Sensitive data

English version below.

Isikuandmed

Isikuandmed on mistahes andmed tuvastatud või tuvastatava isiku kohta. Isik on tuvastatav, kui teda on võimalik mingil moel tema andmetega siduda. Kui andmed ei ole seostatavad või neid on anonüümitud ehk töödeldud selliselt, et seostamine ei ole enam võimalik, siis ei ole tegemist isikuandmetega ja neile andmekaitse ei laiene. Seega, kas teadlane peab järgima andmekaitse nõudeid või mitte, sõltub eelkõige sellest, kas isiku tuvastamine on võimalik ning milliseid andmeid teadlane oma töös kasutab.

Isikuandmed:

• Nimi
• Isikukood
• Aadress
• Telefoninumber
• Pangakonto nr/ krediitkaardi info
• Emaili aadress
• IP aadress
• Küpsised
• Veebiidentifikaator

Üldine andmekaitsemäärus (GDPR) sätestab, et kui töötlete ELi kodanike või elanike isikuandmeid, siis kohaldatakse GDPR-i teie suhtes isegi siis, kui te ei asu ELis. GDPR-i rikkumise eest määratavad trahvid on väga suured. On olemas kaks trahvitaset, mis ulatuvad kuni 20 miljoni euroni või 4% ülemaailmsest käibest (sõltuvalt sellest, kumb on suurem), lisaks on andmesubjektidel õigus nõuda kahjude hüvitamist. GDPR sätestab, et andmete vastutav töötleja peab suutma tõestada, et ta on GDPR-iga kooskõlas. GDPR sätestab andmesubjektidele hulgaliselt uusi privaatsusõigusi, mille eesmärk on anda isikutele rohkem kontrolli organisatsioonidele laenuks antud andmete üle.

Tundlikud isikuandmed

Tavaliste isikuandmete kõrval eristatakse GDPR üldmääruses artiklis 9 eriliiki isikuandmeid.

Eriliiki isikuandmed:

• Rassiline või etniline päritolu
• Poliitilised vaated
• Usulised või filosoofilised veendumused
• Ametiühingusse kuulumine
• Geneetilised andmed
• Biomeetrilised andmed
• Terviseandmed
• Seksuaalne sättumus

Üldjuhul on eriliiki isikuandmete töötlemine keelatud, st kehtib töötlemispiirang. Selliseid andmeid on lubatud töödelda vaid isiku nõusolekul või muude üldmääruse artikli 9 lg-s 2 sätestatud erandite korral. Samuti peab töötlemiseks olema õiguslik alus.

Viited õigusalastele dokumentidele

• Euroopa Liidu üldmäärus (General Data Protection Regulation) - GDPR
• Isikuandmete kaitse seadus Eestis - IKS
• Inimgeeniuuringute seadus - IGUS
• Andmekaitse Inspektsioon
  • Andmetöötluse põhimõtted
  • Andmekaitse ja andmeturbe eneseabi küsimustik
  • Isikuandmete töötleja üldjuhend

Hea tava juhised

• Euroopa Liidu andmekaitse suunised, soovitused ja parimad tavad
• Juurik, M., Mäesalu, T., & Tarkpea, T. (2023) Andmekaitse teadustöös. Tartu Ülikool
• Andmekaitsetingimused Tartu Ülikoolis

---

Personal data

Personal data is any information relating to an identified or identifiable individual human being. A person is identifiable if they can be associated in any way with the data. If the data cannot be associated or they are anonymised, i.e. processed in such a manner that identification is no longer possible, the data is no longer personal data and are not covered by the data protection laws. The obligation of a researcher to adhere to data protection requirements is contingent upon the identifiability associated with the data.

Personal data:

• Name
• Personal identification code
• Address
• Phone number
• Bank / Credit cards information
• Email address
• IP address
• Web cookies
• Online identifiers

General Data Protection Regulation (GDPR) states, that if you process the personal data of EU citizens or residents in any capacity, then the GDPR applies to you even if you’re not in the EU. Fines for violating the GDPR are very high. There are two tiers of penalties, which max out at €20 million or 4% of global revenue (whichever is higher), plus data subjects have the right to seek compensation for damages. The GDPR says data controllers have to be able to demonstrate they are GDPR compliant. GDPR recognizes a litany of new privacy rights for data subjects, which aim to give individuals more control over the data they loan to organizations.

Sensitive data

Besides personal data, GDPR Article 9 distinguishes special categories of personal data.

Special categories of personal data:

• Racial or ethnic origin
• Political views
• Religious or philosophical beliefs
• Trade-union membership
• Genetic data
• Biometric data
• Health data
• Sexual orientation

Generally, the processing of special categories of personal data is prohibited, i.e. the processing limitation applies. Such data may only be processed based on a person’s consent or other exceptions provided in Article 9 (2) of the GDPR. Additionally, a legal basis for processing this kind of data is required.

Relevant regulations

• General Data Protection Regulation - GDPR
• Personal Data Protection Act - IKS
• Human Genes Research Act - IGUS
• Data Protection Inspectorate (all documents only in Estonian, English page under construction)
  • Principles of data processing
  • Data Protection and Data Security Self-Help Questionnaire.
  • General Guide for the Processor of Personal Data

Best practice guidelines

• EU data protection Guidelines, Recommendations, Best Practices
• Juurik, M., Mäesalu, T., & Tarkpea, T. (2023) Guide for data protection in research at the University of Tartu
• Data protection policy at the University of Tartu