2018 .ee domeenireeglite muudatused ja selgitused

 

SISSEJUHATUS

.ee domeenireeglite[1] ja registrilepingu[2] isikuandmete kaitse üldmäärusega vastavusse viimise (edaspidi ka: GDPR, General Data Protection Regulation)[3] ja nende ajakohastamise eesmärgil oleme koostanud järgmised domeenireeglite ja registrilepingu muudatuste ettepanekud.

Osas A on toodud loetelu domeenireeglite muudatusettepanekutest. Kavandatavatest muudatustest põhimõttelisemad on WHOIS-teenuse vahendusel füüsilisest isikust registreerija andmete avalikult esitamise kaotamine ja luua võimalus, et huvitatud isikul on võimalik registreerijaga ka edaspidi ilma tema isikuandmeid avaldamata ühendust võtta. Samuti soovime viia domeenireeglid vastavusse registreerijate tänaste vajadustega ning laiendada EIS-i poolt autoriseerimiskoodi väljastamise regulatsiooni ja registreerija portaali funktsionaalsust. Lisaks soovime selguse huvides sätestada, et EIS võib domeeninimele seada teatud juhtudel keelumärkeid ja protseduuri lihtsustamise eesmärgil lisada keelumärkega kustunud domeeni reserveeritud domeenide nimekirja.

Osas B on esitatud registrilepingu ja selle lisade muudatusettepanekud. Kavandatavatest muudatustest põhimõttelisemad on täpsustada registripidaja kohustusi registreerija isikuandmete töötlemisel (nt milline teave tuleb registreerijale edastada, mida teenuselepingus täpsustada, registripidaja kohustus edastada EIS-le rikkumisteated jms) ja täiendada ülesandega pidada töötlustoimingute registrit ning vajadusel teostada andmekaitsealast mõjuhinnangut. Samuti soovime konkretiseerida registripidaja vastutusala juhul, kui ta kasutab domeeni edasimüümisel kolmandaid isikuid või soovib edastada registreerija isikuandmeid välisriiki, mis asub väljaspool Euroopa Majanduspiirkonda. Lisaks soovime registripidajatele pakkuda EIS-i poolt võimalust pikendada aeguvaid domeene automaatselt.
Osas C on toodud välja domeenivaidluste komisjoni reglemendi[4] muudatusettepanekud, mille peamiseks eesmärgiks on kaotada ära faksi kasutamine dokumentide saatmisel ja kättetoimetamisel.

EIS ootab ka kogukonnapoolseid täiendavaid ettepanekuid! Muudatused peaksid olema jõustunud hiljemalt 25. mai 2018.

OSA A

Domeenireeglite muudatusettepanekud


A1. Domeenireeglite punkti 3.4.1 WHOIS teenuse täiendamine

Hetkel kehtiv:

3.4.1 Domeeninime kohta avaldab EIS WHOIS teenuse vahendusel Registreerija nime ja e-posti aadressi, juriidilisest isikust Registreerija puhul tema äriregistrikoodi, Haldus- ja Tehnilise kontakti nime ja e-posti aadressi, Nimeserverite nimed, DNSKEY kirjed, Registripidaja nime, Domeeninime registreerimise aja, Registreeringu andmete viimase muudatuse aja, Domeeninime staatuse ning Domeeninime aegumise kuupäeva. Domeeninime aegumise kuupäeva möödudes avaldab EIS WHOIS teenuse vahendusel lisaks eelnevalt loetletud andmetele ka Domeeninime peatamise ja kustumise kuupäeva.

Domeenireeglite punkt 3.4.1 muudatusettepanek täiendada järgmises sõnastuses:

3.4.1 Domeeninime kohta avaldab EIS WHOIS teenuse vahendusel selle Nimeserverite nimed, DNSKEY kirjed, Registripidaja nime, Domeeninime registreerimise aja, Registreeringu andmete viimase muudatuse aja, Domeeninime staatuse ning Domeeninime aegumise kuupäeva. Juriidilisest isikust Registreerija puhul ka tema nime, äriregistrikoodi, Haldus- ja Tehnilise kontakti nime ja e-posti aadressi. Domeeninime aegumise kuupäeva möödudes avaldab EIS WHOIS teenuse vahendusel lisaks eelnevalt loetletud andmetele ka Domeeninime peatamise ja kustumise kuupäeva.

Selgitus: Muudatus on ajendatud GDPR määrusest, mille kohaselt ei saa WHOIS-teenuse vahendusel füüsilisest isikust registreerija kontaktandmeid enam avalikult avaldada. Edaspidi saab WHOIS teenuse vahendusel avaldada eraisikute andmeid üksnes juhul, kui selleks on olemas domeeni registreerija eraldiseisev nõusolek.

WHOIS-teenus on andmebaas, mis tähendab teenust, mille vahendusel edastatakse domeeninime ja registreerija kohta käivat teavet üldkasutatavas andmesidevõrgus. See tagab domeeninimede süsteemi läbipaistvuse avalikkuse silmis, toimides justkui aadressiraamat, mille kaudu on isikutel võimalik domeeni taga tegutseva inimesega küsimuste või huvi korral ühendust võtta. Nt isikutel, kelle õigusi on domeeni registreerija enda kodulehel või e-kirjade saatmisega rikkunud (eriti tsiviilõigusi, mille puhul peab isik enda õigusi iseseisvalt kaitsma), on tal võimalus efektiivselt ja kiiresti domeeni registreerijaga kontakti saada. Lisaks on WHOIS’i eesmärk tagada võimalikult täpset ja ajakohast teavet domeeni tehniliste ja haldusalaste kontaktpunktide kohta, mis domeeninimesid administreerivad.

Täna on .ee domeenireeglid reguleeritud selliselt, et EIS avaldab eraisiku nime ja e-posti aadressi andmed temalt saadud kaudse nõusoleku (lepingu) alusel. Nagu mainitud, siis jõustuv GDPR keelab ühemõtteliselt kaudselt saadud nõusoleku alusel eraisiku andmete avaldamise, mistõttu ei saa leping iseenesest olla aluseks WHOIS-s tema kontaktide esitamiseks (kuna lepingu alusel kogutavate andmete töötlemise eesmärk on muu).

Kõige üldisemalt kogub EIS registreerija andmeid selleks, et olla teadlik, kes on tegelikult domeeni registreeringu taga (isikusamasuse kontroll), küberjulgeoleku tagamiseks (sh CERT-i huvides) ja selleks, et EIS-l oleks võimalik registreerijaga domeeniga seotud küsimuste ja probleemide korral ühendust võtta ning vajalikku informatsiooni edastada. Nimetatud alused ei anna aga EIS-le õigust avaldada eraisiku andmeid WHOIS’s avalikult, kuna see läheks vastuollu sellega, mille alusel EIS algselt eraisikult andmeid küsis. Vabatahtlikkuse printsiibi järgimise eeldus on, et lepingu sõlmimine ise ei tohi sellisel juhul sõltuda sellest, kas isik oma isikuandmete töötlemiseks WHOIS’i jaoks annab nõusoleku või mitte.

GDPR-s on aga esitatud selge eesmärgi piirangu põhimõte, mis sisuliselt tähendab, et ilma isiku enda volituseta pole võimalik tema andmeid avaldada. See saaks toimuda üksnes erandkorras nt juhul, kui avalikkuse õigustatud huvi isikuandmete vastu kaalub üles isiku õiguse privaatsusele. Näiteks oleks EIS-l võimalik õigustatud huvi alusel WHOIS-s eraisiku andmeid avaldada juhul, kui see tuleneb sarnaselt vastavast õigusaktist. EIS iseseisvalt seda otsustada ei saa. Lihtsalt kolmandate isikute huvi eraisikust domeeni registreerija vastu pole piisav, et tema andmed avalikult kättesaadavaks teha ega kaalu üles tema subjektiivseid õigusi privaatsusele. Sarnaselt käsitlevad WHOIS teenust täna ka nt Rootsi (.se, .nu), Hollandi (.nl) ja Poola (.pl) register.

Seega on EIS-i hinnangul võimalik eraisiku andmeid edaspidi WHOIS-s avaldada üksnes isiku eraldiseisva nõusoleku alusel ja muul juhul neid avaldada pole võimalik. Isiku nõusolek peab GDPR tähenduses olema kirjalikku taasesitamist võimaldavas vormis ning inimene peab saama selle andmise või mitteandmise üle vabalt otsustada. Kui isik annab samal ajal nõusoleku lepingulisse suhtesse astumiseks, peab isikuandmete töötlemiseks antav nõusolek WHOIS’s olema selgelt eristatav.

Konsulteerides registripidajatega oleme ühiselt leidnud, et kõige mõistlikum ja registripidajate jaoks vähem koormavam on domeeni registreerimisel eraisiku andmeid WHOIS-s automaatselt mitte avaldada ning kui isikul on vastav soov, saab ta selle anda registreerija portaali vahendusel. Vastavast võimalusest teavitab registreerijaid registripidaja. Samuti on see EIS’i jaoks kõige sobilikum lahendus, kuna andmete vastutava töötlejana saame seeläbi omada konkreetseid tõendeid registreerija eraldiseisvast nõusolekust ja neid vastavalt GDPR nõuetele ka enda valduses tõendina säilitada.

Lisaks juhime tähelepanu sellele, et kui domeeni registreerija on juriidiline isik, siis temaga seotud andmed on WHOIS-s ka pärast GDPR jõustumist avalikud. Kuna juriidilisel isikul puudub eraelu, siis pole selle puutumatust tarvis ka kaitsta. Nimelt pole juriidiline isik füüsiliselt eksisteeriv, mistõttu puuduvad tal isikuõigused, millele võiks laieneda GDPR’i kohaldamisala. GDPR’s on selgelt esitatud, et juriidilise isikule see ei laiene,[5] mille alla kuuluvad ka juriidilise isiku kontaktandmed, sh esindajate andmed, tänu millele on juriidilise isikuga võimalik probleemide korral ühendust võtta. Näiteks pole juhatuse liikmel juriidilise isiku esindajana õigust nõuda GDPR kohaselt isikuandmete kaitset, mistõttu ei saa seda olla ka juriidilisest isikust domeeni esindajaks määratud halduskontaktil (kes ongi tavaliselt juhatuse liige) või tehnilisel kontaktil (tehniline kontakt võib olla ka juriidiline isik).

A2. Domeenireeglite punkti 3.4.2 registreerijaga kontakti võtmise võimaluse lisamine

Domeenireeglite punkt 3.4.2 muudatusettepanek kehtestada järgmises sõnastuses:

3.4.2 Pärast domeeninime registreerimist võimaldab EIS võtta ühendust domeeninime Registreerijaga, kelle kontaktandmed pole WHOIS-teenuse vahendusel avalikud. Sellisel juhul EIS ei avalda Registreerija andmeid.

Selgitus: Ettepaneku eesmärk on võimaldada domeeni eraisikust registreerijaga võtta ka edaspidi huvitatud isikutel ühendust.

EIS-i huvi on tagada ka tulevikus, et domeeninimede süsteem on avatud ning kõigi domeeni registreerijatega on huvitatud isikutel võimalik ka edaspidi kontakti võtta. Nagu mainitud, siis WHOIS-teenuse peamine eesmärk on toimida nagu aadressiraamat ja tagada, et internetis toimuv on läbipaistev. Samuti on selle mõte võimaldada isikutel, kelle õigusi on domeeni registreerija enda kodulehel või e-kirjade saatmisega rikkunud või on seal muu tehniline probleem, kiiresti ühendust saada.

Seega on antud sätte eesmärk luua registreerijaga ühenduse saamiseks vastav anonümiseeritud võimalus. Selleks tuleb huvitatud isikul esitada oma kiri EIS’i kodulehel asuva vormi kaudu,[6] milles EIS ei esita domeeni registreerija isikuandmeid. Huvilisele vastamine on domeeni registreerija enda vabatahtlik otsus, mis väljub EIS’i kontrolli alt. Sarnast süsteemi kasutab täna ka Prantsusmaa (.fr) register.

Vaata ka muudatusettepanekut A1.

Muudatusettepaneku jõustumisel asendada domeenireeglite kehtiv punkt 3.4.2 ja 3.4.3 numeratsiooniga 3.2.3 ja 3.4.4.

A3. Domeenireeglite punkti 5.3.3 kontaktandmete uuendamise võimaluse täiendamine

Hetkel kehtiv:

5.3.3 Registripidaja edastab EIS-le Registreerija taotluse Domeenireeglite punkti 4.1.1 alapunktides c) – f) märgitud andmete muudatuste kohta.

Domeenireeglite punkt 5.3.3 muudatusettepanek täiendada järgmises sõnastuses:

5.3.3 Registripidaja edastab EIS-le Registreerija taotluse Domeenireeglite punkti 4.1.1 alapunktides b) – e) märgitud andmete muudatuste kohta. EIS võimaldab Registreerijal vahetada enda kontaktandmeid ka EIS-i poolt Registreerijale loodud keskkonna vahendusel, mille muudatused edastatakse Registripidajale.

Selgitus: Muudatuse eesmärk on võimaldada registreerijal vahetada endaga seotud kontaktandmeid (aadress ja e-post) ka EIS-i poolt talle loodud registreerija portaali vahendusel.

Antud lahendus annab registreerijale talle loodud portaalis rohkem võimalusi. Samuti on see otstarbekas vahend nendele registripidajatele, kellel endal puudub klientidele loodud iseteeninduskeskkond, saades seeläbi nad suunata registreerija portaali vastavaid toiminguid teostama.

Kui registreerija vahetab kontaktandmed registreerija portaalis, siis tuvastab EIS ise registreerija tahte ja sellisel juhul registripidaja tema tahet vastavalt registrilepingule tõendama ei pea. EIS teavitab registripidajaid kontaktandmete muutmisest süsteemi pol teadete kaudu, samuti saab seda registripidaja soovi korral süsteemist eraldi pärida.

A4. Domeenireeglite punkti 5.3.7.4 EIS-i poolt autoriseerimiskoodi väljastamise osa muutmine

Hetkel kehtiv:

5.3.7.4 Kui senine Registripidaja ei esita Autoriseerimiskoodi viie (5) tööpäeva jooksul, on Registreerijal õigus taotleda Autoriseerimiskoodi EIS-lt.

Domeenireeglite punkt 5.3.7.4 muudatusettepanek täiendada järgmises sõnastuses:

5.3.7.4 Kui senine Registripidaja ei esita Autoriseerimiskoodi viie (5) tööpäeva jooksul, on Registreerijal õigus taotleda Autoriseerimiskoodi EIS-lt. Muul põhjendatud alusel on EIS-l õigus Registreerijale väljastada Autoriseerimiskood ka varem.

Selgitus: Muudatuse eesmärk on täiendada võimalust, et domeeni registreerija saab EIS-lt autoriseerimiskoodi küsida põhjendatud juhul ka varem, kui viie tööpäeva möödudes.

Autoriseerimiskood on vajalik selleks, et domeeni registreerija saaks vahetada registripidajat. EIS-i praktikas on ette tulnud aga olukordi, mil domeeni registreerijal pole võimalik registripidajaga saada ühendust, et domeeni registreeringut pikendada ning kui on tekkinud soov vahetada registripidajat, siis pole ka autoriseerimiskoodi kättesaamine olnud võimalik. Sellisel juhul võib registreerijal tekkida kriitiline olukord, et domeeni registreering võib kustuda ning registripidaja vahetamine pole võimalik, sest viis tööpäeva pole möödunud.

Selle kaitseks võimaldab EIS täna autoriseerimiskoodi kättesaamist registreerija portaali vahendusel, kuid sinna saab hetkel sisse logida üksnes Eesti ID-kaardi või mobiil ID olemasolul (sh e-residendid), mistõttu välismaalt pärit registreerijad saavad autoriseerimiskoodi küsida üksnes EIS-lt. Selliste olukordade kaitseks on meie hinnangul vajalik, et EIS-l oleks tulevikus võimalus väljastada domeeni registreerijale autoriseerimiskoodi ka muul põhjendatud juhul varem, kui viie tööpäeva möödudes.

A5. Domeenireeglite punkti 8.1.2 isikuandmete töötlemise aluse muutmine

Hetkel kehtiv:

8.1.2 Registreerija, Haldus- ja Tehnilise kontakti nime ja kontaktandmeid (telefoninumber, postiaadress, e-posti aadress jne) informatsiooni edastamiseks ja domeeniregistri toimimise võimaldamiseks;

Domeenireeglite punkt 8.1.2 muudatusettepanek järgmises sõnastuses:

8.1.2 Registreerija, Haldus- ja Tehnilise kontakti nime ja kontaktandmeid (telefoninumber, e-posti aadress jne) informatsiooni edastamiseks ja domeeniregistri toimimise võimaldamiseks;

Selgitus: Muudatus on ajendatud asjaolust, et EIS ei kogu enam registreerija postiaadressi. Kuna EIS vastavaid andmeid enam registreerija kohta ei töötle, siis tuleb see alus ka regulatsioonist eemaldada.

A6. Domeenireeglite punkti 8.1.3 isikuandmete töötlemise aluse muutmine

Hetkel kehtiv:

8.1.3 Registreerija, Haldus- ja Tehnilise kontakti nime ja e-posti aadresside Internetis avaldamiseks WHOIS teenuse päringutele vastamise kaudu;

Domeenireeglite punkt 8.1.3 muudatusettepanek kehtestada järgmises sõnastuses:

8.1.3 füüsilisest isikust Registreerija, Haldus- ja Tehnilise kontakti nime ja e-posti aadresside Internetis avaldamiseks WHOIS teenuse päringutele vastamise kaudu üksnes isiku eraldiseisva nõusoleku alusel;

Selgitus: Muudatuse eesmärk on tagada, et eraisikust registreerija, halduskontakti ja tehnilise kontakti andmeid WHOIS-s ilma nende eraldiseisva nõusolekuta ei avaldata (loe selle kohta ettepanek A1 ja A2 selgitusi).

A7. Domeenireeglite punkti 9.3 domeenile keelumärke seadmise lisamine

Domeenireeglite punkt 9.3 muudatusettepanek kehtestada järgmises sõnastuses:

9.3 EIS võib seaduses ja Domeenivaidluste Komisjoni Reglemendis sätestatud juhul ning alusel seada Domeeninimele keelumärkeid.

Selgitus: Muudatuse eesmärk on selguse huvides sätestada domeenireeglites, et EIS võib domeeninimele seada teatud juhtudel keelumärkeid.

Domeeninimele seatavad keelumärked võivad EIS-i poolt olla domeeni käsutuskeeld (domeeni ei saa anda üle uuele isikule, s.t omanikku vahetada), kustutamise keeld, registripidaja vahetamise keeld, domeeni uuendamise ja andmete muutmise keeld. Sisuliselt toimub domeenile keelumärke seadmine ka täna juhul, kui kohus või vastav õiguskaitseorgan seda EIS-lt seaduse alusel taotleb. Samuti on Domeenivaidluste Komisjoni Reglemendi punktis 6.2 sätestatud, et juhul, kui domeeninime üle toimub vaidlus, siis vaidluse lahendamise menetluses pole domeeni registreeringut võimalik tühistada või anda üle uuele isikule. Seega on antud punkti eesmärk üksnes selguse huvides sätestada täna praktikas toimiv olukord ja domeeni registreerijaid teavitada, et nt juhul, kui kohtu poolt tuleb vastavasisuline määrus, võib EIS nende domeenile keelumärke lisada.

A8. Domeenireeglite punkti 9.4

Domeenireeglite punkt 9.4 muudatusettepanek kehtestada järgmises sõnastuses:

9.4 Olukorras, mil punkti 9.4 esemeks olev Domeeninime registreering on kustumas, võib EIS selle Domeeninime viia üle Reserveeritud domeenide nimekirja.

Selgitus: Ettepaneku eesmärk tuleneb asjaolust, et EIS on praktikas puutunud kokku olukorraga, mil jõustunud kohtuotsuse täitmist pole osapooled mõistliku aja jooksul nõudnud, mistõttu on vaidluse esemeks olev keelumärkega .ee domeeninimi kustunud. Kuna selline domeeninimi omab kustumise keelumärget, ei kustu domeen tsoonist lõplikult. Seetõttu on protseduuriliselt olnud keeruline anda õigustatud osapoolele üle kustutamise keelumärkega domeeninimi. Ettepaneku eesmärk on parendada olukorda selliselt, et see domeeninimi viiakse EIS-i poolt üle reserveeritud domeenide nimekirja ning isikul on vastavalt õiguslikule alusele võimalik domeen enda nimele registreerida.

A9. Domeenireeglite lisa: Reserveeritud domeenide nimekiri ja registreerimise eritingimused punkti 2.9 lisamine

Domeenireeglite lisa punkt 2.9 muudatusettepanek kehtestada järgmises sõnastuses:

2.9 Reserveeritud võib olla Domeenireeglite kohaselt keelumärkega Domeeninimi juhul, kui selle Domeeninime registreering on kustunud ja seda domeeni ei tohi kustutada. Sellise reserveeritud domeeninime registreerimist või eemaldamist võib taodelda selleks õigustatud isik.

Selgitus:  Käesoleva punkti eesmärk on vastavalt ettepanekule A8 lisada reserveeritud domeeni registreerimise eritingimusse juurde, et juhul, kui kustutamise keelumärkega domeen on kustunud, tuleb see lisada reserveeritud domeenide nimekirja. Sellisel juhul saab seda domeeni enda nimele registreerida üksnes isik, kellel on selleks õigustatud alus (nt kohtuotsuse alus). Juhul, kui kustutamise keelumärke alus kaob, eemaldatakse see domeen reserveeritud domenide nimekirjast.

Käesoleva muudatusettepanekuga jõustumisel tuleb asendada kehtiv punkt 2.9 punktiga 2.10.

OSA B

Registrilepingu ja selle lisade muudatusettepanekud.

Registrilepingu põhiteksti muudatusettepanekud

B1. Registrilepingu punkti 6.2.1 isikuandmete töötlemise aluse muutmine

Hetkel kehtiv:

6.2.1 Registreerija poolt EIS ees võetud kohustus järgida kehtivaid domeenireegleid ja EIS veebilehel avaldatud domeenireegleid täpsustavaid juhiseid.

Registrilepingu punkti 6.2.1 muudatusettepanek kehtestada järgmises sõnastuses:

6.2.1 Kehtivad domeenireeglid on tüüptingimused EIS-i, Registreerija ja Registripidajate vahelise õigussuhte täitmiseks. Registreerijal on EIS-i ees võetud kohustus järgida kehtivaid domeenireegleid ja EIS veebilehel avaldatud domeenireegleid täpsustavaid juhiseid.

Selgitus: Muudatuse eesmärk on täpsustada, et registreerija ja registripidaja vahelisele õigussuhtele kohaldub tüüptingimusena ka kehtivad domeenireeglid.

Registripidaja kohustus on vastavalt registrilepingu punktile 6 sõlmida registreerijaga teenuseleping. Täna toimub registreerija isikuandmete töötlemine selle lepingulise suhte alusena ja vastavalt domeenireeglite punktile 1.4 kohaldub sellele tüüptingimusena kehtivad domeenireeglid.

See tähendab, et sisuliselt on ka täna registreerijaga sõlmitud teenuselepingu osaks domeenireeglid. Kuna GDPR nõuab konkreetsust, on EIS-i hinnangul vajalik täpsustada registreerijatega sõlmitud teenuselepingus seda, et domeenireeglid on selle lepingu osaks ja tüüptingimused (millele tuleb registripidajal ka edaspidi viidata).

Kõik täiendav teave selle õigussuhte kohta (kes registreerija isikuandmeid töötleb ja millised õigused registreerijal on) esitab EIS registripidajale alljärgnevalt punktis B14.

B2. Registrilepingu punkti 6.2.2 isikuandmete töötlemise aluse muutmine

Hetkel kehtiv:

6.2.2 Registreerija nõusolek, et EIS võib nõuda Registreerijalt teenuselepingus ning domeeni registreerimise taotluses EIS ees võetud kohustuste täitmist.

Registrilepingu punkti 6.2.2 muudatusettepanek kehtestada järgmises sõnastuses:

6.2.2 EIS võib nõuda Registreerijalt teenuselepingus ning domeeni registreerimise taotluses EIS ees võetud kohustuste täitmist.

Selgitus: Muudatusettepanek on ajendatud asjaolust, et registripidaja töötleb registreerija isikuandmeid teenuslepingu alusel (mitte registreerija nõusolekul).

EIS on analüüsinud GDPR-st tulenevaid õiguslike aluseid, millisel seaduslikul juhul on registripidajal õigus registreerija isikuandmeid küsida (kas nõusoleku või lepingu alusel) ja edaspidi töödelda ning järeldanud, et vastavale õigussuhtele kehtib GDPR art 6 lg 1 b.

Registripidaja poolt toimub isikuandmete töötlemine selleks, et see on vajalik andmesubjekti osalusel sõlmitud teenuselepingu täitmiseks (nn domeeni registreerimine ja selle haldamine). Seega tuleb EIS-i hinnangul ka antud punktis seda täpsustada, kuna EIS nõuab registreerijalt kohustuste täitmist (nt õige e-posti aadressi esitamine) kehtivate domeenireeglite kohaselt (tüüptingimused), mitte eraldiseisva nõusoleku alusel. Vaata selle kohta ka punkti B2.

B3. Registrilepingu punkti 11.1 isikuandmete töötlemise aluse muutmine

Hetkel kehtiv:

11.1 Registripidaja töötleb Registreerija isikuandmeid oma nimel ja vastutusel kooskõlas õigusaktide ja Registreerija poolt antud nõusolekuga. EIS võib anda Registripidajale volituse Registreerija isikuandmete töötlemiseks EIS eest ja nimel.

Registrilepingu punkti 11.1 muudatusettepanek kehtestada järgmises sõnastuses:

11.1 Registripidaja töötleb Registreerija isikuandmeid oma nimel ja vastutusel kooskõlas õigusaktide ja vastavalt Registreerijaga sõlmitud teenuselepingu alusel. EIS võib anda Registripidajale volituse Registreerija isikuandmete töötlemiseks EIS eest ja nimel.

Selgitus: Muudatuse eesmärk on asendada, et registrpidaja töötleb registreerija isikuandmeid vastavalt temaga sõlmitud teenuselepingule, mitte nõusoleku alusel.

Registripidaja kohustus on vastavalt registrilepingu punktile 6 sõlmida registreerijaga teenuseleping. Nagu eespool mainitud, siis sisuliselt toimub ka täna registreerija isikuandmete töötlemine selle lepingulise suhte alusena, mitte registreerija nõusoleku alusel. Nimetatud asjaolu on GDPR määruse kohaselt oluline eristada, kuna nõusoleku alusel isikuandmete töötlemisele kohalduvad muud nõuded. Vaata selle kohta ka punkti B1 ja B2.

EIS on andnud registripidajatele volituse töödelda registreerija isikuandmeid üksnes registrilepingu alusel enda ülesannete täitmiseks. Kuna EIS on GDPR kohaselt nende isikuandmete vastutav töötleja, tähendab see, et muudel juhtudel, mil EIS registripidajat selleks volitanud pole, registripidaja registreerija isikuandmeid töödelda ei tohi. Nt juhul, kui registripidaja otsustab jätkuvalt koguda registreerija postiaadressi, siis teeb ta seda väljaspool registrilepingut ja õigussuhet EIS-ga ning peab seda asjaolu eraldiseisvalt asutusesiseselt reguleerima, kuna sellist nõuet EIS registripidajatele esitanud pole (nt arvete esitamise jaoks võib see teatud juhtudel olla registripidaja jaoks põhjendatud).

B4. Registrilepingu punkti 11.3 töötlustoimingute registreerimise kohustuse lisamine

Registrilepingu punkti 11.3 muudatusettepanek kehtestada järgmises sõnastuses:

11.3 Registripidaja on kohustatud pidama töötlemistoimingute registrit.

Selgitus: Muudatus on ajendatud GDPR nõudest, mis kohustab isikuandmete töötlejaid pidama töötlemistoimingute registrit. Kuna vastavalt domeenireeglitele on EIS registreerija isikuandmete vastutav töötleja ja registripidaja isikuandmete volitatud töötleja, siis on GDPR art 30 lg 2 kohaselt säärane kohustus ka andmete volitatud töötlejatel.

Kõige üldisemalt tähendab töötlemistoimingute registri pidamine kõigi asutuses tehtavate andmetöötlustoimingute registreerimist, aidates andmetöötlejatel paremini mõista isikuandmete kaitse olemust, kaardistada oma tegevusi ning paremini planeerida isikuandmete kaitsega seonduvat. Selle eesmärk on parendada inimeste põhiõiguste ning -vabaduste kaitset. Sisuliselt tähendab see ülevaadet kõikides isikuandmetega seotud tegevustest (sh infosüsteemides logide pidamist andmete kogumise, muutmise, lugemise, avalikustamise, edastamine, ühendamise ja kustutamise kohta).

Minimaalselt peab töötlemistoimingute register sisaldama volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nime ja kontaktandmeid; vastutava töötleja nimel tehtava töötlemise kategooriaid; kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmeid selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on GDPR artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumente; võimaluse korral GDPR artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldist kirjeldust.

Loe töötlemistoimingu registri pidamise kohta lähemalt ka Andmekaitse Inspektsiooni lehelt siit.

Lisaks märgime, et kuna töötlemistoimingute registri pidamine ei ole ühekordne toiming, tuleb registripidajal seda vajadusel alati kaasajastada. See peab esitama andmetöötleja tegelikke asjaolusid ja ajas muutuvaid vajadusi ning olema igal ajal tõene.

B5. Registrilepingu punkti 11.4 isikuandmete töötlemise nõuete punkti lisamine

Registrilepingu punkti 11.4 muudatusettepanek kehtestada järgmises sõnastuses:

11.3 Registripidaja on kohustatud järgima käesoleva lepingu alusel Lisas 4 Registripidajale kehtestatud isikuandmete töötlemise nõudeid.

Selgitus: Käesoleva punkti eesmärk on viidata registrilepingus, et isikuandmete töötlemise toimingutele kohaldub konkreetselt ka vastav lisa 4, mitte ei piirdu ainult registrilepingu punktis 11 toodud nõuetega.

B6. Registrilepingu punkti 20.2 registripidaja kohustuse lisamine

Hetkel kehtiv:

20.2 Registripidajal on õigus Lepingust tulenevaid õigusi ja kohustusi üle anda ainult teisele EIS Volitatud Registripidajale ja EISi eelneval kirjalikul nõusolekul.

Registrilepingu punkti 20.2 muudatusettepanek kehtestada järgmises sõnastuses:

20.2 Registripidajal on õigus Lepingust tulenevaid õigusi ja kohustusi üle anda ainult teisele EISi Volitatud Registripidajale ja EISi eelneval kirjalikul nõusolekul. Sellisel juhul tuleb Registripidajal teavitada vähemalt 30 päeva enne Domeeninimede üleandmist ka Registreerijaid.

Selgitus: Muudatuse eesmärk on täiendada registrilepingut punktiga, et juhul, kui registripidaja annab oma õigused ja kohustused üle uuele registripidajale, siis tuleb tal sellest vähemalt 30 päeva enne üleandmist teavitada ka registreerijaid.

Täna on EIS nõudnud seda täiendavalt enda nõusoleku eeldusena registripidajatelt, kuid sisuliselt pole see registrilepinguga reguleeritud. Seetõttu on EIS-i ettepanek täpsustada vastavas osas lepingu, et see kohustus oleks ka registripidajatele ettenähtav, et nad saaksid oma plaane tulevikus kohaselt planeerida.

Samuti rõhutab EIS, et sellisel juhul tuleb registripidajal esitada uuele registripidajale ka vastavad tõendid, sest olukorras, mil registreerija vaidleb, et pole vastavasisulist teadet registripidajalt saanud, on uuel registripidajal kohustus tõendada, et ka need dokumendid on talle lepingu punkti 10.4 kohaselt üle antud ja olemas.

B7. Registrilepingu lisa 2 Tasud ja maksetingimused täiendamine

Registrilepingu lisa 2 muudatusettepanek täiendada punktiga 3.2:

3.2 EIS pikendab automaatselt Registripidaja registreeritud Domeeninime tema eraldiseisva sooviavalduse korral (kas konkreetset Domeeninime või Registripidaja valduses olevaid kõiki Domeeninimesid), mis on aegumas. EIS pikendab neid Domeeninimesid üksnes juhul, kui Registripidaja Ettemaksu kontol on olemas vastav rahasumma.

Selgitus: Muudatusettepaneku eesmärk on lisada registrilepingu võimalus pikendada EIS-i poolt domeene registripidaja soovi korral automaatselt.

Domeeni registreerija jaoks on enim probleeme valmistav olukord siis, kui tal ununeb enda kasutuses olevat domeeni õigeaegselt pikendada. Sellisel juhul kustub registreerija domeen ja on kõigile huvitatud isikutele vabalt kättesaadav “kes ees, see mees” põhimõttel, mistõttu võib isik jääda enda domeenist ilma. Automaatse domeeni pikendamise võimaluse lisamine registripidajatele tähendab, et neil on tulevikus võimalik registreerijaid nende hooletuse korral kaitsta ning lasta domeen EIS-i poolt automaatselt pikendada.

EIS võimaldab automaatset pikendamist üksnes juhul, kui registripidaja on selleks andnud EIS-le eraldisesivalt nõusoleku kas kõigi tema valduses olevate domeenide või konkreetsete domeeni kohta. EIS-i poolt toimuks sellisel juhul domeeni pikendamine selle aegumisel, mida EIS soovib arutelude käigus registripidajatega täpsustada - kas pikendamine peaks toimuma enne domeeni aegumist või enne domeeni eemaldamist tsoonist.

EIS-i poolse pikendamise eeldus kehtib üksnes juhul, kui registripidaja poolt on tema Ettemaksu kontol olemas vastavad vahendid.

B8. Registrilepingu lisa 4 Juhis isikuandmete töötlemiseks pealkirja muutmine

Registrilepingu lisa 4 pealkirja muudatusettepanek asendada see “Isikuandmete töötlemise nõuded”.

Selgitus: GDPR valguses on paslik asendada lepingu lisa pealkirjaga “Isikuandmete töötlemise nõuded”, et osapooltele oleks selge, mida vastav lisa täpselt reguleerib.

B9. Registrilepingu lisa 4 punkti 2 isikuandmete kaitsmise osa muutmine

Hetkel kehtiv:                                

2. Registripidaja on kohustatud kaitsma isikuandmete kaitse seaduses ja käesolevas Registrilepingus sätestatud nõuete kohaselt järgmisi isikuandmeid:

2.1 füüsiilisest isikust Registreerija eesnime(d) ja perekonnanime, isikukoodi ja/või sünniaega, postiaadressi, telefoninumbrit ja e-posti aadressi;

2.2 Halduskontakti nime, isikukoodi ja/või sünniaega, elukoha aadressi, telefoninumbrit ja e-posti aadressi;

2.3 Füüsilisest isikust Tehnilise kontakti nime, isikukoodi ja/või sünniaega, aadressi, telefoninumbrit ja e-posti aadressi.

Registrilepingu lisa 4 punkti 2 muudatusettepanek muuta järgmises sõnastuses:

2. Registripidaja on kohustatud järgima käesolevas Registrilepingus, isikuandmete kaitse seaduses, vastavas muus isikuandmete kaitsega seotud õigusaktis sätestatud juhul ja alustel ning Euroopa Parlamendi ja Nõukogu määrust (EL) nr 2016/679 (27.04.2016) füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi: isikuandmete kaitse üldmäärus) sätestatud nõudeid järgmiste isikuandmete kohta:

2.1 füüsiilisest isikust Registreerija eesnime(d) ja perekonnanime, isikukoodi ja/või sünniaega ja kodakondsusjärgset riigi nime, telefoninumbrit ja e-posti aadressi;

2.2 Halduskontakti nime, isikukoodi ja/või sünniaega ja kodakondsusjärgset riigi nime, telefoninumbrit ja e-posti aadressi; 2.3 Füüsilisest isikust Tehnilise kontakti nime, isikukoodi ja/või sünniaega ja kodakondsusjärgset riigi nime, aadressi, telefoninumbrit ja e-posti aadressi.

2.4 Muud punktis 2.1-2.3 esitatud isiku isikut tõendava dokumendi andmeid.

Selgitus: Muudatuse eesmärk on täpsustada, milliste andmete suhtes peab registripidaja tagama isikuandmete kaitse ning milliseid õigusakte tuleb tal sellele vastavalt järgida.

B10. Registrilepingu lisa 4 punkti 3 registripidaja kohustuste osa täiendamine

Hetkel kehtiv:

3. Registripidaja nõustub ja kohustub hoidma tema poolt kogutud ja teatavaks saanud isikuandmeid konfidentsiaalsetena ning kasutama isikuandmeid vaid Registripidaja rollist tulenevate ülesannete täitmiseks.                        

Registrilepingu punkti 3 muudatusettepanek täiendada järgmises sõnastuses:

3. Registripidaja nõustub ja kohustub hoidma tema poolt kogutud ja teatavaks saanud isikuandmeid konfidentsiaalsetena ning kasutama isikuandmeid vaid Registripidaja rollist tulenevate domeeniga seotud ülesannete ja EIS-i poolt esitatud juhiste täitmiseks.

Selgitus: Ettepaneku eesmärk on täiendada selguse huvides punkti, et registripidaja võib kasutada domeeni isikuandmeid üksnes registrilepingust tulenevate ülesannete täitmiseks, milleks on domeeni registreerimine, pikendamine, kustutamine, üleviimine ja haldamine.

Samuti peab registripidaja täitma erandolukorras ka EIS-i vastavaid juhiseid, mida antud registrilepingu lisa ei suuda ette näha, kuid mis on sellise olukorra esinemisel selle parendamiseks vältimatult vajalik.

B11. Registrilepingu lisa 4 punkti 4 registripidaja vastutuse osa täiendamine

Hetkel kehtiv:

4. Registripidaja vastutab ja on kohustatud järgima, et isikuandete kogumise ja töötlemise viisid on kooskõlas asjakohaste õigusaktidega, Registripidaja sisedokumentidega reglementeeritud ja kooskõlas üldtunnustatud praktikatega.

Registrilepingu punkti 4 muudatusettepanek täiendada järgmises sõnastuses:

4. Registripidaja vastutab ja on kohustatud järgima, et isikuandmete kogumise ja töötlemise viisid on kooskõlas asjakohaste punktis 2 viidatud õigusaktidega, käesoleva Registrilepinguga, Registripidaja sisedokumentidega reglementeeritud ja kooskõlas üldtunnustatud praktikatega. Juhul, kui registripidaja kasutab enda tegevuses kolmandaid isikuid (nn domeeni edasimüüjad, kauplejad), kes töötlevad käesolevas Registrilepingus sätestatud isikuandmeid, on Registripidaja kohustatud tagama, et need isikud täidavad kõiki Domeenireeglites ja käesolevas Registrilepingus tulenevaid nõudeid. Sellistest kolmandatest isikutest tuleb Registripidajal EIS-i teavitada ja juhul, kui nende isikute poolt toimub käesolevas Registrilepingus sätestatud kohustuste rikkumine, vastutab EIS-i ees selle rikkumise eest Registripidaja.

Selgitus: Muudatuse eesmärk on täpsustada, et registripidaja vastutab isikuandmete töötlemisel ka kolmandate isikute (näiteks domeeni edasimüüjate) tegevuse eest, keda registripidaja enda tegevuses kasutab.

Tegelikult vastutab registripidaja ka täna nende isikute tegevuse eest, kuna on märgitud nende domeenide registripidajaks, kuid käesoleva punkti mõte on taas seda olukorda selguse huvides täpsustada. Regstripidajal tuleb enda vastutusala isikuandmete töötlemisel teadvustada ning edasimüüjate tegevuse korral peavad kõik lepingust tulenevad nõuded olema ka nende tegevuse puhul vastavusse viidud. Juhul, kui edasimüüjate tegevus ei vasta registrilepingus tulenevatele nõuetele, võib EIS rakendada registripidaja suhtes lepingu punkti 17.3.2.2 kohast sanktsiooni.

Samuti on käesoleva punkti eesmärk tagada, et registripidajad esitavad EIS-le sellekohase teabe, kui nad kasutavad .ee domeeni edasimüümisel kolmandaid isikuid. Seda seetõttu, et EIS on GDPR tähenduses vastutav isikuandmete töötleja ja peab tagama, et kõigi .ee domeeni registreerijate õigused on GDPR kohaselt täidetud. Selleks, et seda kohustust tõhusalt tagada, on EIS-i jaoks oluline omada ülevaadet, millised registripidajad milliseid edasimüüjaid kasutavad. EISi kohustus on sellisel juhul tagada teabe konfidentsiaalsus. Juhul, kui mõne edasimüüjaga tekib EIS-l küsitavusi nõuete täitmise osas, saab EIS koheselt ka vastutava registripidaja poole pöörduda.

B12. Registrilepingu lisa 4 punkti 7 registripidaja kinnituse muutmine

Hetkel kehtiv:                         

7. Registripidaja kinnitab kirjalikult perioodiliselt üks kord aastas Eesti Interneti Sihtasutusele, et ta järgib Registrilepingus sätestatud ja isikuandmete kaitse seadusest tulenevaid isikuandmete kaitse nõudeid.                

Registrilepingu lisa 4 punkti 7 muudatusettepanek asendada järgmises sõnastuses:

7. Registripidaja võib kolmandatesse riikidesse edastada käesolevas Registrilepingus sätestatud isikuandmed vastuvõtjale väljaspool Euroopa Majanduspiirkonda (edaspidi: välisriik) üksnes juhul, kui see välisriik vastab isikuandmete kaitse üldmääruses toodud nõuetele.

Selgitus: Muudatus on ajendatud GDPR-st, mille kohaselt tohib välisriiki edastada isikuandmeid üksnes määrusega piiratud alustel. Seetõttu peab EIS vajalikuks täpsustada ka lepingus, et registripidaja võib domeeniga seotud füüsilise isiku isikuandmeid edastada väljaspool Euroopa Majanduspiirkonda asuvale ettevõttele (nt kontsernisisene tütarettevõte) üksnes juhul, kui see välisriik vastab määruses toodud nõuetele. Selle kohta saab lugeda lähemalt Andmekaitse Inspektsiooni lehelt siit ja Euroopa Komisjoni lehelt siit.

Samuti kaotab EIS käesoleva punkti muudatusega ära kohustuse, mil registripidaja ei pea enam EIS-le kord aastas kinnitama, et täidab isikuandmete kaitse seadusest tulenevaid nõudeid. EIS-i hinnangul on tegemist tänaseks juba ebavajaliku protseduuriga, kuna vastavalt GDPR’le on EIS isikuandmete vastutav töötleja ja peab tagama, et registripidajate tegevus vastab määruses toodud nõuetele. Kord aastas edastatav eraldiseisev kinnitus registripidajate poolt on väga formaalne toiming, ega pruugi tagada sisuliselt seda, et registripidajad vastavad lepingus toodud nõuetele. Kinnitusest hoolimata on registripidajatel lepingu kehtivuse ajal toodud nõuete täitmise kohustus, mistõttu puudub meie hinnangul sisuline vajadus registripidajatel seda igal aastal kinnitada.

Täna kehtiv registrileping võimaldab EIS-il enda huvisid kaitsta ja registripidajaid vajadusel kontrollida. Vastavalt registrilepingu punktile 10.5 ja 10.6 on EIS-l õigus kontrollida registripidaja lepingust tulenevate nõuete täitmist igal ajal, samuti võib EIS siseneda registripidaja ruumidesse, teavitades sellest registripidajat mõistlikult ette. Eeltoodust johtuvalt pole välistatud, et GDPR jõustumise korral kontrollib EIS registripidajaid ka täiendavalt, et veenduda, et nad vastavad lepingust tulenevatele nõuetele ja tagavad isikuandmete töötlemise toimingute vastavuse.

B13. Registrilepingu lisa 4 punkti 8 registripidaja teavitamiskohustuse lisamine

Registrilepingu lisa 4 punkti 8 muudatusettepanek esitada järgmises sõnastuses:

8. Isikuandmetega seotud rikkumise korral on Registripidaja kohustatud teavitama kirjalikult EISi viivitamata ja esimesel võimalusel pärast rikkumise teada saamist.

Selgitus: Muudatuse eesmärk on vastavalt GDPR-le täiendada registrilepingut registripidaja kohustusega teavitada EIS’i olukorrast, mil toimub registreerijaga seotud isikuandmete rikkumine.

EIS peab isikuandmete rikkumiseks igasugust olukorda, mil registripidaja valdusest on lekkinud kolmandatele isikutele isikuandmed, toimub turvanõuete või muu seaduse või lepingust tulenev rikkumine, mis põhjustab isikuandmete kustumist, muutmist, edastamist või muul põhjusel edastatakse isikuandmed autoriseerimata isikule.

B14. Registrilepingu lisa 4 punkti 9 registripidaja koostöökohustuse lisamine

Registrilepingu lisa 4 punkti 9 muudatusettepanek esitada järgmises sõnastuses:

9. Registripidaja on kohustatud tegema EIS-ga koostööd ja tagama, et registreerijale on edastatud isikuandmete kaitse määrusest tulenevad teavitused tema õigustest ja muu asjakohane vajalik teave ning vastama esimesel võimalusel registreerija esitatud päringutele.

Selgitus: Käesoleva punkti eesmärk on eelkõige kohustada registripidajaid tagama, et nad teavitavad domeeni registreerijaid õigustest, mis kaasnevad nendele GDPR’ga.

EIS’l on plaanis selles osas teha küll registripidajaga koostööd, kuid kuna registripidajal on otsene kontakt registreerijaga, tuleb ka lepinguga tagada registripidaja vastavad kohustused.

Näiteks tuleb GDPR kohaselt teavitada registreerijat:

1.   kes on andmete töötlejad ja kuidas saab registreerija taotleda juurdepääsu isiku kohta käivatele isikuandmetele;

2.   õigus nõuda andmete parandamist;

3.   õigus nõuda andmete kustutamist;

4.   õigus piirata isikuandmete töötlemist;

5.   õigus esitada vastuväiteid isikuandmete töötlemisele;

6.   õigus nõuda isikuandmete ülekandmist, mille EIS tagab registreerija portaali vahendusel.

7.   õigus, et isiku kohta ei võetaks vastu otsust, mis põhineb automatiseeritud töötlusel;

8.   õigus nõusoleku tagasivõtmisele (kui WHOIS-s on andmed avaldatud);

9.   õigus esitada kaebus andmekaitse järelevalveasutusele.

Samuti on oluline märkida, et registreerijat tuleb tema õigustest teavitada kas enne domeeni registreerimist teenuslepingu sõlmimisel või vahetult pärast seda.

B15. Registrilepingu lisa 4 punkti 10 registripidaja kohustuse lisamine

Registrilepingu lisa 4 punkti 10 muudatusettepanek esitada järgmises sõnastuses:

10. Registripidaja on EIS-i soovil kohustatud talle esitama vastavalt käesolevas registrilepingus osutatud teenuse kohta andmekaitsealane mõjuhinnang.

Selgitus: Käesoleva punkti eesmärk on tagada, et vastavalt EIS-i soovile esitab registripidaja talle andmekaitsealase mõjuhinnangu.

Andmekaitsealase mõjuhinnangu nõue tuleneb GDPR art 35. EIS on jõudnud järeldusele, et tal on GDPR kohaselt kohustus teostada andmekaitsealane mõjuhinnang ja seetõttu oluline tagada, et ka registripidajad on kavandanud turvalisi meetmeid selleks, et isikuandmeid kaitsta. EIS-i jaoks on vajalik omada selget ülevaadet kõikidest organisatsioonis juba toimivatest isikuandmete töötlemise protsessidest ja süsteemidest ning sellest, kuidas nad mõjutavad andmesubjektide õigusi. Täna on EIS taganud seda lepinguliste sätete kaudu. Kuid kuna EIS-l pole võimalik registripidajate eest andmekaitsealast mõjuhinnangut teha ega nende asutusesiseseid riske hinnata, on EIS-i huvides vastutava isikuandmete töötlejana vastavalt vajadusele tagada, et ta saab nõuda selle tegemist ka registripidajalt.

Andmekaitse Inspektsioon on andmekaitsealase mõjuhinnangu kohta esitanud selgitused siin. Lühidalt tähendab andmekaitsealane mõjuhinnang, et registripidaja hindab ja analüüsib, milliseid isikuandmeid ja milliste vahenditega ta oma tegevuse eesmärkide täitmiseks töötleb ning kas ja milliseid organisatsioonilisi, füüsilisi ja infotehnoloogilisi turvameetmeid rakendab. Mõjuhinnang on oluline tööriist, mis annab organisatsiooniülese teadmise andmetöötlustoimingutest tervikuna. See võimaldab hinnata, kas andmete kaitseks rakendatavad asjakohased meetmed on piisavad ja maandavad võimalike riske.

Seega aitab registripidaja poolt teostatud andmekaitsealane mõjuhinnang (EIS eeldab, et seda on suuteline teostama registripidaja ise ega pea eraldi sisse ostma vastavat teenust) veenduda, et registripidaja on ka tegelikult võimeline isikuandmete töötlemise toimingute puhul järgima talle kehtestatud nõudeid ja maandama võimalike riske. Samuti näitab mõjuhinnang, kas registripidaja on analüüsinud võimalike andmesubjekti õigusi ja vabadusi puudutavaid ohte ning seeläbi ka kavandanud meetmeid, kuidas isikuandmeid turvaliselt kaitsta. EIS-le teadaolevalt rakendab sarnast süsteemi täna ka Belgia (.be) register.

Täiendavalt on EIS-l soovitus registripidajatele hinnata ka asutusesiseselt, kas nende tegevuse laadi arvestades (muid teenuseid, mida nad pakuvad) on neil andmekaitsealase mõjuhinnangu kohustust (olenemata EIS-i huvidest) juba täna.    

OSA C

Domeenivaidluste Komisjoni Reglemendi muudatusettepanekud

C1. Domeenivaidluste Komisjoni Reglemendi punkti 3.2 (a), 5.2.2 ja 7.2.1 muudatusettepanek

Hetkel kehtiv:

Domeenivaidluste Komisjoni Reglemendi punkti 3.2 (a) kehtiv sõnastus:

(a) kirjalik teade Vaidlustusavalduse esitamise kohta on saadetud kõikidele posti- ja/või faksiaadressidele, mis on avaldatud EIS-i WHOIS-andmebaasis Domeeninime omaniku, tehnilise kontakti ja halduskontakti andmetes; ja

Hetkel kehtiv:

Domeenivaidluste Komisjoni Reglemendi punkti 5.2.2 kehtiv sõnastus:

5.2.2. Registreerija nimi või tema esindaja andmed, sealhulgas posti- ja e-postiaadressid, telefoni ja faksi numbrid, mille kaudu on võimalik Registreerija või tema esindajaga kontakteeruda, sealhulgas võimalikud kontaktandmed, mida Vaidlustaja kasutas Registreerijaga suheldes enne Vaidlustusavalduse esitamist;

Hetkel kehtiv:

Domeenivaidluste Komisjoni Reglemendi punkti 7.2.1 kehtiv sõnastus:

7.2.1. märkima Registreerija ning tema volitatud esindaja (olemasolul) nime, posti- ja e-posti aadressi, telefoni- ja faksi numbrid; ning määrama nimetatud kontaktandmete seast e-posti aadressi, kuhu saadetakse kõik menetluse ajal Registreerijale edastatavad teated;

Domeenivaidluste Reglemendi punkti 3.2 (a) muudatusettepanek esitada järgmises sõnastus:

(a) kirjalik teade Vaidlustusavalduse esitamise kohta on saadetud kõikidele postiaadressidele, sh mis on avaldatud EIS-i WHOIS-andmebaasis Domeeninime omaniku, tehnilise kontakti ja halduskontakti andmetes; ja

Domeenivaidluste Komisjoni Reglemendi punkti 5.2.2 muudatusettepanek esitada järgmises sõnastus:

5.2.2. Registreerija nimi või tema esindaja andmed, sealhulgas posti- ja e-postiaadressid, telefoninumbrid, mille kaudu on võimalik Registreerija või tema esindajaga kontakteeruda, sealhulgas võimalikud kontaktandmed, mida Vaidlustaja kasutas Registreerijaga suheldes enne Vaidlustusavalduse esitamist;

Domeenivaidluste Komisjoni Reglemendi punkti 7.2.1 muudatusettepanek esitada järgmises sõnastus:

7.2.1. märkima Registreerija ning tema volitatud esindaja (olemasolul) nime, posti- ja e-posti aadressi, telefoninumbrid; ning määrama nimetatud kontaktandmete seast e-posti aadressi, kuhu saadetakse kõik menetluse ajal Registreerijale edastatavad teated;

Selgitus: Eeltoodud kolme punkti muudatusettepanek on ajendatud asjaolust, et EIS ei kasuta enam faksi, et võimaldada vaidlustajatel vastavat teavet edastada. Seetõttu on paslik ajakohastamise eesmärgil faksi kasutamise võimaldamine nimetatud punktidest eemaldada.

C2. Domeenivaidluste Komisjoni Reglemendi punkti 3.4 (b) muudatusettepanek

Hetkel kehtiv:

Domeenivaidluste Komisjoni Reglemendi punkti 3.4 (b) kehtiv sõnastus:

(b) faksiga saatmise korral saatja faksi kättetoimetamise kinnitusel näidatud kuupäeval; või

Muudatusettepanek kustutada Domeenivaidluste Komisjoni Reglemendist punkt 3.4 (b). Muudatusettepaneku jõustumisel asendada punkt 3.4 (c) punktiga 3.4 (b).

Selgitus: Käesolev punkt esitab tingimused, kuidas lugeda faksi saatmise korral teade edastatuks, et arvutada välja sellega seotud tähtajad. Kuna EIS soovib punkti C1 kohaselt eemaldada faksi kasutamise võimaluse, on vajalik ka punkt 3.4 (b) kustutada.


[1] Kehtivad .ee domeenireeglid on kättesaadavad siit.
[2] Kehtiv registrileping ja selle lisad on kättesaadavad siit.
[3] Euroopa Parlamendi ja Nõukogu määrust (EL) nr 2016/679 (27.04.2016) füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta. Vaata ka siit.
[4] Kehtiv domeenivaidluste komisjoni reglement on kättesaadav siit.
[5] Vaata GDPR selgituse punkti 14.
[6] Nimelt tuleb huvilisel otsida domeeni WHOIS-teenuse vahendusel ja kui ilmneb, et tegemist on eraisikuga, siis kontaktaadressi real esitame “võta ühendust” vormi, kus ta saab esitada kirja sisu ning oma kontaktandmed, mille EIS saadab ise domeeni registreerijale. Et kolmandad isikud ei hakkaks vormi kuritarvitama, lisame captcha programmi vahele.