EMÜ-s tagatakse juurdepääs teabele teabenõude täitmisega ja teabe avalikustamisega ülikooli veebilehel, mille avalik dokumendiregister võimaldab tutvuda dokumentidega, millele ei ole kehtestatud juurdepääsupiirangut ja vaadata juurdepääsupiiranguga dokumentide metaandmeid.
Teabenõude korras andmete väljastamise eest paberkandjal võib isikuandmete töötleja alates 21. leheküljest nõuda tasu 0,19 eurot iga väljastatud lehekülje eest.
Isikuandmete kaitse ja neid puudutavate küsimuste korral palume pöörduda EMÜ andmekaitsespetsialisti Monika Ojakivi poole ([email protected]; tel 731 3200).
Eesti Maaülikooli isikuandmete töötlemise kord
Käskkirja aluseks on Eesti Maaülikooli põhikirja § 16 lg 3 ja haldusmenetluse seaduse §
68 lg 2, juhindudes Euroopa Parlamendi ja Nõukogu (EL) määrusest 2016/679 ning
isikuandmete kaitse seadusest.
1. Sissejuhatus
1.1. Eesti Maaülikooli isikuandmete töötlemise kord (edaspidi: kord) lähtub Euroopa
Parlamendi ja Nõukogu (EL) määruse 2016/679 (edaspidi: IKÜM) art-st 32 ja art 5 lg-st
2.
1.2. Korras selgitatakse Eesti Maaülikooli (edaspidi: ülikool) isikuandmete töötlemise
põhimõtteid ning antakse juhised isikuandmete töötlemiseks.
1.3. Korra järgimine on ülikooli töötajatele kohustuslik. Töötaja on tööle asumisel
kohustatud tutvuma isikuandmete töötlemise korraga. Töötaja kinnitab korraga või
korra muudatusega tutvumist ülikooli dokumendihaldussüsteemis (DHS).
1.4. Juhises kasutatud isikuandmete kaitse terminite puhul tuleb lähtuda IKÜM-i art-s 4
esitatud definitsioonidest.
1.5. Töötaja saab esitada isikuandmete töötlemisega seotud küsimused ülikooli
andmekaitsespetsialistile.
2. Ülikool isikuandmete töötlejana
2.1. Ülikool on isikuandmete vastutav töötleja, kui töötleb Eesti Maaülikooli seadusest
tulenevate ülesannete täitmiseks üliõpilaste, töötajate ning tööle kandideerijate
isikuandmeid.
2.2. Ülikooli töötajad, kes oma igapäevases töös koguvad, kasutavad, edastavad ja muul
viisil töötlevad andmesubjektide (üliõpilased, töötajad, koostööpartnerite kontaktisikud)
isikuandmeid, täidavad ülikooli kui juriidilise isiku ning isikuandmete vastutava töötleja
ülesannet.
2.3. Isikuandmete turvalisuse ja konfidentsiaalsuse tagamiseks on ülikooli töötajad
kohustatud järgima lisaks siinsele korrale ülikooli dokumendihalduskorda,
töökorralduse reegleid ja Eesti Maaülikooli infotehnoloogia standardit.
3. Isikuandmete töötlemise eesmärgid ja õiguslikud alused
3.1. Ülikool töötleb isikuandmeid:
Estonian University of Life Sciences
3.1.1. õppetegevuse läbiviimiseks, mida reguleerivad Eesti Vabariigi
kõrgharidusseadus, Eesti Maaülikooli seadus, Eesti Maaülikooli põhikiri,
õppekorralduseeskiri jt ülikooli õppetööd reguleerivad õigusaktid ning tugistruktuuri
ülesannete kirjeldused;
3.1.2. teadustegevuse läbiviimiseks, mida reguleerivad teadus- ja arendustegevuse
korralduse seadus ning teadus- ja arendustegevuse valdkonda reguleerivad õigusaktid;
3.1.3. haldus- ja majandustegevuse elluviimiseks ning personali- ning
finantstegevuseks, mida reguleerivad ülikooli põhikiri, tugistruktuuriüksuste ülesannete
kirjeldused, raamatupidamise sise-eeskiri, infotehnoloogia standardid,
dokumendihalduskord, töökorralduse reeglid, töölepinguseadus, võlaõigusseadus,
raamatupidamise seadus jt raamatupidamist jm valdkonda reguleerivad õigusaktid ning
sõlmitud lepingud.
3.2. Isikuandmete töötlemise toimingud ja eesmärgid on kirjeldatud Eesti Maaülikooli
isikuandmete töötlemise toimingute registrites (vt pkt 5).
4. Andmekaitsespetsialist
4.1. Vastavalt IKÜM-i art 37 lg 1 punktile a töötab ülikoolis andmekaitsespetsialist (eposti
aadress: [email protected]).
4.2. Andmekaitsespetsialist teavitab ja nõustab ülikooli juhtkonda ja töötajaid seoses
nende kohustustega, mis tulenevad IKÜM-ist, EL-i või teiste EL-i liikmesriikide
isikuandmete kaitse õigusaktidest.
4.3. Töötajatel on kohustus kaasata andmekaitsespetsialist kõikide isikuandmete
töötlemist puudutavate otsuste tegemisse.
5. Isikuandmete töötlemise toimingute registrid
5.1. Igal ülikooli tugistruktuuriüksusel on oma isikuandmete töötlemise toimingute
register, mis on kohustuslik IKÜM-i art 30 lg 1 järgi. Registrile on ligipääs
osakonnajuhil, tema poolt määratud isikutel ja andmekaitsespetsialistil. Registri
kasutamise kohta saab infot andmekaitsespetsialistilt.
5.2. Osakonna isikuandmete töötlemise toimingute registris on kirjeldatud kõik
osakonnas teostatavad isikuandmete töötlemise toimingud vastavalt IKÜM-i art 30 lg-s
1 sätestatud tingimustele. Info ajakohasena hoidmise kohustus on osakonnajuhil, kes
ajakohastab üks kord aasta jooksul osakonna isikuandmete töötlemise toimingute
registrit. Pärast osakonnajuhi tehtud muudatusi kontrollib registrit
andmekaitsespetsialist.
6. Isikuandmete säilitamine
6.1. Isikuandmeid säilitatakse ülikooli dokumentide loetelus määratud tähtajani või
seadusest tuleneva tähtajani alates dokumendi loomisest kuni dokumendi hävitamiseni
või üleandmiseni arhiivi.
6.2. Isikuandmete säilitamise tähtajad on kirjas isikuandmete töötlemise toimingute
registrites.
6.3. Pärast isikuandmete säilitamise tähtaja möödumist tuleb isikuandmed kustutada või
anonümiseerida. Isikuandmete kustutamise või anonümiseerimise korraldab
andmekaitsespetsialist.
7. Privaatsusteavituse koostamise ja esitamise kord
7.1. Kui ülikool kogub, analüüsib, kasutab ja muul moel töötleb andmesubjekti
isikuandmeid, tekib IKÜM-i artiklite 13 ja 14 järgi kohustus esitada andmesubjektile
teave tema isikuandmete töötlemise kohta ehk privaatsusteavitus.
7.2. Andmesubjektideks, kellele ülikool isikuandmete vastutava töötlejana on
kohustatud privaatsusteavituse esitama, võivad sõltuvalt olukorrast olla üliõpilased,
töötajad, ülikooli koostööpartnerite, sh teiste ülikoolide üliõpilased ja töötajad, samuti
mis tahes teised füüsilised isikud, kelle isikuandmeid ülikool vastutava töötlejana
töötleb.
7.3. Juhiseid privaatsusteavituse koostamise kohta annab andmekaitsespetsialist.
8. Koostööpartnerite kaasamine
8.3. Teatud juhtudel võib ülikool isikuandmete töötlemisse kaasata volitatud töötlejaid
või kaasvastutavaid töötlejaid. Sellisel juhul peab ülikool järgima vastavaid IKÜM-is
sätestatud kohustusi, sh artiklites 28 ja 26 sätestatud kohustusi.
8.4. Olukorrad, kus ülikooli ja tema koostööpartneri vahel tekib vastutava ja volitatud
töötleja õigussuhe või kaasvastutavate töötlejate õigussuhe, on mh, kuid mitte ainult
järgmised.
8.4.1. Ülikool kaasab teenusepakkujaid (nt IT-teenuste või raamatupidamisteenuste
pakkujad), kes oma teenuste osutamiseks vajavad ligipääsu õppijate, töötajate jt
andmesubjektide isikuandmetele. Sellisel juhul on teenusepakkuja volitatud töötleja
rollis ja pooled peavad sõlmima andmetöötluse lepingu (IKÜM-i art 28 lg 3).
8.4.2. Ülikool osaleb koos partneriülikooliga koostööprojektis, nt teadusuuringutes.
Sellisel juhul on võimalik, et ülikool ja partnerülikool on isikuandmete kaasvastutavad
töötlejad ja peavad sõlmima kaasvastutavate töötlejate lepingu (IKÜM-i art 26).
8.5. Koostööpartneri kaasamise eest vastutav töötaja on kohustatud kaasama õigeaegselt
andmekaitsespetsialisti, kes korraldab poolte rollide analüüsi IKÜM-i järgi, et teha
kindlaks poolte kohustused, sh andmetöötluse lepingu või kaasvastutavate töötlejate
lepingu sõlmimise kohustuslikkuse.
8. Andmekaitsealane mõjuhinnang
8.6. Ülikoolil on vastavalt IKÜM-i art 35 lg-le 1 kohustus viia läbi andmekaitsealane
mõjuhinnang juhul, kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut
tehnoloogiat kasutava töötlemise tulemusena ilmneb kõrge risk andmesubjektide
põhiõiguste ja -vabaduste tagamisele.
8.7. Andmekaitsealase mõjuhinnangu läbiviimise korraldab andmekaitsespetsialist.
9. Isikuandmete avaldamine kolmandatele isikutele
9.3. Ülikool tohib avaldada andmesubjekti isikuandmeid (k.a e-posti aadressi ja
telefoninumbrit) kolmandatele isikutele ainult juhul, kui selleks on olemas sobiv
õiguslik alus IKÜM-i art 6 või art 9 järgi ning andmesubjekti on teavitatud.
9.4. Töötaja, kes saab kolmandalt isikult palve edastada talle ülikooli üliõpilase, töötaja
või teise andmesubjekti isikuandmeid, peab enne veenduma, et ülikoolil on sobiv
õiguslik alus isikuandmete väljastamiseks. Isikuandmete väljastamisel tuleb järgida
IKÜM-i artiklis 5 sätestatud põhimõtteid, sh isikuandmete töötlemise minimaalsuse
põhimõtet.
9.5. Töötaja ei tohi väljastada kolmandale isikule andmesubjekti isikuandmeid,
veendumata sobiva õigusliku aluse olemasolus ja/või selles, et oskab isikuandmeid
väljastades järgida IKÜM-i artiklis 5 sätestatud põhimõtteid. Kahtluse korral peab
töötaja enne isikuandmete väljastamist konsulteerima andmekaitsespetsialistiga.
9.6. Kolmandale isikule isikuandmete eriliikide (nt terviseandmed) väljastamise korral
tuleb isikuandmed enne krüpteerida. Andmekaitsespetsialist saab anda nõu
isikuandmete edastamise viisi jaoks sobivate turvameetmete valimisel.
10. Isikuandmete edastamine Euroopa Majanduspiirkonnast väljapoole
10.1. Ülikool edastab andmesubjekti isikuandmeid Euroopa Majanduspiirkonnast
väljapoole ainult juhul, kui selleks on olemas sobiv õiguslik alus ning on täidetud muud
IKÜM-i artiklites 44–49 sätestatud kohustused, sh andmesubjekti on edastamisest
teavitatud.
10.2. Küsimuste korral isikuandmete kolmandatesse riikidesse edastamise kohta
pöördub töötaja andmekaitsespetsialisti poole.
11. Andmesubjektide päringud
11.1. Kõikidel andmesubjektidel, sh ülikooli töötajatel ja üliõpilastel, on
andmesubjektidena järgmised õigused, arvestades kohalduvates isikuandmete kaitse
õigusaktides sätestatud piiranguid:
11.1.1. õigus tutvuda enda kohta kogutud isikuandmetega ja saada isikuandmetest tasuta
koopia;
11.1.2. õigus isikuandmete parandamisele;
11.1.3. õigus isikuandmete kustutamisele;
11.1.4. õigus isikuandmete töötlemise piiramisele;
11.1.5. õigus isikuandmete ülekandmisele;
11.1.6. õigus esitada vastuväiteid isikuandmete töötlemise kohta juhtudel, kus ülikool
töötleb andmesubjekti isikuandmeid IKÜM-i art 6 lg 1 punktide e või f alusel või
töötleb andmesubjekti isikuandmeid otseturunduse eesmärgil;
11.1.7. õigused seoses automatiseeritud otsustega IKÜM-i art 22 alusel juhul, kui
ülikool rakendab andmesubjekti suhtes automatiseeritud otsuseid.
11.2. Ülikool kui isikuandmete vastutav töötleja on kohustatud vastama andmesubjekti
päringule ühe kuu jooksul (IKÜM-i art 12 lg 3).
11.3. Enne andmesubjekti päringule vastamist kooskõlastab töötaja vastuse sisu
andmekaitsespetsialistiga.
12. Käitumisjuhised isikuandmetega seotud rikkumise korral
12.1. Töötaja, kellel on kahtlus, et on toimunud isikuandmetega seotud rikkumist või
kellel on rikkumine juhtunud, on kohustatud sellest teavitama andmekaitsespetsialisti.
12.2. Isikuandmetega seotud rikkumisjuhtum on IKÜM-i art 4 punktis 12 kirjeldatud
turvanõuete rikkumine. Rikkumisjuhtumiks on mh, kuid mitte ainult isikuandmete
kättesaadavaks muutumine selleks mitte õigustatud isikule, isikuandmete lekkimine,
isikuandmete juhuslik hävimine või kaotsiminek.
12.3. Selgitusi ja juhiseid rikkumisjuhtumist teavitamise kohta annab
andmekaitsespetsialist. Andmekaitsespetsialist võib küsida töötajalt täiendavat teavet
rikkumisjuhtumi faktiliste asjaolude kohta. Töötaja on kohustatud
andmekaitsespetsialistiga koostööd tegema, et ülikoolil kui isikuandmete vastutaval
töötlejal oleks võimalik vastavate eelduste olemasolul esitada IKÜM-i artiklite 33 ja 34
järgsed teavitused, järgides artiklites sätestatud teavitamise tähtaegasid.
13. Lisad
13.1. Lisa 1- Privaatsusteavitus õppijatelelink opens in new page
13.2. Lisa 2- Privaatsusteavitus loomakliiniku ja apteegi klientidelelink opens in new page
14. Jõustumine
14.1. Käskkiri jõustub teatavakstegemisest ja rakendatakse alates 1. märtsist 2025.
(allkirjastatud digitaalselt)
Ülle Jaakma
rektor
