Isikuandmete kaitse alased nõuded ja soovitused Erasmus+ ja Euroopa Solidaarsuskorpuse programmides
Erasmus+ ja Euroopa Solidaarsuskorpuse programmide raames rakendub isikuandmete töötlemisele EL institutsioonidele kohalduv isikuandmete kaitse regulatsioon 2018/1725 (IDPR). Isikuandmete töötlemisele väljaspool programme rakendub Isikuandmete kaitse üldmäärus 2016/679 (GDPR). Lisaks rakendub isikuandmete töötlemisele ka Eesti Vabariigis kehtestatud Isikuandmete kaitse seadus.
Erasmus+ ja Euroopa Solidaarsuskorpuse programmide andmekaitsetingimused on kättesaadavad veebilehel https://webgate.ec.europa.eu/erasmus-esc/index/privacy-statement.
Organisatsioonid peavad isikuandmete töötlemisel – sealjuures nii vastutava kui volitatud töötleja rollis – rakendama nende kaitseks sobivaid tehnilisi ja organisatsioonilisi meetmeid. Kaitsemeetmed peavad adresseerima kolme aspekti:
- Andmete konfidentsiaalsus – isikuandmete kaitse volitamata ligipääsu, muutmise, avaldamise, kasutamise või hävitamise eest
- Andmete terviklikkus – andmete täpsuse, täielikkuse, järjepidevuse ja õigsuse tagamine
- Andmete kättesaadavus – võimekus tagada andmetele stabiilne ja usaldusväärne ligipääs selleks volitatud isikutele
Näiteid tehnilistest kaitsemeetmetest:
- krüpteerimine – SSL/TLS-i rakendamine turvaliseks suhtluseks ja salvestatud andmete krüpteerimiseks tugevate krüpteerimisalgoritmidega
- juurdepääsu kontroll – rollipõhine juurdepääsukontroll (RBAC), tugevad paroolipoliitikad ja mitmetasandiline autentimine (MFA)
- pseudonüümimine ja anonüümimine – otseste identifikaatorite asendamine pseudonüümidega või isikut tuvastava teabe eemaldamine teatud kasutusjuhtudel
- andmete minimeerimine – vaadake regulaarselt üle andmesalvestustavad ja kustutage mittevajalik või aegunud teave (sj järgides säilitamiskohustusi)
- andmete varundamine ja taastamine – automatiseeritud ja regulaarsed varundusprotsessid koos välise salvestusega
- turvapaigad ja uuendused – õigeaegse ja süstemaatilise paigahaldusprotsessi juurutamine
- võrguturve – tulemüürid, sissetungi avastamise/tõkestamise süsteemid ja turvalised WiFi-protokollid
- füüsiline turvalisus
Näiteid organisatsioonilistest meetmetest:
- Organisatsiooni andmekaitse põhimõtted (näiteks andmete klassifitseerimise, töötlemise ja vastuvõetava kasutamise poliitikate loomine)
- töötajate koolitamine ja teadlikkuse tõstmine (näiteks töötubade läbiviimine, veebipõhiste koolitusmoodulite pakkumine ning teadlikkuse tõstmine andmepüügi- ja sotsiaalse manipuleerimise ohtudest),
- lõimitud andmekaitse ja vaikimisi andmekaitse (näiteks mõjuhinnangute läbiviimine enne uute süsteemide või protsesside rakendamist)
- konfidentsiaalsuslepingud ja muud seadusest tulenevad konfidentsiaalsuskohustused
- intsidentidele reageerimine ja nendest teatamine (näiteks spetsiaalse intsidentidele reageerimise meeskonna loomine, kommunikatsioonikorra määratlemine ja rikkumistest vastutava(te)le/asjaomastele asutustele teatamine),
- kolmanda osapoole riskijuhtimine (näiteks hankijate andmekaitsetavade hoolsuskontrolli läbiviimine, lepinguliste kokkulepete kasutamine ja perioodilised auditid),
- regulaarsed auditid ja hindamised (näiteks perioodilised sise- ja välisauditid, haavatavuse hindamised ja vastavuskontrollid),
- Andmekaitseametniku rolli täitmine
Euroopa Komisjon soovitab isikuandmete töötlemisel lähtuda järgmistest materjalidest:
Agentuur soovitab kindlasti tutvuda ka Andmekaitse Inspektsiooni koostatud materjalidega, näiteks:
Muid soovituslikke materjale Riigi Infosüsteemi Ametilt nende kodulehelt::
Erasmus+ ja Euroopa Solidaarsuskorpuse programmide toetusesaajate (volitatud töötleja ja andmesubjekti rollis), programmides osalejate ja muude andmesubjektide jaoks on Euroopa Komisjoni loodud kontaktpunktiks eu-erasmus-esc-personal-data@ec.europa.eu.
Haridus- ja noorteameti (sh agentuuri) andmekaitsespetsialistiga saab ühendust võtta meiliaadressil andmekaitse@harno.ee.