Autor: Indrek Kald • 4. märts 2020

Advokaadibüroo Hedman Partners vandeadvokaat Toomas Seppel esineb 31. märtsil Äripäeva veebiseminaril "Isikuandmete rikkumised tehnoloogiaettevõtetes". Järgnevalt tutvustab ta teemat:

Maikuus saab täis kaks aastat isikuandmete kaitse määruse jõustumisest. Euroopa Liidus on selle aja jooksul isikuandmete kaitse rikkumiste eest määratud üle 170 trahvi kokku 458 631 986 euro suuruses summas, samas kui Eestis on andmekaitse inspektsioon olnud tagasihoidlik.

Kaugelt kõige suurema trahvide arvuga paistab silma Hispaania, samas kui kõrgemaid trahve Euroopa Liidus on välja mõistnud Ühendkuningriik, Prantsusmaa ja Itaalia.

Trahvimäärad ulatuvad mõnest tuhandest eurost miljoniteni. Suur osa trahve on määratud andmete ebapiisava turvalisuse, ebaseadusliku otseturunduse või isikute teavitamata jätmise eest.

Järgnevalt mõned näited erinevate riikide praktikast.

• Portugali haiglat trahviti 400 000 euroga, kui töötajad said valekontosid kasutades loata ligipääsu patsientide andmetele.

• Austrias trahviti 4800 euroga ettevõtet avaliku ruumi filmimise eest sellest eelnevalt teavitamata.

• Saksamaa sotsiaalmeediateenust trahviti 20 000 euroga, kuna kasutajate salasõnasid hoiustati tavalises tekstivormingus. Trahv on pigem väike, kuna ettevõte andis rikkumisest andmekaitseasutusele ja klientidele koheselt teada ning oli koostööaldis.

• Prantsuse andmekaitseasutus trahvis Google´it 50 miljoni euroga. See on senimaani suurim GDPR-trahv. Trahv mõisteti välja, kuna ettevõte ei suutnud anda kasutajatele piisavalt teavet oma andmete nõusolekupoliitika kohta ega selle kohta, kuidas isikuandmeid kasutatakse.

• Norra andmekaitseasutus hoiatas väikelinna kooli 1,6 miljoni Norra krooni (160 000 eurot) suuruse trahviga, kuna ligipääs õpilaste ja töötajate kasutajanimedele ja salasõnadele polnud piisavalt turvaline.

• Poolas trahviti digitaalturundusega tegelevat ettevõtet Bisnode 220 000 euro suuruse trahviga, kuna inimestele ei edastatud teavet isikuandmete töötlemise kohta.

• Taanis määrati 160 000 eurone trahv taksofirmale, kes ei kustutanud klientide telefoninumbreid. Kuigi klientide nimed kustutati kahe aasta jooksul, polnud see piisav. Telefoninumber eraldiseisvalt loetakse samuti isikuandmeteks, mis tuleb vajadusel kustutada.

• Hispaania järelevalveasutus on telekomiettevõttele Vodafone España teinud tänavu juba kaheksa trahvi kokku 469 000 euro suuruses summas. Trahvimise aluseid on mitmeid, näiteks on saadetud kliendi andmetega arveid kliendi naabrile või on arveteateid saadetud isikule, kelle lepinguline suhe teenusepakkujaga oli juba lõppenud. Suuremaid trahve oli määratud ka selle eest, kui teenusepakkuja oli isikuandmeid edastanud kolmandatele isikutele ilma klientide nõusolekuta.

• Lätis määrati e-poe pidajale 7000 euro suurune trahv selle eest, et rikkus isiku õigust andmete kustutamisele ehk õigusele olla unustatud. Isik oli e-poest tellimisel sisestanud enda telefoninumbri ning sai edaspidi mitmel korral SMSi teel reklaamsõnumeid, kuigi oli korduvalt palunud enda telefoninumbri kustutamist.

• Leedus tehti 61 500 euro suurune trahv makseteenuse pakkumisega tegelevale ettevõttele UAB MisterTango, kus oli töödeldud rohkem isikuandmeid, kui ettevõtjal konkreetse teenuse pakkumiseks tegelikkuses vaja läks ning mis ulatuses isikutelt luba oli küsitud. Samuti avastati, et ettevõtte ebapiisavate turvameetmete tõttu olid klientide makseandmed kahe päeva jooksul avalikult kättesaadavad.

Üldiselt võetakse trahvide määramisel arvesse rikkumisest puudutatud isikute arvu, töötlemise eesmärgipärasust, rikkumisest tulenevat kahju isikutele ja rikkumise kestust. Senise praktika alusel määrab trahvide suuruse ka ettevõtte koostöövalmidus ning initsiatiiv kahju heastada, kusjuures on trahve puhuti vähendatud ligi poole võrra olukorras, kus rikkuja vabatahtlikult rikkumise heastab.

Täpsem info veebiseminarist ja registreerumine SIIN.

Advokaadibüroo Hedman Partners vandeadvokaat Toomas Seppel nõustab tehnoloogiaettevõtteid isikuandmete ja intellektuaalomandi teemadel. Ühtlasi on ta asutaja ja tootejuht iduettevõttes, mis arendab haldustarkvara andmekaitsespetsialistidele.