Andmekaitse uue määruse valguses

Jaga infot:

Kellelegi ei ole enam vist uudis, et järgmisest aastast hakkab Eestis kehtima uus isikuandmete kaitse üldmäärus, mis seab ettevõtetele senisest oluliselt karmimad nõuded.

Kindlasti tuleb välja tuua fakt, et määrus kehtib kõigile ja eranditult: sealhulgas ühe töötajaga firmad.

Siinkohal teengi endapoolselt lühikese kokkuvõtte sellest, millega tuleb arvestada eraettevõtluses.

Esiteks muutub töökorraldus – kui seni vaadati läbi sõrmede olukorrale, kus ettevõtte infosüsteemid töötasid nii nagu juhtus, siis järgmisest aastast on vaja täpselt teada, milliseid isikuandmeid ja kuidas  töödeldakse, millise reegli järgi neid hoitakse, kellel on ettevõtte siseselt juurdepääs ja mis peamine, millised õigused on isikul, kelle kohta need andmed käivad. Sisuliselt tähendab see seda, et ettevõtte peab protsessiliselt lahti kirjeldama, mida ja millisel eesmärgil kogutakse ja töödeldakse.

Teise olulise punktina tuleb mängu andmekaitse spetsialist. Andmekaitse spetsialisti (kasutatakse ka terminit andmekaitse ametnik) peavad määrama kõik avalik-õiguslikud asutused,  ning asutused, kelle “võtme” protsessid sisaldavad isikuandmete töötlemist (näiteks personaliga tegelevad ettevõtted, kullerfirmad jne) või ettevõtted, kes regulaarselt tegelevad andmete töötlemisega (nt kliendikaardid, otseturunduse kampaaniad jne).

Põhimõtteliselt peab andmekaitse spetsialist olema olemas ettevõttes, kus on “isikud” tuvastatavad: kohvimüügi kiosk, kus isikut ei tuvastata, ei pea omama andmekaitse spetsialisti, aga kui ta isikustatud kliendikaardi väljastab või isikustatud ja sihitud turundusega tegelema hakkab, siis ta juba peab.

Kolmandaks on andmesubjektidel oluliselt rohkem õigusi, nimelt lasub töötlejal täielik kohustus tõestada, et ta on andmed saanud andmesubjekti nõusolekul  määratud tegevusteks ja vaikimine ei ole nõusolek. See tähendab, et kui keegi teeb masspostituse kusagilt ostetud maililistiga, siis kaebuse korral on jama palju. Siia alla käib ka kliendile uudiskirja saatmine, kui ta selleks nõusolekut ei ole andnud. Samuti tuleb andmesubjekti teavitada tema  andmetega tehtavatest toimingutest, töötlejast ja millised on tema õigused päringute tegemisele, või olla unustatud.

Neljandaks on andmekaitse spetsialistile esitatud hulk nõudmisi: sealhulgas teadmised infosüsteemide kaitsmisest. Minu varem avaldatud kirjutis kodulehelt ebaturvaliselt kogutavate andmete kohta muutub siinkohal millekski, mida enam välja ei ole võimalik vabandada.

Viiendaks tuleb hakata piirama juurdepääsu isikuandmetele ja nende töötlemist “logima”. Seega peab iga isikuandmetega teostatud toiming ja selle eesmärk olema tõestatav.

Kuuendaks kehtib andmete minimaalsus: kui klient tellib kauba postipaki automaati, on peaaegu võimatu põhjendada nende käest elukoha aadressi küsimist.

Seitsmendaks tuleb lekete ja rikkumiste korral teavitada nii AKI-t kui ka andmesubjekti, kelle andmed ohtu sattusid.

Siiski ei ole kõik olulised punktid veel selged. Nimelt on Andmekaitse inspektsioon edastanud endapoolsed seisukohad, mida rakendussätetes tuleks kohaldada Eestile vastavaks. Justiitsministeerium avaldas ka 10.mail 2017 endapoolsed seisukohad ministeeriumitele üle vaatamiseks.

Esimene oluline punkt on madalaim eluiga, kellele tohib vanema nõusolekuta veebiteenuseid osutada ja kelle andmeid tohib töödelda. Määrus näeb ette selleks 16 eluaastat, Eestis sovitatakse see alandada 13 eluaastale.

Teise olulise punktina käsitletakse karistusi ja trahve.

Määrus näeb ette kuni 4% käibest või 20 miljonit eurot. Andmekaitse inspektsioon soovib jätkata sunnirahaga ja justiitsministeerium ütleb oma äsja avaldatud konseptsioonis, et AKI-l on õigus teha korraldusi/ettekirjutisi koos sunnirahaga,  väärteo korras karistamist ning neid koos. Igal juhul on kirjutatud määruses ja justiitsministeeriumi avalduses, et karistus peab olema proportsioonis rikkumisega ja kuni 10 000 000 eurot või 2 % ülemaailmsest aastasest kogukäibest (viimane on Justiitsminisisteeriumi seisukoht) ja teatud teksimuste puhul TULEB trahv määrata.

Igal juhul saab olukord olema selline, et arvuti kaotus koos kliendiandmetega, mis on seal vabalt loetavad, võib sisuliselt tähendada ettevõtte lõppu.

Kokkuvõtteks

Määrus muutub kohustuslikuks 25. mail 2018 ja selleks ajaks on ka Eestis vajalikud seadused kõnealuse määrusega kooskõlla viidud. Kindel on see, et nüüd hakatakse andmekaitsele oluliselt suuremat rõhku pöörama ja ainuüksi määrusele rakendamisele mitte tähelepanu pööramine ei saa majanduslikult kuidagi mõislik olema!