Enne kui saan asuda GDPR tegevusplaani ja tööriistade juurde, pean pikemalt lahti seletama mõned baasterminid. Uusi ja esmapilgul võõrana kõlavaid mõisteid on andmekaitses omajagu, aga kõige olulisemad on neist kahtlemata “isikuandmed” ja “isikuandmete töötlemine”. Nende ümber kogu tants ju lõppkokkuvõttes käibki.
“Mis on isikuandmed? Kas on olemas täielik nimekiri, mis andmed sinna alla täpsemalt kuuluvad?“
Seda küsimust kuulen sageli ja iga kord pean küsijat kurvastama ja ütlema, et ametlikku täielikku nimekirja ei ole ega tule. Kuna see vastus kellegile suurt rõõmu pole teinud, siis koostasin ühe pikema ja põhjalikuma nimekirja, mille leiad postituse lõpust.
Miks siis konkreetset nimekirja olemas ei ole? Kahel põhjusel: esiteks on isikuandmete definitsioon väga laiahaardeline ja juhtumipõhine ning teiseks on igal nimekirjal oht kiiresti aeguda, sest aeg toob uusi andmetüüpe tulevikus aina juurde.
Lihtsaim asja tuuma kokku võttev definitsioon on:
“Isikuandmed on kõik andmed, mis võimaldavad inimest tuvastada”.
Pika ja detailsema kirjelduse leiad AKI kodulehelt: Mis on isikuandmed?
Kuidas otsustada, kas tegu on isikuandmetega või mitte
Sõltuvalt kontekstist ja omaenda andmete komplektist pead otsuse tegemiseks iga kord küsima ühte ja sama küsimust:
“Kas see andmeväli (või mitu andmevälja koos) võib viia isiku tuvastamiseni nii, et võib aru saada kellega konkreetselt tegemist on?”
Seejuures on oluline vaadata mitte ainult üksikuid andmevälju eraldi vaid ka neid üheskoos – arvesse võttes kõiki andmevälju, mis sinu ettevõtte käsutuses on.
Suurettevõtetes, kus on kasutusel kümned eri infosüsteemid on isikuandmete üles leidmine tihti paras peavalu – tuleb läbi mõelda, kas infosüsteemis X olev andmeväli võib koos veebisaidis Y olevate andmetega isikut kogemata tuvastada. Seoseid ja võimalikke kombinatsioone on väga palju.
Väikeettevõtetes on eri süsteeme vähem ja andmed kergemini haaratavamad. Ülevaade sinu ettevõttes olevatest isikuandmetest ongi tegelikult kõige esimene samm GDPR tegevusplaanis.
Tundlikud isikuandmed
On kokku lepitud, et osa andmeid on inimeste privaatsust silma pidades tundlikumad kui teised ja neid tuleb käsitleda erilise hoolega.
Tundlikud ehk eriliigilised (vanasti nim delikaatsed) isikuandmed on rass või etniline päritolu, pärilikkus, poliitilised arvamused, religioon või usulised tõekspidamised, ametiühingusse kuuluvus, füüsiline või vaimne tervis, seksuaalelu, biomeetrilised andmed, geneetilised andmed.
Üks ääremärkus terminoloogia kohta: andmekaitse seadustes räägitakse isikuandmete kategooriatest, mille all mõeldakse erinevaid andmevälju, andmetüüpe. Nt pangakonto number ja kõnelogi on erinevad isikuandmete kategooriad.
Isikuandmete töötlemine
Mõistega “isikuandmete töötlemine” on seis oluliselt lihtsam. Isikuandmete töötlemiseks loetakse absoluutselt igasugust tegevust, mida tehakse isikuandmetega. See võib olla automaatne või käsitsi tehtav, digitaalne või paberil.
Töötlemine on näiteks kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine.
Siin pikas reas oli peidus üks sõna, mida enamasti tähele ei panda – lugemine. Jah, ka isikuandmete vaatamine on juba nende töötlemine, isegi kui sa nendega peale vaatamise mitte midagi muud ei tee.
Isikuandmete nimekiri
Alltoodud nimekirjas on isikuandmete kategooriad, mis puudutavad eraisiku eraelu, tööelu või avalikku elu. Palun arvesta, et nimekiri on mittetäielik.
- Identifitseerivad: nimi, kasutajanimi, e-mail, unikaalne identifikaator, riigipoolne identifikaator, pilt jm
- Biomeetrilised: sõrmejälg, peopesajälg, silmaiirisekujutis, geeniandmed, DNA kood jm
- Etnilised: rass, rahvuslik või etniline päritolu, keeled, dialektid, aktsendid jm
- Seksuaalsed: sugu, eelistused, fetišid, ajalugu jm
- Käitumine: netikäitumine, kõnelogid, klikitud lingid, suhtumine jm
- Demograafilised: vanusevahemik, füüsilised tunnusjooned, sissetuleku vahemik, geograafiline info jm
- Tervis: füüsiline ja vaimne tervis, tervisepuuded, narkotesti tulemused, perekonna või eraisiku terviseajalugu, tervisekirjed, veregrupp, retseptid jm
- Füüsilised: pikkus, kaal, vanus, sugu, juuste värv, naha värv, tätoveeringud, keha augustamised jm
- Digiseadmed: IP aadress, MAC aadress, brauseri jälg (fingerprint) jm
- Kontaktandmed: e-posti aadress, füüsiline aadress, telefoninumber, jm
- Asukoht: riik, GPS koordinaadid, toanumber jm
- Finants: krediitkaardi number, pangakonto number jm
- Omandid: autod, kinnisvarad, muud isiklikud omandid
- Tehingud: müügid, ostud, krediit, sissetulek, laenud, tehingud, maksud, tarbimisharjumused jm
- Krediidiinfo: krediidikirjed, krediidivõimekus, krediidiskooring, krediidipiirang jm
- Karjäär: ametinimed, palk, töötamise ajalugu, haridus ja koolid, töötaja kaardid, hindamised, referentsid, intervjuud, sertifikatsioonid, distsiplinaarkaristused jm
- Kuritegevus: süüdimõistmised, karistused, vabastused jm
- Avalik elu: maine, reputatsioon, sotsiaalne staatus, abielu staatus, usk, poliitilised veendumused, koostööd, suhtlemised jm
- Perekond: pere struktuur, õed-vennad, järglased, abielud, lahutused, kooselu suhted jm
- Sotsiaalne võrgustik: sõbrad, tutvused, liidud, liikmelisus jm
- Kommunikatsioon: telefonikõne salvestused, kõnepost, e-mail jm
- Elulugu: isiku elus juhtunud olulise mõjuga sündmused
- Teadmised ja uskumused: religioossed uskumused, filosoofilised veendumused, mõtted, teadmised jm
- Autentimine: paroolid, PIN koodid, ema neiupõlve nimi jm
- Eelistused: arvamused, kavatsused, huvid, lemmiktoidud, värvid, meelidmised, mittemeeldimised, muusikaeelistused jm