Juhtimine ja tugiteenused> Andmekaitse, riigisaladuse kaitse ja infoturbe juhtimine

Isikuandmete töötlemise ja kaitse kord

Kinnitatud rektori 20.05.2013 käskkirjaga nr 147
Muudetud rektori 25.05.2016 käskkirjaga nr 83
Muudetud rektori 31.03.2021 käskkirjaga nr 15 (jõustunud 01.04.2021)

Redaktsiooni jõustumise kuupäev: 01.04.2021

Microsoft Word

1. Üldsätted

1.1 Isikuandmete töötlemise ja kaitse korraga (edaspidi kord) reguleeritakse isikuandmete töötlemist ja kaitset Tallinna Tehnikaülikoolis (edaspidi TTÜ).
1.2 Kord on välja töötatud isikuandmete kaitse seaduse (edaspidi seadus) ja teiste isikuandmete töötlemist ja kaitset reguleerivate õigusaktide nõuetest lähtuvalt.
1.3 Korra väljatöötamisel on juhindutud Andmekaitse Inspektsiooni poolt seaduse rakendamiseks antud isikuandmete töötlemise ja kaitse alastest soovituslikest juhistest.

2. Korras kasutatavad mõisted

2.1 Isikuandmed – mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on esitatud.
2.2 Delikaatsed isikuandmed – andmed füüsilise isiku:
2.2.1 poliitiliste vaadete (v.a erakonna liikmelisus) kohta;
2.2.2 usuliste ja maailmavaateliste veendumuste kohta;
2.2.3 etnilise päritolu ja rassilise kuuluvuse kohta;
2.2.4 terviseseisundi või puude kohta;
2.2.5 pärilikkuse informatsiooni (geeniandmed) kohta;
2.2.6 biomeetrika (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis) kohta;
2.2.7 seksuaalelu kohta;
2.2.8 ametiühingu liikmelisuse kohta;
2.2.9 süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.
2.3 Eraelulised isikuandmed – isikuandmed, millele juurdepääsu võimaldamine võib kahjustada oluliselt füüsilise isiku eraelu puutumatust.
2.4 Andmesubjekt – füüsiline isik, kelle isikuandmeid töödeldakse.
2.5 Isikuandmeid sisaldav teabekandja – mis tahes objekt, millele on jäädvustatud isikuandmed.
2.6 Isikuandmete töötlemine – iga isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine isikuandmetele, päringute teostamine ja väljavõtete tegemine, isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine, või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest.
2.7 Isikuandmete töötleja – TTÜ avalik-õigusliku juriidilise isikuna, kes töötleb või kelle ülesandel töödeldakse isikuandmeid.
2.8 Isikuandmeid töötlev töötaja – töötaja, kes töötleb isikuandmeid.
2.9 Isikuandmeid töötleva struktuuriüksuse juht – struktuuriüksuse juht, kelle juhitavas struktuuriüksuses töödeldakse isikuandmeid.
2.10 Isikuandmete kaitse – isikuandmete töötlemisel organisatsiooniliste, füüsiliste, tehniliste ja elektrooniliste teabeturbe meetmete rakendamine.
2.11 Isikuandmete kaitse korraldamine – isikuandmete töötlemise ja kaitse nõuetele vastavuse tagamine.
2.12 Isikuandmete kaitset korraldav isik – töötaja, kelle tööülesandeks on isikuandmete kaitse korraldamine.
2.13 Isikuandmete infosüsteem – infosüsteem, sealhulgas tehnilised vahendid, mida kasutatakse isikuandmete elektrooniliseks töötlemiseks.
2.14 Isikuandmete infosüsteemi peakasutaja – töötaja, kelle tööülesandeks on isikuandmete infosüsteemi administreerimine.
2.15 Isikuandmete töötlemise ruum – ruum, kus töödeldakse isikuandmeid.
2.16 Juurdepääsuõiguseta isik – isik, sh TTÜ töötaja, kellel puudub isikuandmetele juurdepääsuõigus.
2.17 Juurdepääsuvajadusega isik – füüsiline või juriidiline isik, riigi- või kohaliku omavalitsuse asutus või välismaa äriühingu filiaal, kellel on isikuandmetele juurdepääsuvajadus.
3. Isikuandmete töötlemise ja kaitse nõuete täitmise eest vastutavad isikud
3.1 TTÜ-s vastutavad isikuandmete töötlemise ja kaitse nõuete täitmise eest isikud järgmiselt:
3.1.1 rektor vastutab isikuandmete töötlemise ja kaitse nõuete täitmise eest;
3.1.2 isikuandmete kaitset korraldav isik vastutab isikuandmete kaitse korraldamise eest;
3.1.3 isikuandmeid töötleva struktuuriüksuse juht (edaspidi struktuuriüksuse juht) vastutab isikuandmete töötlemise ja kaitse nõuete täitmise eest struktuuriüksuses;
3.1.4 isikuandmeid töötlev töötaja (edaspidi töötaja) vastutab isikuandmeid sisaldava teabekandja töötlemisel isikuandmete töötlemise ja kaitse nõuete täitmise eest;
3.1.5 isikuandmete infosüsteemi peakasutaja vastutab administreeritavas isikuandmete infosüsteemis isikuandmete töötlemise ja kaitse nõuete täitmise eest.

4. Isikuandmete kaitset korraldav isik

4.1 Rektor määrab isikuandmete kaitse korraldamiseks isikuandmete kaitset korraldava isiku, kes:
4.1.1 auditeerib ja kontrollib regulaarselt, et TTÜ töötleks ja kaitseks isikuandmeid vastavalt seadusele ja käesolevale korrale ning teistele õigusaktidele;
4.1.2 võtab TTÜ-s tarvitusele sobilikud meetmed isikuandmete töötlemise ja kaitse nõuetega vastavusse viimiseks;
4.1.3 peab isikuandmete töötleja andmetöötlemiste registrit;
4.1.4 nõustab töötajaid igapäevaselt isikuandmete töötlemise ja kaitse küsimustes;
4.1.5 viib töötajatele regulaarselt läbi koolitusi isikuandmete töötlemise ja kaitse teemadel.
4.2 Personaliosakond teavitab isikuandmete kaitset korraldava isiku määramisest Andmekaitse Inspektsiooni, teatades tema nime ja kontaktandmed.
4.3 Isikuandmete kaitset korraldav isik on oma tegevuses sõltumatu isikuandmete töötlejast.
4.4 Isikuandmete kaitset korraldav isik konsulteerib isikuandmete töötlemise ja isikuandmete kaitseks rakendatavate organisatsiooniliste, füüsiliste, tehniliste ja elektrooniliste teabeturbe meetmete osas Andmekaitse Inspektsiooniga.

5. Struktuuriüksuse juht

5.1 Struktuuriüksuse juht koordineerib isikuandmete töötlemist ja kaitset struktuuriüksuses käesoleva korra nõuete kohaselt.
5.2 Struktuuriüksuse juht määrab kindlaks koostöös isikuandmete kaitset korraldava isikuga struktuuriüksuse isikuandmete töötlemise eesmärgid ja töödeldavate isikuandmete koosseisu.
5.3 Struktuuriüksuse juht otsustab juurdepääsu võimaldamise struktuuriüksuse isikuandmeid sisaldavatele teabekandjatele ja isikuandmete edastamise kooskõlas seaduse ja teiste õigusaktidega, konsulteerides isikuandmete kaitset korraldava isikuga.
5.4 Struktuuriüksuse juht tagab, et struktuuriüksuses puudub isikuandmetele ligipääs juurdepääsuõiguseta isikutel.
5.5 Struktuuriüksuse juhil tuleb kindlaks määrata koostöös isikuandmete kaitset korraldava isikuga struktuuriüksuse isikuandmete töötlemise ruumid ja isikute sissepääsuõigused lukustatud struktuuriüksuse isikuandmete töötlemise ruumi.
5.6 Struktuuriüksuse juht võib lubada töötajal töödelda eraelulisi isikuandmeid sisaldavaid teabekandjaid väljaspool TTÜ ruume, kui see on kooskõlastatud eelnevalt isikuandmete kaitset korraldava isikuga.
5.7 Struktuuriüksuse juht on kohustatud isikuandmete töötlemise ja kaitse nõuete alase küsimusega pöörduma isikuandmete kaitset korraldava isiku poole.
5.8 Struktuuriüksuse juht kooskõlastab isikuandmete kaitseks rakendatavad organisatsioonilised, füüsilised, tehnilised ja elektroonilised teabeturbe meetmed isikuandmete kaitset korraldava isikuga.
5.9 Struktuuriüksuse juht on kohustatud teavitama:
5.9.1 isikuandmeid sisaldavate teabekandjate edastamise, hoiustamise, säilitamise ja hävitamise kaitse meetmete ebapiisavuse korral rektoraadi strateegiabüroo juhatajat ja isikuandmete kaitset korraldavat isikut; [jõustunud 01.04.2021]
5.9.2 isikuandmete töötlemise ruumi isikuandmete kaitse meetmete ebapiisavuse korral kinnisvaraosakonna juhatajat ja isikuandmete kaitset korraldavat isikut; [jõustunud 25.05.2016]
5.9.3 isikuandmete infosüsteemi isikuandmete kaitse meetmete ebapiisavuse korral vastava isikuandmete infosüsteemi peakasutajat ja isikuandmete kaitset korraldavat isikut.
5.10 Struktuuriüksuse juht edastab igal aastal 30. novembriks isikuandmete kaitset korraldavale isikule info vastavalt etteantud vormile käesoleva korra nõuete täitmise kohta struktuuriüksuses.
5.11 Struktuuriüksuse juht on struktuuriüksuse isikuandmete töötlemise ja kaitse nõuete rikkumise korral kohustatud koheselt rikkumise kõrvaldamiseks ühendust võtma isikuandmete kaitset korraldava isikuga.

6. Töötaja

6.1 Töötaja töötleb isikuandmeid sisaldavaid teabekandjaid käesoleva korra nõuete kohaselt.
6.2 Töötaja rakendab isikuandmete töötlemisel isikuandmete kaitseks nõuetekohaseid organisatsioonilisi, füüsilisi, tehnilisi ja elektroonilisi teabeturbe meetmeid, et ära hoida isikuandmete volitamata töötlemist.
6.3 Töötaja tagab, et isikuandmete töötlemise ruumis on välditud:
6.3.1 juurdepääsuõiguseta isikute ligipääs isikuandmetele;
6.3.2 isikuandmeid sisaldavate teabekandjate omavoliline teisaldamine.
6.4 Töötaja tagab, et isikuandmed ei saaks edastamise käigus teatavaks juurdepääsuõiguseta isikule.
6.5 Töötajal tuleb isikuandmeid sisaldava teabekandja TTÜ ruumidest väljaviimisel rakendada teabeturbe meetmeid, et isikuandmed ei satuks juurdepääsuõiguseta isiku kätte.
6.6 Töötaja, kes edastab või transpordib isikuandmeid, tagab, et isikuandmete edastamisel või transportimisel ei toimu isikuandmete volitamata lugemist, kopeerimist või hävitamist.
6.7 Töötaja tagab isikuandmeid sisaldava elektroonilise teabekandja puhul, et peale kasutuselt kõrvaldamist on elektrooniliselt teabekandjalt andmed turvaliselt kustutatud ja võimalusel üle kirjutatud. Kasutuselt kõrvaldatud elektroonilised teabekandjad, millelt ei ole võimalik andmeid elektrooniliselt kustutada, tuleb hävitada füüsiliselt.
6.8 Töötaja on kohustatud osalema isikuandmete töötlemise ja kaitse alastel koolitustel üks kord kahe aasta jooksul.
6.9 Töötaja on kohustatud isikuandmete töötlemise ja kaitse nõuete alase küsimusega pöörduma isikuandmete kaitset korraldava isiku poole.
6.10 Töötaja on kohustatud talle teatavaks saanud isikuandmete töötlemise ja kaitse nõuete rikkumisest koheselt teavitama struktuuriüksuse juhti ja isikuandmete kaitset korraldavat isikut.
6.11 Töötaja on kohustatud hoidma saladuses talle tööülesannete täitmisel teatavaks saanud isikuandmeid ka pärast isikuandmete töötlemisega seotud tööülesannete täitmist või töösuhte lõppemist vastavalt õigusaktides sätestatud tähtaegadele.

7. Isikuandmete infosüsteemi peakasutaja

7.1 Isikuandmete infosüsteemi peakasutaja koordineerib isikuandmete töötlemist ja kaitset isikuandmete infosüsteemis käesoleva korra nõuete kohaselt.
7.2 Isikuandmete infosüsteemi peakasutaja tagab, et isikuandmete infosüsteemis on:
7.2.1 tagasiulatuvalt võimalik kindlaks teha isikuandmetele juurdepääsemise ja isikuandmete edastamise, salvestamise, muutmise või kustutamisega seonduvad üksikasjad;
7.2.2 igal isikuandmete infosüsteemi kasutajal juurdepääs ainult temale töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
7.2.3 isikuandmete edastamisel välistatud isikuandmete volitamata lugemine, kopeerimine, muutmine või kustutamine.
7.3 Isikuandmete infosüsteemi peakasutaja tagab, et isikuandmete infosüsteemi haldamiseks on välja töötatud ja kehtestatud turbereeglid.
7.4 Isikuandmete infosüsteemi peakasutajal tuleb koostöös struktuuriüksuse juhi ja isikuandmete kaitset korraldava isikuga määrata kindlaks isikuandmete infosüsteemi kasutajate juurdepääsuõigused ja muud volitused isikuandmete infosüsteemis.
7.5 Isikuandmete infosüsteemi peakasutajal tuleb uue isikuandmete infosüsteemi kasutuselevõtmine kooskõlastada isikuandmete kaitset korraldava isikuga.
7.6 Isikuandmete infosüsteemi peakasutaja on kohustatud administreeritavate seadmete ja tarkvara kohta esitama isikuandmete kaitset korraldavale isikule järgmised andmed:
7.6.1 seadme nimetus, tüüp ja asukoht ning seadme valmistaja nimi;
7.6.2 tarkvara nimetus, versioon, valmistaja nimi ja kontaktandmed.
7.7 Isikuandmete infosüsteemi peakasutaja teeb isikuandmete infosüsteemi kasutamise võimalikuks kaugtöö vormis, kui on tagatud seadusest, käesolevast korrast ja teistest õigusaktidest tulenevate teabeturbe nõuete täitmine ning selleks on andnud loa struktuuriüksuse juht kooskõlastatult isikuandmete kaitset korraldava isikuga.
7.8 Isikuandmete infosüsteemi peakasutaja on kohustatud isikuandmete töötlemise ja kaitse nõuete alase küsimusega pöörduma isikuandmete kaitset korraldava isiku poole.
7.9 sikuandmete infosüsteemi peakasutaja on kohustatud talle teatavaks saanud isikuandmete töötlemise ja kaitse nõuete rikkumisest koheselt teavitama isikuandmete kaitset korraldavat isikut.

8. Isikuandmete töötlemise nõuded

8.1 Struktuuriüksusel tuleb isikuandmeid töödelda:
8.1.1 seaduslikult, st isikuandmeid kogutakse ainult ausal ja seaduslikul teel;
8.1.2 kvaliteetselt, st töödeldavad isikuandmed on ajakohased ja täielikud;
8.1.3 turvaliselt, st isikuandmete kaitseks on rakendatud teabeturbe meetmed;
8.1.4 eesmärgikohaselt, st isikuandmeid kogutakse üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks;
8.1.5 minimaalselt, st isikuandmeid kogutakse ainult ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks;
8.1.6 andmesubjekti osalust arvestades, st andmesubjekti teavitatakse tema andmetest ja võimaldatakse talle oma andmetele juurdepääs ning vajadusel nende parandamine.
8.2 Struktuuriüksus võib isikuandmeid töödelda andmesubjekti nõusolekuta:
8.2.1 seaduse alusel;
8.2.2 andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks (v.a delikaatsete isikuandmete töötlemine);
8.2.3 üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks, kui andmesubjektilt ei ole võimalik nõusolekut saada.
8.3 Struktuuriüksus võib juurdepääsuvajadusega isikule isikuandmeid edastada või nendele juurdepääsu võimaldada andmesubjekti nõusolekuta juhul, kui juurdepääsuvajadusega isik:
8.3.1 töötleb isikuandmeid seadusega ettenähtud ülesande täitmiseks;
8.3.2 taotleb teavet, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muul põhjusel kehtestatud juurdepääsupiirangut;
8.3.3 töötleb isikuandmeid üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks, kui andmesubjektilt ei ole võimalik nõusolekut saada;
8.3.4 töötleb isikuandmeid teadusuuringu või riikliku statistika vajadusteks kodeeritud kujul vajalikke teabeturbe meetmeid rakendades.
8.4 Struktuuriüksus peab arvestust paberil või elektrooniliselt, milliseid isikuandmeid, mis eesmärgil, kellele ja millal edastati.
8.5 Struktuuriüksustes määratakse kindlaks isikuandmete töötlemise eesmärgid lähtuvalt seadusest ja teistest õigusaktidest.
8.6 Struktuuriüksus võib kogutud isikuandmeid töödelda vaid sellistel eesmärkidel, mis on kooskõlas isikuandmete kogumise eesmärgiga.
8.7 Struktuuriüksus võib kogutud isikuandmeid teisele struktuuriüksusele edastada, kui antud struktuuriüksuste isikuandmete töötlemise eesmärgid on kattuvad või omavahel kooskõlas.
8.8 Struktuuriüksus peab kogutud isikuandmete esialgsest eesmärgist erinevatel eesmärkidel töötlemiseks taotlema andmesubjektilt nõusoleku kirjalikku taasesitamist võimaldavas vormis.
8.9 Andmesubjekti kirjalikus nõusolekus peavad olema selgelt määratletud järgmised andmed:
8.9.1 isikuandmed, mille töötlemiseks luba antakse;
8.9.2 isikuandmete töötlemise eesmärk;
8.9.3 isikud, kellele isikuandmete edastamine on lubatud;
8.9.4 isikuandmete juurdepääsuvajadusega isikutele edastamise tingimused;
8.9.5 andmesubjekti õigused tema isikuandmete edasise töötlemise osas.
8.10 Struktuuriüksusel lasub andmesubjekti nõusoleku tõendamise kohustus.
8.11 Struktuuriüksusel tuleb eesmärkide saavutamiseks mittevajalikud isikuandmed kustutada või sulgeda.
8.12 Struktuuriüksuses määratakse kindlaks töödeldavate isikuandmete koosseis lähtuvalt seadusest ja teistest õigusaktidest.
8.13 Struktuuriüksus peab andmesubjekti soovi korral temale teatavaks tegema:
8.13.1 struktuuriüksuses andmesubjekti kohta leiduvad isikuandmed;
8.13.2 tema isikuandmete töötlemise eesmärgid;
8.13.3 tema isikuandmete koosseisu ja allikad;
8.13.4 juurdepääsuvajadusega isikud, kellele tema isikuandmete edastamine on lubatud;
8.13.5 juurdepääsuvajadusega isikud, kellele tema isikuandmeid on edastatud.
8.14 Juhul, kui isik taotleb teavet, milles sisalduvad tema või kolmandate isikute juurdepääsupiiranguga isikuandmed, tuvastab struktuuriüksus teabenõudja isiku. Kui isik taotleb juurdepääsupiiranguga isikuandmeid kolmandate isikute kohta, tuleb struktuuriüksusel selgitada välja juurdepääsu alus ja eesmärk.
8.15 Struktuuriüksus võib piirata andmesubjekti õigust saada teavet ja enda kohta käivaid isikuandmeid, kui see võib:
8.15.1 kahjustada teise isiku õigusi ja vabadusi;
8.15.2 ohustada lapse põlvnemise saladuse kaitset;
8.15.3 takistada kuriteo tõkestamist või kurjategija tabamist;
8.15.4 raskendada kriminaalmenetluses tõe väljaselgitamist.
8.16 Struktuuriüksus on kohustatud andma andmesubjektile teavet ja väljastama nõutavad isikuandmed või põhjendama andmete väljastamisest või teabe andmisest keeldumist avalduse saamise päevale järgneva viie tööpäeva jooksul. TTÜ võib andmete väljastamise eest paberkandjal nõuda alates 21. leheküljest tasu kuni 0,19 eurot iga väljastatud lehekülje eest.
8.17 Struktuuriüksus järgib, et töödeldavad isikuandmed on ajakohased ja õiged.
8.18 Mittetäielike või ebaõigete isikuandmete korral struktuuriüksus:
8.18.1 võtab isikuandmete täiendamiseks ja parandamiseks viivitamata kasutusele vajalikud abinõud;
8.18.2 sulgeb isikuandmed, mille õigsus on vaidlustatud, kuni andmete õigsuse kindlakstegemiseni või õigete andmete väljaselgitamiseni;
8.18.3 säilitab andmed märkusega nende kasutamise aja kohta koos täiendatud ja parandatud andmetega;
8.18.4 teavitab isikuandmete parandamise korral sellest isikuid, kellelt isikuandmed saadi või kellele isikuandmeid edastati, kui see on tehniliselt võimalik ega too kaasa ebaproportsionaalselt suuri kulutusi.
8.19 Struktuuriüksus võib taotleda töölepingu eelsetel läbirääkimistel või selle sõlmimise ettevalmistamisel töölesoovivalt isikult ainult andmeid, mille vastu on TTÜ-l õigustatud huvi. Ebaproportsionaalselt eraelu puudutavaid ja töökohale sobivusega mitteseotud isikuandmeid struktuuriüksus ei taotle.
8.20 Struktuuriüksus küsib töötaja tööleasumisel temalt nõusoleku sünnipäeva andmete avaldamiseks TTÜ siseveebis.
8.21 Struktuuriüksus ei võimalda dokumendiregistri kaudu juurdepääsu dokumendiregistris registreeritavatele ja dokumendihaldussüsteemis hallatavatele eraelulisi või delikaatseid isikuandmeid sisaldavatele elektroonilistele dokumentidele.
8.22 Struktuuriüksus peab kaalutlema enne isikuandmete ajakirjanduslikul eesmärgil töötlemise ja meedias avalikustamise võimaldamist, kas selleks on ülekaalukas avalik huvi ning andmete avalikustamine ei kahjusta ülemääraselt andmesubjekti õigusi. Struktuuriüksus võtab vajadusel antud küsimuse otsustamiseks ühendust andmesubjektiga.
8.23 TTÜ veebilehel võib avaldada füüsiliste isikutega seonduvaid heli-, foto- või videosalvestisi juhul, kui füüsiline isik on olnud jäädvustamisega nõus või tegemist on olnud avaliku üritusega. Juhul, kui füüsiline isik pole nõus isikuandmete edasise TTÜ veebilehel avaldamisega, tuleb andmed avaldanud struktuuriüksusel antud isikuandmed TTÜ veebilehelt eemaldada.
8.24 TTÜ hoonetes kasutatavas läbipääsusüsteemis ja jälgimisseadmestikus töödeldakse isikuandmeid isikute läbipääsu ja vara turvalisuse tagamise eesmärgil. Muudel eesmärkidel võib läbipääsusüsteemi ja jälgimisseadmestiku isikuandmeid töödelda kinnisvaraosakonna juhataja ja isikuandmete kaitset korraldava isiku loal. [jõustunud 25.05.2016]
8.25 TTÜ hoonetes ja territooriumidel vara kaitseks isikuandmeid edastavast ja salvestavast jälgimisseadmestikust informeeritakse isikuid vastavatel teavitussiltidel, millel on TTÜ kontaktandmed.

9. Isikuandmete kaitse nõuded

9.1 Struktuuriüksusel tuleb isikuandmete töötlemisel rakendada isikuandmete kaitseks teabeturbe meetmeid.
9.2 Struktuuriüksus hoiustab isikuandmeid sisaldavaid teabekandjaid struktuuriüksuse isikuandmete töötlemise ruumis.
9.3 Struktuuriüksuse isikuandmete töötlemise ruumis peab olema tagatud, et isikuandmetele puudub ligipääs juurdepääsuõiguseta isikutel.
9.4 Struktuuriüksuse isikuandmete töötlemise ruumil on:
9.4.1 valve- ja tuletõrjesignalisatsioon;
9.4.2 lukustatav uks ja läbipääsusüsteem.
9.5 Struktuuriüksuse isikuandmete töötlemise ruumi teabeturbe meetmete ebapiisavuse korral on struktuuriüksus kohustatud isikuandmeid sisaldavate teabekandjate hoiustamisel rakendama täiendavaid turbemeetmeid (lukustatavad kapid, riiulid, sahtlid jne).
9.6 Struktuuriüksuse isikuandmete töötlemise ruum peab olema viimasena ruumist lahkuva vastava struktuuriüksuse töötaja poolt lukustatud ja valvestatud.
9.7 Juurdepääsuõiguseta isiku viibimise ajal struktuuriüksuse isikuandmete töötlemise ruumis peab seal olema vastava struktuuriüksuse töötaja.
9.8 Juhul, kui struktuuriüksuse isikuandmete töötlemise ruumis viibiv juurdepääsuõiguseta isik võib ligi pääseda isikuandmetele, on struktuuriüksus kohustatud isikuandmeid sisaldavate teabekandjate hoiustamisel rakendama täiendavaid turbemeetmeid (lukustatavad kapid, riiulid, sahtlid jne).
9.9 Delikaatseid isikuandmeid sisaldavaid teabekandjaid hoiustatakse lukustatavas kapis, riiulil, sahtlis või arhiivihoidlas.
9.10 Delikaatseid isikuandmeid sisaldavaid teabekandjaid võib erandjuhul töödelda väljaspool TTÜ ruume isikuandmete kaitset korraldava isiku loal.
9.11 Isikuandmete infosüsteemis peab olema tagatud:
9.11.1 isikuandmete konfidentsiaalsus, st isikuandmetele ei pääse ligi juurdepääsuõiguseta isikud;
9.11.2 isikuandmete käideldavus, st infosüsteemi kasutaja pääseb ligi ainult lubatud isikuandmetele ja lubatud andmetöötluseks;
9.11.3 isikuandmete terviklus, st isikuandmeid ei ole volitamata muudetud ega hävitatud.
9.12 Isikuandmete töötlemise ruumide või infosüsteemide juurdepääsuõigusi väljastav struktuuriüksus tagab, et ruumidele või infosüsteemidele tugiteenuste osutamiseks (hooldus, remont, abi-, koristus-, tugi- ja tehnilised tööd, valveülesanded jmt) juurdepääsu vajavate füüsiliste või juriidiliste isikutega on tugiteenuste osutamiseks sõlmitud lepingus sätestatud konfidentsiaalsuse tagamise kohustus.
9.13 Elektrooniliste teabekandjate kasutuselt kõrvaldamisel peavad teabekandjalt olema isikuandmed turvaliselt kustutatud ja võimalusel üle kirjutatud. Isikuandmete turvaliseks kustutamiseks kasutatakse spetsiaalset turvalise kustutuse tarkvara või magnetilise kustutuse seadet, mis vastab standardi DIN 33858 tasemele A3 või B3.
9.14 Elektroonilised teabekandjad, millelt ei ole võimalik isikuandmeid elektrooniliselt kustutada, tuleb hävitada füüsiliselt.
9.15 Struktuuriüksuses hävitatakse isikuandmeid sisaldavad teabekandjad, mille kasutamisvajadus ja säilitamistähtaeg on möödunud, turvaliselt purustamise teel.
9.16 Isikuandmeid sisaldavate teabekandjate hävitamiseks tuleb kasutada purustajat, mis:
9.16.1 paberteabekandjal tavaliste isikuandmete hävitamisel vastab standardi DIN 32757 nr 2 või DIN 663997 P2 tasemele (riba laius maksimaalselt 6 mm);
9.16.2 paberteabekandjal eraeluliste ja delikaatsete isikuandmete hävitamisel vastab standardi DIN 32757 nr 3 või DIN 663997 P3 tasemele (riba laius maksimaalselt 2 mm või tüki suurus maksimaalselt 4×60 mm);
9.16.3 elektroonilisel teabekandjal tavaliste isikuandmete hävitamisel vastab standardi DIN 66399 vastavate kategooriate O, T, E, F, H tasemele 2;
9.16.4 elektroonilisel teabekandjal eraeluliste ja delikaatsete isikuandmete hävitamisel vastab standardi DIN 66399 vastavate kategooriate O, T, E, F, H tasemele 3.
9.17 Struktuuriüksus võib isikuandmeid sisaldavate teabekandjate mahukama koguse korral kokkuleppel rektoraadi strateegiabürooga koguda teabekandjad kokku turvaliseks hävitamiseks. [jõustunud 01.04.2021]

10. Isikuandmete töötlemise ja kaitse nõuete rikkumine ning selle kõrvaldamine

10.1 Isikuandmete töötlemise ja kaitse nõuete rikkumise avastamisel võtab isikuandmete kaitset korraldav isik koheselt kasutusele vajalikud meetmed rikkumisest põhjustatava kahju vähendamiseks.
10.2 Isikuandmete kaitset korraldaval isikul on õigus anda isikuandmete töötlemise ja kaitse nõuete rikkumise avastamisel struktuuriüksuse juhile korraldus isikuandmete töötlemise ajutiseks peatamiseks struktuuriüksuses.
10.3 Isikuandmete kaitset korraldav isik võtab seletuse isikult, kes on rikkunud isikuandmete töötlemise ja kaitse nõudeid.
10.4 Isikuandmete kaitset korraldav isik edastab isikuandmete töötlemise ja kaitse nõudeid rikkunud töötajale ja struktuuriüksuse juhile ettepanekud isikuandmete töötlemise ja kaitse nõuete rikkumise kõrvaldamiseks.
10.5 Isikuandmete kaitset korraldav isik teavitab isikuandmete töötlemise ja kaitse nõuete rikkumisest ja selle kõrvaldamiseks tehtud ettepanekutest rektorit.
10.6 Rektor annab korraldusi isikuandmete töötlemise ja kaitse nõudeid rikkunud struktuuriüksuse juhile rikkumise kõrvaldamiseks.
10.7 Isikuandmete töötlemise ja kaitse parendamiseks esitab isikuandmete kaitset korraldav isik struktuuriüksuse juhile ettepanekud sobilike isikuandmete töötlemise ja kaitse meetmete rakendamiseks.
10.8 Isikuandmete kaitset korraldav isik teostab järelkontrolli isikuandmete töötlemise ja kaitse nõuete rikkumise kõrvaldamise üle struktuuriüksuses.
10.9 Juhul, kui isikuandmete töötlemise ja kaitse nõuete rikkumise kõrvaldamiseks ei ole struktuuriüksuses võetud tarvitusele vajalikke meetmeid, teavitab isikuandmete kaitset korraldav isik rikkumisest rektorit ja Andmekaitse Inspektsiooni.
10.10 Isikuandmete töötlemise ja kaitse nõuete eiramisel võidakse isik võtta vastutusele vastavalt seadusele