Menüü

Oluline info isikuandmete kaitse kohta

Isikuandmete kaitse alased nõuded ja soovitused Erasmus+ ja Euroopa Solidaarsuskorpuse programmides

Erasmus+ ja Euroopa Solidaarsuskorpuse programmide raames rakendub isikuandmete töötlemisele EL institutsioonidele kohalduv isikuandmete kaitse regulatsioon 2018/1725 (IDPR). Isikuandmete töötlemisele väljaspool programme rakendub Isikuandmete kaitse üldmäärus 2016/679 (GDPR). Lisaks rakendub isikuandmete töötlemisele ka Eesti Vabariigis kehtestatud Isikuandmete kaitse seadus.

Erasmus+ ja Euroopa Solidaarsuskorpuse programmide andmekaitsetingimused on kättesaadavad veebilehel https://webgate.ec.europa.eu/erasmus-esc/index/privacy-statement.

Organisatsioonid peavad isikuandmete töötlemisel – sealjuures nii vastutava kui volitatud töötleja rollis – rakendama nende kaitseks sobivaid tehnilisi ja organisatsioonilisi meetmeid. Kaitsemeetmed peavad adresseerima kolme aspekti:

  • Andmete konfidentsiaalsus – isikuandmete kaitse volitamata ligipääsu, muutmise, avaldamise, kasutamise või hävitamise eest
  • Andmete terviklikkus – andmete täpsuse, täielikkuse, järjepidevuse ja õigsuse tagamine
  • Andmete kättesaadavus – võimekus tagada andmetele stabiilne ja usaldusväärne ligipääs selleks volitatud isikutele

Näiteid tehnilistest kaitsemeetmetest:

  • krüpteerimine – SSL/TLS-i rakendamine turvaliseks suhtluseks ja salvestatud andmete krüpteerimiseks tugevate krüpteerimisalgoritmidega
  • juurdepääsu kontroll – rollipõhine juurdepääsukontroll (RBAC), tugevad paroolipoliitikad ja mitmetasandiline autentimine (MFA)
  • pseudonüümimine ja anonüümimine – otseste identifikaatorite asendamine pseudonüümidega või isikut tuvastava teabe eemaldamine teatud kasutusjuhtudel
  • andmete minimeerimine – vaadake regulaarselt üle andmesalvestustavad ja kustutage mittevajalik või aegunud teave (sj järgides säilitamiskohustusi)
  • andmete varundamine ja taastamine – automatiseeritud ja regulaarsed varundusprotsessid koos välise salvestusega
  • turvapaigad ja uuendused – õigeaegse ja süstemaatilise paigahaldusprotsessi juurutamine
  • võrguturve – tulemüürid, sissetungi avastamise/tõkestamise süsteemid ja turvalised WiFi-protokollid
  • füüsiline turvalisus

Näiteid organisatsioonilistest meetmetest:

  • Organisatsiooni andmekaitse põhimõtted (näiteks andmete klassifitseerimise, töötlemise ja vastuvõetava kasutamise poliitikate loomine)
  • töötajate koolitamine ja teadlikkuse tõstmine (näiteks töötubade läbiviimine, veebipõhiste koolitusmoodulite pakkumine ning teadlikkuse tõstmine andmepüügi- ja sotsiaalse manipuleerimise ohtudest),
  • lõimitud andmekaitse ja vaikimisi andmekaitse (näiteks mõjuhinnangute läbiviimine enne uute süsteemide või protsesside rakendamist)
  • konfidentsiaalsuslepingud ja muud seadusest tulenevad konfidentsiaalsuskohustused
  • intsidentidele reageerimine ja nendest teatamine (näiteks spetsiaalse intsidentidele reageerimise meeskonna loomine, kommunikatsioonikorra määratlemine ja rikkumistest vastutava(te)le/asjaomastele asutustele teatamine),
  • kolmanda osapoole riskijuhtimine (näiteks hankijate andmekaitsetavade hoolsuskontrolli läbiviimine, lepinguliste kokkulepete kasutamine ja perioodilised auditid),
  • regulaarsed auditid ja hindamised (näiteks perioodilised sise- ja välisauditid, haavatavuse hindamised ja vastavuskontrollid),
  • Andmekaitseametniku rolli täitmine

Euroopa Komisjon soovitab isikuandmete töötlemisel lähtuda järgmistest materjalidest:

Agentuur soovitab kindlasti tutvuda ka Andmekaitse Inspektsiooni koostatud materjalidega, näiteks:

Muid soovituslikke materjale Riigi Infosüsteemi Ametilt nende kodulehelt::

Erasmus+ ja Euroopa Solidaarsuskorpuse programmide toetusesaajate (volitatud töötleja ja andmesubjekti rollis), programmides osalejate ja muude andmesubjektide jaoks on Euroopa Komisjoni loodud kontaktpunktiks eu-erasmus-esc-personal-data@ec.europa.eu.

Haridus- ja noorteameti (sh agentuuri) andmekaitsespetsialistiga saab ühendust võtta meiliaadressil andmekaitse@harno.ee.