Koolides töödeldakse laste delikaatseid isikuandmeid, kuid seadusega pandud kohustus töötlemine registreerida on valdavalt täitmata. Üks põhjusi peitub tõenäoliselt väheses teavituses. Püüan seda lünka täita.

Tegemist ei ole uute nõudmistega – isikuandmete kaitse seadus (IKS) on kehtinud üle kümne aasta. Loodud on see eesmärgiga kaitsta isikuandmete töötlemisel füüsilise isiku põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele. Seadust on küll paaril korral muudetud ja parandatud, kuid laste ja nende vanemate andmete töötlemist puudutav osa muutumatuna püsinud.
IKS-i järgi on isikuandmed mis tahes andmed, olenemata nende kujust ja vormist, kas tuvastatud või tuvastatava füüsilise isiku kohta. Seadus räägib ka eraldi kategooriast – delikaatsetest isikuandmetest –, mille töötlemisele on ette nähtud täiendavad reeglid.

Delikaatsed isikuandmed
Delikaatsed isikuandmed on poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;
     etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;
     andmed terviseseisundi või puude kohta;
     andmed pärilikkuse informatsiooni kohta;
     biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed);
     andmed seksuaalelu kohta;
     andmed ametiühingu liikmelisuse kohta;
     andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.
IKS käsitleb isikuandmete töötlemisena iga isikuandmetega tehtavat toimingut, sh isikuandmete kogumist, salvestamist, korrastamist, säilitamist, muutmist ja avalikustamist, juurdepääsu võimaldamist isikuandmetele, päringute teostamist ja väljavõtete tegemist, isikuandmete kasutamist, edastamist, ristkasutamist, ühendamist, sulgemist, kustutamist või hävitamist. Või mitut eelnimetatud toimingut, sõltumata nende teostamise viisist ja kasutatavatest vahenditest.
Rääkimata hariduslike erivajadustega laste koolidest, on delikaatsete andmete mitu kategooriat töötlemises ka tavalistes põhikoolides ja gümnaasiumides. Võimalik, et eraldi ei ole tähendust pere ja lapse etnilisel päritolul või rassikuuluvusel, kuid kindlasti on mõnel moel töötlemises terviseandmed, harvem süütegudega seotud või seksuaalelu puudutav andmestik.

Aluseks Euroopa Liidu direktiiv
Isikuandmete töötlemise põhimõtted ja nõuded ei tulene algselt IKS-ist ega Eesti ametnike üliagarusest, vaid Euroopa Liidu direktiivist (95/46EÜ), mis sätestab teiste põhimõtete seas ka selgesõnalise nõude töödelda isikuandmeid üksnes andmesubjekti nõusolekul, kui seadus ei näe ette teisiti.
Kui üldiselt tohib isiku andmeid töödelda vaid tema nõusolekul (alaealiste puhul annab nõusoleku lapsevanem või seaduslik hooldaja), siis koolide mõned andmete töötlemise kohustused tulenevad valdkonna seadustest. Kui koolis töödeldakse muu hulgas ka andmeid, mille töötlemiskohustus ei tulene otsesõnu õigusaktist, on vaja lapsevanema nõusolekut. Delikaatsete isikuandmete töötlemisel lisandub kohustus selgitada, et tegemist on delikaatsete andmetega. Olenemata sellest, kas andmeid töödeldakse isiku nõusolekul või seaduse alusel, kehtivad järgmised põhimõtted.
Isikuandmeid võib koguda vaid ausal ja seaduslikul teel (seaduslikkuse põhimõte), üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning neid ei või töödelda viisil, mis ei ole andmetöötluse eesmärkidega kooskõlas (eesmärgikohasuse põhimõte), ainult ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks (minimaalsuse põhimõte).
Isikuandmeid võib muudel eesmärkidel kasutada üksnes andmesubjekti nõusolekul või selleks pädeva organi loal (kasutuse piiramise põhimõte). Isikuandmed peavad olema ajakohased, täielikud ning vajalikud seatud andmetöötluse eesmärgi saavutamiseks (andmete kvaliteedi põhimõte). Tuleb rakendada turvameetmeid, kaitsmaks isikuandmeid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest (turvalisuse põhimõte). Andmesubjekti tuleb teavitada tema kohta kogutavatest andmetest, võimaldada talle juurdepääs teda puudutavatele andmetele, tal on õigus nõuda ebatäpsete või eksitavate andmete parandamist (individuaalse osaluse põhimõte).
Delikaatsete isikuandmete töötleja on kohustatud andmete töötlemise Andmekaitse Inspektsioonis registreerima.

Paberitöö on õigustatud
Loetud kohustused toovad kaasa rohke paberitöö, kuid kui asutuse juhil on õnnestunud korrektselt kaardistada kõik isikuandmetega tehtavad toimingud, saab ta kaebuste, andmete kadumamineku või väärkasutuse põhjuse kiiremini välja selgitada ja likvideerida. Lisaks on lapsevanemal õigus igal ajal huvi tunda, milliseid andmeid tema lapse kohta töödeldakse.
Haridusasutusel on arusaadavalt vaja õppurite kohta andmeid koguda. Peab ta ju oma õpilasi tundma ja vajadusel neile tuge pakkuma. Koolis võivad tegutseda koolipsühholoog, sotsiaalpedagoog, arst. Teatud juhtudel suhtleb kool sotsiaalametnike, õiguskaitseorganitega, kord aastas korraldatakse arenguvestlus. Kõikidel nimetatud puhkudel on eesmärk õpilase arengu toetamine.
Tõenäoliselt korraldab iga kool andmete töötlemise erinevalt. Kui osa teenuseid ostetakse sisse, on võimalik, et töötlemise registreerib teenusepakkuja. Arenguvestluse sisu ja andmehulga määratlevad koolid ise. Igas õppeasutuses puutub keegi kokku lapse terviseandmetega. Õppenõukogus otsustatakse hariduslike erivajadustega õpilaste õppe korraldus, nõustamiskomisjoni suunamise algatus võib tulla õpetajalt, logopeedilt, psühholoogilt või lapsevanemalt. Seega on nii isikute ring kui ka töödeldavate andmete hulk suur.
Eelnimetatu puudutab suuremal või vähemal määral ka lapse perekonna- ja eraelu, põhiseadusega kaitstud ülimat väärtust, millesse sekkumine on lubatud vaid määratletud juhtudel ning hädavajalikus ulatuses.

Nõutav järelevalvaja heakskiit
Last puudutav teave tervikuna on lapse isikuandmed, millest osa on eriti tundliku loomuga. Lapse delikaatsete isikuandmete töötlemiseks peab kool saama järelevalveasutuse heakskiidu. Selleks tuleb kirjeldada, kes (millised töötajad) andmeid töötleb, milli­seid andmeid töödeldakse, kellele neid edastatakse, millisel eesmärgil vajatakse ning milliseid turvameetmeid nende kaitseks rakendatakse.
Isikuandmeid töötlev asutus peaks juurdepääsuõiguse andmisel lähtuma sellest, kas töötajal on ametialane vajadus konkreetse andmestiku järele. Kui eesmärk on lapse aitamine, tuleb asjakohane andmestik anda pedagoogile, kelle pädevuses see on.
Vajaliku teabe leiab Andmekaitse Inspektsiooni kodulehelt (isikuandmete töötlemise registreerimine). Täien­davate küsimustega saab pöörduda e-aadressil info@dp.gov.ee.
Andmekaitse Inspektsioon soovitab koolidel enne, kui ta sügise hakul nad kõnealusel teemal huviorbiiti võtab, isikuandmete töötlemist puudutava dokumentatsiooni korda teha.