Uudised Marge Männistu, Äripäev

Muutus isikuandmete kaitses: suur lisakulu ja tohutud trahvid

Data, big data, andmed

Järgmisel aastal kehtima hakkav määrus tähendab ulatuslikke kohustusi kõikidele isikuandmeid töötlevatele firmadele, nõuete rikkumine võib tuua kuni 20 miljoni euro suuruse trahvi.

Aasta alguses teatas globaalne tehnoloogiahiid Yahoo mitmest intsidendist, mille käigus varastati kokku rohkem kui miljardi kasutaja isikuandmed. Taolised suuremahulised andmete vargused peaksid 2018. aasta mais kehtima hakkava uue isikuandmete kaitse üldmääruse valguses lööma häirekella ka Eesti ettevõtjatele, kes tegelevad andmebaasidega.

Otsene vargus on ainult üks osa isikuandmetega seotud rikkumistest, selgitas advokaadibüroo Glimstedt advokaat ja andmekaitseõiguse ekspert Mari-Liis Orav. Rikkumiste hulka kuuluvad edaspidi ka igasugune turvanõuete rikkumine, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või juurdepääsu neile.

Puudutab ka töötajate isikuandmeid

Isikuandmete töötlemise turvanõuete ja teavitamiskohustuse rikkumise eest võib nende töötlejat karistada ning trahve määrata. Trahvi puhul võetakse arvesse konkreetse juhtumi asjaolud, aga määruse järgi võib see ulatuda kuni 10 000 000 euroni või kuni 2%ni ettevõtja eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Maksimaalselt võib trahvisumma ulatuda 20 000 000 euroni või kuni 4%ni ettevõtte kogukäibest.

Kuigi uus määrus on suurte trahvisummade tõttu mõeldud eelkõike rahvusvaheliste tehnoloogiahiidude taltsutamiseks, puudutab see siiski kõiki ettevõtjaid, kes isikuandmeid töötlevad. Orava selgitusel tasub tähele panna, et uue määruse järgi kuuluvad isikuandmete kaitse regulatsiooni alla ka töötajate isikuandmed, millega seonduv kipub sageli olema keeruline ja tundlik. Selleks, et vältida karistusi ning rikkumise tagajärjel tekkivat mainekahju, tuleks ettevõtjal Orava soovitusel panustada nii isikuandmete töötlemise turvalisusesse kui ka töötada välja tegutsemisjuhised võimalike rikkumiste avastamiseks.

Advokaadi sõnul peab ettevõttel tekkima arusaam vastutusel olevate isikuandmete töötlemisest ja selle ahelast. Alles siis saab öelda, kas ja mida on vaja muuta või täiendada uue andmekaitsemääruse valguses. Igal ettevõtjal tasuks teha isikuandmete töötlemise praktika analüüs. Näiteks peavad teatud andmetöötlejad määrama andmekaitseametniku. See kohustus on avaliku sektori asutustel ja organitel, andmetöötlejatel, kelle põhitegevus on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine, andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Nii kehtiva regulatsiooni kui ka uue määruse alusel eristatakse vastutavat ja volitatud andmetöötlejat. Kui kehtiva regulatsiooni alusel on vastutus peamiselt vastutavatel töötlejatel, siis määruse alusel laiendatakse vastutust ka volitatud töötlejatele (näiteks pilveteenusepakkujatele ja teistele, kes vastutava töötleja nimel andmeid töötlevad).

Olulised uuendused isikuandmete kaitse määruses

  • Isikuandmete kaasaskantavus – isikuandmete töötlemine peab toimuma süsteemselt ja olema dokumenteeritud ning kogu andmestik peab olema teisaldatav.
  • Andmekaitseametniku (Data Protection Officer) määramise nõue.
  • Trahv kuni 10 000 000 eurot või kuni 2% ettevõtja eelneva majandusaasta ülemaailmsest aastasest kogukäibest.
  • Kohustus teavitada järelevalveasutust 72 tunni jooksul rikkumise avastamisest, sealhulgas rikkumise laadist, puudutatud isikutest, nende ligikaudsest arvust, rikkumise võimalikest tagajärgedest ja rikkumise leevendamiseks kavandatavatest meetmetest.

Teha tuleb uusi investeeringuid

Määrus on mahukas ning muudab esialgu ettevõtjate elu pigem raskemaks, sest halduskoormus suureneb. IT- ja äriteenustega tegelev AS CGI Eesti on sellega tööd juba alustanud. Ettevõtte juristi Kati Vellaki sõnul on vaja muuta nii protseduure, äriprotsesse kui ka infosüsteeme ning see kõik on ajamahukas. Planeerides tuleb arvestada ka sisemise ajakuluga äriprotsesside muutmisele ning üldjuhul on vajalik planeerida eraldi eelarve infosüsteemide muudatuste tarvis.

Vellak selgitas, et määruse eesmärk on inimestele anda tagasi kontroll nende isikuandmete käitlemise üle ja reguleerida nii andmetöötlejate tegevust. „Sellest tulenevalt ongi meie eesmärk panna paika selge ja loogiline plaan 2017. aastaks. Käime läbi ja kaardistame kõik ettevõtte tegevused ning seejärel hindame, kas midagi vajab muutmist,” selgitas ta. Ettevõtte seisukohast on tegemist märkimisväärse kuluartikliga, nõudes investeeringuid inimestesse ja vajadusel ka tehnilistesse meetmetesse.

Kuidas valmistuda uueks määruseks?

  • Reeglite tundmine. Eeltöö algab arusaamisest, mis on isikuandmetega seotud rikkumine ning teadvustamisest, et see ei ole üksnes andmete vargus. Rikkumine on näiteks ka töötaja kaotatud sülearvuti või mälupulk, mis on krüpteerimata ja sisaldab klientide andmebaasi.
  • Rikkumise tuvastamine. Kui rikkumine on tuvastatud, peab ettevõtja hindama, kas tal on kohustus teavitada järelevalveasutust. Juhul, kui teavitamiskohustust ei ole, sest rikkumine ei kujuta tõenäoliselt ohtu puudutatud isikute õigustele ja vabadustele, peab ta olema võimeline seda ka tõendama.
  • Kiire tegutsemine läbimõeldud plaani alusel. Kui ettevõtja jõuab järeldusele, et tal on teavitamiskohustus, peab ta olema suuteline kokku koguma kogu vajaliku teabe, selle järelevalveasutusele edastama ning temaga edasi suhtlema. Ettevõtja peab ka hindama, kas tal on kohustus teavitada puudutatud isikuid ning kui jah, siis seda tegema. 

Allikas: advokaadibüroo Glimstedt advokaat Mari-Liis Orav

Suurandmete konverents „5% täiendavat efektiivsust“

Elisa kogemusest andmekaitsemääruseks valmistumisel saate kuulata Elisa peajuristi Allan Aedmaa suust 12. oktoobril toimuval suurandmete konverentsil.

Veel esinevad:

  • Dmitry Turchyn, Microsofti andmeplatvormi ja tehisintellekti juht Kesk- ja Ida-Euroopas: Kuidas andmete abil äri ja elu muuta? (inglise keeles)
  • Andres Kukke, Infovara ärianalüüsi juhtivkonsultant: Milliseid muudatusi teeks robot, kui äri tema kätte anda?
  • Argo Virkebau, Tele2 Eesti tegevdirektor: Kuidas on Tele2 andmete abil äri edendanud?
  • Mart Mägi, Statistikaameti juht: Kuidas erinevad andmeallikad loovad täiendväärtust?
  • Diskussioon: kui kaugele võib isikuandmete kasutamisega minna?

Tutvu kavaga ja registreeri SIIN.

 

Äripäev http://www.aripaev.ee/img/id-aripaev.svg
21. August 2017, 18:10