Isikuandmete kaitse seadus
Vastu võetud 12.06.1996
Välja kuulutatud Vabariigi Presidendi 28. juuni 1996. a otsusega nr 747 |
1. peatükk. ÜLDSÄTTED
§ 1. Seaduse eesmärk
Käesoleva seaduse eesmärk on isiku põhiõiguste ja vabaduste kaitsmine isikuandmete töötlemisel kooskõlas isiku õigusega vabalt saada üldiseks kasutamiseks levitatavat teavet.
§ 2. Seaduse kohaldamise ala
(1) Käesolevat seadust kohaldatakse isikuandmete:
1) täielikult
või osaliselt automatiseeritud töötlemisel;
2) mitteautomatiseeritud
töötlemisel, kui kasutatavad isikuandmed võetakse isikuandmete
korrastatud kogumist või on ette nähtud kasutatavate andmete kandmine
isikuandmete korrastatud kogumisse.
(2) Käesolevat seadust ei kohaldata:
1) füüsilise isiku
enda poolt kogutud isikuandmete töötlemisele isiklikuks otstarbeks;
2) riigisaladust
sisaldavate isikuandmete töötlemisele.
§ 3. Isikuandmete kaitse tagamine
(1) Isikuandmete kaitse tagatakse vastutava töötleja ja volitatud
töötleja kohustusega:
1) töödelda isikuandmeid käesolevas
seaduses lubatud eesmärkidel ja tingimustel;
2) täita
isikuandmete töötlemise nõudeid ja kaitse abinõusid käesolevas seaduses
sätestatud korras;
3) registreerida delikaatsete isikuandmete
töötlemine vastavalt käesolevale seadusele.
(2) Isikuandmete kaitse tagatakse ka isiku õigusega käesolevas seaduses
sätestatud korras:
1) anda nõusolek oma isikuandmete
töötlemiseks;
2) saada teavet oma isikuandmete töötlemisest;
3) keelata
oma isikuandmete töötlemine.
§ 4. Isikuandmed
(1) Isikuandmed on kõik andmed üheselt tuvastatud, samuti otseselt või kaudselt üheselt tuvastatava füüsilise isiku kohta, mis väljendavad selle isiku füüsilisi, psüühilisi, psühholoogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust.
(2) Isikuandmed käesoleva seaduse mõistes on kas delikaatsed või mittedelikaatsed isikuandmed.
(3) Delikaatsed isikuandmed on:
1) poliitilisi vaateid, usulisi
ja filosoofilisi veendumusi kirjeldavad andmed;
2) etnilist päritolu
ja rassilist kuuluvust kirjeldavad andmed;
3) andmed tervisliku
seisundi ja seksuaalelu kohta;
4) andmed toimepandud kuritegude ja
kohtulike karistuste kohta;
5) andmed kriminaalmenetluse kohta.
(4) Delikaatsete isikuandmete loetelu võib täiendada vastavat valdkonda reguleeriva seadusega.
(5) Füüsilise isiku kohta kogutud statistilised andmed ei ole isikuandmed, kui puudub võimalus isikut, kelle kohta need andmed on kogutud, üheselt tuvastada.
§ 5. Isikuandmete töötlemine
Isikuandmete töötlemine on isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine, päringute teostamine, väljavõtete tegemine, kasutamine, üleandmine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eeltoodud toimingut, sõltumata toimingute teostamise viisist või kasutatavatest vahenditest.
§ 6. Vastutav töötleja ja volitatud töötleja
(1) Vastutav töötleja on füüsiline või juriidiline isik või riigi- või
kohaliku omavalitsuse asutus, kes töötleb või kelle tellimisel
töödeldakse isikuandmeid ning kes on käesolevast seadusest, muudest
seadustest ja nende alusel kehtestatud õigusaktidest juhindudes pädev
otsustama:
1) isikuandmete töötlemise eesmärgid;
2) töödeldavate
isikuandmete koosseisu;
3) isikuandmete töötlemise korra ja viisi;
4) isikuandmete
kolmandatele isikutele üleandmise lubamise.
(2) Volitatud töötleja on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb isikuandmeid vastutava töötleja tellimisel.
§ 7. Kolmas isik
(1) Kolmas isik on füüsiline või juriidiline isik või riigi- või
kohaliku omavalitsuse asutus, kes ei ole:
1) volitatud töötleja;
2) isik,
kelle isikuandmeid töödeldakse;
3) isik, kes vastutava või
volitatud töötleja alluvuses töötleb isikuandmeid.
(2) Kolmas isik, kes töötleb talle vastutava töötleja poolt üleantud isikuandmeid, on vastavalt käesoleva seaduse § 6 lõikele 1 vastutav töötleja ning ta on kohustatud täitma käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktide nõudeid isikuandmete töötlemisel.
§ 8. Mittedelikaatsete isikuandmete töötlemise lubatavus
(1) Mittedelikaatsete isikuandmete töötlemine on lubatud ilma isiku
nõusolekuta, kui töötlemise eesmärk on:
1) isikuga
sõlmitud lepingu täitmine või tööde teostamine, mis toimub isiku
tellimisel;
2) isiku elu, tervise või vabaduse kaitse;
3) seaduse
või välislepinguga ettenähtud kohustuste täitmine;
4) avalikku
huvi silmas pidava ülesande täitmine, mis on seaduse või selle alusel
kehtestatud õigusaktiga pandud vastutavale töötlejale või kolmandale
isikule, kellele andmed üle antakse;
5) üldiste huvide või
vastutava töötleja õigustatud huvide või kolmanda isiku, kellele andmed
üle antakse, õigustatud huvide arvestamine, kui isiku huvid ei ole
olulisemad.
(2) Käesoleva paragrahvi lõikes 1 loetletud eesmärkidel töödeldavate mittedelikaatsete isikuandmete üleandmine kolmandale isikule on lubatud, kui nende töötlemine, sealhulgas kasutamine kolmanda isiku poolt, toimub samadel eesmärkidel. Kui mittedelikaatsete isikuandmete töötlemine, sealhulgas nende kasutamine kolmanda isiku poolt, ei toimu samadel eesmärkidel, on nende üleandmine lubatud ainult isiku nõusolekul.
(3) Eesmärkidel, mis ei ole loetletud käesoleva paragrahvi lõikes 1, on isikuandmete töötlemine, sealhulgas nende üleandmine kolmandale isikule, lubatud, kui selleks on isiku nõusolek ja töötlemine ei ole vastuolus seaduse ning selle alusel kehtestatud õigusaktiga.
§ 9. Delikaatsete isikuandmete töötlemise lubatavus
(1) Eesti kodaniku ja alalise elamisloa alusel Eestis viibiva
välismaalase usulisi, poliitilisi ja muid veendumusi kirjeldavate
delikaatsete isikuandmete töötlemine, sealhulgas nende üleandmine
kolmandale isikule, on lubatud ainult isiku nõusolekul. Muudel juhtudel
on isiku usulisi, poliitilisi ja muid veendumusi kirjeldavate
delikaatsete isikuandmete töötlemine, sealhulgas nende üleandmine
kolmandale isikule, lubatud:
1) ilma isiku nõusolekuta, kui
töötlemine toimub seadusega ettenähtud kohustuse täitmiseks;
2) isiku
nõusolekul, kui töötlemine ei ole vastuolus seaduse ja selle
alusel kehtestatud õigusaktiga.
(2) Etnilist päritolu ja rassilist kuuluvust, tervislikku seisundit ja
seksuaalelu kirjeldavate delikaatsete isikuandmete töötlemine on lubatud
ilma isiku nõusolekuta, kui töötlemine toimub:
1) seadusega
ettenähtud kohustuse täitmiseks;
2) isiku elu, tervise ja
vabaduse kaitseks;
3) avalikku või üldist huvi silmas pidava ülesande
täitmiseks, mis on seadusega pandud vastutavale töötlejale või
kolmandale isikule, kellele andmed üle antakse.
(3) Isikuandmete töötlemine seoses toimepandud kuritegude, kohtulike
karistuste ja kriminaalmenetlusega on lubatud ilma isiku nõusolekuta,
kui töötlemine toimub:
1) seadusega ettenähtud kohustuse
täitmiseks;
2) avalikku või üldist huvi silmas pidava ülesande
täitmiseks, mis on seadusega pandud vastutavale töötlejale või
kolmandale isikule, kellele andmed üle antakse.
(4) Muudel juhtudel on käesoleva paragrahvi lõigetes 2 ja 3 loetletud delikaatsete isikuandmete töötlemine lubatud, kui selleks on isiku nõusolek ja töötlemine ei ole vastuolus seaduse ning selle alusel kehtestatud õigusaktiga.
(5) Delikaatsete isikuandmete töötlemise lubatavuse täpsemad tingimused sätestatakse vastavat valdkonda reguleeriva seadusega.
§ 10. Isiku nõusolek
(1) Isiku nõusolek on selgelt väljendatud tahteavaldus, millega isik
lubab oma isikuandmete töötlemist pärast seda, kui teda on teavitatud:
1) isikuandmete
töötlemise eesmärgist ja õiguslikust alusest;
2) isikuandmete
koosseisust ja allikast;
3) kolmandatest isikutest või nende
kategooriatest, kellele isikuandmete üleandmine on lubatud;
4) üldiseks
kasutamiseks antavate isikuandmete loetelust;
5) vastutava töötleja
või tema esindaja nimest ja aadressist.
(2) Nõusolek kehtib konkreetse töötlemisjuhu suhtes, peab olema antud vabatahtlikult ja võib olla isiku poolt igal ajal tagasi võetud. Nõusoleku tagasivõtmisel ei ole tagasiulatuvat jõudu.
3. peatükk. ISIKUANDMETE TÖÖTLEMISE NÕUDED JA KAITSE ABINÕUD
§ 11. Isikuandmete töötlemise nõuded
Vastutav töötleja ja volitatud töötleja on kohustatud isikuandmeid
töötlema ainult täpselt kindlaksmääratud ja käesolevas seaduses lubatud
eesmärkidel ja tingimustel ning tagama, et:
1) isikuandmete
koosseis vastaks töötlemise eesmärkidele ega ületaks nende eesmärkide
saavutamise vajadusi;
2) eesmärkide saavutamiseks mittevajalikud
isikuandmed kustutatakse või suletakse;
3) isikuandmed on
õiged ja, kui see on eesmärkide saavutamiseks vajalik, viimases seisus;
4) mittetäielikud
ja ebaõiged isikuandmed suletakse ning nende täiendamiseks ja
parandamiseks võetakse kohe kasutusele vajalikud abinõud;
5) ebaõiged
andmed säilitatakse märkusega nende kasutamise aja kohta koos õigete
andmetega;
6) isikuandmed, mille õigsus on vaidlustatud, suletakse
kuni andmete õigsuse kindlakstegemiseni või õigete andmete
väljaselgitamiseni.
§ 12. Isikuandmete kaitse organisatsioonilised ja tehnilised abinõud
(1) Vastutav töötleja ja volitatud töötleja on kohustatud, lähtudes
töödeldavate isikuandmete koosseisust, kasutusele võtma
organisatsioonilised ja tehnilised abinõud isikuandmete kaitseks:
1) juhusliku
või tahtliku rikkumise eest;
2) juhusliku hävimise ja tahtliku
hävitamise eest;
3) omavolilise korrastamise, üleandmise või muu
töötlemise eest.
(2) Vastutav töötleja ja volitatud töötleja on isikuandmete
automatiseeritud töötlemisel kohustatud:
1) vältima
kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele
seadmetele (ligipääsu kontroll);
2) takistama andmekandjate
omavolilist lugemist, kopeerimist, muutmist või kaasaviimist
(andmekandjate kasutamise kontroll);
3) takistama isikuandmete
omavolilist salvestamist ja salvestatud isikuandmete muutmist või
kustutamist (salvestuskontroll) ning tagama, et tagantjärele oleks
võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid
muudeti;
4) takistama andmetöötlussüsteemi omavolilist kasutamist
isikuandmete ülekandmiseks andmesidevahendite abil (andmeside kontroll);
5) tagama,
et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale
töötlemiseks lubatud isikuandmetele (juurdepääsu kontroll);
6) säilitama
andmed isikuandmete üleandmise kohta: millal, kellele ja millised
isikuandmed üle anti (üleandmise kontroll);
7) tagama, et
tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja
millised isikuandmed andmetöötlussüsteemi sisestati (sisestuskontroll);
8) tagama,
et isikuandmete edasiandmisel andmesidevahenditega ja andmekandjate
transportimisel ei toimuks isikuandmete omavolilist lugemist,
kopeerimist, muutmist või kustutamist (transpordi kontroll);
9) kujundama
ettevõtte, asutuse või organisatsiooni töökorralduse niisuguseks, et see
võimaldaks täita andmekaitse erinõudeid (organisatsiooni kontroll).
(3) Vastutav töötleja ja volitatud töötleja on kohustatud tutvustama oma alluvuses isikuandmeid töötlevaid isikuid isikuandmete töötlemist reguleerivate õigusaktidega ning isikuandmete automatiseeritud töötlemise korral korraldama nimetatud isikute väljaõpet.
§ 13. Nõuded volitatud töötleja valikul
Vastutav töötleja on kohustatud valima tellimuse täitjaks sellise volitatud töötleja, kes tagab isikuandmete kaitse organisatsioonilised ja tehnilised abinõud vastavalt käesoleva seaduse §-le 12.
§ 14. Isikuandmete töötlemiseks sõlmitud lepingus arvestatavad nõuded
(1) Isikuandmete töötlemiseks sõlmib vastutav töötleja volitatud töötlejaga kirjaliku lepingu, milles järgitakse käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktide nõudeid.
(2) Lepingus sätestatakse, et volitatud töötleja on kohustatud:
1) isikuandmeid
töötlema ainult lepingus määratud korras, viisil ja tingimustel;
2) kasutusele
võtma ettenähtud isikuandmete kaitse tehnilised ja organisatsioonilised
abinõud;
3) sõlmima alltöövõtulepinguid ainult lepingus lubatud
tingimustel.
(3) Lepingus nähakse ette poolte vastutus lepinguliste kohustuste täitmata jätmise eest.
(4) Volitatud töötlejal on keelatud kolmandatele isikutele
lepinguväliselt üle anda lepingu täitmiseks töödeldavaid isikuandmeid,
välja arvatud juhud, kui:
1) selleks on vastutava töötleja
kirjalik nõusolek;
2) üleandmise kohustus on ette nähtud
seadusega.
§ 15. Nõuded isikuandmeid töötlevatele isikutele
(1) Isik, kes vastutava või volitatud töötlejana ise töötleb, ning isikud, kes vastutava või volitatud töötleja alluvuses töötlevad isikuandmeid, on kohustatud neid töötlema, sealhulgas üle andma, käesolevas seaduses lubatud eesmärkidel ja tingimustel.
(2) Käesoleva paragrahvi lõikes 1 nimetatud isikud on kohustatud hoidma saladuses neile tööülesannete täitmisel teatavaks saanud isikuandmeid, mida pole antud üldiseks kasutamiseks, ning ärisaladust ka pärast töötlemisega seotud tööülesannete täitmist või töö- või teenistussuhte lõppemist.
§ 16. Isikuandmete töötlemise dokumenteerimine
(1) Vastutav töötleja on kohustatud koostama, hoidma töötlemiskohas ja
käesolevas seaduses ettenähtud juhtudel esitama:
1) põhiandmestiku
isikuandmete töötlemise kohta;
2) töötlemisel kasutatavate
seadmete ja vahendite loetelu (isikuandmete automatiseeritud
töötlemisel);
3) isikuandmete kaitse organisatsioonilised
ja tehnilised abinõud.
(2) Ärakirjad käesoleva paragrahvi lõikes 1 nimetatud dokumentidest on hoiul volitatud töötleja juures, kes on kohustatud need esitama käesolevas seaduses ettenähtud juhtudel.
(3) Põhiandmestik isikuandmete töötlemise kohta peab sisaldama järgmisi
andmeid:
1) vastutava ja volitatud töötleja nimi, asu- või elukoht;
2) isikuandmete
töötlemise eesmärgid ja õiguslik alus;
3) isikuandmete
koosseis;
4) isikute kategooriad, kelle andmeid töödeldakse;
5) isikuandmete
allikad;
6) kolmandad isikud või nende kategooriad, kellele
isikuandmete üleandmine on lubatud;
7) üldiseks kasutamiseks
antavate isikuandmete loetelu;
8) isikuandmete sulgemise ja
kustutamise tingimused;
9) isikuandmete välisriikidesse üleandmise
tingimused.
(4) Seadmete ja vahendite loetelu peab sisaldama järgmisi andmeid:
1) kasutatava
seadme nimetus, tüüp, number ja asukoht ning selle seadme valmistanud
ettevõtte nimi;
2) kasutatava tarkvara nimetus, litsentsi number
ning tarkvara valmistanud ettevõtte nimi;
3) kasutatava tarkvara
ja vastavate dokumentide asukoht.
(5) Isikuandmete kaitse organisatsioonilistes ja tehnilistes abinõudes kirjeldatakse üksikasjalikult käesoleva seaduse §-s 12 sätestatud nõuete täitmist.
(6) Kui isikuandmete töötlemine toimub volitatud töötleja poolt, võib seadmete ja vahendite loetelu ning isikuandmete kaitse organisatsioonilised ja tehnilised abinõud koostada volitatud töötleja.
(7) Täiendused käesoleva paragrahvi lõikes 1 loetletud dokumentides tehakse enne vastavate muudatuste rakendamist isikuandmete töötlemisel.
4. peatükk. DELIKAATSETE ISIKUANDMETE TÖÖTLEMISE REGISTREERIMINE
§ 17. Registreerimiskohustus
(1) Vastutav töötleja on kohustatud registreerima delikaatsete isikuandmete töötlemise andmekaitse järelevalveasutuses.
(2) Vastutav töötleja, kes taotleb tegevusluba või litsentsi tegevusalal, millega kaasneb delikaatsete isikuandmete töötlemine, on kohustatud tegevusloa või litsentsi taotlemisel esitama andmekaitse järelevalveasutuse dokumendi delikaatsete isikuandmete töötlemise registreerimise kohta.
§ 18. Registreerimistaotlus
(1) Registreerimistaotlus esitatakse vähemalt üks kuu enne delikaatsete isikuandmete töötlemise algust. Vastutav töötleja võib mitme sama või seotud eesmärgiga delikaatsete isikuandmete töötlemise registreerimiseks esitada ühise registreerimistaotluse.
(2) Registreerimistaotlusele, milles märgitakse vastutava töötleja nimi
ja aadress ning volitatud töötleja olemasolul ka viimase nimi ja
aadress, lisatakse:
1) põhiandmestik delikaatsete isikuandmete
töötlemise kohta vastavalt käesoleva seaduse § 16 lõikele 3;
2) isikuandmete
kaitse organisatsioonilised ja tehnilised abinõud vastavalt käesoleva
seaduse §-le 12;
3) juriidilisest isikust vastutava
töötleja omanike (aktsionäride) nimed ja isikukoodid, kui vastutav
töötleja ei ole riigi või kohaliku omavalitsuse ametiasutus.
§ 19. Registreerimise otsustamine
(1) Andmekaitse järelevalveasutus otsustab 15 tööpäeva jooksul, arvates registreerimistaotluse saamise päevast, töötlemise registreerimise või registreerimisest keeldumise ja teatab sellest vastutavale töötlejale või tema esindajale. Registreerimisest keeldumine peab olema põhjendatud.
(2) Andmekaitse järelevalveasutus keeldub delikaatsete isikuandmete
töötlemise registreerimisest, kui:
1) delikaatsete
isikuandmete töötlemine on vastuolus käesoleva seaduse, muude seaduste
ja nende alusel kehtestatud õigusaktidega;
2) isikuandmete
kaitse organisatsioonilised ja tehnilised abinõud ei taga käesoleva
seaduse §-s 12 sätestatud nõuete täitmist;
3) registreerimistaotlus
ja sellele lisatud dokumendid ei sisalda registreerimiseks vajalikke
andmeid.
(3) Kui delikaatsete isikuandmete töötlemine on eriti ohtlik isiku õigustele ja vabadustele, on andmekaitse järelevalveasutus kohustatud kontrollima kohapeal ettevalmistusi delikaatsete isikuandmete töötlemiseks. Sel juhul pikeneb registreerimisest või sellest keeldumisest teatamise tähtaeg 10 tööpäeva võrra. Kontrollimise tulemusena võib andmekaitse järelevalveasutus anda soovitusi täiendavate isikuandmete kaitse organisatsiooniliste ja tehniliste abinõude rakendamiseks.
§ 20. Andmete muutmisest ja täiendamisest teatamine
Vastutav töötleja on kohustatud käesoleva seaduse § 18 lõikes 2 nimetatud andmete muutmisest või täiendamisest teatama andmekaitse järelevalveasutusele 15 tööpäeva jooksul enne vastavate muudatuste ja täienduste rakendamist. Andmekaitse järelevalveasutusel on õigus keelata vastavate muudatuste ja täienduste rakendamine, kui need ei ole kooskõlas käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktidega.
§ 21. Isiku õigus saada teavet enne isikuandmete kogumist
(1) Kui isikuandmete töötlemiseks on vaja isiku nõusolekut, teavitab vastutav töötleja või tema esindaja teda enne isikuandmete kogumist vastavalt käesoleva seaduse § 10 lõikele 1.
(2) Käesoleva seaduse § 10 lõikes 1 nimetatud andmete muutmisest või täiendamisest on vastutav töötleja või tema esindaja kohustatud isikut teavitama vähemalt 15 tööpäeva enne vastavate muudatuste või täienduste rakendamist. Isikul on õigus keelata nimetatud muudatuste ja täienduste rakendamine.
§ 22. Isiku õigus saada teavet ja tema kohta käivaid isikuandmeid isikuandmete töötlemisel
(1) Isiku soovil teavitab vastutav töötleja teda:
1) tema
kohta käivate isikuandmete olemasolust või nende puudumisest;
2) isikuandmete
töötlemise eesmärgist ja õiguslikust alusest;
3) isikuandmete
koosseisust ja allikast;
4) kolmandatest isikutest või nende
kategooriatest, kellele isikuandmete üleandmine on lubatud;
5) vastutava
töötleja või tema esindaja nimest ja aadressist.
(2) Isikul on õigus saada vastutavalt töötlejalt enda kohta käivaid isikuandmeid.
(3) Isikul on õigus saada vastutavalt töötlejalt enda kohta käivaid isikuandmeid üks kord aastas tasuta. Edaspidi on isikul õigus saada enda kohta käivaid isikuandmeid tasu eest. Tasu ei tohi ületada andmete väljastamisega seotud kulusid.
(4) Vastutav töötleja on kohustatud andma isikule teavet ja väljastama nõutavad isikuandmed või põhjendama andmete või teabe andmisest keeldumist vastavalt käesoleva seaduse §-le 25 15 tööpäeva jooksul, arvates avalduse saamise päevast.
§ 23. Isiku nõue isikuandmete parandamiseks, sulgemiseks, kustutamiseks
(1) Isikul on õigus nõuda vastutavalt töötlejalt:
1) ebaõigete
isikuandmete parandamist;
2) isikuandmete sulgemist või nende
kustutamist, kui töötlemine ei ole vastavuses käesoleva seaduse, muude
seaduste ja nende alusel kehtestatud õigusaktidega.
(2) Vastutav töötleja on ebaõigete isikuandmete parandamisest või isikuandmete sulgemisest või kustutamisest kohustatud kohe teavitama kolmandaid isikuid, kellele isikuandmeid on üle antud.
(3) Vastutav töötleja ja kolmandad isikud on kohustatud kohe täitma isiku õigustatud nõude, kui seaduses ei ole sätestatud teisiti.
§ 24. Isiku õigus keelata oma isikuandmete üleandmine üldiseks kasutamiseks
Isikul on õigus keelata oma isikuandmete üleandmine üldiseks kasutamiseks, kui see ei ole vastavuses käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktidega.
§ 25. Teabe ja isikuandmete saamise õiguse erandid
(1) Isiku õigust saada teavet enne isikuandmete kogumist vastavalt
käesoleva seaduse §-le 21 ning isiku õigust saada teavet ja enda kohta
käivaid isikuandmeid isikuandmete töötlemisel vastavalt käesoleva
seaduse §-le 22 piiratakse, kui see võib kahjustada:
1) teiste
isikute õigusi ja vabadusi;
2) lapse põlvnemise saladuse kaitset;
3) kuriteo
tõkestamist või kurjategija tabamist;
4) kriminaalmenetluses
tõe väljaselgitamist.
(2) Otsuse andmete või teabe andmisest keeldumise kohta langetab vastutav töötleja ja teatab sellest isikule.
§ 26. Isiku õigus pöörduda andmekaitse järelevalveasutuse ja kohtu poole
Isikul on õigus pöörduda andmekaitse järelevalveasutuse ja kohtu poole, kui ta leiab, et isikuandmete töötlemisel rikutakse tema õigusi või piiratakse tema vabadusi.
§ 27. Järelevalve
Käesoleva seaduse ja selle alusel kehtestatud õigusaktide nõuete järgimist kontrollib andmekaitse järelevalveasutus.
§ 28. Nõuded andmekaitse järelevalveasutuse juhile
(1) Andmekaitse järelevalveasutuse juhina võib töötada isik, kellel on juriidiline kõrgharidus.
(2) Andmekaitse järelevalveasutuse juhiks ei saa olla isik, kes on vabastatud või välja heidetud mõnelt juriidilist kõrgharidust nõudvalt töökohalt või ametist seoses sobimatusega edasitöötamiseks.
(3) Andmekaitse järelevalveasutuse juht ei tohi ametisoleku ajal töötada muudel palgalistel töö- või ametikohtadel.
(4) Andmekaitse järelevalveasutuse juht on oma ülesannete täitmisel sõltumatu ja tegutseb, lähtudes käesolevast seadusest, muudest seadustest ja nende alusel kehtestatud õigusaktidest.
§ 29. Isikuandmete saladuses hoidmine
Andmekaitse järelevalveasutuse töötaja on kohustatud hoidma saladuses talle tööülesannete täitmisel teatavaks saanud ärisaladust ning isikuandmeid ja seda ka pärast riigiga olnud teenistussuhete lõppemist.
§ 30. Andmekaitse järelevalveasutuse õigused ja kohustused
(1) Andmekaitse järelevalveasutusel on õigus:
1) kontrollida
käesoleva seaduse, muude seaduste ja nende alusel kehtestatud
õigusaktidega sätestatud isikuandmete töötlemise nõuete täitmist;
2) registreerida
delikaatsete isikuandmete töötlemised käesolevas seaduses kehtestatud
korras;
3) lahendada andmekaitse järelevalveasutusele seoses
isikuandmete töötlemisega esitatud avaldusi ja kaebusi;
4) teha
käesoleva seaduse §-s 31 sätestatud korras ettekirjutusi;
5) nõuda
isikutelt asjakohaseid dokumente ja muud vajalikku teavet;
6) anda
isikutele teavet ja korraldada isikuandmete töötlemise ja kaitse alast
õpet.
(2) Käesoleva paragrahvi lõikes 1 loetletud õigused on samaaegselt ka andmekaitse järelevalveasutuse kohustused.
(3) Andmekaitse järelevalveasutuse pädeval ametiisikul on õigus kontrollimiseks takistamatult siseneda isikuandmeid töötleva isiku ametiruumi.
(4) Vastutav töötleja ja volitatud töötleja on kohustatud andma andmekaitse järelevalveasutuse pädevale ametiisikule selgitusi ning võimaldama juurdepääsu dokumentidele ja seadmetele, sealhulgas salvestatud andmetele, ja andmetöötluseks kasutatavale tarkvarale, kui see on vajalik isikuandmete töötlemise kontrollimiseks.
§ 31. Andmekaitse järelevalveasutuse ettekirjutused
Andmekaitse järelevalveasutuse ametiisikul on õigus teha vastutavale
töötlejale ja volitatud töötlejale järgmisi kohustuslikke kirjalikke
ettekirjutusi:
1) kõrvaldada määratud tähtajaks isikuandmete
töötlemise nõuete rikkumine;
2) võtta määratud
tähtajaks kasutusele täiendavad isikuandmete kaitse organisatsioonilised
ja tehnilised abinõud;
3) registreerida määratud tähtajaks
delikaatsete isikuandmete töötlemine.
§ 32. Vastutus käesoleva seaduse nõuete rikkumise eest
Käesoleva seaduse nõuete rikkumise eest kannavad isikud distsiplinaar-, haldus- või kriminaalvastutust seaduses ettenähtud korras.
§ 33. Haldusõiguserikkumiste seadustiku täiendamine
Haldusõiguserikkumiste seadustikus (RT 1992, 29, 396; RT I 1995, 76–78, 1345; 83, 1441; 1996, 3, 56 ja 57; 26, 528; 31, 631; 35, 714) tehakse järgmised täiendused:
1) seadustikku täiendatakse §-ga 1831 järgmises sõnastuses:
«§ 1831. Isikuandmete töötlemise nõuete rikkumine
(1) Vastutava või volitatud töötleja ametiisiku poolt isikuandmete töötlemise lubatavuse nõuete rikkumise või isikuandmete töötlemise nõuete rikkumise või isikuandmete kaitse abinõude mittetäitmise eest – määratakse rahatrahv kümne kuni kahesaja päevapalga ulatuses.
(2) Vastutava töötleja pädeva ametiisiku poolt delikaatsete isikuandmete töötlemise registreerimata jätmise eest andmekaitse järelevalveasutuses – määratakse rahatrahv viiekümne kuni kahesaja päevapalga ulatuses.
(3) Vastutava või volitatud töötleja ametiisiku poolt isikuandmete töötlemise kontrollimisel teadlikult ebaõigete andmete esitamise eest – määratakse rahatrahv kuni kahesaja päevapalga ulatuses.
(4) Isiku nõudmisel:
1) ebaõigete isikuandmete parandamata
jätmise või
2) ebaseaduslikult töödeldavate isikuandmete
sulgemata või kustutamata jätmise eest – määratakse rahatrahv kuni
kahekümne päevapalga ulatuses.
(5) Isikuandmete töötlemisel muude isiku õiguste rikkumise eest – määratakse rahatrahv kuni kahekümne päevapalga ulatuses.»;
2) paragrahvi 186 lõiget 1 täiendatakse pärast arvu «183» arvuga «1831»;
3) paragrahvi 228 lõiget 1 täiendatakse punktiga 36 järgmises sõnastuses:
«36) andmekaitse järelevalveasutus – § 1831.».
§ 34. Seaduse rakendamine
(1) Vabariigi Valitsusel moodustada 1997. aasta 1. jaanuariks andmekaitse järelevalveasutus.
(2) Vastutavad töötlejad on kohustatud ühe aasta jooksul viima isikuandmete töötlemised vastavusse käesoleva seadusega ja registreerima delikaatsete isikuandmete töötlemised käesolevas seaduses sätestatud korras.
Riigikogu aseesimees Tunne KELAM |