Andmekaitseinspektsioon selgitab, millal peab infosüsteemides tehtavad andmetöötlused logima.
Kas kellegi andmete uurimisest peab jälg maha jääma?
13. märts 2018, 12:00
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Küsimus: Kas ettevõte või asutus, kes isikuandmeid töötleb, peab oma infosüsteemides tehtavad andmetöötlustoimingud logima?
Vastab Andmekaitse Inspektsiooni peadirektor Viljar Peep:
«Lühike vastus sellele küsimusele on jah. Peab küll. Kõik ettevõtted ja asutused, kes oma tegevuse käigus isikuandmetega kokku puutuvad, on kohustatud tagama, et nende juures töödeldakse isikuandmeid turvaliselt. See tähendab muu hulgas, et infosüsteemides peidus olevaid isikuandmeid kasutatakse ainult sel eesmärgil, mille jaoks nad kogutud on, ning keegi ei pääse kliendi andmetele ligi omakasupüüdlikel või pahatahtlikel eesmärkidel ega pelgast uudishimust. Selleks, et ära hoida isikuandmete väärkasutamist ning tagada, et tagantjärele oleks võimalik kindlaks teha, kes, millal ja miks infosüsteemis andmeid vaadanud või kasutanud on, peabki elektroonilise andmetöötluse puhul pidama logikirjeid isikuandmete töötlemise kohta.
See kohustus on isikuandmete töötlejal nii praegu kehtiva isikuandmete kaitse seaduse järgi kui ka 25. maist kehtima hakkava isikuandmete kaitse üldmääruse kohaselt. Nii mõnedki ettevõtjad on meie juurde tulnud eksliku arvamusega, et uue määrusega logipidamisekohustust enam ei ole. See arvamus on väär. Ehkki määruses logimist eraldi meetmena otseselt nimetatud ei ole, on logikirjete pidamise kohustus mitmest artiklist tuletatav. Kui logisid ei peeta, ei ole võimalik sajaprotsendiliselt järgida isikuandmete töötlemise põhimõtteid ega tagada andmete töötlemise turvalisust. Samuti on inimesel on alati õigus oma andmete kasutamise kohta küsida. Neile küsimustele ei ole sageli võimalik ilma logisid pidamata vastata. Korrektne logimine infosüsteemides on kahtlemata üks privaatsust ning läbipaistvust suurendavaid vahendeid, mis annab kindlustunde nii kliendile kui ka andmetöötlejale endale.
Määrus ei näe ette, millisel kujul logi peab pidama. Peaasi, et jälg jääks maha nii andmete vaatamise, muutmise, edastamise kui ka kustutamise kohta. Samuti on logimise korraldamisel oluline, et logid oleksid ka inimkeeli arusaadavad. Ehk kui tekib vajadus logisid kontrollida, siis pole vaja omada IT-spetsiifilisi teadmisi, vaid need on ka tavakasutajale arusaadavad. Lisaks tuleks läbi mõelda ja vastavalt organisatsiooni eripäradele paika panna logikirjete säilitamise tähtajad ning reeglid logide kontrollimiseks ja nendega tutvumiseks.»