Andmekaitse pomm tiksub

Kaaludes oma organisatsiooni kliendiandmete hoiustamise ning käitlemise reeglite vastavust uue ELi andmekaitse määrusega, ei pea omanik ja juht enam küsima, kas see teema tema ettevõtet ka mõjutab. Vastus on: jah, see mõjutab kõiki Euroopa inimeste (sh oma töötajate) isikuandmeid koguvaid ettevõtteid ja organisatsioone. Samuti pole tarvidust küsida, kas on reaalne, et keegi mittevastavust ka kontrollib: jah, kontrollib küll ning sisse on seatud isegi krõbedad, ettevõtte käibega seotud trahvid.

Pärast nelja aastat kestnud poliitilist protsessi, äride lobitööd ja lõputud artikleid on lõpuks valmis saanud ELi isikuandmete kaitse üldmäärus, mis toob kaasa viimase 20 aasta suurima muutuse isikuandme kaitse valdkonna reguleerimises.  Tänased jõupositsioonid muutuvad täielikult: uus määrus annab kliendile tema kohta koguvate andmete üle täieliku kontrolli ja muuhulgas õiguse öelda ettevõttele, et ta ei soovi enda andmete säilitamist. Reeglite vastu eksimine võib tähendada potentsiaalseid trahve ja kohtuvaidlusi. Üldmäärus on liikmesriikidele otsekohalduv, seega puudub võimalus selle mõju kuidagi pehmendada.

Kuidas see toimib?

Ütleme, et müügiosakond saab e-kirja ostjalt Mart Mäelt, kes tahab tellida ühte ettevõtte müüdavat toodet. Müügimees võtab ostjalt vajalikud andmed, salvestab need Excelisse ning saadab arve ja tellitud kauba. Toimunu käigus on ettevõte tegutsenud isikuandmete töötlejana ning ostjale on tekkinud õigus taotleda enda andmete kustutamist.

Kui ettevõte ostja soovi ignoreerib, võib too esitada kaebuse määruse täitmise järelevalve teostajale. Mis hullemgi: andmed võivad lekkida ettevõttest näiteks ka küberrünnaku tõttu. Tagajärjeks võib olla ettevõttes läbiviidav erikontroll (audit) määruse nõuete täitmises veendumiseks ning lisaks potentsiaalsed nõuded klientidele kahju tekitamise eest ning trahv järelevalvelt reeglite eiramise eest. Trahvid võivad küündida 4% grupi ettevõtete koondkäibest (mitte kasumist!).

Mida see tähendab?

Sisuliselt annab uus määrus kliendile õiguse paluda oma andmete kustutamist või hävitamist. Isegi kui klient sellist soovi ei esita, peab iga teatud perioodi järel (näiteks 6 kuud) ettevõte uuendama kliendi nõusolekut säilitada andmeid. Nõusoleku puudumine, sh suutmatus tõestada loa olemasolu, tähendab juriidilise aluse puudumist andmete säilitamiseks. Samuti tuleb määruse nõuetele vastamiseks ära kirjeldada kõik organisatsioonisisesed protsessid isikuandmete tekkimisest kuni nende kustutamiseni. Olukorra muudab keerulisemaks asjaolu, et kõiki määruse reegleid juurutades tuleb arvesse võtta ka muu andmete säilitamist reguleeriv õigus, näiteks raamatupidamisseadus.

Soovitan ettevõtetel alustada väljaselgitamisest, millised isikuandmeid kogutakse ja kus, kuidas ning kui kaua neid säilitatakse. Järgmise etapi käigus tuleb hinnata hetkel juba rakendatu piisavust uue määruse nõuete valguses ning tuvastada valdkonnad, mis vajavad täiendavat tähelepanu ning muudatusi, täiendusi ning tarkvaraarendusi. Kõige olulisem on koostada koostöös vastava ala spetsialistidega kõikehõlmav plaan, sest kogemus näitab, et rutakas ning läbimõtlemata määruse juurutus võib väga kalliks minna ning vastavus määrusega jääb ikkagi saavutamata.