19. aprill 2018
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Andmekaitse alustalad on kindlalt paigas!

Andmekaitse inspektsiooni juht Viljar Peep
Foto: Raul Mee
Ehkki uue määruse tulekut nimetatakse lausa reformiks, ei tule senistesse andmekaitse põhimõtetesse suuri muudatusi.

Isikuandmete kaitse üldmääruse ootuses on meediaväljaanded täis pealkirju uutest paindumatutest reeglitest ning hiiglaslikest trahvidest, mis kohe-kohe, 25. mai saabudes ukse ees ootavad. Tahan aga kõiki tööandjaid rahustada – ehkki ajaleheveergudelt võib jääda mulje, nagu oleks tegu kardinaalsete senist andmekaitseõigust põhjalikult ümberkujundavate muudatustega, siis tegelikult see kindlasti nii ei ole. Senise andmekaitseõiguse alustalad on kindlalt paigas ja kõik olulised seni kehtinud põhimõtted jäävad kehtima ka edaspidi.

5 soovitust tööandjale andmekaitse üldmääruseks valmistumisel

Esmalt – ära mine paanikasse! Andmekaitse aluspõhimõtted jäävad ikka samaks. Ehkki muudatusi tuleb, ei tasu neid liigselt karta.

Selgita välja, milliseid töötajate isikuandmeid ja millistel eesmärkidel sa oma tööprotsesside käigus töötled.

Veendu, et töötajad on teadlikud, milliseid andmeid ja mille jaoks sa nende kohta kogud.

Kui midagi tundub korrast ära olevat, siis tõenäoliselt ta seda ka on. Küsi nõu Andmekaitse Inspektsioonist või keerulisematel juhtudel õigusnõustajalt ning vajadusel muuda senist praktikat.

Hoia ennast kursis riigisiseselt kehtestatavate muudatustega. Värsket infot saad näiteks Andmekaitse Inspektsiooni kodulehelt.

Kindlasti ei pea liigselt muretsema tööandja, kel olid juba varem kõik andmetöötlusprotsessid põhjalikult läbi mõeldud ning kes seni oma töötajate privaatsust austas ja andmekaitse reegleid järgis. Rohkem peavalu on aga neil, kel ka praeguste reeglite järgi asjad korrast ära on. Teatud ettevalmistusi tuleb aga siiski teha kõigil.

Riskipõhine lähenemine

Uue määruse läbivaks jooneks on riskipõhine lähenemine. See tähendab, et mida tundlikum andmetöötlus, seda rangemad reeglid. Näiteks tööandjad, kes teavad, et neil on pidev kaameravalve, kelle töötajate liikumisi jälgitakse või kelle juures arvutite ja internetikasutust mingil põhjusel monitooritakse, need tööandjad peavad kindlasti oma töökorralduse ja andmetöötlusprotsessid läbi mõtlema. Samuti on juba pisut keerulisem neil, kelle puhul me räägime rahvusvahelisest keerulise struktuuriga ettevõttest, kus andmeid on vaja liigutada ühest riigist teise. Neil juhtudel tuleb igal tööandjal hinnata, kas kõik tema tegevused on põhjendatud ja andmekaitsepõhimõtetega kooskõlas.

Läbipaistvus

Teiseks oluliseks põhimõtteks isikuandmete kaitse üldmääruses on andmetöötluse läbipaistvus. Läbipaistvuse põhimõte eeldab seda, et isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Ehk teisiti öeldes peab töötaja aru saama, milliseid andmeid tööandja tema kohta kogub ja miks. Mida paremini on tööandja seda kõike oma töötajatele selgitanud, seda kindlamini saab ta vältida arusaamatusi ja võimalikke tülisid.

Trahvid

Andmekaitseõiguse uuenemine on tekitanud ärevust eelkõige just trahvidega seoses. Ilmselt enim kajastatud muutus on trahvi uus ülempiir – kuni 20 miljonit eurot või kuni 4% ettevõtte üleilmsest käibest, sõltuvalt sellest, kumb on suurem. Meilt on väga palju küsitud, milline hakkab olema inspektsiooni karistuspoliitika siis, kui määrust juba kohaldatakse. Kas tööandjatel tasuks muretseda?

Ühelt poolt on kindlasti hea, et üldmäärus annab andmekaitseasutustele tõhusad hoovad õigusrikkumistesse sekkuda. Kui mõni tööandja tõepoolest tahtlikult ja teadlikult, olgu siis omakasu saamise eesmärgil, usaldamatusest, pahatahtlikkusest või ka pelgast uudishimust, oma töötajate privaatsust rikub, siis tasub tal valmis olla ka inspektsiooni ettekirjutuseks. Suuremate rikkumiste puhul on oodata ka trahvi.

Teiselt poolt ei ole aga uue andmekaitseõiguse eesmärk trahvide esikohale seadmine. Üldmääruse põhiline mõte on siiski anda inimestele suurem kontroll oma andmete üle ning juurutada ettevõtetes-asutustes riskipõhist lähenemist.

Eesti haldustavad on praeguseks päris põhjaeuroopalikud. Meie järelevalveasutused ei ole karistusorganid, kelle eesmärk on igale avastatud õiguserikkumisele raske trahviga lajatada ning riigikassasse raha teenida. See käib ka Andmekaitse inspektsiooni kohta. Praegu võime määrata väärteokaristusena kuni 32 000 ning sunnirahana kuni 9600 eurot. Inspektsiooni kogu 18-aastase tegutsemisaja vältel ei ole me määranud mitte ühtki ülempiirini ulatuvat trahvi või sunniraha.

Inspektsioon ei ole oma töös keskendunud üksikrikkumiste avastamisele ja karistamisele, vaid terveid sektoreid katvale ennetavale ja nõustavale järelevalvele ning selgitustööle. Nii saame kõige tõhusamalt mõjutada infoturvet ja inimeste õiguste kaitset ettevõttetes ja asutustes. Teisisõnu – tegeleme eeskätt metsaga, mitte puudega.

Trahvide määramine on olnud viimane abinõu – kui tegu on raske, pahatahtliku ja/või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse ilma trahvi määramata. Vaid väga harva – aastas keskmiselt vähem kui ühe käe sõrmi – on meie ettekirjutus jäetud täitamata ning oleme pidanud määrama sunniraha. Erinevalt trahvist võib sunniraha määrata korduvalt – kuni ettekirjutuse täitmiseni.

On tõsi, et ajalehepealkirjades ja koolitusreklaamides on hiigeltrahvidele rõhumine väga levinud. Uue andmekaitseõiguse eesmärk ei ole aga siiski senise karistuspoliitika muutmine ja trahvide esikohale seadmine.

Allikas: Tööinspektsiooni ajakirja Tööelu kevadnumber

Autor: Viljar Peep, Andmekaitse inspektsiooni peadirektor

Liitu Personaliuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Liitu Personaliuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Helen RootsPersonaliuudised.ee juhtTel: 55 988 223
Cätlin PuhkanPersonaliuudised.ee turunduslahenduste müügijuhtTel: 53 315 700
Mirell SoaseppKonverentside programmijuhtTel: 55 565 456