1 / 41

Andmeturve ja krüptoloogia, XIV Turbe õiguslik reguleerimine. Isikuandmete kaitse

Andmeturve ja krüptoloogia, XIV Turbe õiguslik reguleerimine. Isikuandmete kaitse. 26. märts 2014 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is 2014. aasta kevadsemestril. Peamised seadused, mis reguleerivad andmeturvet.

shina
Download Presentation

Andmeturve ja krüptoloogia, XIV Turbe õiguslik reguleerimine. Isikuandmete kaitse

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Andmeturve ja krüptoloogia, XIVTurbe õiguslik reguleerimine. Isikuandmete kaitse 26. märts 2014 Valdo Praust mois@mois.ee Loengukursus IT Kolledžis 2014. aasta kevadsemestril

  2. Peamised seadused, mis reguleerivad andmeturvet • Isikuandmete kaitse seadus – reguleerib isikuandmetega ümberkäimise korda • Avaliku teabe seadus – reguleerib avaliku sektori andmekogude olukorda, selle alusel on kehtestatud mh ka ISKE ja turvaline andmevahetuskeskkond X-tee) • Digitaalallkirja seadus – reguleerib kõike seda, mis teeb digisignatuurist õiguslikus mõttes digiallkirja

  3. Avaliku teabe seadus Avaliku teabe seaduse põhieesmärk on on tagada üldiseks kasutamiseks mõeldud teabele avalikkuse ja igaühe juurdepääsu võimalus, lähtudes demokraatliku ja sotsiaalse õigusriigi ning avatud ühiskonna põhimõtetest, ning luua võimalused avalikkuse kontrolliks avalike ülesannete täitmise üle. Täiendavalt reguleerib ta avaliku sektori (riik + omavalitsused) andmekogude asutamise ja haldamise alused ning järelevalve andmekogude haldamise üle Varem tegeles avaliku sektori andmekogudega andmekogude seadus, nüüd seda enam ei ole

  4. Andmekogu Andmekogu (ehk register) on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks Andmekogu on lihtsustatult võttes andmebaas, millele on lisatud halduslikud ja õiguslikud komponendid

  5. Vastutav ja volitatud töötleja, I Andmekogu vastutav töötleja (haldaja) on riigi- või kohaliku omavalitsuse asutus, kes korraldab andmekogu kasutusele võtmist, andmekogu pidamist ja andmete töötlemist. Andmekogu vastutav töötleja vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest Andmekogu vastutav töötleja võib volitada andmete töötlemise ja andmekogu majutamise teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava töötleja poolt ettenähtud ulatuses. Selline subjekt on volitatud töötleja

  6. Vastutav ja volitatud töötleja, II Volitatud töötleja on kohustatud täitma vastutava töötleja juhiseid andmete töötlemisel ja andmekogu majutamisel ning tagama andmekogu turvalisuse Andmekogu vastutav töötleja korraldab riigi poolt kohalikule omavalitsusele pandud või delegeeritud ülesannete täitmiseks asutatud andmekogu keskse tehnoloogilise keskkonna loomise ja haldamise Vastutav ja volitatud töötleja võivad kokku langeda, kuid ei pea kokku langema, vajadusel võib neid eristada. Volitatud töötlejaid võib ühel andmekogul olla mitmeid

  7. Vastutav ja volitatud töötleja, III Vastutavaks töötlejaks on andmekogude seaduse põhjal andmekogu omanik. Riigi või kohaliku omavalitsuse andmekogu vastutava töötleja õiguste teostaja määratakse seaduses või seaduse alusel Volitatud töötleja on isik, kes peab andmekogu või töötleb andmeid andmekogu vastutava töötleja tellimusel Volitatud töötleja on seega andmekogu tehniline pidaja

  8. Riigi infosüsteem Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid • Andmekogude pidamiseks kehtestab Vabariigi Valitsus määrusega järgmised kindlustavad süsteemid: • klassifikaatorite süsteem • geodeetiline süsteem • aadressiandmete süsteem • infosüsteemide turvameetmete süsteem (nn ISKE koos määrusega) • nfosüsteemide andmevahetuskiht (nn X-tee) • riigi infosüsteemi haldussüsteem

  9. X-tee projekt: olemus Infosüsteemide andmevahetuskiht (edaspidi X-tee) on asutuste ja isikute vahelist turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust ning riigi infosüsteemile turvalist juurdepääsu võimaldav tehniline infrastruktuur ja organisatsiooniline keskkond Tehniliselt koosneb X-tee kesksüsteemist ja põhineb andmete edastamisel kokkulepitud protokolli põhjal üle turvalise TLS-protokolli. X-tee liideseks liidestuva infosüsteemi juures on turvaserver, mis peab ühendust teiste turvaserveritega

  10. X-tee projekt: aluspõhimõtted Läbipaistvus – andmete X-tee läbimisega ei muutu andmete omadused, nagu autentsus, usaldusväärsus, terviklus ja kasutatavus Käideldavus – X-tee kesksete komponentide hulk on minimiseeritud ja X-teed kasutava kahe infosüsteemi vahelise andmevahetuse toimimine on tagatud ka kesksete komponentide töö katkestuse puhul. X-tee infrastruktuur sisaldab vastuvahendeid nii ajutise katkestuse kui ka teenusetõkestamise ründe vastu Konfidentsiaalsus – konfidentsiaalsus tagatakse andmete krüpteerimisega ja teenuse kasutamise kahetasemelise autoriseerimisega. X-tee kasutamine ei vähenda X-tee osalise infosüsteemi konfidentsiaalsuse taset

  11. X-tee projekt: aluspõhimõtted (järg) Sõltumatus platvormist – X-tee võimaldab mis tahes tarkvaraplatvormil oleval X-tee osalise infosüsteemil suhelda mis tahes tarkvaraplatvormil oleva teenuse osutaja infosüsteemiga. X-tee on realiseeritud tarkvaraplatvormidest sõltumatu rakenduslüüsina Multilateraalsus – X-tee osalisel on võimalus taotleda juurdepääsu kõigile X-tee kaudu osutatavatele teenustele

  12. X-tee komponendid Turvaserverid – X-tee osalise infosüsteemi liidestamiseks X-teega kasutatav arvuti koos sellele paigaldatud eritarkvaraga Kohalikud jälgimisjaamad – tee osalise halduses asuvate turvaserverite seisundit jälgiv ja X-tee osalise infosüsteemi kasutamisstatistikat koguv tarkvara X-tee kesksed komponendid – keskserver, sertifitseerimiskeskus, auditeerimisserver, keskne jälgimisjaam Lüüsid– tarkvara, mis võimaldab turvalist andmevahetust erinevate andmevahetuskeskkondade vahel (vahendab oma turvaserveri kaudu päringuid koos teenuse kasutaja autentimist võimaldava teabega)

  13. Milleks isikuandmete töötlemisele piirangud? Et kaitsta inimese eraelu puutumatust: kaasaja digitaalne ja Internetiga ühendatud maailm võimaldab erinevais paigus olevatest andmetest ülikiirest otsimist ning tulemuste võrdlemist ning analüüsi – süüdi on digitaalteabe head omadused. Kui ei saa kaitsta tehniliste vahenditega, tuleb kaitsta seaduse jõuga Paberkandjal andmete maailmas ei olnud see teema aktuaalne, kuna puudusid efektiivsed teabe korrastamise, edastamise ja süstematiseerimise vahendid

  14. Straßburgi (Strasbourg’i) konventsioon isikuandmete kaitse alusena • 28. jaanuar 1981, ETS 108 • Konventsiooni peamiseks eesmärgiks on tagada igale isikule, olenemata kodakondsusest või alalisest elukohast, tema põhiõiguste ja vabaduste austamine. Eriti on rõhutatud isikuandmete automatiseeritud töötlemisel isiku privaatsuse tagamist • On Riigikogu poolt ratifitseeritud (RT II, 2001, 1, 3) • Sellest konventsioonil algas isikuandmete kaitse tava Euroopas

  15. Eurodirektiiv 95/46/EÜ • Täielik nimetus: ”Euroopa Parlamendi ja Nõukogu direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta” • On vastu võetud Euroopa Parlamendi ja Euroopa Liidu Nõuogu poolt 24. oktoobril 1995 • Sätestab isikuandmete kaitse head tavad Euroopas, mis on üle võetud sh Eesti isikuandmete kaitse seaduses

  16. Isikuandmete kaitse seadus Isikuandmete kaitse seaduse eesmärk on kaitsta isikuandmete töötlemisel füüsilise isiku põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele • seadus seab isikuandmete töötlemisele terve hulga piiranguid, tingimusi ja kohustusi • seaduse algne versioon pärines 1996. aastast • Alates 1. jaanuarist 2008 kehtib uus seadus (kolmas variant):teine variant seadusest kehtis ajavahemikul 2003-07 • seaduse kolme versiooni paragrahvid ja nende numeratsioon omavahel ei kattu

  17. Isikuandmete kaitse seaduse kohaldamisala Kohaldub igasugusele isikuandmete töötlemisele, v.a. juhtudel, kus: • isikuandmeid töötleb füüsiline isik isiklikul otstarbel • isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma et neid andmeid Eestis muul viisil töödeldaks Kriminaalmenetluses ja kohtumenetluses rakendatakse seda seadust menetlusseadustikes sätestatud erisustega

  18. Isikuandmete mõiste Isikuandmed– mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on Isikuandmeteks loetakse kõik inimesega seostatud või seostatavad andmed, kui isik on üheselt määratud või määratav

  19. Isikuandmete töötlemine Isikuandmete töötlemineon iga isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine isikuandmetele, päringute teostamine ja väljavõtete tegemine, isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest NB! Töötlemine ei ole ainult muutmine

  20. Isikuandmete liigitus • Isikuandmete seadus jagab isikuandmed kahte kategooriasse, millede käitlustingimused on erinevad: • delikaatsed isikuandmed • ülejäänud (nn tavalised) isikuandmed Vahepeal olid defineerituderaldi ka eraelulised isikuandmed, praegu ei ole

  21. Delikaatsed isikuandmed, I • Delikaatsed isikuandmedon: • poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta • etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed • andmed terviseseisundi või puude kohta • andmed pärilikkuse informatsiooni kohta

  22. Delikaatsed isikuandmed, II • Delikaatsed isikuandmedon (järg): • biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed) • andmed seksuaalelu kohta • andmed ametiühingu liikmelisuse kohta • andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist

  23. Isikuandmete töötlemise põhimõtted, I • Seaduslikkuse põhimõte– isikuandmeid võib koguda ausal ja seaduslikul teel • Eesmärgikohasuse põhimõte– isikuandmeid võib koguda üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning isikuandmeid ei või töödelda viisil, mis ei ole andmetöötluse eesmärkide saavutamisega kooskõlas • Minimaalsuse põhimõte– isikuandmeid võib koguda vaid ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks

  24. Isikuandmete töötlemise põhimõtted, II • Kasutuse piiramise põhimõte– isikuandmeid võib muudel eesmärkidel kasutada üksnes andmesubjekti nõusolekul või selleka pädeva organi loal • Andmete kvaliteedi põhimõte– isikuandmed peavad olema ajakohased, täielikud ning vajalikud antud andmetöötluse eesmärgi saavutamiseks

  25. Isikuandmete töötlemise põhimõtted, III • Turvalisuse põhimõte– isikuandmete kaitseks tuleb rakendada turvameetmeid, et kaitsta neid tahtmatu või volitamata muutmise, avalikuks tuleku või hävimise eest • Individuaalse osaluse põhimõte– andmesubjekti tuleb teavitada tema kohta kogutavatest andmetest, talle tuleb anda juurdepääs tema kohta käivatele andmetele ja tal on õigus nõuda ebatäpsete või eksitavate andmete parandamist

  26. Isikuandmete töötleja(d) Isikuandmete töötleja(vastutav töötleja) on füüsiline või juriidiline isik, välismaa äriühingu filiaal või riigi- või kohaliku omavalitsuse asutus, kes töötleb või kelle ülesandel töödeldakse isikuandmeid • Töötleja määrab kindlaks isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseisu, isikuandmete töötlemise korra ning viisi ja isikuandmete kolmandatele isikutele edastamise lubamise • (Vastutav) töötleja võib haldusakti või lepinguga volitada isikuandmeid töötlema teist isikut või asutust (volitatud töötleja), kui seadusest või määrusest ei tulene teisiti

  27. Vastutav ja volitatud töötleja, I Andmekogu vastutav töötleja (haldaja) on riigi- või kohaliku omavalitsuse asutus, kes korraldab andmekogu kasutusele võtmist, andmekogu pidamist ja andmete töötlemist. Andmekogu vastutav töötleja vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest Andmekogu vastutav töötleja võib volitada andmete töötlemise ja andmekogu majutamise teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava töötleja poolt ettenähtud ulatuses. Selline subjekt on volitatud töötleja

  28. Vastutav ja volitatud töötleja, II Volitatud töötleja on kohustatud täitma vastutava töötleja juhiseid andmete töötlemisel ja andmekogu majutamisel ning tagama andmekogu turvalisuse Andmekogu vastutav töötleja korraldab riigi poolt kohalikule omavalitsusele pandud või delegeeritud ülesannete täitmiseks asutatud andmekogu keskse tehnoloogilise keskkonna loomise ja haldamise Vastutav ja volitatud töötleja võivad kokku langeda, kuid ei pea kokku langema, vajadusel võib neid eristada. Volitatud töötlejaid võib ühel andmekogul olla mitmeid

  29. Vastutav ja volitatud töötleja, III Vastutavaks töötlejaks on andmekogude seaduse põhjal andmekogu omanik. Riigi või kohaliku omavalitsuse andmekogu vastutava töötleja õiguste teostaja määratakse seaduses või seaduse alusel Volitatud töötleja on isik, kes peab andmekogu või töötleb andmeid andmekogu vastutava töötleja tellimusel Volitatud töötleja on seega andmekogu tehniline pidaja

  30. Erinevad subjektid • Isikuandmete töötleja ehk vastutav töötleja on see, töötleb või kelle ülesandel töödeldakse isikuandmeid • Isikuandmete volitatud töötleja on isik, kellele vastutav töötleja on edasi volitanud andmete (tehnilise) töötlemise • Andmesubjekt on isik, kelle andmeid töödeldakse • Kõik ülejäänud isikud on töötlemise suhtes kolmandad isikud

  31. Isikuandmete töötlemise lubatavus tulenevalt seadusest Üldreegel: isikuandmete töötlemine on lubatud ainult isiku nõusolekul Haldusorgan võib isikuandmeid töödelda üksnes avaliku ülesande täitmise käigus seaduse, välislepingu või Euroopa Liidu Nõukogu või Euroopa Komisjoni otsekohalduva õigusaktiga ettenähtud kohustuse täitmiseks Nõusolekpeab olema kirjalikku taasesitamist võimaldavas vormis, välja arvatud juhul, kui vorminõude järgmine ei ole andmetöötluse erilise viisi tõttu võimalik

  32. Nõusolek andmete töötlemiseks, I • Nõusolekus peavad olema selgelt määratletud andmed, mille töötlemiseks luba antakse, andmete töötlemise eesmärk ning isikud, kellele andmete edastamine on lubatud, samuti andmete kolmandatele isikutele edastamise tingimused ning andmesubjekti õigused tema isikuandmete edasise töötlemise osas • Vaikimist või tegevusetust nõusolekuks ei loeta • Nõusolek võib olla osaline ja tingimuslik • Nõusolek peab olema antud andmesubjekti vabal tahtel • Nõusolekus peavad olema selgelt määratletud andmed, mille töötlemiseks luba antakse, andmete töötlemise eesmärk ning isikud, kellele andmete edastamine on lubatud, samuti andmete kolmandatele isikutele edastamise tingimused ning andmesubjekti õigused tema isikuandmete edasise töötlemise osas

  33. Nõusolek andmete töötlemiseks, II • Delikaatsete isikuandmete töötlemiseks tuleb isikule selgitada, et tegemist on delikaatsete isikuandmetega ning võtta selle kohta kirjalikku taasesitamist võimaldav nõusolek • Andmesubjekti nõusolek kehtib andmesubjekti eluajal ning 30aastat pärast andmesubjekti surma, kui andmesubjekt ei ole otsustanud teisiti • Nõusoleku võib andmesubjekt igal ajal tagasi võtta. Nõusoleku tagasivõtmisel ei ole tagasiulatuvat jõudu • Vaidluse korral eeldatakse, et andmesubjekt ei ole oma isikuandmete töötlemiseks nõusolekut andnud. Andmesubjekti nõusoleku tõendamise kohustus on isikuandmete töötlejal

  34. Delikaatsete isikuandmete töötlemise registreerimine Kui isikuandmete töötleja ei ole määranud kindlaks isikuandmete kaitse eest vastutavat isikut, on isikuandmete töötleja kohustatud registreerima delikaatsete isikuandmete töötlemise Andmekaitse Inspektsioonis Registreerimistaotlus tuleb esitada vähemalt üks kuu enne delikaatsete isikuandmete töötlemise algust. Selle oluline lisa on andmete töötlemisel kasutatavate turvameetmete kirjeldus Kui asutuses on määratud isikuandmete kaitse eest vastutav isik, siis töötlemist registreerima ei pea!

  35. Andmesubjekti õigused, I Andmesubjektil on õigus saada teavet ja tema kohta käivaid isikuandmeid isikuandmete töötlemisel • Õigus teada: • milliseid isikuandmeid on kogutud • isikuandmete töötlemise eesmärke • isikuandmete koosseisu ja allikaid • kellele isikuandmete edastamine on lubatud • kolmandaid isikuid, kellele tema isikuandmeid on edastatud • isikuandmete töötleja või tema esindaja kontaktandmeid

  36. Andmesubjekti õigused, II Andmesubjektil on õigus saada enda kohta käivaid isikuandmeid üks kord aastas tasuta. Paberkandjal koopiate eest on õigus nõuda tasu alates 21. leheküljest kuni 3 krooni • Andmesubjekti õigust saada teavet ja enda kohta käivaid isikuandmeid piiratakse, kui see võib kahjustada: • teiste isikute õigusi ja vabadusi • lapse põlvnemise saladuse kaitset • kuriteo tõkestamist või kurjategija tabamist • kriminaalmenetluses tõe väljaselgitamist • Andmesubjekti tuleb tema õigusi piiravat otsusest viitega alusele teavitada

  37. Turvanõuded töötluskeskkonnale • Isikuandmete töötleja on kohustatud kasutuselevõtma organisatsioonilised, füüsilised ja infotehnilised turvameetmed isikuandmete kaitseks: • andmete tervikluse osas – juhusliku või tahtliku volitamata muutmise eest • andmete käideldavuse osas – juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest • andmete konfidentsiaalsuse osas – volitamata töötlemise eest.

  38. Olulisemad tehnilised nõuded Isikuandmete kaitse seadus nõuab, et isikuandmete töötleja: • peab kaitsma andmeid juhusliku või tahtliku volitamatu muutmise eest • peab kaitsma andmeid juhusliku hävimise ja tahtliku hävitamise eest • peab kaitsma andmeid konfidentsiaalsuse osas volitamata töötlemise eest • peab võimaldamakindlaks teha, millal, kellele ja milliseid isikuandmeid edastati On oma olemuselt käideldavuse, tervikluse ja konfidentsiaalsuse nõuded

  39. Isikuandmed vs ISKE: konfidentsiaalsus Isikuandmete kaitse seaduse §§ 10-18 (ptk 2) määravad kindlalt ära isikute ringi, kes võivad isikuandmeid töödelda. Ülejäänud neid töödelda ei tohi Võrreldes seda ISKE konfidentsiaalsusosaklassi definitsioonidega tuleneb, et isikuandmete konfidentsiaalsusosaklass peab olema S2 Äripoole erilised nõuded võivad seda ainult tõsta, mitte langetada

  40. Isikuandmed vs ISKE : terviklus Isikuandmete kaitse seaduse§ 6 p 5 kohaselt peavad isikuandmed olema “... ajakohased, täielikud ning vajalikud seatud andmetöötluse eesmärgi saavutamiseks” Sama seaduse§ 25 lg 2 p 3 kohaselt tuleb tagada, et “... tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja millistele isikuandmetele andmetöötlussüsteemis juurdepääs saadi...” Siit saab sisu osas järeldada (võrrelduna ISKE turvaosaklasside definitsioonidega), et vajalik on vähemalt terviklusosaklass T2

  41. Iga avaliku sektori andmebaasi (dokumendihaldussüsteemi) kaks põhinõuet Digiajamise süsteemi praktikas üles ehitades tuleb leida mõistlik ja toimiv kompromiss järgmiste omaduste vahel: • Avaliku teabe avalikustamine veebis koos selle õigsuse (tervikluse) tagamisega • Konfidentsiaalse teabe (nt isikuandmete) konfidentsiaalsuse tagamine isikute ees, kes ei tohi neid kätte saada Tehniliselt on need andmed tihti sama andmebaasi naabertabelites või isegi naaberväljades

More Related