Autor: Indrek Kald • 4. veebruar 2020

Läti andmekaitse inspektsioon trahvi saanud kohaliku ettevõtte nime ei avalda. Firmat trahviti, kuna ta ei suutnud tuvastada, kuidas seal andmeid töödeldakse ja mida nendega tehakse ning kas ettevõttel on selleks ka õiguslik alus.

Lisaks karistati Leedus finantstehnoloogia ettevõtet üleliigsete isikuandmete kogumise ja turvanõuete eiramise eest 61 500 euro suuruse trahviga.

Eesti andmekaitse inspektsioon on seni olnud tagasihoidlik ega ole isikuandmete kaitse üldmääruse raames trahve teinud.

Samas on teised Euroopa Liidu andmekaitse inspektsioonid määranud sadadesse miljonitesse eurodesse ulatuvaid trahve ning teateid neist neid tuleb iga päev juurde. Eriti aktiivsetena paistavad silma Hispaania, Prantsusmaa ja Saksamaa andmekaitseasutused.

Advokaadibüroo Hedman Partners partneri, vandeadvokaat Toomas Seppeli sõnul tähendab see, et Eesti ettevõtted, kes oma äritegevust nendesse riikidesse suunavad, peaksid GDPRi nõuetele erilist tähelepanu pöörama.

"Trahve on määratud pea kõikide GDPRi nõuete rikkumise eest, nt andmete töötlemise ebapiisav turvalisus, töötlemise vale õiguslik alus või inimeste teavitamata jätmine," selgitas vandeadvokaat.

Ideaalis võiks Seppeli sõnul levida arusaam, et üldmääruse nõuded ja nendega kaasnevad kohustused pole vaid koormaks. "Selle taga peitub palju laiemalt võti ärikultuurile, mis tagaks inimestele suurema turvalisuse digimaailmas ning ettevõtetele suurema usalduse kliendiga ja vahendid innovatsiooniks," selgitas ta.

GDPRi nõuete rikkujat saab järelevalveasutus karistada rahatrahviga kuni 20 000 000 eurot või kuni neli protsenti tema eelmise majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem.

Seni suurima GDPR trahvi määras Prantsuse andmekaitseasutus Google´ile – 50 miljonit eurot. "Trahv mõisteti välja, kuna Google ei suutnud anda kasutajatele piisavalt teavet isikuandmete nõusoleku halduse kohta ega andnud piisavalt teavet selle kohta, kuidas isikuandmeid kasutatakse," sõnas Toomas Seppel.

Taanis määrati 160 000 euro suurune trahv taksofirmale, kes ei kustutanud klientide telefoninumbreid. Kuigi klientide nimed kustutati kahe aasta jooksul, siis polnud see piisav. Telefoninumber eraldiseisvalt loetakse samuti isikuandmeteks, mis tuleb vajadusel kustutada.

Norra andmekaitseasutus hoiatas väikelinna kooli 1,6 miljoni Norra krooni (160 000 eurot) suuruse trahviga, kuna ligipääs 35 000 õpilase ja töötaja kasutajanimedele ning salasõnadele polnud piisavalt turvaline.

Austrias trahviti 4800 euroga ettevõtet avaliku ruumis filmimise eest sellest eelnevalt teavitamata.

Saksamaa sotsiaalmeediateenust trahviti 20 000 euroga, kuna kasutajate salasõnasid hoiustati tavalises tekstivormingus.

Portugali haiglat trahviti 400 000 euroga, kui töötajad said valekontosid kasutades loata ligipääsu patsientide andmetele.

Poolas trahviti digitaalturundusega tegelevat ettevõtet 220 000 euro suuruse summaga, kuna inimestele ei edastatud teavet isikuandmete töötlemise kohta.

Advokaadibüroo Hedman Partners nõustab ettevõtteid IT-õiguse, andmekaitse ja intellektuaalomandi küsimustes. Büroo aitas koostöös IT-ekspertidega luua tarkvaralahenduse GDPR Register, mis aitab hallata andmekaitseregulatsiooniga kaasnevaid toiminguid ja dokumente, tagades nende vastavuse ELi nõuetele.