Indrek Kald • 18 märts 2019

AKI: kuidas vältida andmebaasi kopeerimist?

Andmekaitse inspektsioon saab üha enam kõnesid kliendiandmebaasi omavolilise kasutamise teemal. Sestap koostas inspektsioon juhendi, kuidas hoida ära kliendiandmebaaside kopeerimist ja mittesihipärast kasutamist.

AKI nõuandetelefon saab järjest enam kõnesid kliendiandmebaasi omavolilise kasutamise kohta.  Foto: Pixabay

Kõik tööandjad, kelle tegevuse üheks vundamendikiviks on kliendiandmebaas ning kes tahavad olla kindlad klientide isikuandmete sihipärases kasutamises, peavad täitma andmekaitse - ja turvanõudeid.

Esmalt tuleb töötajad informeerida, kuidas ja milleks võib kliendiandmeid kasutada. Selleks on vaja kehtestada isikuandmete töötlemise reeglid ehk andmekaitsetingimused.

Teiseks peab tööandja võtma kasutusele infoturbe meetmed, mis muuhulgas tuvastavad ka andmete liikumise. Teisisõnu, tööandja peab hoolitsema selle eest, et igast toimingust jääb maha logi, mis vajadusel aitab saada ülevaadet andmete liikumisest.

Kui tööandja on loetlenud toimingud, mida kliendiandmebaasiga tohib teha, on töötajal kohustus nendest kinni pidada. See tähendab, et kui töötaja kasutab kliendiandmebaasi omavoliliselt (nt oma eraeluliste probleemide lahendamiseks või eraldioleva äritegevuse raames), siis selliseks tegevuseks puudub õiguslik alus.

Süüteo osas võib kliendiandmebaasi ebaseaduslik saamine, kasutamine või avaldamine kvalifitseeruda karistusseadustiku alusel kuriteoks. Olenevalt olukorrast võib olla tegemist ka väärteoga isikuandmete kaitse seaduse järgi.

Kriminaalasja saab algatada siis, kui kliendiandmebaasi kui ärisaladust on kasutatud ärilisel eesmärgil või kahju tekitamise eesmärgil. Selleks peab olema tööandjal ehk isikuandmete töötlejal eelnevalt ja väga selgelt ära fikseeritud, et kliendiandmebaas on tema jaoks käsitletav ärisaladusena. Lisaks sellele on oluline, et tööandja on teinud kõik endast oleneva ärisaladuse kaitsmiseks (paika pannud meetmed ärisaladuse kaitseks).

Väärteomenetluse algatamiseks ei pea olema tekitatud kahju. Tegevus ei pruugi otsest kahju tekitada, kui näiteks töötaja on kasutanud kliendiandmebaasi omavoliliselt ja eiranud kehtestatud andmekaitsereegleid (nt kasutab oma tööalast juurdepääsu mingile infosüsteemile eraprobleemide lahendamiseks) või võtab selle hoopis peale töösuhte lõpetamist endaga kaasa.

Kuid inimestel, kes on usaldanud oma andmed ettevõtte kliendiandmebaasi kindlateks toiminguteks, kaob teadmine ja ülevaade, mida isikuandmetega tehakse. See omakorda tähendab riski ja ohtu isikuandmete väärtöötluseks.

Uurimise algatamiseks ja võimaliku väärteo tuvastamise hõlbustamiseks peavad olema täitetud andmekaitse- ja turvanõuded. Kui selles osas esineb puudujääke, on võimalus väärteomenetluse algatamiseks ka tööandja enda tegevusetuse suhtes.

Iga isikuandmeid töötlev tööandja saab reegleid täites end kaitsta väärteomenetluse eest. Samuti on reeglite täitmine oluline, et tõendada andmete liikumist ning võimalikku väärkasutamist.

Isikuandmete töötlemise nõuete rikkumise korral on vastutaval töötlejal (nt tööandjal) kohustus esitada andmekaitse inspektsioonile rikkumisteade, kui intsidendi tagajärjeks võib olla oht füüsilise isiku õigustele ja vabadustele. Kahju korral saab tsiviilkohtus nõuda rikkunud isikult kahju hüvitamist ja andmete hävitamist.

Jaga lugu:
ITUUDISED UUDISKIRJAGA LIITUMINE

Telli olulisemad Ituudised uudised igal nädalal enda postkasti.

Ituudised.ee toetajad:

Indrek Kald
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Ana Madismäe
Ana Madismäereklaamimüügi projektijuhtTel: 545 60 150
Mari Sarapuu
Mari SarapuuKonverentside programmijuhtTel: 667 0251