Isikuandmete töötlemine Tallinna Tervishoiu Kõrgkoolis

"Isikuandmete töötlemine Tallinna Tervishoiu Kõrgkoolis" on kinnitatud  rektori 19.11.2014. a käskkirjaga nr 2-1/97.
Tallinna Tervishoiu Kõrgkool on registreeritud Andmekaitse Inspektsiooni delikaatsete isikuandmete vastutava töötlejana alates 01.04.2014. a (kehtivus viis aastat).

1.      ÜLDSÄTTED 

1.1         Isikuandmete töötlemise kord (edaspidi kord) sätestab isikuandmete töötlemise põhimõtted, andmesubjekti õigused ja asutuse kohustused isikuandmete töötlemisel ning turvameetmed isikuandmete kaitseks Tallinna Tervishoiu Kõrgkoolis (edaspidi kõrgkool). 

1.2         Isikuandmete töötlemisel lähtub kõrgkool „Avaliku teabe seadusest“, „Isikuandmete kaitse seadusest“ ning Andmekaitse Inspektsiooni juhistest.  

1.3         Isikuandmete kaitse seaduse ning käesoleva korra eesmärgiks on kaitsta isikuandmete töötlemisel füüsilise isiku põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele. 

1.4         Delikaatsete isikuandmete töötlemine Tallinna Tervishoiu Kõrgkoolis on registreeritud Andmekaitse Inspektsioonis 01.04.2014. a. (kehtivus viis aastat). 

2.      MÕISTED 

2.1         Isikuandmed on mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on. 

2.2         Delikaatsed isikuandmed on:

2.2.1        poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;

2.2.2        etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;

2.2.3        andmed terviseseisundi või puude kohta;

2.2.4        andmed pärilikkuse informatsiooni kohta;

2.2.5        biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed);

2.2.6        andmed seksuaalelu kohta;

2.2.7        andmed ametiühingu liikmelisuse kohta;

2.2.8        andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist. 

2.3         Eraeluline teave – Tallinna Tervishoiu Kõrgkool on Haridus- ja Teadusministeeriumi hallatav asutus, mille eesmärgiks on olla rahvusvaheliselt tunnustatud ajakohase õpikeskkonnaga tervise ja heaolu õppevaldkonnas koolitust pakkuv rakenduskõrgkool. Oma ülesannete täitmise käigus koguneb kõrgkooli isikuandmeid, sh tundlikku ja eraelulist teavet, mis ei ole kättesaadavad avalikkusele – inimestel on õigus eraelu puutumatusele. Eraelulist teavet sisaldava info hoidmisel ja kasutamisel lähtub kõrgkool Isikuandmete kaitse seadusest, Avaliku teabe seadusest, käesolevast korrast ja kõrgkooli asjaajamiseeskirjast. 

2.4         Isikuandmete töötlemine on iga isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine isikuandmetele, päringute teostamine ja väljavõtete tegemine, isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine, või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest.

2.5         Andmesubjekt on isik, kelle isikuandmeid töödeldakse. 

2.6         Kolmas isik on füüsiline või juriidiline isik, välismaa äriühingu filiaal või riigi- või kohaliku omavalitsuse asutus, kes ei ole isikuandmete töötleja ise, andmesubjekt, füüsiline isik, kes isikuandmete töötleja alluvuses töötleb isikuandmeid. 

2.7         Vastutav töötleja on füüsiline või juriidiline isik, välismaa äriühingu filiaal või riigi-või kohaliku omavalitsuse asutus, kes töötleb või kelle ülesandel töödeldakse isikuandmeid. 

3. ISIKUANDMETE TÖÖTLEMISE EESMÄRK

3.1         Kõrgkool töötleb isikute andmeid, sh delikaatseid isikuandmeid, ainult õiguspäraste eesmärkide saavutamiseks ning ainult selles ulatuses, mis on vajalik põhimääruslike (olla rahvusvaheliselt tunnustatud ajakohase õpikeskkonnaga tervise ja heaolu õppevaldkonnas koolitust pakkuv rakenduskõrgkool, edendada õpetatavaid kutsealasid arendustegevuse ja rakendusuuringute abil, mõjutada rahvastiku tervisekäitumist ja aidata kaasa tervisliku elukeskkonna kujundamisele ning korraldada tööalast täienduskoolitust) tegevuste elluviimiseks. 

3.2         Kõrgkool lähtub isikuandmete töötlemisel järgmistest põhimõtetest:

3.2.1        seaduslikkuse põhimõte – isikuandmeid kogutakse vaid ausal ja seaduslikul teel;

3.2.2        eesmärgikohasuse põhimõte – isikuandmeid võib koguda üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning neid ei või töödelda viisil, mis ei ole andmetöötluse eesmärkidega kooskõlas;

3.2.3        minimaalsuse põhimõte – isikuandmeid võib koguda ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks;

3.2.4        kasutuse piiramise põhimõte – isikuandmeid võib muudel eesmärkidel kasutada üksnes andmesubjekti nõusolekul või selleks pädeva organi loal;

3.2.5        andmete kvaliteedi põhimõte – isikuandmed peavad olema ajakohased, täielikud ning vajalikud seatud andmetöötluse eesmärgi saavutamiseks;

3.2.6        turvalisuse põhimõte – isikuandmete kaitseks tuleb rakendada turvameetmeid, et kaitsta neid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest;

3.2.7        individuaalse osaluse põhimõte – andmesubjekti tuleb teavitada tema kohta kogutavatest andmetest, talle tuleb võimaldada juurdepääs tema kohta käivatele andmetele ja tal on õigus nõuda ebatäpsete või eksitavate andmete parandamist.

4. ISIKUD, KELLE ANDMEID TÖÖDELDAKSE

4.1         Kõrgkool töötleb rakenduskõrgharidusõppe ja kutseõppe õppekavadel ning kõrgkooli poolt pakutavatel täiendkoolituskursustel õppivate õppurite isikuandmeid.  

4.2         Tööandjana töötleb Tallinna Tervishoiu Kõrgkool Eesti Vabariigi töölepingu seaduse ning Võlaõigusseaduse alusel sõlmitavate lepingutega hõivatud isikute isikuandmeid.

5. ISIKUANDMETE ALLIKAD JA TÖÖTLEMISE ALUS

5.1         Isikuandmete allikateks on:

5.1.1        andmesubjekti või tema volitatud esindaja poolt saadetud, edastatud ja/või täidetud dokumendid (nt ID-kaart, pass, kontaktandmed, haridust tõendavad dokumendid, arstitõendid, jm dokumendid) ning tema ütlused;

5.1.2        teenuse osutajad (nt tervishoiu- ja õppeasutused, Politsei- ja Piirivalveamet, ENIC/NARIC Keskus, omavalitsused jt). 

5.2         Isikuandmete töötlemise aluseks on:

5.2.1        isiku enda algatus (nt taotlus, avaldus, märgukiri, teabenõue) või isiku muu pöördumine;

5.2.2        isiku või asutuse algatus (nt taotlus, avaldus, teabenõue), kellele andmete edastamise on lubanud andmesubjekt või kes omavad selleks seadusest tulenevat õigust.

6. ISIKUD/ASUTUSED, KELLELE ISIKUANDMETE EDASTAMINE JA TÖÖTLEMINE ON LUBATUD

6.1         Isikuandmeid edastatakse isikutele ning asutustele, kellele andmete edastamise on lubanud andmesubjekt või kes omavad selleks seadusest tulenevat õigust. 

6.2         Isikuandmete edastamine (kellele, millal ja millised isikuandmed) fikseeritakse kõrgkooli kirjavahetuse registris. Delikaatseid isikuandmeid sisaldavad dokumendid edastatakse posti teel tähitult või krüpteeritult e-posti teel. 

6.3         Elektrooniliselt edastatud andmete kohta (nt Haridus- ja Teadusministeerium, Statistikaamet) peavad arvestust andmebaaside logid. 

6.4         Isikuandmete töötlemine on lubatud andmesubjekti nõusolekuta, kui isikuandmeid töödeldakse:

6.4.1        seaduse alusel;

6.4.2        andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks, kui andmesubjektilt ei ole võimalik nõusolekut saada;

6.4.3        andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks, välja arvatud delikaatsete isikuandmete töötlemine.

6.5         Isikuandmete edastamine või nendele juurdepääsu võimaldamine andmete töötlemiseks kolmandale isikule on lubatud andmesubjekti nõusolekuta:

6.5.1        kui kolmas isik, kellele andmed edastatakse, töötleb isikuandmeid seaduse, välislepingu või Euroopa Liidu Nõukogu või Euroopa Komisjoni otsekohalduva õigusaktiga ettenähtud ülesande täitmiseks;

6.5.2        üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks, kui andmesubjektilt ei ole võimalik nõusolekut saada;

6.5.3        kolmas isik taotleb teavet, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muul põhjusel kehtestatud juurdepääsupiirangut.

7. ANDMESUBJEKTI ÕIGUSED JA JUURDEPÄÄS ANDMETELE 

7.1         „Isikuandmete kaitse seaduse“ § 19 kohaselt on igal isikul õigus saada teada, milliseid isikuandmeid tema kohta organisatsioonis kogutakse ja on kogutud, millisel eesmärgil ning millisele seadusele või muule õigusaktile tuginedes tema andmeid töödeldakse ja millistele isikutele või organisatsioonidele on tema isikuandmeid edastatud. 

7.2         Andmesubjektil on võimalus saada teavet enda kohta kogutud ja töödeldud andmete kohta. Informatsiooni on võimalik saada järgmiselt: esitades kirjaliku taotluse rektori nimele, taotledes teabenõude („Avaliku teabe seaduse“ § 14 kohaselt) korras andmesubjekti isikuandmetega dokumentide väljastamist, tutvuda oma isikuandmetega, dokumentide või registritega kõrgkoolis kohapeal. 

7.3         Isikuandmed väljastatakse võimaluse korral andmesubjekti soovitud viisil. 

7.4         Isikuandmete väljastamisel peab kõrgkool olema veendunud, et tegemist on just selle isikuga, kellel on õigus vastavaid andmeid saada. Seetõttu peab andmete taotleja vajadusel oma isikusamasust või andmete taotlemise õigust tõendama. 

7.5         „Isikuandmete kaitse seaduse“ § 19 lg 3 kohaselt on isikuandmete töötleja kohustatud põhjendama andmete väljastamisest või teabe andmisest keeldumist. Andmete või teabe andmisest keeldumise otsusest teavitab isikuandmete töötleja andmesubjekti avalduse saamise päevale järgneva viie tööpäeva jooksul. Olenevalt taotletavatest andmetest võib eriseadus isikuandmete kohta teabe ja isikuandmete väljastamise korra suhtes näha ette erandi. 

7.6         Töötlejal on õigus keelduda andmesubjektile teabe edastamisest kui see võib:

7.6.1        kahjustada teise isiku õigusi ja vabadusi;

7.6.2        takistada kuriteo tõkestamist või kurjategija tabamist;

7.6.3        raskendada kriminaalmenetluses tõe väljaselgitamist. 

7.7         Andmesubjektil on õigus oma isikuandmete töötlejalt nõuda ebaõigete isikuandmete parandamist. Andmete täiendamise või parandamise korral säilitab töötleja ka ebaõiged isikuandmed märkusega nende kasutamise aja kohta või nende muutumise kohta. 

7.8         Kui isikuandmete töötlemine ei ole seaduse alusel lubatud, on andmesubjektil õigus nõuda:

7.8.1        isikuandmete töötlemise lõpetamist;

7.8.2        isikuandmete avalikustamise või neile juurdepääsu võimaldamise lõpetamist;

7.8.3        kogutud isikuandmete kustutamist või sulgemist.

8. TÖÖTLEJA NING TEMA KOHUSTUSED          

8.1         Kõrgkoolis töödeldava(te)ks delikaatse(te)ks isikuandme(te)ks on informatsioon andmesubjekti(de) tervisliku seisundi  ja ametiühingu liikmelisuse kohta. Delikaatsete isikuandmete töötlejateks on:

8.1.1        prorektorid, personalispetsialist, dokumendihalduse spetsialist ning finantsspetsialistid – omavad volitust töödelda kõiki andmeid;

8.1.2        õppeosakonna töötajad, õppetoolide juhatajad ja kutseõppe osakonna juhataja või nende poolt volitatud töötajad – omavad volitust töödelda vaid õppurite andmeid. 

8.2         Kõrgkooli töötaja, kes töötleb isikuandmeid, on kohustatud:

8.2.1        töötlema isikuandmeid käesolevas korras lubatud eesmärkidel ja tingimustel ning juhiste kohaselt;

8.2.2        hoidma saladuses talle tööülesannete täitmisel teatavaks saanud isikuandmeid ka pärast töötlemisega seotud tööülesannete täitmist või töösuhte lõppemist;

8.2.3        vajadusel osalema tööandja poolt väljapakutud väljaõppel isikuandmete kaitse alal;

8.2.4        olema tutvunud ning lähtuma andmete töötlemisel „Isikuandmete Kaitse Seadusest“. 

8.3         Kõrgkooli töötaja on kohustatud hoidma saladuses talle tööülesannete täitmisel teatavaks saanud isikuandmeid, mida pole antud üldiseks kasutamiseks. 

8.4         Kõrgkooli töötaja kannab isikuandmete töötlemise korra rikkumise eest „Isikuandmete kaitse seaduses“ sätestatud vastutust. 

8.5         Tallinna Tervishoiu Kõrgkool kohustub:

8.5.1        sõlmima õppuritega enne nende esimest praktikat konfidentsiaalsuslepingu, mis kehtib kuni õppuri eksmatrikuleerimiseni. Lepingu sõlmimist koordineerivad õppetoolid ja kutseõppe osakond;

8.5.2        eesmärkide saavutamiseks mittevajalikud isikuandmed viivitamata kustutama või sulgema, kui seadus ei näe ette teisiti;

8.5.3        tagama, et isikuandmed on õiged ja, kui see on eesmärkide saavutamiseks vajalik, viimases seisus;

8.5.4        mittetäielikud ja ebaõiged isikuandmed sulgema ning nende täiendamiseks ja parandamiseks võtma viivitamata kasutusele vajalikud abinõud;

8.5.5        ebaõiged andmed säilitama märkusega nende kasutamise aja kohta koos õigete andmetega;

8.5.6        isikuandmed, mille õigsus on vaidlustatud, sulgema kuni andmete õigsuse kindlakstegemiseni või õigete andmete väljaselgitamiseni;

8.5.7        isikuandmete parandamise korral viivitamata teavitama sellest kolmandaid isikuid, kellelt isikuandmed saadi või kellele isikuandmeid edastati, kui see on tehniliselt võimalik ega too kaasa ebaproportsionaalselt suuri kulutusi.

9. ISIKUANDMETE KAITSE TURVAMEETMED

9.1         Isikuandmete kaitseks rakendatavate turvameetmete eesmärk on tagada:

9.1.1        andmete terviklikkus ehk kaitsta andmeid juhusliku või tahtliku volitamata muutmise eest;

9.1.2            andmete käideldavus ehk kaitsta andmeid juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest;

9.1.3            andmete konfidentsiaalsus ehk kaitsta andmeid volitamata töötlemise eest.

9.2         Kõrgkooli poolt töödeldakse isikuandmed nii paberkandjal kui ka elektrooniliselt. Eesti Hariduse Infosüsteemis (EHIS), sisseastumise infosüsteemis (SAIS), personaliarvestusprogrammis (PERSONA), raamatupidamisprogrammis (PM), raamatukogude info- ja kataloogiprogrammis (RIKS), dokumendihaldusprogrammis (AMPHORA) ja õppeinfosüsteemis (ÕIS) esinevad isikuandmed digitaalkujul.

9.3         Delikaatseid isikuandmeid sisaldavaid paberdokumente või teisaldatavaid andmekandjaid hoitakse lukustatavates kappides või seifis. Juurdepääs delikaatsetele isikuandmetele on üksnes lukustatud kapi või seifi võtme valdajal.

9.4         Kogutud andmete säilitamine toimub vastavalt kehtivale seadusandlusele.

9.5         Säilitustähtaja möödumisel andmed kustutatakse ja dokumendid hävitatakse.