GDPR ehk General Data Protection Regulation, eestikeelne lühend IKÜM

„Ülesande selgitada õpetajatele ja haridusasutuste juhtidele isikuandmete kaitse üldmäärusega seonduvat saime haridus- ja teadusministeeriumilt. Õpetajate, koolijuhtide, haridustöötajatega suheldes sai üsna ruttu selgeks, et vaja on lisamaterjale, mis annaksid kiire ja võimalikult lihtsa ülevaate üldmääruse olemusest ja rakendamisest. Asusimegi õppematerjale koostama,“ selgitas HITSA innovatsioonikeskuse projektijuht Triin Kaasik. 

Isikuandmete töötlemisel olid reeglid ka varem

HITSA juristide Raili Sassiani ja Katri Samarüteli sõnul oli oluline rõhutada, et varasemalt kehtinud andmekaitse põhimõtted uue määruse jõustumisel oluliselt ei muutunud. Ka varem olid isikuandmete töötlemisel konkreetsed reeglid. Määrus täpsustab mitmeid põhimõtteid ja isikute õigusi, samuti loob isikutele õigusi juurde ja paneb isikuandmete töötlejatele täiendavaid kohustusi. 

Lisaks jõustus 15.01.2019 uus isikuandmete kaitse seadus, mis annab alates 13. eluaastast noortele õiguse ise otsustada, kas ta lubab infoühiskonnas teenuste saamiseks oma isikuandmeid tödelda või mitte. 

Et IKÜMi teema tundub keeruline ja hirmutav, on sellele kindlasti kaasa aidanud ka meedia, rõhutades sageli sisu asemel suuri rahatrahve. Isikuandmete töötlejate jaoks on suur kasu selles, kui luuakse endale sisuline ülevaade, kes, kus ja kuidas isikuandmeid töötleb ning kas seda tehakse vastavuses isikuandmete kaitse valdkonna nõuetele.

Natuke on segadust tekitanud, millised on õiguslikud alused konkreetsete isikuandmete töötlustoimingute juures: millal on töötlemise aluseks avaliku ülesande täitmine (hariduse saamise võimaldamine) ja millal on selleks vaja nõusolekut. Mõned valdkonnad ongi veel natuke segased ja praktika on alles kujunemas, nt kuidas ja millisel õiguslikul alusel kasutada erinevaid elektroonilisi õpikeskkondi.

HITSA aitas määruse sisu selgitada veebiseminaridel ja koostas õppematerjale

Märtsis 2018 toimus esimene isikuandmete kaitse seminar, kus koguti praktilist sisendit HITSA juhendi arendamiseks. Juhendmaterjali „Isikuandmete kaitse üldmääruse rakendamine haridusasutustes“ töötasid välja FocusIT OÜ partnerid Doris Matteus, Jaan Oruaas, Janek Part ja Anu Tanila; HITSA juristid Raili Sassian ja Katri Samarütel ning Grant Thornton Baltic OÜ riskijuhtimisteenuste valdkonna juht Siiri Antsmäe ja õigusnõustaja Allan Kubu. 

Et ükski seik määrusest arusaamatuks ei jääks, toimus 15. mail veebiseminar "Isikuandmete kaitse üldmääruse nõuded koolidele ja lasteaedadele". Doris Matteus FocusIT OÜ-st ja Maili Torma Grant Thornton Baltic OÜ-st selgitasid, mida koolid ja lasteaiad uuest isikuandmete kaitse üldmäärusest teadma peaks.

17. septembril toimus veebiseminar „Isikuandmete kaitse üldmääruse nõuded koolidele“, kus selgitusi jagas andmekaitsespetsialist Tallinna Linnavalituse juures Merit Valgjärv. Veebiseminarid on järelvaadatavad HITSA Youtube´i kanalil ja sobivad õppematerjaliks tänagi. Juhendi ja veebiseminari leiab HITSA kodulehelt https://www.hitsa.ee/ikt-hariduses/gdpr-isikuandmete-kaitse-uldmaarus.

„Eks algul oli palju segadust ja arusaamatust, mida uus isikuandete kaiste regulatsioon endast kujutab ja mis nüüd koolides-lasteaedades toimuma hakkab. Peljati, et äkki keelatakse kõik ära,“ rääkis HITSA projektijuht Triin Kaasik ja lisas, et juhendmaterjali väljatöötamisel on tihedat koostööd tehtud Andmekaiste Inspektsiooniga (AKI). „Tegelikult peaks nii määrus, juhendmaterjalid  AKI veebilehel kui HITSAs valminud juhend aitama isikuandmetega õigesti toimetada. Isikuandmeid on kogu aeg haridusasutustes töödeldud. Lihtsalt seda oli harjutud nägema eraldi reguleeritud tegevusena ja mõneski asutuses puudus sisemine regulatsioon isikuandmete kasutamise ning ligipääsu kohta.“ Lihtne näide, milles rikkumist ei pruugigi kohe tajuda, on see, kui õpetaja läheb tunnis klassist välja, aga jätab oma arvuti lahti ja ühtlasi jätab nii avatuks ligipääsu keskkondadele, kust näeb õpilaste andmeid. 

Uus õpiobjekt valmimas

HITSAs on valmimas veel üks õppematerjal, mis samuti aitab isikuandmete kaitse valdkonnas orienteeruda: õpiobjekt „Millele peab kool andmekaitse üldmääruse osas tähelepanu pöörama“. Õpiobjekti autor on Pärnu Mai Kooli IT-spetsialist ja andmekaitsespetsialist Hanno Saks. „Andmekaitse õpiobjekt on mõeldud kasutamiseks kõigile, kes puutuvad kokku isikuandmetega. Koolides ja lasteaedades siis juhid, pedagoogid, tugispetsialistid ja peakokk,“ selgitas Hanno Saks. „Õpiobjekti maht on üks akadeemiline tund (45 minutit) ja kaugel sellest, et olla 100% ammendav. Välja on toodud siiski esmane, mida isikuandmete kaitsest tuleks teada.

Õpiobjekt on üles ehitatud esitluse ja videoloenguna ning lisatud on ka test. "Mis on õpiobjektis kirjas, näha ja kuulda, on miinimum, mida peaksid kõik (kaasa arvatud õpetajad) teadma. Need, kes tegelevad inimeste isikuandmetega (eriti laste andmetega) peavad teadma, kui hoolikad nad peavad olema.“ 

Artikkel ilmus esmakordselt 5.02.2019 ajakirja Märka Last erinumbris

Foto: Unsplash, Kelly Sikkema

Samal teemal:

• Haridusasutustele on valminud juhendmaterjal uue isikuandmete kaitse määruse kohta