Teksti suurus:

• Väike
• Keskmine
• Suur

Isikuandmete kaitse seadus

Vastu võetud 12.06.1996

Välja kuulutatud Vabariigi Presidendi 28. juuni 1996. a otsusega nr 747

1. peatükk. ÜLDSÄTTED

§ 1. Seaduse eesmärk

Käesoleva seaduse eesmärk on isiku põhiõiguste ja vabaduste kaitsmine isikuandmete töötlemisel kooskõlas isiku õigusega vabalt saada üldiseks kasutamiseks levitatavat teavet.

§ 2. Seaduse kohaldamise ala

(1) Käesolevat seadust kohaldatakse isikuandmete:
1) täielikult või osaliselt automatiseeritud töötlemisel;
2) mitteautomatiseeritud töötlemisel, kui kasutatavad isikuandmed võetakse isikuandmete korrastatud kogumist või on ette nähtud kasutatavate andmete kandmine isikuandmete korrastatud kogumisse.

(2) Käesolevat seadust ei kohaldata:
1) füüsilise isiku enda poolt kogutud isikuandmete töötlemisele isiklikuks otstarbeks;
2) riigisaladust sisaldavate isikuandmete töötlemisele.

§ 3. Isikuandmete kaitse tagamine

(1) Isikuandmete kaitse tagatakse vastutava töötleja ja volitatud töötleja kohustusega:
1) töödelda isikuandmeid käesolevas seaduses lubatud eesmärkidel ja tingimustel;
2) täita isikuandmete töötlemise nõudeid ja kaitse abinõusid käesolevas seaduses sätestatud korras;
3) registreerida delikaatsete isikuandmete töötlemine vastavalt käesolevale seadusele.

(2) Isikuandmete kaitse tagatakse ka isiku õigusega käesolevas seaduses sätestatud korras:
1) anda nõusolek oma isikuandmete töötlemiseks;
2) saada teavet oma isikuandmete töötlemisest;
3) keelata oma isikuandmete töötlemine.

§ 4. Isikuandmed

(1) Isikuandmed on kõik andmed üheselt tuvastatud, samuti otseselt või kaudselt üheselt tuvastatava füüsilise isiku kohta, mis väljendavad selle isiku füüsilisi, psüühilisi, psühholoogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust.

(2) Isikuandmed käesoleva seaduse mõistes on kas delikaatsed või mittedelikaatsed isikuandmed.

(3) Delikaatsed isikuandmed on:
1) poliitilisi vaateid, usulisi ja filosoofilisi veendumusi kirjeldavad andmed;
2) etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;
3) andmed tervisliku seisundi ja seksuaalelu kohta;
4) andmed toimepandud kuritegude ja kohtulike karistuste kohta;
5) andmed kriminaalmenetluse kohta.

(4) Delikaatsete isikuandmete loetelu võib täiendada vastavat valdkonda reguleeriva seadusega.

(5) Füüsilise isiku kohta kogutud statistilised andmed ei ole isikuandmed, kui puudub võimalus isikut, kelle kohta need andmed on kogutud, üheselt tuvastada.

§ 5. Isikuandmete töötlemine

Isikuandmete töötlemine on isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine, päringute teostamine, väljavõtete tegemine, kasutamine, üleandmine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eeltoodud toimingut, sõltumata toimingute teostamise viisist või kasutatavatest vahenditest.

§ 6. Vastutav töötleja ja volitatud töötleja

(1) Vastutav töötleja on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb või kelle tellimisel töödeldakse isikuandmeid ning kes on käesolevast seadusest, muudest seadustest ja nende alusel kehtestatud õigusaktidest juhindudes pädev otsustama:
1) isikuandmete töötlemise eesmärgid;
2) töödeldavate isikuandmete koosseisu;
3) isikuandmete töötlemise korra ja viisi;
4) isikuandmete kolmandatele isikutele üleandmise lubamise.

(2) Volitatud töötleja on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes töötleb isikuandmeid vastutava töötleja tellimisel.

§ 7. Kolmas isik

(1) Kolmas isik on füüsiline või juriidiline isik või riigi- või kohaliku omavalitsuse asutus, kes ei ole:
1) volitatud töötleja;
2) isik, kelle isikuandmeid töödeldakse;
3) isik, kes vastutava või volitatud töötleja alluvuses töötleb isikuandmeid.

(2) Kolmas isik, kes töötleb talle vastutava töötleja poolt üleantud isikuandmeid, on vastavalt käesoleva seaduse § 6 lõikele 1 vastutav töötleja ning ta on kohustatud täitma käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktide nõudeid isikuandmete töötlemisel.

2. peatükk. ISIKUANDMETE TÖÖTLEMISE LUBATAVUS

§ 8. Mittedelikaatsete isikuandmete töötlemise lubatavus

(1) Mittedelikaatsete isikuandmete töötlemine on lubatud ilma isiku nõusolekuta, kui töötlemise eesmärk on:
1) isikuga sõlmitud lepingu täitmine või tööde teostamine, mis toimub isiku tellimisel;
2) isiku elu, tervise või vabaduse kaitse;
3) seaduse või välislepinguga ettenähtud kohustuste täitmine;
4) avalikku huvi silmas pidava ülesande täitmine, mis on seaduse või selle alusel kehtestatud õigusaktiga pandud vastutavale töötlejale või kolmandale isikule, kellele andmed üle antakse;
5) üldiste huvide või vastutava töötleja õigustatud huvide või kolmanda isiku, kellele andmed üle antakse, õigustatud huvide arvestamine, kui isiku huvid ei ole olulisemad.

(2) Käesoleva paragrahvi lõikes 1 loetletud eesmärkidel töödeldavate mittedelikaatsete isikuandmete üleandmine kolmandale isikule on lubatud, kui nende töötlemine, sealhulgas kasutamine kolmanda isiku poolt, toimub samadel eesmärkidel. Kui mittedelikaatsete isikuandmete töötlemine, sealhulgas nende kasutamine kolmanda isiku poolt, ei toimu samadel eesmärkidel, on nende üleandmine lubatud ainult isiku nõusolekul.

(3) Eesmärkidel, mis ei ole loetletud käesoleva paragrahvi lõikes 1, on isikuandmete töötlemine, sealhulgas nende üleandmine kolmandale isikule, lubatud, kui selleks on isiku nõusolek ja töötlemine ei ole vastuolus seaduse ning selle alusel kehtestatud õigusaktiga.

§ 9. Delikaatsete isikuandmete töötlemise lubatavus

(1) Eesti kodaniku ja alalise elamisloa alusel Eestis viibiva välismaalase usulisi, poliitilisi ja muid veendumusi kirjeldavate delikaatsete isikuandmete töötlemine, sealhulgas nende üleandmine kolmandale isikule, on lubatud ainult isiku nõusolekul. Muudel juhtudel on isiku usulisi, poliitilisi ja muid veendumusi kirjeldavate delikaatsete isikuandmete töötlemine, sealhulgas nende üleandmine kolmandale isikule, lubatud:
1) ilma isiku nõusolekuta, kui töötlemine toimub seadusega ettenähtud kohustuse täitmiseks;
2) isiku nõusolekul, kui töötlemine ei ole vastuolus seaduse ja selle alusel kehtestatud õigusaktiga.

(2) Etnilist päritolu ja rassilist kuuluvust, tervislikku seisundit ja seksuaalelu kirjeldavate delikaatsete isikuandmete töötlemine on lubatud ilma isiku nõusolekuta, kui töötlemine toimub:
1) seadusega ettenähtud kohustuse täitmiseks;
2) isiku elu, tervise ja vabaduse kaitseks;
3) avalikku või üldist huvi silmas pidava ülesande täitmiseks, mis on seadusega pandud vastutavale töötlejale või kolmandale isikule, kellele andmed üle antakse.

(3) Isikuandmete töötlemine seoses toimepandud kuritegude, kohtulike karistuste ja kriminaalmenetlusega on lubatud ilma isiku nõusolekuta, kui töötlemine toimub:
1) seadusega ettenähtud kohustuse täitmiseks;
2) avalikku või üldist huvi silmas pidava ülesande täitmiseks, mis on seadusega pandud vastutavale töötlejale või kolmandale isikule, kellele andmed üle antakse.

(4) Muudel juhtudel on käesoleva paragrahvi lõigetes 2 ja 3 loetletud delikaatsete isikuandmete töötlemine lubatud, kui selleks on isiku nõusolek ja töötlemine ei ole vastuolus seaduse ning selle alusel kehtestatud õigusaktiga.

(5) Delikaatsete isikuandmete töötlemise lubatavuse täpsemad tingimused sätestatakse vastavat valdkonda reguleeriva seadusega.

§ 10. Isiku nõusolek

(1) Isiku nõusolek on selgelt väljendatud tahteavaldus, millega isik lubab oma isikuandmete töötlemist pärast seda, kui teda on teavitatud:
1) isikuandmete töötlemise eesmärgist ja õiguslikust alusest;
2) isikuandmete koosseisust ja allikast;
3) kolmandatest isikutest või nende kategooriatest, kellele isikuandmete üleandmine on lubatud;
4) üldiseks kasutamiseks antavate isikuandmete loetelust;
5) vastutava töötleja või tema esindaja nimest ja aadressist.

(2) Nõusolek kehtib konkreetse töötlemisjuhu suhtes, peab olema antud vabatahtlikult ja võib olla isiku poolt igal ajal tagasi võetud. Nõusoleku tagasivõtmisel ei ole tagasiulatuvat jõudu.

3. peatükk. ISIKUANDMETE TÖÖTLEMISE NÕUDED JA KAITSE ABINÕUD

§ 11. Isikuandmete töötlemise nõuded

Vastutav töötleja ja volitatud töötleja on kohustatud isikuandmeid töötlema ainult täpselt kindlaksmääratud ja käesolevas seaduses lubatud eesmärkidel ja tingimustel ning tagama, et:
1) isikuandmete koosseis vastaks töötlemise eesmärkidele ega ületaks nende eesmärkide saavutamise vajadusi;
2) eesmärkide saavutamiseks mittevajalikud isikuandmed kustutatakse või suletakse;
3) isikuandmed on õiged ja, kui see on eesmärkide saavutamiseks vajalik, viimases seisus;
4) mittetäielikud ja ebaõiged isikuandmed suletakse ning nende täiendamiseks ja parandamiseks võetakse kohe kasutusele vajalikud abinõud;
5) ebaõiged andmed säilitatakse märkusega nende kasutamise aja kohta koos õigete andmetega;
6) isikuandmed, mille õigsus on vaidlustatud, suletakse kuni andmete õigsuse kindlakstegemiseni või õigete andmete väljaselgitamiseni.

§ 12. Isikuandmete kaitse organisatsioonilised ja tehnilised abinõud

(1) Vastutav töötleja ja volitatud töötleja on kohustatud, lähtudes töödeldavate isikuandmete koosseisust, kasutusele võtma organisatsioonilised ja tehnilised abinõud isikuandmete kaitseks:
1) juhusliku või tahtliku rikkumise eest;
2) juhusliku hävimise ja tahtliku hävitamise eest;
3) omavolilise korrastamise, üleandmise või muu töötlemise eest.

(2) Vastutav töötleja ja volitatud töötleja on isikuandmete automatiseeritud töötlemisel kohustatud:
1) vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele (ligipääsu kontroll);
2) takistama andmekandjate omavolilist lugemist, kopeerimist, muutmist või kaasaviimist (andmekandjate kasutamise kontroll);
3) takistama isikuandmete omavolilist salvestamist ja salvestatud isikuandmete muutmist või kustutamist (salvestuskontroll) ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid muudeti;
4) takistama andmetöötlussüsteemi omavolilist kasutamist isikuandmete ülekandmiseks andmesidevahendite abil (andmeside kontroll);
5) tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale töötlemiseks lubatud isikuandmetele (juurdepääsu kontroll);
6) säilitama andmed isikuandmete üleandmise kohta: millal, kellele ja millised isikuandmed üle anti (üleandmise kontroll);
7) tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja millised isikuandmed andmetöötlussüsteemi sisestati (sisestuskontroll);
8) tagama, et isikuandmete edasiandmisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist (transpordi kontroll);
9) kujundama ettevõtte, asutuse või organisatsiooni töökorralduse niisuguseks, et see võimaldaks täita andmekaitse erinõudeid (organisatsiooni kontroll).

(3) Vastutav töötleja ja volitatud töötleja on kohustatud tutvustama oma alluvuses isikuandmeid töötlevaid isikuid isikuandmete töötlemist reguleerivate õigusaktidega ning isikuandmete automatiseeritud töötlemise korral korraldama nimetatud isikute väljaõpet.

§ 13. Nõuded volitatud töötleja valikul

Vastutav töötleja on kohustatud valima tellimuse täitjaks sellise volitatud töötleja, kes tagab isikuandmete kaitse organisatsioonilised ja tehnilised abinõud vastavalt käesoleva seaduse §-le 12.

§ 14. Isikuandmete töötlemiseks sõlmitud lepingus arvestatavad nõuded

(1) Isikuandmete töötlemiseks sõlmib vastutav töötleja volitatud töötlejaga kirjaliku lepingu, milles järgitakse käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktide nõudeid.

(2) Lepingus sätestatakse, et volitatud töötleja on kohustatud:
1) isikuandmeid töötlema ainult lepingus määratud korras, viisil ja tingimustel;
2) kasutusele võtma ettenähtud isikuandmete kaitse tehnilised ja organisatsioonilised abinõud;
3) sõlmima alltöövõtulepinguid ainult lepingus lubatud tingimustel.

(3) Lepingus nähakse ette poolte vastutus lepinguliste kohustuste täitmata jätmise eest.

(4) Volitatud töötlejal on keelatud kolmandatele isikutele lepinguväliselt üle anda lepingu täitmiseks töödeldavaid isikuandmeid, välja arvatud juhud, kui:
1) selleks on vastutava töötleja kirjalik nõusolek;
2) üleandmise kohustus on ette nähtud seadusega.

§ 15. Nõuded isikuandmeid töötlevatele isikutele

(1) Isik, kes vastutava või volitatud töötlejana ise töötleb, ning isikud, kes vastutava või volitatud töötleja alluvuses töötlevad isikuandmeid, on kohustatud neid töötlema, sealhulgas üle andma, käesolevas seaduses lubatud eesmärkidel ja tingimustel.

(2) Käesoleva paragrahvi lõikes 1 nimetatud isikud on kohustatud hoidma saladuses neile tööülesannete täitmisel teatavaks saanud isikuandmeid, mida pole antud üldiseks kasutamiseks, ning ärisaladust ka pärast töötlemisega seotud tööülesannete täitmist või töö- või teenistussuhte lõppemist.

§ 16. Isikuandmete töötlemise dokumenteerimine

(1) Vastutav töötleja on kohustatud koostama, hoidma töötlemiskohas ja käesolevas seaduses ettenähtud juhtudel esitama:
1) põhiandmestiku isikuandmete töötlemise kohta;
2) töötlemisel kasutatavate seadmete ja vahendite loetelu (isikuandmete automatiseeritud töötlemisel);
3) isikuandmete kaitse organisatsioonilised ja tehnilised abinõud.

(2) Ärakirjad käesoleva paragrahvi lõikes 1 nimetatud dokumentidest on hoiul volitatud töötleja juures, kes on kohustatud need esitama käesolevas seaduses ettenähtud juhtudel.

(3) Põhiandmestik isikuandmete töötlemise kohta peab sisaldama järgmisi andmeid:
1) vastutava ja volitatud töötleja nimi, asu- või elukoht;
2) isikuandmete töötlemise eesmärgid ja õiguslik alus;
3) isikuandmete koosseis;
4) isikute kategooriad, kelle andmeid töödeldakse;
5) isikuandmete allikad;
6) kolmandad isikud või nende kategooriad, kellele isikuandmete üleandmine on lubatud;
7) üldiseks kasutamiseks antavate isikuandmete loetelu;
8) isikuandmete sulgemise ja kustutamise tingimused;
9) isikuandmete välisriikidesse üleandmise tingimused.

(4) Seadmete ja vahendite loetelu peab sisaldama järgmisi andmeid:
1) kasutatava seadme nimetus, tüüp, number ja asukoht ning selle seadme valmistanud ettevõtte nimi;
2) kasutatava tarkvara nimetus, litsentsi number ning tarkvara valmistanud ettevõtte nimi;
3) kasutatava tarkvara ja vastavate dokumentide asukoht.

(5) Isikuandmete kaitse organisatsioonilistes ja tehnilistes abinõudes kirjeldatakse üksikasjalikult käesoleva seaduse §-s 12 sätestatud nõuete täitmist.

(6) Kui isikuandmete töötlemine toimub volitatud töötleja poolt, võib seadmete ja vahendite loetelu ning isikuandmete kaitse organisatsioonilised ja tehnilised abinõud koostada volitatud töötleja.

(7) Täiendused käesoleva paragrahvi lõikes 1 loetletud dokumentides tehakse enne vastavate muudatuste rakendamist isikuandmete töötlemisel.

4. peatükk. DELIKAATSETE ISIKUANDMETE TÖÖTLEMISE REGISTREERIMINE

§ 17. Registreerimiskohustus

(1) Vastutav töötleja on kohustatud registreerima delikaatsete isikuandmete töötlemise andmekaitse järelevalveasutuses.

(2) Vastutav töötleja, kes taotleb tegevusluba või litsentsi tegevusalal, millega kaasneb delikaatsete isikuandmete töötlemine, on kohustatud tegevusloa või litsentsi taotlemisel esitama andmekaitse järelevalveasutuse dokumendi delikaatsete isikuandmete töötlemise registreerimise kohta.

§ 18. Registreerimistaotlus

(1) Registreerimistaotlus esitatakse vähemalt üks kuu enne delikaatsete isikuandmete töötlemise algust. Vastutav töötleja võib mitme sama või seotud eesmärgiga delikaatsete isikuandmete töötlemise registreerimiseks esitada ühise registreerimistaotluse.

(2) Registreerimistaotlusele, milles märgitakse vastutava töötleja nimi ja aadress ning volitatud töötleja olemasolul ka viimase nimi ja aadress, lisatakse:
1) põhiandmestik delikaatsete isikuandmete töötlemise kohta vastavalt käesoleva seaduse § 16 lõikele 3;
2) isikuandmete kaitse organisatsioonilised ja tehnilised abinõud vastavalt käesoleva seaduse §-le 12;
3) juriidilisest isikust vastutava töötleja omanike (aktsionäride) nimed ja isikukoodid, kui vastutav töötleja ei ole riigi või kohaliku omavalitsuse ametiasutus.

§ 19. Registreerimise otsustamine

(1) Andmekaitse järelevalveasutus otsustab 15 tööpäeva jooksul, arvates registreerimistaotluse saamise päevast, töötlemise registreerimise või registreerimisest keeldumise ja teatab sellest vastutavale töötlejale või tema esindajale. Registreerimisest keeldumine peab olema põhjendatud.

(2) Andmekaitse järelevalveasutus keeldub delikaatsete isikuandmete töötlemise registreerimisest, kui:
1) delikaatsete isikuandmete töötlemine on vastuolus käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktidega;
2) isikuandmete kaitse organisatsioonilised ja tehnilised abinõud ei taga käesoleva seaduse §-s 12 sätestatud nõuete täitmist;
3) registreerimistaotlus ja sellele lisatud dokumendid ei sisalda registreerimiseks vajalikke andmeid.

(3) Kui delikaatsete isikuandmete töötlemine on eriti ohtlik isiku õigustele ja vabadustele, on andmekaitse järelevalveasutus kohustatud kontrollima kohapeal ettevalmistusi delikaatsete isikuandmete töötlemiseks. Sel juhul pikeneb registreerimisest või sellest keeldumisest teatamise tähtaeg 10 tööpäeva võrra. Kontrollimise tulemusena võib andmekaitse järelevalveasutus anda soovitusi täiendavate isikuandmete kaitse organisatsiooniliste ja tehniliste abinõude rakendamiseks.

§ 20. Andmete muutmisest ja täiendamisest teatamine

Vastutav töötleja on kohustatud käesoleva seaduse § 18 lõikes 2 nimetatud andmete muutmisest või täiendamisest teatama andmekaitse järelevalveasutusele 15 tööpäeva jooksul enne vastavate muudatuste ja täienduste rakendamist. Andmekaitse järelevalveasutusel on õigus keelata vastavate muudatuste ja täienduste rakendamine, kui need ei ole kooskõlas käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktidega.

5. peatükk. ISIKU ÕIGUSED

§ 21. Isiku õigus saada teavet enne isikuandmete kogumist

(1) Kui isikuandmete töötlemiseks on vaja isiku nõusolekut, teavitab vastutav töötleja või tema esindaja teda enne isikuandmete kogumist vastavalt käesoleva seaduse § 10 lõikele 1.

(2) Käesoleva seaduse § 10 lõikes 1 nimetatud andmete muutmisest või täiendamisest on vastutav töötleja või tema esindaja kohustatud isikut teavitama vähemalt 15 tööpäeva enne vastavate muudatuste või täienduste rakendamist. Isikul on õigus keelata nimetatud muudatuste ja täienduste rakendamine.

§ 22. Isiku õigus saada teavet ja tema kohta käivaid isikuandmeid isikuandmete töötlemisel

(1) Isiku soovil teavitab vastutav töötleja teda:
1) tema kohta käivate isikuandmete olemasolust või nende puudumisest;
2) isikuandmete töötlemise eesmärgist ja õiguslikust alusest;
3) isikuandmete koosseisust ja allikast;
4) kolmandatest isikutest või nende kategooriatest, kellele isikuandmete üleandmine on lubatud;
5) vastutava töötleja või tema esindaja nimest ja aadressist.

(2) Isikul on õigus saada vastutavalt töötlejalt enda kohta käivaid isikuandmeid.

(3) Isikul on õigus saada vastutavalt töötlejalt enda kohta käivaid isikuandmeid üks kord aastas tasuta. Edaspidi on isikul õigus saada enda kohta käivaid isikuandmeid tasu eest. Tasu ei tohi ületada andmete väljastamisega seotud kulusid.

(4) Vastutav töötleja on kohustatud andma isikule teavet ja väljastama nõutavad isikuandmed või põhjendama andmete või teabe andmisest keeldumist vastavalt käesoleva seaduse §-le 25 15 tööpäeva jooksul, arvates avalduse saamise päevast.

§ 23. Isiku nõue isikuandmete parandamiseks, sulgemiseks, kustutamiseks

(1) Isikul on õigus nõuda vastutavalt töötlejalt:
1) ebaõigete isikuandmete parandamist;
2) isikuandmete sulgemist või nende kustutamist, kui töötlemine ei ole vastavuses käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktidega.

(2) Vastutav töötleja on ebaõigete isikuandmete parandamisest või isikuandmete sulgemisest või kustutamisest kohustatud kohe teavitama kolmandaid isikuid, kellele isikuandmeid on üle antud.

(3) Vastutav töötleja ja kolmandad isikud on kohustatud kohe täitma isiku õigustatud nõude, kui seaduses ei ole sätestatud teisiti.

§ 24. Isiku õigus keelata oma isikuandmete üleandmine üldiseks kasutamiseks

Isikul on õigus keelata oma isikuandmete üleandmine üldiseks kasutamiseks, kui see ei ole vastavuses käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktidega.

§ 25. Teabe ja isikuandmete saamise õiguse erandid

(1) Isiku õigust saada teavet enne isikuandmete kogumist vastavalt käesoleva seaduse §-le 21 ning isiku õigust saada teavet ja enda kohta käivaid isikuandmeid isikuandmete töötlemisel vastavalt käesoleva seaduse §-le 22 piiratakse, kui see võib kahjustada:
1) teiste isikute õigusi ja vabadusi;
2) lapse põlvnemise saladuse kaitset;
3) kuriteo tõkestamist või kurjategija tabamist;
4) kriminaalmenetluses tõe väljaselgitamist.

(2) Otsuse andmete või teabe andmisest keeldumise kohta langetab vastutav töötleja ja teatab sellest isikule.

§ 26. Isiku õigus pöörduda andmekaitse järelevalveasutuse ja kohtu poole

Isikul on õigus pöörduda andmekaitse järelevalveasutuse ja kohtu poole, kui ta leiab, et isikuandmete töötlemisel rikutakse tema õigusi või piiratakse tema vabadusi.

6. peatükk. JÄRELEVALVE ISIKUANDMETE TÖÖTLEMISE ÜLE

§ 27. Järelevalve

Käesoleva seaduse ja selle alusel kehtestatud õigusaktide nõuete järgimist kontrollib andmekaitse järelevalveasutus.

§ 28. Nõuded andmekaitse järelevalveasutuse juhile

(1) Andmekaitse järelevalveasutuse juhina võib töötada isik, kellel on juriidiline kõrgharidus.

(2) Andmekaitse järelevalveasutuse juhiks ei saa olla isik, kes on vabastatud või välja heidetud mõnelt juriidilist kõrgharidust nõudvalt töökohalt või ametist seoses sobimatusega edasitöötamiseks.

(3) Andmekaitse järelevalveasutuse juht ei tohi ametisoleku ajal töötada muudel palgalistel töö- või ametikohtadel.

(4) Andmekaitse järelevalveasutuse juht on oma ülesannete täitmisel sõltumatu ja tegutseb, lähtudes käesolevast seadusest, muudest seadustest ja nende alusel kehtestatud õigusaktidest.

§ 29. Isikuandmete saladuses hoidmine

Andmekaitse järelevalveasutuse töötaja on kohustatud hoidma saladuses talle tööülesannete täitmisel teatavaks saanud ärisaladust ning isikuandmeid ja seda ka pärast riigiga olnud teenistussuhete lõppemist.

§ 30. Andmekaitse järelevalveasutuse õigused ja kohustused

(1) Andmekaitse järelevalveasutusel on õigus:
1) kontrollida käesoleva seaduse, muude seaduste ja nende alusel kehtestatud õigusaktidega sätestatud isikuandmete töötlemise nõuete täitmist;
2) registreerida delikaatsete isikuandmete töötlemised käesolevas seaduses kehtestatud korras;
3) lahendada andmekaitse järelevalveasutusele seoses isikuandmete töötlemisega esitatud avaldusi ja kaebusi;
4) teha käesoleva seaduse §-s 31 sätestatud korras ettekirjutusi;
5) nõuda isikutelt asjakohaseid dokumente ja muud vajalikku teavet;
6) anda isikutele teavet ja korraldada isikuandmete töötlemise ja kaitse alast õpet.

(2) Käesoleva paragrahvi lõikes 1 loetletud õigused on samaaegselt ka andmekaitse järelevalveasutuse kohustused.

(3) Andmekaitse järelevalveasutuse pädeval ametiisikul on õigus kontrollimiseks takistamatult siseneda isikuandmeid töötleva isiku ametiruumi.

(4) Vastutav töötleja ja volitatud töötleja on kohustatud andma andmekaitse järelevalveasutuse pädevale ametiisikule selgitusi ning võimaldama juurdepääsu dokumentidele ja seadmetele, sealhulgas salvestatud andmetele, ja andmetöötluseks kasutatavale tarkvarale, kui see on vajalik isikuandmete töötlemise kontrollimiseks.

§ 31. Andmekaitse järelevalveasutuse ettekirjutused

Andmekaitse järelevalveasutuse ametiisikul on õigus teha vastutavale töötlejale ja volitatud töötlejale järgmisi kohustuslikke kirjalikke ettekirjutusi:
1) kõrvaldada määratud tähtajaks isikuandmete töötlemise nõuete rikkumine;
2) võtta määratud tähtajaks kasutusele täiendavad isikuandmete kaitse organisatsioonilised ja tehnilised abinõud;
3) registreerida määratud tähtajaks delikaatsete isikuandmete töötlemine.

§ 32. Vastutus käesoleva seaduse nõuete rikkumise eest

Käesoleva seaduse nõuete rikkumise eest kannavad isikud distsiplinaar-, haldus- või kriminaalvastutust seaduses ettenähtud korras.

7. peatükk. LÕPPSÄTTED

§ 33. Haldusõiguserikkumiste seadustiku täiendamine

Haldusõiguserikkumiste seadustikus (RT 1992, 29, 396; RT I 1995, 76–78, 1345; 83, 1441; 1996, 3, 56 ja 57; 26, 528; 31, 631; 35, 714) tehakse järgmised täiendused:

1) seadustikku täiendatakse §-ga 183¹ järgmises sõnastuses:

«§ 183¹. Isikuandmete töötlemise nõuete rikkumine

(1) Vastutava või volitatud töötleja ametiisiku poolt isikuandmete töötlemise lubatavuse nõuete rikkumise või isikuandmete töötlemise nõuete rikkumise või isikuandmete kaitse abinõude mittetäitmise eest – määratakse rahatrahv kümne kuni kahesaja päevapalga ulatuses.

(2) Vastutava töötleja pädeva ametiisiku poolt delikaatsete isikuandmete töötlemise registreerimata jätmise eest andmekaitse järelevalveasutuses – määratakse rahatrahv viiekümne kuni kahesaja päevapalga ulatuses.

(3) Vastutava või volitatud töötleja ametiisiku poolt isikuandmete töötlemise kontrollimisel teadlikult ebaõigete andmete esitamise eest – määratakse rahatrahv kuni kahesaja päevapalga ulatuses.

(4) Isiku nõudmisel:
1) ebaõigete isikuandmete parandamata jätmise või
2) ebaseaduslikult töödeldavate isikuandmete sulgemata või kustutamata jätmise eest – määratakse rahatrahv kuni kahekümne päevapalga ulatuses.

(5) Isikuandmete töötlemisel muude isiku õiguste rikkumise eest – määratakse rahatrahv kuni kahekümne päevapalga ulatuses.»;

2) paragrahvi 186 lõiget 1 täiendatakse pärast arvu «183» arvuga «183¹»;

3) paragrahvi 228 lõiget 1 täiendatakse punktiga 36 järgmises sõnastuses:

«36) andmekaitse järelevalveasutus – § 183¹.».

§ 34. Seaduse rakendamine

(1) Vabariigi Valitsusel moodustada 1997. aasta 1. jaanuariks andmekaitse järelevalveasutus.

(2) Vastutavad töötlejad on kohustatud ühe aasta jooksul viima isikuandmete töötlemised vastavusse käesoleva seadusega ja registreerima delikaatsete isikuandmete töötlemised käesolevas seaduses sätestatud korras.

Riigikogu aseesimees Tunne KELAM