GDPR ehk andmekaitse reform

Mida siis kujutab endast GDPR ehk uus euroopa andmekaitse määrus?

Palju räägitakse sellest, et uuest aastast muutub kohustuslikuks Euroopa andmekaitse määrus, mille hüüdnimeks on andmekaitse reform ja et ta seab senisest karmimad kohustused andmete töötlemisele ja hoidmisele. Tegelikkuses on tegu suure müüdiga ja just selles osas, et reaalsuses on selle reformi käigus toimuvad suured muutused kohustuslikud juba täna. Isikuandmete kaitse seadus kohustab kõiki neid paljuräägitud minimaalsuse, säilitusaja, teavituskoustuse ja turvamise põhimõtteid juba täna jälgima.

Täpsemalt saab lugeda SIIT.

Mis siis muutub?

Üht teist siiski muutub ja mis vast kõige olulisem on see, et uue määruse raames karmistuvad karistused. Kui tänane AKI (Andmekaitse Inspektsioon) menetluspraktika näeb ette, et suuresti kasutatakse ettekirjutisi ja sunniraha hoiatust, siis uuest aastas hakatakse rikkumiste korral juba trahvima. Trahvimäärade ülempiiriks on siinkohal toodud 4% käibest, mis suurte korporatsioonide puhul muutuvad juba ülimalt suureks. Samas räägitakse, et Eesti peaks ikkagi meie ettevõtete võimekust arvestama ja seega ei ole täpselt teada, mis siis saama hakkab. Fakt on see, et mai kuust alates hakkab tekkima menetluspraktika.

Teavitamiskohustus

Ühe olulise punktina tuleb siinkohal välja tuua teavitamiskohustus. Nimelt on andmetöötlejal alati kohustus teavitada andmesubjekti temaga seotud andmetega toimunud rikkumisest, mis kujutabandmesubjektile ohtu. Siinkohal tekibki olukord, kus enda valduses olevate andemete piisava põhjalikkuseta kaitsmine võib tuua suure maineriski.

Näide: Töötaja unustab oma nutitelefon kohvikusse lauale ja juhuslikult on sinna telefoni sünkroniseeritud töötandja e-mailid. Kui telefonis olevad andmed on krüpteerimata ja ka klahvilukk puudub, siis on üsna tõenäoline, et lekkinud on ka palju isikuandmeid (postkastis võib olla klientide kirju, võibolla ka exceli formaadis klientide nimekiri jne.). Sellisel juhul on vaja teavitada konkreetseid isikuid, kelle andmed lekkisid. Paraku on väga raske hinnata, kelle andmed seal telefonis täpsemalt olid, seega tuleb teha avalik pöördumine. Samas on sätestatud, et kui andmelekkega puudub oht, telefonis olevad andmed on krüpteeritud ja klahviluku all, siis puudub vajadus teavitada, sest ohtu ei ole tekkinud.

Andmekaitse spetsialist ehk DPO

Uues määruses on teise olulise punktina välja toodud andmekaitse spetsialisti ehk DPO omamise kohustus, millest räägime juba eraldi alamlehel.

 

Soovid täiendavat infot, võta minuga ühendust!