Andmekaitse

Rikkumiste käsitlemise kord ja register 2026: GDPR art. 33 valmis mall

Isikuandmete rikkumiste käsitlemise kord ja rikkumiste register GDPR artikli 33 järgi: 72 tunni protsess, valmis mall ja register, kohandamisjuhis 2026.

Also available in:English·Français·Deutsch·Nederlands

Rikkumiste käsitlemise kord on sisemine dokument, mis määrab, kuidas organisatsioon tuvastab, hindab, dokumenteerib ja vajaduse korral teavitab isikuandmetega seotud rikkumisi isikuandmete kaitse üldmääruse (GDPR) artiklite 33 ja 34 järgi. Ilma eelnevalt paika pandud korrata on 72 tunni tähtaega praktiliselt võimatu pidada – see nõuab, et rollid, kontaktid ja sammud oleksid rikkumise hetkel juba määratud, mitte alles siis välja mõeldud. Lisaks nõuab artikli 33 lõige 5 rikkumiste registri pidamist, kuhu kantakse kõik rikkumised, sealhulgas need, millest AKI-d ei teavitatud. See juhend annab täieliku rikkumiste käsitlemise korra malli, rikkumiste registri malli, kohandamisjuhise ja levinud vead. Teavitamise õiguslikud nõuded on selgitatud meie artiklite 33–34 juhendis.

Rikkumiste käsitlemise korra näidis

ISIKUANDMETE RIKKUMISTE KÄSITLEMISE KORD

1. Eesmärk. Käesolev kord määrab isikuandmetega seotud rikkumiste tuvastamise, hindamise, dokumenteerimise ja teavitamise korra kooskõlas GDPR artiklitega 33 ja 34.

2. Rollid.

  • Teavitaja: iga töötaja, kes märkab võimalikku rikkumist, teatab sellest viivitamata aadressile [turvaintsident@ettevote.ee].
  • Vastutav isik: [andmekaitsespetsialist / IT-juht] hindab intsidenti ja koordineerib reageerimist.
  • Otsustaja: [juhatuse liige] kinnitab AKI ja andmesubjektide teavitamise.

3. Samm 1 – Registreerimine (kohe). Iga teade registreeritakse rikkumiste registris koos teadasaamise kuupäeva ja kellaajaga. 72 tunni tähtaeg algab teadasaamise hetkest.

4. Samm 2 – Ohjeldamine (0–24 h). Piira rikkumise mõju: sulge juurdepääs, vaheta paroolid, isoleeri süsteem, peata andmete edasine leke.

5. Samm 3 – Hindamine (0–48 h). Hinda rikkumise laadi, mõjutatud andmete ja andmesubjektide liike ja arvu ning riski andmesubjektide õigustele (andmete tundlikkus, tagajärgede raskus, maandavad meetmed nagu krüpteerimine).

6. Samm 4 – AKI teavitamine (kuni 72 h). Kui rikkumine tõenäoliselt ohustab andmesubjektide õigusi, teavita AKI-d hiljemalt 72 tunni jooksul teadasaamisest, esitades artikli 33 lõike 3 teabe. Hilinemise korral lisa põhjendus.

7. Samm 5 – Andmesubjektide teavitamine (viivituseta). Kui rikkumine tõenäoliselt põhjustab suurt ohtu, teavita andmesubjekte selges keeles, välja arvatud kui andmed olid krüpteeritud või oht on muul viisil maandatud.

8. Samm 6 – Dokumenteerimine ja järelmeetmed. Kanna rikkumine ja kõik otsused registrisse, sealhulgas otsus mitte teavitada koos põhjendusega. Rakenda meetmeid kordumise vältimiseks.

Rikkumiste registri näidis (art. 33 lg 5)

Iga rikkumine kantakse registrisse sõltumata sellest, kas AKI-d teavitati. Register peab sisaldama vähemalt järgmisi välju:

Väli Selgitus
Nr Rikkumise järjekorranumber
Teadasaamise kuupäev ja kellaaeg 72 h tähtaja lähtepunkt
Rikkumise kirjeldus Mis juhtus, kuidas avastati
Rikkumise liik Konfidentsiaalsus / terviklikkus / käideldavus
Mõjutatud andmete liigid Millised isikuandmed
Andmesubjektide arv Ligikaudne arv ja liigid
Riskihinnang Oht andmesubjektide õigustele (madal/keskmine/suur)
AKI teavitatud? Jah/ei + kuupäev; ei korral põhjendus
Andmesubjektid teavitatud? Jah/ei + kuupäev
Võetud meetmed Ohjeldamine ja ennetamine

Täidetud näide

  • Nr: 2026-03
  • Teadasaamine: 12.03.2026 kl 09:15
  • Kirjeldus: Töötaja saatis kliendinimekirja (fail) valele e-posti aadressile
  • Liik: Konfidentsiaalsuse rikkumine
  • Mõjutatud andmed: Nimi, e-post, telefoninumber
  • Andmesubjektide arv: ~150 klienti
  • Riskihinnang: Keskmine – kontaktandmed, mitte eriliigilised; vastuvõtja kinnitas kustutamist
  • AKI teavitatud? Jah, 12.03.2026, 72 h jooksul
  • Andmesubjektid teavitatud? Ei – suur oht ei realiseerunud pärast vastuvõtja kinnitatud kustutamist
  • Meetmed: Meelespea suurte failide saatmisel, adressaadi topeltkontroll

Kuidas korda kohandada

Määra reaalsed rollid ja kontaktid. Kord toimib ainult siis, kui iga töötaja teab, kellele intsidendist teatada, ja andmekaitsespetsialist või IT-juht teab, kuidas hinnata. Nimeta konkreetsed isikud ja e-posti aadress.

Seosta volitatud töötlejate teavitamiskohustusega. Suur osa rikkumisi toimub teenusepakkuja juures. Fikseeri volitatud töötleja lepingus tähtaeg (24 või 48 tundi), mille jooksul teenusepakkuja peab sind teavitama, muidu ei jõua sa oma 72 tunni tähtaega pidada.

Kalibreeri riskihindamine. Riskihinnang määrab, kas ja keda teavitada. Kasuta ühtseid kriteeriume: andmete tundlikkus (eriliigilised andmed, isikukood, finantsandmed), andmesubjektide haavatavus ja maandavad meetmed nagu säilitatud andmete krüpteerimine.

Harjuta korda. Kord, mida pole kunagi läbi mängitud, ebaõnnestub esimese reaalse rikkumise korral. Vii läbi vähemalt üks õppus aastas.

Levinud vead

  • 72 tunni tähtaja valesti arvestamine. Tähtaeg algab teadasaamisest, mitte rikkumise hetkest ega uurimise lõpust.
  • Rikkumiste registri puudumine. Artikli 33 lõige 5 nõuab kõigi rikkumiste dokumenteerimist, ka teavitamata jäetute.
  • Riskihinnangu dokumenteerimata jätmine, kui otsustati mitte teavitada.
  • Rollide määramata jätmine – ilma selge vastutuseta läheb aeg kaduma.
  • Volitatud töötlejate teavitamiskohustuse fikseerimata jätmine lepingus.

Platvorm nagu Legiscope juhib rikkumise hindamise läbi struktureeritud protsessi, arvestab 72 tunni tähtaega ja peab automaatselt rikkumiste registrit.

Eesti kontekst: AKI teavitamine ja trahvid

Rikkumiste käsitlemise korra tähtsuse mõistmiseks tasub teada Eesti järelevalve konteksti. Ajalooliselt on AKI eelistanud turgu harivat lähenemist: kui 2019. aastal lekkis Tartu rattaringluse liidesest üle 20 000 kasutaja andmed, piirdus AKI hoiatusega, mitte rahalise karistusega. Kuni 2024. aasta lõpuni jõustati GDPR-i rahalisi karistusi Eestis väärteomenetluse kaudu, mistõttu Eesti trahvid jäid Euroopa mõistes väga madalaks.

See muutus 1. novembril 2024, mil jõustus GDPR-iga kooskõlas olev haldustrahvi süsteem. Karistusseadustikku muudeti nii, et andmekaitse rikkumiste eest saab nüüd määrata haldustrahve kuni 20 miljonit eurot või 4% ülemaailmsest aastakäibest, asendades varasema kuni 400 000 euro suuruse ülempiiri. Teavitamiskohustuse rikkumine kuulub artikli 83 lõike 4 alla, mille ülempiir on 10 miljonit eurot või 2% aastakäibest. Täiendavad isikuandmete kaitse seaduse muudatused jõustusid 2026. aasta märtsis, andes AKI-le selgemad menetlusvahendid.

Praktiline järeldus organisatsioonile: rikkumiste käsitlemise kord ja rikkumiste register ei ole enam üksnes hea tava, vaid reaalse riski maandamise vahend. AKI teavitamine toimub tema veebilehe kaudu ja teatis peab sisaldama artikli 33 lõike 3 teavet. Kui teavitamine hilineb üle 72 tunni, tuleb lisada viivituse põhjendus. Kõige tugevam kaitse järelevalves on tõendatav protsess: dokumenteeritud kord, peetud register ja iga rikkumise juures fikseeritud riskihinnang, mis näitab, et otsus teavitada või mitte teavitada oli põhjendatud. Kord tuleb siduda ka volitatud töötleja lepingutega, sest suur osa rikkumisi saab alguse teenusepakkuja juurest.

Kolm esimest tundi rikkumise avastamisel

72 tunni tähtajast otsustavad enim esimesed tunnid, mil reageerimine peab olema refleks, mitte improvisatsioon. Praktikas kulgeb hästi ette valmistatud organisatsiooni esimene reageering järgmiselt: teate saanud töötaja registreerib intsidendi kohe (tähtaja lähtepunkt fikseeritakse minutilise täpsusega), vastutav isik alustab ohjeldamist – sulgeb juurdepääsu, vahetab tunnused, isoleerib süsteemi – ja käivitab paralleelselt esmase riskihinnangu.

Kõige sagedasem viga selles faasis on oodata “täieliku pildi” saabumist enne tegutsemist. GDPR ei nõua täielikku uurimist enne teavitamist: kui asjaolud on veel ebaselged, saab AKI-d teavitada etapiviisiliselt (art 33 lg 4), esitades esmalt olemasoleva teabe ja täiendades hiljem. Ohjeldamine ja registreerimine ei tohi seetõttu kunagi oodata uurimise lõppu. Just siin eristub harjutatud kord paberil olevast: organisatsioon, kes on korda vähemalt korra läbi mänginud, tegutseb esimesel tunnil kindlalt, samal ajal kui ettevalmistamata tiim raiskab väärtusliku tähtajaalguse otsustamatusele.

Korduma kippuvad küsimused

Kas väike rikkumine, mis puudutab üksikut isikut, tuleb teatada?

See sõltub riskist, mitte mõjutatud isikute arvust. Ka ühe isiku andmete rikkumine tuleb AKI-le teatada, kui see tõenäoliselt ohustab tema õigusi – näiteks kui lekivad ühe inimese terviseandmed või isikukood koos finantsandmetega. Kui rikkumine tõenäoliselt ei põhjusta ohtu (näiteks kadus üksik krüpteeritud dokument), ei pea teavitama, kuid rikkumine tuleb siiski registrisse kanda koos hindamise põhjendusega.

Kas rikkumiste register on kohustuslik?

Jah. Artikli 33 lõige 5 nõuab, et vastutav töötleja dokumenteeriks kõik isikuandmetega seotud rikkumised – nende asjaolud, mõju ja võetud meetmed – sõltumata sellest, kas AKI-d teavitati. Register võimaldab AKI-l järelevalves kontrollida artikli 33 täitmist.

Kes peab rikkumiste käsitlemise korra kinnitama?

Korra kinnitab organisatsiooni juhtkond. Praktilise haldamise eest vastutab tavaliselt andmekaitsespetsialist või IT-turbe eest vastutav isik. Oluline on, et otsuse AKI ja andmesubjektide teavitamise kohta teeks selleks pädev isik ja et otsus oleks dokumenteeritud.

Mis juhtub, kui rikkumisest ei teavitata, kuigi oleks pidanud?

Teavitamiskohustuse rikkumise eest võib määrata haldustrahvi kuni 10 miljonit eurot või 2% aastakäibest (art. 83 lg 4). Alates 1. novembrist 2024 kohaldab Eesti GDPR-i haldustrahvirežiimi, mis asendas varasema kuni 400 000 euro suuruse ülempiiri. Teavitamata jätmine on eriti raskendav, kui rikkumine põhjustas andmesubjektidele tegelikku kahju.

Kokkuvõte

Rikkumiste käsitlemise kord muudab 72 tunni tähtaja pidamise võimalikuks: see määrab rollid, kontaktid ja sammud enne, kui rikkumine juhtub. Kord peab hõlmama registreerimist, ohjeldamist, riskihindamist, AKI ja vajaduse korral andmesubjektide teavitamist ning dokumenteerimist. Artikli 33 lõige 5 nõuab lisaks rikkumiste registrit, kuhu kantakse kõik rikkumised – ka need, millest ei teavitatud. Kohanda ülaltoodud korda ja registrit oma organisatsiooni järgi, seosta volitatud töötlejate teavitamiskohustusega, kalibreeri riskihindamine ja harjuta korda vähemalt kord aastas. Uus Eesti haldustrahvirežiim muudab ettevalmistuse senisest olulisemaks.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →