Autor: Indrek Kald • 6. september 2018

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Isikuandmete kaitse üldmäärusega loodud võimalustest infoturbealaste riskide maandamiseks räägib 26. septembril toimuval Infoturbe konverentsil advokaadibüroo Sorainen jurist, isikuandmete kaitse ekspert Sandra Mikli. Muuhulgas tuleb juttu andmekaitseametniku ülesannetest ja nende ühitamisest infoturbe eest vastutava isiku ülesannetega.

Tutvu programmiga ja registreeru SIIN!

Andmekaitse inspektsiooni peadirektori Viljar Peebu sõnul võib küsimused ja selgitustaotlused jagada kaheks. "Ühed tulenevad üldmääruse kehtima hakkamisega kaasa tulnud nõuetest, teised küsimused on küll sageli püstitatud isikuandmete kaitse üldmääruse jõustumise vaatenurgast, aga rääkida soovitakse ikkagi teemadest, mis on olnud südamel ka aasta või veel kauem aega tagasi," kommenteeris ta esimest sadat päeva uues andmekaitse ajastus.

Peep nentis, et kui viimast perioodi silmas pidades on nõu küsimiste arv enam kui kahekordistunud, siis kaebuste, vaiete ja väärteoteadete arv on jäänud võrreldes eelmise aastaga samasse suurusjärku.

Mullu pöörduti inspektsiooni poole ajavahemikus 25. mai kuni 25. august ses osas 105 korral, tänavu 129 korral. Samas on oluliselt kasvanud selgitustaotluste arv. Kui eelmisel aastal laekus neid 316, siis tänavu 628.

Üks enamkäsitletud teemasid nii tööandjate kui töövõtjate poolt on olnud kaamerate kasutamine töösuhetes ja tööalase e-posti sulgemine. Jätkuvalt annab pöördumiseks tõuke ka e-otseturustuse teema. Pöördumisi tehakse nõusoleku saamise ja andmise teemal ning küsivad nii reklaami saajad kui saatjad.

Kõikidele Euroopa Liidu liikmesriikidele kohalduv üldmäärus nõuab aga inspektsiooni selgitustööd mitmes küsimuses. Esiteks näeb üldmäärus ette andmekaitsespetsialisti määramist avaliku sektori asutusetele ja avalikku teenust osutavatele ettevõtetele. Teiseks tuleb kõikidel asutustel ja ettevõtetel koostada isikuandmete töötlemise ülevaade. Kolmandaks peab alates 25. maist inspektsiooni teavitama intsidentidest, mil isikuandmed on ebaseaduslikult või juhuslikult hävinud, muutunud kättesaamatuks, samuti kui on toimunud neile lubamatu juurdepääs või avalikuks saamine.

"Juhtumitest 72 tunni jooksul teatamise nõue loob ühiskonnas ja majanduses usaldust," selgitas Peep. "Kui sama oht puudutab teisigi andmetöötlejaid, saab neid kiiresti hoiatada ja kahjusid ennetada," lisas ta.

Viimase uue nõudena tõi AKI juht välja veel seni harva puudutatud teema – ettevõtete andmete ülekantavuse nõue. "See on üldmääruse järgi kohustuslik andmetöötlusega tegelevatele eraettevõttetele, mis ei osuta avalikku teenust. Seadusandja ei kirjuta ette täpseid juhiseid, ega ütle ka, millisel kujul või vormingus andmed üle kantakse. Küll aga annab määrus inimesele õiguse nõuda andmetöötlejalt enda andmete ülekandmist," märkis Peep.

Üldmääruse kehtima hakkamine on muutnud ka inspektsiooni igapäevase menetluse rahvusvahelisemaks. "Piiriülesed probleeme käsitletakse nüüd infosüsteemi IMI kaudu. Inspektsioon on saanud augusti lõpu seisuga 215 pöördumist ning kaasatud oleme praegu kolme rahvusvahelisse menetlusse," kõneles Peep. Nendes kolmes juhtumis asub järelevalveasutus teises riigis ja kuna juhtum võib puudutada Eesti inimesi, on Eesti järelvalveasutus sinna kaasatud.