Kuigi isikuandmete kaitse üldmäärus määratleb ainult kaks isikuandmete liiki, siis praktikas on võimalik eristada ka kolmandat kategooriat. Selline eristamine on vajalik nii andmekaitsespetsialisti määramise kui isikuandmete töötleja koostatava andmekaitsealase mõjuhinnangu tegemise seisukohalt.
Tavalised isikuandmed
Tavalised isikuandmed on teave inimese ehk füüsilise isiku (andmesubjekti) kohta, millega saab teda otse või kaudselt tuvastada. Tuleb arvestada, et isikuandmed on ainult füüsilisel isikul – juriidilisel isikul puudub eraelu ning seega ka isikuandmed. Tavaliste isikuandmete alla kuuluvad näiteks:
- nimi,
- isikukood,
- asukohateave,
- võrguidentifikaatorid (tunnused, mis sidevõrgus aitavad viia konkreetse isikuni),
- füüsilised,
- füsioloogilised,
- geneetilised,
- vaimsed,
- majanduslikud,
- kultuurilised ja
- mistahes muud tuvastamist võimaldavad tunnused ja nende kombinatsioonid.
Tundlikud isikuandmed
Tundlikud isikuandmed ei ole üldmääruses eraldi loetletud, kuid määratletavad kui isiku privaatelule suuremat ohtu valmistavate andmetena ning mis ei kuulu eriliiki isikuandmete loetellu. Tundlikeks loetakse samuti neid andmed, mille avaldamisega kaasneb oht elule ja tervisele, identiteedivargusele ning kui võib kaasneda varaline ja mainekahju jms. Näiteks on tundlike andmetena käsitletav sotsiaalabi saamine, samuti kriminaal- ja väärteomenetlusega kogu toimumise protsessi jooksul seotud andmed. Selleks saavad olla makseteenustega seotud andmed pankades, krediitkaardi andmed, digitaalsed usaldusteenuse andmed digiallkirjastamiseks, mitteavalik teave inimese varandusliku seisu kohta, sõnumisaladusega kaetud sideandmed, reaalajas asukohatuvastuse andmed, krediidireiting jm profileerimine, millel on õiguslik tagajärg või oluline mõju. Paljudel juhtudel osutub tundlikuks inimese kohta käiv info, mis on avaliku teabe seaduse alusel käsitletav kui juurdepääsupiiranguline teave.
Eriliiki isikuandmete
Eriliiki isikuandmete alla kuuluvad enamus selliseid andmeid, mis varasema sõnastuse järgi olid Eestis käsitletavad kui delikaatsed isikuandmed. Nendeks on isikuandmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed (ennekõike sõrmejälje-, peopesajälje- ja silmaiirisekujutised), terviseandmed või andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.
Enne isikuandmete kaitse üldmääruse (25.05.2018) jõustumist käsitleti delikaatsete isikuandmetena ka andmeid süüteo toimepanemise või selle ohvriks langemise kohta kui polnud toimunud veel avalikku kohtuistungit või õigusrikkumisega seotud menetlus polnud lõppenud. Edaspidiselt on süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine reguleeritud üldmääruse artiklis 10. Arvestades nende isikuandmete olemust, on võimalik neid samastada eriliiki isikuandmetega – näiteks andmekaitsespetsialisti määramise otsustamisel kui ka andmekaitsealase mõjuhinnangu koostamise seisukohalt.
Liigitus on koostatud üldmääruse artikli 4 lõike 1, artikli 9 lõike 1 ning artikli 10 põhjal.
Mõned näited isikuandmetest
- Nimi ja perekonnanimi
- Isikukood
- Kodune aadress
- E-posti aadress, näiteks nimi.perenimi@domeen.ee
- ID-kaardi number
- Telefoninumber
Kui on kokku viidav isikuga, siis loetakse isikuandmeteks
- Asukohateavet
- IP-aadressi
- Küpsisega identifikaatorit
Mis ei ole isikuandmed?
- Ettevõtte registrikood
- E-posti aadress, näiteks info@ettevõttenimi.ee
- Anonüümseks muudetud andmed