Autor: Alyona Stadnik • 8. september 2017

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Tänavu kevadel võttis Euroopa Parlament vastu andmekaitse üldmääruse, mis annab tarbijate kätte kontrolli oma andmete kasutamise ja talletamise üle. Ettevõtjad peavad juba uuel aastal hakkama valmistuma määruse jõustumiseks, et tagada 2018. aastal kehtima hakkavate nõuete täitmist.

Järgneb intervjuu Raidla Ellexi vandeadvokaadi Ants Nõmperiga.

Keda andmekaitse üldmäärus Eestis puudutab?

Andmekaitse üldmäärus puudutab Eestis kõiki. Määrusega peavad arvestama nii need ettevõtjad, kes on Eestis registreeritud, kui ka need, kes pakuvad Eestis oma teenuseid ja kaupu näiteks e-kaubanduse teel. 

Lisaks peavad määrusega arvestama need ettevõtjad, kes alles plaanivad Eestis äritegevust ja kes näiteks sellel eesmärgil uurivad Eestis tarbijate käitumist ehk profileerivad kliente. Lisanõuded on kehtestatud isikuandmete kaitse mõttes „ohtlikumatele“ ettevõtjatele ehk nendele, kellel on üle 250 töötaja ning kes tegelevad profileerimise või tundlike andmetega, näiteks terviseandmed. Nende ettevõtjate jaoks toob määrus kaasa kõige suuremaid muudatusi.

Milline karistus järgneb, kui määrust ei järgita?

Paljud konsultandid on püüdnud oma teenuste müümise eesmärgil hirmutada ettevõtjaid määrusest tulenevate suurte trahvidega. Tõsi, määrus näeb maksimaalse trahvina ette 20 000 000 eurot või 4% ülemaailmsest käibest, kuid määrus mainib kohe ka seda, et Eesti on erandlik riik Euroopas, kus tulenevalt meie teistest õigusaktidest ei ole selliste karistuste kohaldamine üldse võimalik.

Seega jäävad Eestis karistused 32 000 euro piiridesse ja tegelikkuses ei rakendata suuremaid kui mõnetuhandelisi trahve. Seega isikuandmete töötlemise nõudeid ei tule järgida mitte trahvi hirmus, vaid selleks, et olla oma klienti ja töötajat austav ettevõtja.

Kuidas mõjutab määrus Eesti ettevõtete igapäevast tegevust?

Kuigi andmekaitse reformi eesmärk oli kehtestada ühesugused nõuded üle Euroopa ja seetõttu ei soovitud jätta liikmesriikidele nõuete kehtestamise vabadust, siis tegelikult on liikmesriikidel väga oluline roll andmekaitse üldmääruse nõuete täpsustamisel. Kuni täpsustused ei ole paigas, ei ole täpsete tegevusjuhiste andmine võimalik. Samas üldjoontes võib öelda, et ettevõtjad peaksid oma infosüsteemid üle vaatama ja leidma vastused küsimustele, missuguseid andmeid töödeldakse, kas neid ikka on vaja töödelda ja kas neid andmeid hoitakse tänapäeva mõistes turvaliselt.

Loe ka artiklit „Muutus isikuandmete kaitses: suur lisakulu ja hiiglaslikud trahvid“. 

Selle üle, kus peitub tõde uue andmekaitsemääruse rakendamisel ja mida selleks täpsemalt tegema peab ning kui suured on trahvid, diskuteerivad suurandmete konverentsil „5% täiendavat efektiivsust“ oma ala spetsialistid.

Tutvu kavaga ja registreeri SIIN!

Samuti on oluline teha mõtteline harjutus ja panna ennast isiku, kelle isikuandmeid töödeldakse, rolli, ja mõelda, kas see isik teab või eeldab, et tema andmeid töödeldakse nii, nagu ettevõtja seda teeb või mitte. Seejuures pole isegi oluline püüda leida vastust, kas isikuandmete töötlemine on õiguspärane, vaid lähtuda sellest, et püütakse vältida inimlikku pettumust teises pooles, mis paratamatult toob ettevõtjale kaasa selle, et töötaja või klient lahkub või kaebab järelevalveorganile.

Tõite välja kuus punkti, mis on ettevõtjatel vaja 25. maiks 2018 ära teha. Kas nende ettevalmistustega saab iga ettevõte ise hakkama?

Suuremad ettevõtjad, kellel on nii infotehnoloogiline kui ka juriidiline kompetents, on põhimõtteliselt võimelised määruse nõudeid täitma. Samas võib täiendava teadmise sisseostmine olla vajalik, et teha vajalikud tegevused ära kiiremini. Kuna aga teenusepakkuja esimene soov on saada infot olemasoleva olukorra ja plaanide kohta, siis tuleks kõigepealt igal ettevõtjal endal kodutöö ära teha. Kuna määruse rakendumiseni on veel rohkem kui poolteist aastat aega, siis võiks järgmist poolt aastat kasutada just selleks, et enda sisemised protsessid läbi mõelda ja kirja panna. Siis on nõustaja palkamine ka odavam ja tema töö efektiivsem.

1. Veendu, et andmete töötlemiseks oleks määrusekohane õiguslik alus olemas (nt korrektne nõusolek või ehk piisab ka määrusekohasest õigustatud huvist). Andmed, millel pole seaduslikku alust, tuleks kustutada.

2. Juuruta vastutustundlikku andmete töötlemist määruses toodud andmekaitse põhimõtete järgi, tööta välja isikuandmete töötlemise juhendid, vajadusel nimeta andmekaitseametnik ning tõsta töötajate teadlikkust seoses andmekaitsega. Seejuures silmas pidades võimekust tõendada määrusest kinnipidamist.

3. Uue töötlemise viisi või tehnoloogia arendamisel veendu, et see oleks vaikimisi privaatsust arvestav, mis tähendab, et sellega on arvestatud juba arendusdokumentides.

4. Koosta või täiendada isikute privaatsust puudutavaid teavitusi ja vii andmete töötlemine kooskõlla määrusega.

5. Valmistu täitma oma kohustusi seoses andmesubjekti laiendatud õigustega (nt õigus andmete ülekandmiseks või kustutamiseks).

6. Koosta juhised, et andmekaitse reeglite rikkumisel oleks võimalik kiiresti reageerida ja vajadusel sellest õigel ajal teavitada järelevalveasutust ja/või andmesubjekti.

Allikas: Raidla Ellexi vandeadvokaat Ant Nõmper

Olulisemad muudatused, mis andmekaitse üldmäärusega kaasnevad:

— Detailsemalt reguleeritakse nõuded andmesubjekti nõusolekule isikuandmete töötlemisel (andmesubjekti õigused laienevad).

— Töötlemisvahendite kindlaksmääramisel tuleb rakendada tehnilisi ja korralduslikke meetmeid.

— Vastutav töötleja peab dokumenteerima ja olema võimeline tõendama, et isikuandmeid töödeldes peetakse kinni määruses toodud põhimõtetest.

— Delikaatsete isikuandmete töötlemise kontseptsioon muutub: töötlemine on keelatud, kui määrus ei sätesta selle jaoks eraldiseisvat õiguslikku alust.

— Soodustatakse vabatahtlike andmekaitse sertifitseerimise mehhanismide, andmekaitsepitserite ja -märgiste ning toimimisjuhendite kasutuselevõttu, et aidata kaasa määruse korrektsele kohaldamisele.

— Lisandub teavitamiskohustus seoses isikuandmete töötlemisnõuete rikkumistega.

Allikas: Äripäev