Andmekaitse

Isikuandmete töötlemise register (GDPR art. 30) 2026: mida see peab sisaldama

Isikuandmete töötlemise register GDPR artikli 30 järgi: kohustuslikud väljad, millal register on nõutav, AKI ootused ja praktiline ülesehitus 2026.

Isikuandmete töötlemise register on isikuandmete kaitse üldmääruse (GDPR) artiklist 30 tulenev struktureeritud dokument, mis kirjeldab kõiki töötlemistoiminguid, mida organisatsioon isikuandmetega teeb. Register peab sisaldama töötlemise eesmärke, andmesubjektide ja isikuandmete liike, vastuvõtjate kategooriaid, võimalikke edastamisi kolmandatesse riikidesse, kavandatud kustutamistähtaegu ning tehniliste ja korralduslike turvameetmete üldist kirjeldust. Register on esimene dokument, mille Andmekaitse Inspektsioon (AKI) järelevalvemenetluses välja küsib, ja see moodustab kogu andmekaitsetöö selgroo: ilma täieliku ja ajakohase registrita puudub alus peaaegu kõigi teiste GDPR-kohustuste täitmiseks. See juhend selgitab, mida register peab sisaldama, millal see on kohustuslik ja kuidas ehitada register, mis vastust peab.

Mida nõuab artikkel 30?

GDPR artikkel 30 paneb registri pidamise kohustuse nii vastutavale kui ka volitatud töötlejale, kusjuures kahe rolli register on erineva sisuga.

Vastutava töötleja register (art. 30 lg 1) peab sisaldama:

  • vastutava töötleja ja vajaduse korral andmekaitsespetsialisti nime ja kontaktandmeid;
  • töötlemise eesmärke;
  • andmesubjektide ja isikuandmete liikide kirjeldust;
  • vastuvõtjate kategooriaid, kellele isikuandmeid avaldatakse;
  • võimalikke edastamisi kolmandatesse riikidesse ja kohaldatavaid kaitsemeetmeid;
  • kavandatud kustutamistähtaegu eri andmeliikide kaupa;
  • artikli 32 kohaste turvameetmete üldist kirjeldust.

Volitatud töötleja register (art. 30 lg 2) on kitsam ja kirjeldab iga vastutava töötleja jaoks tehtavate töötlemistoimingute kategooriaid. Kui teie ettevõte osutab teenust teise ettevõtte nimel, vajate seda liiki registrit ja sellega seotud volitatud töötleja lepingut.

Millal on register kohustuslik?

Artikli 30 lõige 5 sisaldab näilist erandit alla 250 töötajaga organisatsioonidele. Praktikas on erand peaaegu alati kasutu, sest see ei kohaldu, kui töötlemine:

  • ei ole juhuslik, või
  • võib ohustada andmesubjektide õigusi ja vabadusi, või
  • hõlmab eriliigilisi isikuandmeid (art. 9) või andmeid süüteoasjades tehtud süüdimõistvate kohtuotsuste kohta.

Iga organisatsioon, kellel on töötajad, kes haldab veebilehte analüütikatööriistadega või peab kliendiregistrit, teostab regulaarset töötlemist ja kuulub seega kohustuse alla. Sisuliselt vajab peaaegu iga Eesti tegutsev ettevõte või asutus isikuandmete töötlemise registrit.

Mida register peab sisaldama: väljade ülevaade

Väli Kirjeldus Näide
Töötlemise nimetus Lühike nimetus Palgaarvestus
Eesmärk Miks andmeid töödeldakse Töötasu maksmine
Õiguslik alus Alus art. 6 (ja art. 9) järgi Juriidiline kohustus
Andmesubjektid Isikute kategooriad Töötajad
Isikuandmed Andmete kategooriad Nimi, isikukood, kontonumber
Vastuvõtjad Kellega andmeid jagatakse Pank, Maksu- ja Tolliamet
Kolmandasse riiki edastamine Riik ja kaitsemeede Puudub / tüüptingimused
Säilitustähtaeg Millal andmed kustutatakse 7 aastat pärast töösuhte lõppu
Turvameetmed Tehnilised ja korralduslikud (art. 32) Juurdepääsuõiguste haldus, krüpteerimine

Praktiline ülesehitus ja töömeetod

Toimiv register ehitatakse töötlemistoiming toimingu haaval. Alustage organisatsiooni protsesside kaardistamisest – personal, palgaarvestus, kliendihaldus, turundus, IT-haldus – ja dokumenteerige iga töötlemine ülaltoodud väljade järgi. Sagedane viga on kirjeldada süsteeme töötlemistoimingute asemel: register peab vastama küsimusele miks andmeid töödeldakse, mitte üksnes kus neid hoitakse.

Tabelarvutusprogramm sobib esimese versiooni jaoks, kuid vananeb kiiresti. Register on elav dokument, mida tuleb ajakohastada, kui lisandub uusi töötlemistoiminguid, muutuvad säilitustähtajad või võetakse kasutusele uusi teenusepakkujaid. Just siin annab spetsiaalne lahendus selget tulu: platvormid nagu Legiscope koostavad registri suunatud küsimuste põhjal ja hoiavad selle ajakohasena, kõrvaldades käsitsi tehtava uuendamise, mille tegemata jätmine muidu jätab registri väärtusetuks juba nädalatega.

Register on tihedalt seotud kahe teise dokumendiga: volitatud töötleja lepingutega, mis reguleerivad registris nimetatud vastuvõtjaid ja alltöötlejaid, ning hinnanguga, kas vajate andmekaitsealast mõjuhinnangut, mis lähtub sellest, milliseid kõrge riskiga töötlemistoiminguid register näitab. Valmis register muudab lihtsamaks ka säilitustähtaegade määramise, sest alles siis on teil olemas kõigi töötlemiste terviklik pilt.

Levinud vead

  • Süsteemi kirjeldamine töötlemistoimingu asemel. Register peab lähtuma eesmärkidest, mitte IT-süsteemidest.
  • Puuduv õiguslik alus. Igal töötlemisel peab olema dokumenteeritud alus artikli 6 järgi ning eriliigilistel andmetel lisaks alus artikli 9 järgi.
  • Aegunud andmed. Register, mida ei ajakohastata, on järelevalves praktiliselt väärtusetu.
  • Ebamäärased säilitustähtajad. “Nii kaua kui vaja” ei ole tähtaeg. Märkige konkreetsed perioodid.
  • Nõusoleku ja kohustuse segiajamine. Kui alus on nõusolek, peab registris olema ka viide, kuidas nõusolekut tõendatakse.

Register AKI järelevalves

Kui AKI alustab järelevalvet, on register enamasti esimene dokument, mille inspektsioon välja küsib, ning seda kasutatakse ülejäänud menetluse teekaardina. Alates 1. novembrist 2024 kehtib Eestis GDPR-iga kooskõlas olev haldustrahvi süsteem, mis asendas varasema kuni 400 000 euro suuruse ülempiiri ja võimaldab trahve kuni 20 miljonit eurot või 4% ülemaailmsest aastakäibest. Registrikohustuse rikkumine on iseseisev rikkumine artikli 30 tähenduses, mistõttu täielik ja ajakohane register ei ole üksnes formaalsus, vaid otsene riskimaandusvahend. AKI ametlikke juhiseid leiate Andmekaitse Inspektsiooni veebilehelt.

Register avaliku sektori asutuses ja väikeettevõttes

Registri maht ja keerukus sõltuvad organisatsiooni tüübist. Avaliku sektori asutustes – ministeeriumides, kohalikes omavalitsustes, koolides, haiglates – on register tavaliselt ulatuslik, sest töötlemistoiminguid on palju ja need hõlmavad sageli eriliigilisi andmeid ning avaliku ülesande täitmisel põhinevaid õiguslikke aluseid (art. 6 lg 1 punkt e). Sellistes asutustes on ka andmekaitsespetsialisti määramine kohustuslik ja register on tema töö keskne tööriist. Kohaliku omavalitsuse register hõlmab näiteks rahvastikuregistri toiminguid, sotsiaalteenuseid, haridust, ehitusjärelevalvet ja personali – kümneid eristuvaid töötlemistoiminguid, millest igaühel on oma õiguslik alus ja säilitustähtaeg.

Väikeses ja keskmise suurusega ettevõttes on register seevastu kompaktsem. Tüüpiline VKE dokumenteerib tavaliselt viis kuni viisteist töötlemistoimingut: personal ja palk, raamatupidamine, kliendihaldus, tarnijate haldus, turundus ja uudiskiri, veebilehe analüütika, videovalve ning IT-tugi. Isegi väikese ettevõtte puhul katab see kiiresti mitu lehekülge, mistõttu tasub register üles ehitada juba algusest struktureeritult, mitte hiljem lappida.

Sõltumata organisatsiooni suurusest on registri kõige olulisem omadus ajakohasus. Register, mis koostati korra ja mida seejärel ei uuendatud, kaotab väärtuse juba nädalatega: lisandub uusi teenusepakkujaid, muutuvad süsteemid ja säilitustähtajad. Määrake selge vastutaja – sageli andmekaitsespetsialist või määratud koordinaator – ja siduge registri ülevaatus muude perioodiliste tegevustega, näiteks volitatud töötleja lepingute iga-aastase kontrolliga. Just see pidev haldus, mitte esimene versioon, eristab väärtuslikku registrit formaalsest.

Register kui andmekaardistuse alus

Töötlemistoimingute register ei ole üksnes iseseisev kohustus – see on aluskaart, millele toetuvad peaaegu kõik teised andmekaitseülesanded. Kui register näitab, milliseid isikuandmeid, kus ja millisel eesmärgil hoitakse, muutub iga järgnev ülesanne sihipäraseks. Andmesubjekti päringule vastamine tähendab siis konkreetsete süsteemide läbivaatamist, mitte pimeda otsimist; säilitustähtaegade kohaldamine muutub mehaaniliseks, sest tähtajad on registris juba määratud; ja rikkumise korral saab kiiresti hinnata, keda leke puudutas.

Just seetõttu tasub registrit näha investeeringuna, mitte formaalsusena. Organisatsioon, kelle register on täielik ja ajakohane, teeb kõik ülejäänud kohustused kordades kiiremini. Vastupidi – ilma korras registrita muutub iga päring, iga säilitustähtaja kontroll ja iga rikkumishinnang uueks projektiks. See on peamine põhjus, miks register on esimene dokument, mille AKI järelevalves välja küsib: see paljastab kohe, kas organisatsioon tegelikult teab, milliseid andmeid ta töötleb.

Korduma kippuvad küsimused

Kui tihti tuleb registrit uuendada?

GDPR ei sätesta kindlat intervalli, kuid ajakohasuse nõue tähendab praktikas uuendamist iga olulise muudatuse korral: uue töötlemistoimingu lisandumisel, uue teenusepakkuja või süsteemi kasutuselevõtul, eesmärgi või õigusliku aluse muutumisel või säilitustähtaja kohandamisel. Lisaks pidevale uuendamisele on hea tava vaadata register üks kord aastas tervikuna üle.

Kas väikeettevõte peab pidama töötlemise registrit?

Praktikas jah. Alla 250 töötajaga organisatsioonide erand ei kehti regulaarse töötlemise, õigusi ohustada võiva töötlemise ega eriliigiliste andmete töötlemise korral – ja peaaegu iga tavaline töötajate ja klientidega tegutsev ettevõte kuulub vähemalt ühe nimetatud tingimuse alla.

Kas registrit peab AKI-le esitama?

Registrit ei tule ette esitada, kuid see tuleb esitada AKI nõudmisel. Artikli 30 lõike 4 kohaselt tuleb register teha järelevalveasutusele taotluse korral kättesaadavaks. Ajakohase registri puudumine nõudmise hetkel on iseseisev rikkumine.

Mille poolest erineb vastutava ja volitatud töötleja register?

Vastutava töötleja register (art. 30 lg 1) kirjeldab töötlemise eesmärke ja täielikku sisu, sest vastutav töötleja määrab, miks ja kuidas andmeid töödeldakse. Volitatud töötleja register (art. 30 lg 2) on kitsam ja loetleb üksnes iga kliendi jaoks tehtavate töötlemistoimingute kategooriad.

Kokkuvõte

Isikuandmete töötlemise register on kogu andmekaitsetöö alus ja esimene dokument, mida AKI näha soovib. See peab dokumenteerima iga töötlemistoimingu koos eesmärgi, õigusliku aluse, andmesubjektide ja andmete kategooriate, vastuvõtjate, säilitustähtaegade ja turvameetmetega – toiming toimingu haaval. Väikeorganisatsioonide erand on praktikas kasutu, mistõttu register on vaja sisuliselt igal Eesti organisatsioonil. Ehitage see eesmärkide, mitte süsteemide järgi, märkige konkreetsed säilitustähtajad ja hoidke seda elavana. Käsitsi tehtav pidev ajakohastamine on tegelik kulu ja just seal tasub end ära spetsiaalne tööriist. Valmis mall ja täidetud näide leiate meie eraldi töötlemise registri näidise juhendist.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →