Andmekaitsereform toob hiigeltrahvid

Aprilli keskpaigas võttis Euroopa Parlament vastu andmekaitse üldmääruse, mis annab tarbijate kätte kontrolli oma andmete kasutamise ja talletamise üle. Andmekaitse üldmääruse raportöör Jan Philipp Albrecht ütleb, et see on selgesõnaline "jah" tarbijate õiguste ja konkurentsi jaoks digitaalajastul. „Kodanikud saavad ise otsustada, millist informatsiooni nad soovivad jagada,“ ütles Albrecht.

Andmekaitse reformi üks eestvedajatest Viviane Reding avaldas Twitteris, et ELi kodanike jaoks on tegemist ajaloolise võiduga.

Advokaadibüroo LEXTAL vandeadvokaat, Tartu Ülikooli andmekaitseõiguse lektor Mari Männiko juhtis tähelepanu kahele punktile. „Uuenduslikena tuleb rõhutada õigust olla unustatud ning alaealiste andmete töötlemisel sotsiaalmeedias vanema nõusoleku nõude kehtestamist,“ märkis Männiko. „Kui õigus olla unustatud pärineb kohtupraktikast, siis sotsiaalmeedia kasutamiseks vanemate heakskiidu nõudmine on uus ja loomult range reegel.“

Uuel määrusel on oluline mõju andmetöötlejate igapäevategevusele ning isikuandmete töötlemisega seonduv halduskoormus suureneb oluliselt. „Uus määrus kehtestab andmekaitse regulatsiooni rikkumise eest väga kõrged trahvimäärad: kuni 20 000 000 eurot või 4% aasta käibest, sõltuvalt sellest, kumb on suurem,“ selgitas Männiko. „See sunnib andmetöötlejaid oma andmekaitsereeglid või nende puudumise hoolega üle vaatama vältimaks trahvimäärasid, mis võivad äritegevusele hukutavalt mõjuda.“

Asjaolud, millega peab ettevõtja arvestama

1. Andmetöötlusel uute tehnoloogiate kasutamisel tuleb enne andmete töötlema asumist viia läbi andmekaitse mõju-uuring.

2. Teatud andmetöötluse puhul tuleb järelevalveasutuselt saada andmetöötluseks eelnev nõusolek.

3. Andmetöötlejad, kelle juures töötab 250 või enam isikut, peavad hakkama pidama andmetöötluslogi, mis võimaldaks kontrollida isikuandmete töötlemise seaduslikkust.

4. Isikuandmete kaitse eest vastutava isiku roll muutub olulisemaks ning andmetöötlejate ring, kelle puhul on andmekaitse eest vastutava isiku nimetamine kohustuslik, muutub oluliselt laiemaks.

5. Isikuandmete töötlemise nõuete rikkumise riskist või rikkumisest tuleb järelevalveasutust teavitada 72 tunni jooksul teadasaamisest. Teatamiskohustuse mittetäitmine võib kaasa tuua märkimisväärse trahvi. Seega peab andmetöötleja korraldama andmetöötluse viisil, mis võimaldaks rikkumise või riski kiiresti avastada.

6. Andmetöötlejad peavad olema valmis selleks, et isikud soovivad rakendada oma õigust olla unustatud.

Allikas: Advokaadibüroo LEXTAL vandeadvokaat, Tartu Ülikooli andmekaitseõiguse lektor Mari Männiko

Mida teha:

Identifitseeri ja süstematiseeri ettevõtte seni kogutud isikuandmed, nii saad hinnata, millised isikuandmed on olulised ning millised mitte. Viimaste töötlemise lõpetamist tuleks kaaluda.Tööta välja isikuandmete töötlemise juhendid ja strateegia, nii saad välja töötada juhendi ja ettevõtte strateegia andmete kogumiseks, liigitamiseks, säilitamiseks ja kustutamiseks. Oluline on paberimajandus korras hoida, kuna ettevõtted peavad säilitama isikuandmete töötlemise dokumentatsiooni ja tegema mõjuanalüüse, mille täitmist võib järelevalveasutus igal ajal kontrollida.Määra isikuandmete töötlemise eest vastutav isik (Data Protection Officer).Tööta välja rikkumistest teavitamise protsess, tugevda turvalisust ja kõrgenda valmisolekut kriisiolukordadeks. Määruse projekti kohaselt peab isikuandmete töötleja teavitama järelevalveasutust isikuandmetega seotud rikkumistest 72 tunni jooksul. Samuti tuleb teavitada andmesubjekti, kelle isikuandmeid võib rikkumine kahjustadaLoo tehnilised lahendused, mis võimaldavad isikuandmeid teisaldada ühest elektroonilisest süsteemist teise. See lihtsustab isikuandmete edastamist ühelt teenusepakkujalt teisele, millega parandatakse ka teenusepakkujatevahelist konkurentsi.Ole valmis täitma nõuet „õigus isikuandmete kustutamisele“. Määrus annab isikule selge aluse nõuda isikuandmete töötlejalt enda kohta kogutud andmete kustutamist. Seejuures olukorras, kus töötleja on andmed avalikustanud, peab ta astuma samme selleks, et teavitada kolmandaid isikuid sellest, et vastavate andmete lingid ning koopiad saaksid kustutatud. Samas võib teistest seadustest töötlejal olla kohustus isikuandmeid teatud aja siiski säilitada. Seega sunnib ettevõtjaid sõlmitud lepinguid kompleksselt üle vaatama.

Allikas: Advokaadibüroo Magnusson advokaadid Mirjam Võsu ja Sille Lehtsaar