Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR)

NJORD Advokaadibüroo juristi abi Gertrud Sein
NJORD Advokaadibüroo juristi abi Gertrud Sein

25. maist hakatakse kohaldama isikuandmete kaitse üldmäärust (GDPR – general data protection regulation), mis kohaldub kõigile isikutele, kes töötlevad füüsiliste isikute kohta käivaid andmeid. Sellega kaasnevatst kohustustest ja põhilistest muudatustest kirjutab NJORD Advokaadibüroo juristi abi Gertrud Sein.

Isikuandmete kaitse on valdkond, mis puudutab igat ettevõtjat ja asutust, olenemata tegevusalast. Isikuandmete töötlemisega on tegu alati, kui tehakse toiming inimese ehk andmesubjekti kohta käivate andmetega. Need andmed võivad asuda eri andmebaasides, kõvakettal, desktop’il ehk töölaual, mälupulkadel, vestlusprogrammides, telefonirakendustes, e-kirjades, riiulil olevates kaustades jne. Isikuandmete töötlemine ei ole ainuüksi isikuandmete kogumine, vaid ka näiteks salvestamine, säilitamine, edastamine ja avalikustamine, hävitamine või lugemine. Küsimustele, kui palju on neid andmeid kokku ja kellele on need kättesaadavad, on üldjuhul keeruline vastata.

Euroopa Parlamendi heaks kiidetud isikuandmete kaitse üldmäärus (GDPR – general data protection regulation, edaspidi: üldmäärus) jõustus 24. mail 2016 ja seda hakatakse kohaldama pärast kaheaastast üleminekuaega ehk alates 25. maist 2018. Määrus asendab seni kehtinud andmekaitsedirektiivi ja on ühtlasi otsekohalduv, mis tähendab, et määrus hakkab asendama mh seni kehtinud Eesti isikuandmete kaitse seadust.

Üldmäärus kohaldub kõigile isikutele, kes töötlevad füüsiliste isikute kohta käivaid andmeid. Nimetatud õigusakti eesmärk on kindlustada isikuandmete parem kaitse, andes isikule suurema kontrolli oma andmete üle ning lõpetada põhjendamatu isikuandmete töötlemine ja talletamine. Seega kui ettevõttel on kliendiandmebaas, tagasiside või soovituste ankeet, e-posti aadressid, fotod, turvakaamerate salvestised, kliendilojaalsusprogrammi andmed, CV-d ja muud sellised andmed, on määrus ettevõtte puhul igal juhul kohaldatav. Seetõttu peavad kõik Euroopa Liidu ettevõtted ja muud organisatsioonid olema tähelepanelikud ja järgima kindlaid reegleid. Pärast määruse jõustumist peavad igas ettevõttes olema füüsiliste isikute kohta käivad andmed kaitstud. Järelevalvet üldmäärusest tulenevate reeglite täitmise üle teostab andmekaitse inspektsioon (AKI).

Uue isikuandmete kaitse üldmäärusega kaasnevad uued kohustused kõigile ettevõtjatele, kes töötlevad andmeid. Eelkõige tuleb isikuandmete töötlejal teha kindlaks, et isikuandmete töötlemine oleks seaduslik. Töötlemine on seaduslik siis, kui täidetud on vähemalt üks järgmistest tingimustest:

  • andmesubjekt on andnud nõusoleku oma isikuandmeid töödelda;
  • isikuandmete töötlemine on vajalik, et täita andmesubjekti osalusel sõlmitud lepingut või võtta kasutusele lepingu sõlmimisele eelnevaid meetmeid;
  • isikuandmete töötlemine on vajalik, et vastutav töötleja saaks juriidilist kohustust täita;
  • isikuandmete töötlemine on vajalik, et kaitsta andmesubjekti või mõne muu füüsilise isiku elulisi huve;
  • isikuandmete töötlemine on vajalik, et täita avalikes huvides olevat ülesannet või teostada vastutava töötleja avalikku võimu;
  • isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral.

Selleks et saada aru, kui suures ulatuses on ettevõttes füüsiliste isikute andmeid, tuleks korraldada esmane inventuur IT-süsteemides ja andmebaasides. Kliendiandmete töötlemine ei hõlma üksnes aktiivseid toiminguid kliendiandmetega, nagu kliendiandmete korrigeerimine või muutmine, vaid määruse nõuetele peab vastama ka kliendiandmete säilitamine (nii paberdokumentides kui ka serverites ja pilves), nende andmete vaatamine ja kõikvõimalikud muud toimingud.

Protsessi kiiremale kulgemisele võiks kaasa aidata see, kui ettevõte koostab töötajatele asjakohased juhendid. Juhendis võiks olla kirjas, milliseid rakendusi ja programme võiks töötaja andmete käsitlemisel kasutada. Juhend võiks sisaldada ka õpetust, kuidas peab töötaja ettevõttele teadaolevaid andmeid kaitsma ka tavalises olukorras.

Millised on põhilised muudatused?

Uue isikuandmete kaitse määruse jõustumisel hakkavad kehtima ka mitmed olulised muudatused võrreldes varem kehtinud seadustega.

  • Õigus olla unustatud

Isik võib nõuda andmete kustutamist, kui andmete töötlemiseks ei ole enam õigustust või andmed pole enam asjakohased. See tähendab, et ettevõtjatel tuleb isiku nõudmisel andmed kustutada.

  • Andmed kaasa

Isikuandmetele peab isikul olema võimalik ligi pääseda ja neid talle kaasa anda. Isikul on õigus oma andmeid eri andmetöötlejate vahel liigutada. Andmete edastus peab toimuma struktureeritud ja masinloetavas vormingus. Kui andmeid töötlev ettevõte pole võimeline andmeid igal ajal kliendile kaasa andma või teisele ettevõttele edastama, tuleb ettevõttel teha oma süsteemides sellekohaseid muudatusi.

  • Isiku nõusolek ei ole igavene

Luuakse karmimad reeglid juhuks, kui isikuandmeid töödeldakse isiku enda nõusolekul. Määruse põhjal on andmete töötlejal kohustus teavitada isikut, et tal on õigus keelduda andmete töötlemisest. Teavitus peab olema selge ja eristatud kõiksugu muust teabest. Samuti tuleb isikule selgitada, kuidas ja millisel eesmärgil tema andmeid kasutatakse ning isikul on õigus nõuda, et tema andmete töötlemine lõpetataks.

  • Kohustus määrata andmekaitseametnik

Selle kohustuse selgitab välja andmekaitseaudit. Andmekaitsespetsialist vastutab infoturbe, andmete turvalisuse ja nende korrasoleku eest, et neid oleks lihtsam transportida ning ettevõte suudaks võtta vastu suuri andmebaase. Andmekaitseametniku regulatsiooniga tekib tööturul vajadus uue, praegu puuduva ametikoha järele, mis eeldab sobiva ettevalmistusega töötajate olemasolu. Andmekaitseametnik peab ettevõtet ja selle tööprotsesse väga hästi tundma, mistõttu võiks tegu olla ettevõttesisese töötajaga. Peamiselt on andmekaitseametniku ülesanne nõustada andmete töötlejat andmekaitse määrusest ja muudest õigusaktidest tulenevate kohustuste kohta.

  • Andmete töötlemise sisseostmine

Sisseostetud andmetöötlusele kehtivad palju rangemad reeglid ja tuleb olla kindel, kas teenusepakkuja on võimeline andmeid kaitsma. Praktikas võib olla raske uutest nõudmistest kinni pidada ja ette nähtud nõudmised ei pruugi olla täielikult kooskõlas tehnoloogilise tegelikkusega, sest sageli kõik, mis kunagi internetiavarustesse paisatakse, võib sinna jääda igaveseks. Andmeid töödeldakse edasi palju ja kiiresti, mis tähendab seda, et esialgsel andmetöötlejal ei pruugi olla ülevaadet kolmandatest pooltest.

  • Andmekaitse põhimõtted

Järgida tuleb andmekaitse põhimõtteid, et andmete turvalisus oleks tagatud kõigis tööprotsessides.

Kui füüsilise isiku kohta käivad andmed ei ole kaitstud või need lekivad, võivad tagajärjeks olla suured trahvid ja kahjunõuded, rääkimata kaasnevast mainekahjust. Karistused üldmääruse rikkumise eest võivad ulatuda kuni nelja protsendini ettevõtte eelmise aasta ülemaailmsest käibest või kuni 20 miljoni euroni, olenevalt sellest, kumb summa on suurem.

Gertrud Sein, NJORD Advokaadibüroo

 

IT JUHTIMISE TEABEVARA

 

Artikkel ilmus Äripäeva Teabekeskuse väljaandes IT juhtimine.

Põhjalik ülevaade infotehnoloogia võimalustest ja otstarbeka rakendamise põhimõtetest. Kui vastutate ettevõtte strateegia ja investeeringute eest, siis saate põhjaliku info IT-valdkonna praktilisest poolest ning teete tulemuslikke juhtimisotsuseid.

Aastalitsentsiga saate

  • ligipääsu igal kuul uuenevale teabevarale
  • kasutada e-nõuandekeskust
  • lisavõimalusena paberväljaande ja selle täiendused kord kvartalis
  • e-uudiskirja Õigusuudised 10 korda aastas

Osale arutelus

  • ITuudised.ee

    ITuudised.ee

Toetajad

Raadio ettevõtlikule inimesele

Hetkel eetris

Seotud lood

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

PASSWARE is looking for an OPERATIONS' MANAGER

Manpower OÜ

30. oktoober 2018

DERIVCO IS LOOKING FOR A SENIOR QA SPECIALIST

Derivco Estonia OÜ

17. november 2018

DERIVCO is looking for a TEST AUTOMATION TEAM LEAD

Derivco Estonia OÜ

17. november 2018

Teabevara