Andmekaitse alustalad on kindlalt paigas!

viljarpeep
Andmekaitse inspektsiooni juht Viljar Peep

Ehkki uue määruse tulekut nimetatakse lausa reformiks, ei tule senistesse andmekaitse põhimõtetesse suuri muudatusi.

Isikuandmete kaitse üldmääruse ootuses on meediaväljaanded täis pealkirju uutest paindumatutest reeglitest ning hiiglaslikest trahvidest, mis kohe-kohe, 25. mai saabudes ukse ees ootavad. Tahan aga kõiki tööandjaid rahustada – ehkki ajaleheveergudelt võib jääda mulje, nagu oleks tegu kardinaalsete senist andmekaitseõigust põhjalikult ümberkujundavate muudatustega, siis tegelikult see kindlasti nii ei ole. Senise andmekaitseõiguse alustalad on kindlalt paigas ja kõik olulised seni kehtinud põhimõtted jäävad kehtima ka edaspidi.

Kindlasti ei pea liigselt muretsema tööandja, kel olid juba varem kõik andmetöötlusprotsessid põhjalikult läbi mõeldud ning kes seni oma töötajate privaatsust austas ja andmekaitse reegleid järgis. Rohkem peavalu on aga neil, kel ka praeguste reeglite järgi asjad korrast ära on. Teatud ettevalmistusi tuleb aga siiski teha kõigil.

Riskipõhine lähenemine

Uue määruse läbivaks jooneks on riskipõhine lähenemine. See tähendab, et mida tundlikum andmetöötlus, seda rangemad reeglid. Näiteks tööandjad, kes teavad, et neil on pidev kaameravalve, kelle töötajate liikumisi jälgitakse või kelle juures arvutite ja internetikasutust mingil põhjusel monitooritakse, need tööandjad peavad kindlasti oma töökorralduse ja andmetöötlusprotsessid läbi mõtlema. Samuti on juba pisut keerulisem neil, kelle puhul me räägime rahvusvahelisest keerulise struktuuriga ettevõttest, kus andmeid on vaja liigutada ühest riigist teise. Neil juhtudel tuleb igal tööandjal hinnata, kas kõik tema tegevused on põhjendatud ja andmekaitsepõhimõtetega kooskõlas.

Läbipaistvus

Teiseks oluliseks põhimõtteks isikuandmete kaitse üldmääruses on andmetöötluse läbipaistvus. Läbipaistvuse põhimõte eeldab seda, et isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Ehk teisiti öeldes peab töötaja aru saama, milliseid andmeid tööandja tema kohta kogub ja miks. Mida paremini on tööandja seda kõike oma töötajatele selgitanud, seda kindlamini saab ta vältida arusaamatusi ja võimalikke tülisid.

Trahvid

Andmekaitseõiguse uuenemine on tekitanud ärevust eelkõige just trahvidega seoses. Ilmselt enim kajastatud muutus on trahvi uus ülempiir – kuni 20 miljonit eurot või kuni 4% ettevõtte üleilmsest käibest, sõltuvalt sellest, kumb on suurem. Meilt on väga palju küsitud, milline hakkab olema inspektsiooni karistuspoliitika siis, kui määrust juba kohaldatakse. Kas tööandjatel tasuks muretseda?

Ühelt poolt on kindlasti hea, et üldmäärus annab andmekaitseasutustele tõhusad hoovad õigusrikkumistesse sekkuda. Kui mõni tööandja tõepoolest tahtlikult ja teadlikult, olgu siis omakasu saamise eesmärgil, usaldamatusest, pahatahtlikkusest või ka pelgast uudishimust, oma töötajate privaatsust rikub, siis tasub tal valmis olla ka inspektsiooni ettekirjutuseks. Suuremate rikkumiste puhul on oodata ka trahvi.

Teiselt poolt ei ole aga uue andmekaitseõiguse eesmärk trahvide esikohale seadmine. Üldmääruse põhiline mõte on siiski anda inimestele suurem kontroll oma andmete üle ning juurutada ettevõtetes-asutustes riskipõhist lähenemist.

Eesti haldustavad on praeguseks päris põhjaeuroopalikud. Meie järelevalveasutused ei ole karistusorganid, kelle eesmärk on igale avastatud õiguserikkumisele raske trahviga lajatada ning riigikassasse raha teenida. See käib ka Andmekaitse inspektsiooni kohta. Praegu võime määrata väärteokaristusena kuni 32 000 ning sunnirahana kuni 9600 eurot. Inspektsiooni kogu 18-aastase tegutsemisaja vältel ei ole me määranud mitte ühtki ülempiirini ulatuvat trahvi või sunniraha.

Inspektsioon ei ole oma töös keskendunud üksikrikkumiste avastamisele ja karistamisele, vaid terveid sektoreid katvale ennetavale ja nõustavale järelevalvele ning selgitustööle. Nii saame kõige tõhusamalt mõjutada infoturvet ja inimeste õiguste kaitset ettevõttetes ja asutustes. Teisisõnu – tegeleme eeskätt metsaga, mitte puudega.

Trahvide määramine on olnud viimane abinõu – kui tegu on raske, pahatahtliku ja/või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse ilma trahvi määramata. Vaid väga harva – aastas keskmiselt vähem kui ühe käe sõrmi – on meie ettekirjutus jäetud täitamata ning oleme pidanud määrama sunniraha. Erinevalt trahvist võib sunniraha määrata korduvalt – kuni ettekirjutuse täitmiseni.

On tõsi, et ajalehepealkirjades ja koolitusreklaamides on hiigeltrahvidele rõhumine väga levinud. Uue andmekaitseõiguse eesmärk ei ole aga siiski senise karistuspoliitika muutmine ja trahvide esikohale seadmine.

Allikas: Tööinspektsiooni ajakirja Tööelu kevadnumber

Osale arutelus

  • Viljar Peep, Andmekaitse inspektsiooni peadirektor

Toetajad

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi Personaliuudiseid sotsiaalmeedias

RSS

Toetajad

Tööriistad

Peopaik

Värske ja erakordselt särav koht stiilseks firmapeoks – Olympic Casino Olümpia

Smokingus härrad, õhtukleitides daamid, bigbänd, kabaree, särisev pinge Black Jacki lauas ja erutav kõlin automaadisaalis – ei, see pole James Bondi uue filmi treiler, vaid firmaüritus Tallinna kõige põnevamas peokohas, Olympic Casino Olümpias.

Strand SPA & konverentsihotell trumpab konkurendid üle rikkaliku kogemustepagasiga

Lääne-Eesti suurimal konverentsikeskusel on 25 aastat kogemusi ürituste korraldamises. See fakt saadab kindla sõnumi klientidele – võimekas ja usaldusväärne, professionaalne ja kvaliteetne. Just selline koostööpartner on Strand.

Valdkonna töökuulutused