) teiste isikute õigusi ja vabadusi;
 2) lapse põlvnemise saladuse kaitset;
 3) kuriteo tõkestamist või kurjategija tabamist;
 4) kriminaalmenetluses tõe väljaselgitamist.

 (2) Otsuse andmete või teabe andmisest keeldumise kohta teeb vastutav töötleja, teavitades sellest andmesubjekti.

§ 31. Andmesubjekti õigus nõuda isikuandmete töötlemise lõpetamist ning isikuandmete parandamist, sulgemist ja kustutamist

 (1) Vastutav või volitatud töötleja on kohustatud andmesubjekti nõudmisel, kui töötlemine ei ole vastavuses käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktidega:
 1) lõpetama tema isikuandmete töötlemise;
 2) parandama ebaõiged isikuandmed;
 3) sulgema või kustutama kogutud isikuandmed.

 (2) Vastutav või volitatud töötleja on ebaõigete isikuandmete parandamisest või isikuandmete sulgemisest või kustutamisest kohustatud viivitamata teavitama andmesubjekti ja kolmandaid isikuid, kellele isikuandmeid on edastatud.

 (3) Käesoleva paragrahvi lõikes 2 nimetatud kohustus ei kehti:
 1) kui andmesubjekt on lõikes 2 loetletud asjaoludest teadlik;
 2) käesoleva seaduse § 30 lõikes 1 sätestatud juhtudel;
 3) kui andmesubjekti teavitamine oleks ebaproportsionaalselt raske.

§ 32. Andmesubjekti õigus pöörduda Andmekaitse Inspektsiooni ja kohtu poole

  Andmesubjektil on õigus pöörduda Andmekaitse Inspektsiooni ja kohtu poole, kui ta leiab, et isikuandmete töötlemisel rikutakse tema õigusi.

§ 33. Andmesubjekti õigus nõuda kahju hüvitamist

  Kui isikuandmete töötlemisel on rikutud andmesubjekti õigusi, on andmesubjektil õigus nõuda temale tekitatud kahju hüvitamist:
 1) riigivastutuse seaduses (RT I 2001, 47, 260; 2002, 62, 377) sätestatud alustel ja korras, kui õigusi rikuti avaliku ülesande täitmise käigus või
 2) võlaõigusseaduses (RT I 2001, 81, 487; 2002, 60, 374) sätestatud alustel ja korras, kui õigusi rikuti eraõiguslikus suhtes.

8. peatükk JÄRELEVALVE 

§ 34. Järelevalve

 (1) Käesoleva seaduse ja selle alusel kehtestatud õigusaktide järgimist kontrollib Andmekaitse Inspektsioon.

 (2) Andmekaitse Inspektsioon võib järelevalvemenetluse algatada kaebuse alusel või oma algatusel.

 (3) Andmekaitse Inspektsioon on järelevalve korraldamisel sõltumatu ja tegutseb, lähtudes käesolevast seadusest, muudest seadustest ja nende alusel kehtestatud õigusaktidest.

§ 35. Andmekaitse Inspektsiooni juhile esitatavad nõuded

 (1) Andmekaitse Inspektsiooni juhina võib töötada kõrgharidusega isik, kes omab piisavat õigusalast ettevalmistust, juhtimisalaseid ning infosüsteemide haldamis- ja auditeerimiskogemusi.

 (2) Andmekaitse Inspektsiooni juhiks ei saa olla isik, kes on süüdi mõistetud tahtliku kuriteo toimepanemise eest või vabastatud kõrgharidust nõudvalt töökohalt või ametist seoses sobimatusega ametikohal edasi töötada.

 (3) Andmekaitse Inspektsiooni juht ei tohi ametisoleku ajal töötada muudel palgalistel töö- või ametikohtadel, välja arvatud pedagoogiline ja teadustöö.

 (4) Andmekaitse Inspektsiooni juhi nimetab siseministri ettepanekul viieks aastaks ametisse Vabariigi Valitsus. Andmekaitse Inspektsiooni juhti ei tohi nimetada ametisse rohkem kui kaheks ametiajaks järjestikku.

§ 36. Andmekaitse Inspektsiooni ülesanded

 (1) Andmekaitse Inspektsioon:
 1) kontrollib käesolevas seaduses sätestatud nõuete täitmist;
 2) rakendab seadustes ettenähtud alustel, ulatuses ja korras haldussundi;
 3) algatab vajadusel väärteomenetluse ja kohaldab karistust;
 4) teeb koostööd rahvusvaheliste andmekaitse järelevalve organisatsioonidega ja välisriikide andmekaitse järelevalve asutuste ning välisriikide muude pädevate asutuste või isikutega;
 5) annab soovituslikke juhiseid käesoleva seaduse rakendamiseks;
 6) täidab muid seadustest tulenevaid ülesandeid.

 (2) Andmekaitse Inspektsioonil on oma ülesannete täitmisel kõik käesolevas seaduses ning selle alusel antud õigusaktides sätestatud õigused, sealhulgas õigus:
 1) peatada isikuandmete töötlemine;
 2) nõuda ebaõigete isikuandmete parandamist;
 3) keelata isikuandmete töötlemine;
 4) nõuda isikuandmete sulgemist või töötlemise lõpetamist (sealhulgas hävitamist või edastamist arhiivi);
 5) rakendada vajadusel asendustäitmise ja sunniraha seaduses (RT I 2001, 50, 283; 94, 580) sätestatud korras viivitamata isikuandmete organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid, et ära hoida isiku õiguste ja vabaduste kahjustamist;
 6) nõuda isikutelt asjakohaseid dokumente ja muud vajalikku teavet ning teha dokumentidest koopiaid.

 (3) Andmekaitse Inspektsiooni pädeval ametiisikul on õigus kontrollimiseks takistamatult siseneda vastutava või volitatud töötleja territooriumile või ruumi, saada juurdepääs vastutava ja volitatud töötleja dokumentidele ja seadmetele, samuti salvestatud andmetele ning andmetöötluseks kasutatavale tarkvarale.

§ 37. Andmekaitse Inspektsiooni kohustused

  Andmekaitse Inspektsiooni ametnik on kohustatud:
 1) juhinduma käesolevast seadusest, muudest seadustest ja nende alusel kehtestatud õigusaktidest;
 2) hoidma saladuses talle tööülesannete täitmisel teatavaks saanud juurdepääsupiiranguga teavet ning isikuandmeid tähtajatult;
 3) esitama kontrollitava isiku nõudmisel ametitõendi;
 4) koostama järelevalve tulemuse kohta kontrollakti;
 5) selgitama isikuandmete töötlemise nõuete rikkumise korral vastutavale või volitatud töötlejale või tema esindajale õigusaktide rikkumise olemust ning nõudma rikkumise lõpetamist;
 6) tegema isikuandmete töötlemise nõuete rikkumise korral ettekirjutuse või algatama väärteomenetluse.

§ 38. Kaebuse läbivaatamise tähtaeg

 (1) Andmekaitse Inspektsioon lahendab kaebuse 30 päeva jooksul, arvates kaebuse Andmekaitse Inspektsioonile esitamisest.

 (2) Kaebuse lahendamiseks vajalike asjaolude täiendavaks selgitamiseks võib Andmekaitse Inspektsioon kaebuse läbivaatamise tähtaega pikendada kuni 60 päeva võrra. Tähtaja pikendamisest tuleb kaebuse esitajale kirjalikult teatada.

§ 39. Kontrollakt

 (1) Isikuandmete töötlemise nõuete täitmise kontrollimise kohta koostatakse kontrollakt.

 (2) Kontrollaktis märgitakse:
 1) akti koostanud isiku ees- ja perekonnanimi ning ametinimetus;
 2) akti adressaadi ees- ja perekonnanimi ning aadress või juriidilise isiku nimi ja postiaadress;
 3) kontrolltoimingu sisu (õiguslik alus, tuvastatud asjaolud, vastutava või volitatud töötleja või tema esindaja selgitused ja muud asjas tähtsust omavad asjaolud);
 4) akti koostamise aeg ja koht;
 5) akti koostanud isiku allkiri.

§ 40. Andmekaitse Inspektsiooni ettekirjutus

 (1) Käesoleva seaduse täitmise tagamiseks on Andmekaitse Inspektsiooni ametiisikul õigus teha vastutavale töötlejale ja volitatud töötlejale ettekirjutusi ja teha otsuseid.

 (2) Käesoleva paragrahvi lõikes 1 nimetatud ettekirjutuse mittetäitmisel võib Andmekaitse Inspektsioon rakendada sunniraha asendustäitmise ja sunniraha seaduses sätestatud korras.

 (3) Käesoleva paragrahvi lõikes 2 nimetatud sunniraha ülemmäär on 10 000 krooni.

 (4) Andmekaitse Inspektsiooni otsused ja ettekirjutused isikuandmete töötlemise õiguse peatamise, lõpetamise ning keelamise kohta kantakse isikuandmete töötlejate registrisse.

§ 41. Andmekaitse Inspektsiooni ettekanne käesoleva seaduse täitmise kohta

 (1) Andmekaitse Inspektsioon esitab iga aasta 1. detsembriks käesoleva seaduse täitmise kohta ettekande Riigikogu põhiseaduskomisjonile ja õiguskantslerile.

 (2) Ettekandes esitatakse ülevaade olulisematest käesoleva seaduse täitmise ja rakendamisega seotud asjaoludest.

 (3) Ettekanne avalikustatakse Andmekaitse Inspektsiooni veebilehel.

9. peatükk VASTUTUS 

§ 42. Käesoleva seaduse nõuete eiramine

 (1) Delikaatsete isikuandmete töötlemise registreerimiskohustuse, isikuandmete kaitse turvameetmete või isikuandmete töötlemise muude nõuete eiramise eest – karistatakse rahatrahviga kuni 300 trahviühikut.

 (2) Sama teo eest, kui selle on toime pannud juriidiline isik – karistatakse rahatrahviga kuni 50 000 krooni.

 (3) Käesolevas paragrahvis sätestatud väärtegudele kohaldatakse karistusseadustiku (RT I 2001, 61, 364; 2002, 82, 489; 86, 504; 105, 612; 2003, 4, 22) üldosa ja väärteomenetluse seadustiku (RT I 2002, 50, 313; 110, 654) sätteid.

 (4) Käesolevas paragrahvis sätestatud väärtegude kohtuväline menetleja on Andmekaitse Inspektsioon.

10. peatükk RAKENDUSSÄTTED 

§-d 43--44.  [Käesolevast tekstist välja jäetud]

§ 45. Delikaatsete isikuandmete registreeritus varasema seaduse alusel

  Isikuandmete kaitse seaduse (RT I 1996, 48, 944; 1998, 59, 941; 111, 1833; 2000, 50, 317; 92, 597; 104, 685; 2001, 50, 283; 2002, 61, 375; 63, 387) alusel delikaatsete isikuandmete töötlemise registreeritus kehtib kolm aastat käesoleva seaduse jõustumisest arvates.

§ 46. Enne käesoleva seaduse jõustumist antud nõusolek isikuandmete töötlemiseks

 (1) Enne käesoleva seaduse jõustumist antud nõusolek isikuandmete töötlemiseks loetakse kehtivaks, kui see vastab nõusoleku andmise ajal kehtinud seaduse nõuetele.

 (2) Andmesubjekti nõudel teavitab vastutav ja volitatud töötleja andmesubjekti isikuandmete töötlemise lõpetamise, parandamise, sulgemise, kustutamise ning isikuandmetele juurdepääsu tingimustest kümne tööpäeva jooksul.

§ 47. [Käesolevast tekstist välja jäetud]

§ 48. Isikuandmete töötlejate registri kasutuselevõtmine

  Isikuandmete töötlejate register võetakse kasutusele 2004. aasta 1. juulist. Kuni registri kasutuselevõtmiseni esitatakse käesoleva seaduse § 25 lõikes 1 nimetatud taotlus Andmekaitse Inspektsioonile paberkandjal. Enne 2004. aasta 1. juulit isikuandmete töötlemist alustanud vastutavad töötlejad täidavad teavitamiskohustuse 2004. aasta 31. oktoobriks.

§ 49. Seaduse jõustumine

 (1) Käesolev seadus jõustub 2003. aasta 1. oktoobril.

 (2) Käesoleva seaduse 4. peatükk ja § 26 lõige 4 jõustuvad 2004. aasta 1. juulil.

 (3) Käesoleva seaduse § 28 lõige 2 muutub kehtetuks ning lõiked 3 ja 5 jõustuvad Euroopa Liiduga liitumisel.