Autor: Personaliuudised.ee • 28. mai 2019

Isikuandmete kaitse üldmääruse esimene aasta

Möödunud on aasta palju kõneainet tekitanud isikuandmete kaitse üldmääruse kehtima hakkamisest. Ettevõtete ja asutuste jaoks tekitas uus andmekaitse kord palju küsimusi ja lisatööd ning Andmekaitse Inspektsioonile esitati üksjagu rikkumisteateid. Ettevõtjate peamistest murekohtadest kirjutab Grant Thornton Balticu õigusnõustaja Allan Kubu.
Grant Thornton Balticu õigusnõustaja Allan Kubu

Artikkel tugineb Andmekaitse Inspektsiooni (edaspidi AKI) 2018. aasta aastaraamatule1. Aastaraamatus antakse ülevaade olulisematest seaduste täitmise ja rakendamisega seotud asjaoludest ning menetluspraktikast. Sissejuhatuses nendib AKI peadirektori ülesandeid täitev Raavo Palu, et 2018. aasta on olnud mitmes mõttes muutuste aasta – seda nii AKI-le, isikuandmete töötlejatele kui ka andmesubjektidele. Andmetöötlejad on pidanud tegema investeeringuid oma protsessidesse, kaardistama oma isikuandmete töötlemise ning mõned töötlejad on pidanud ka esimest korda struktureeritult mõtlema isikuandmete töötlemise turvalisusele ja andmete kaitsevajadusele. Ilmselt ei saa keegi väita, et need muudatused oleksid ebavajalikud.

Tänapäeva ühiskonnas on üha rohkem juurdunud veendumus, et isikuandmed on isikutele kuuluv vara, mis vajab kaitset, ja õigus isikuandmete kaitsele on põhiõigus. Grant Thornton Balticu isikuandmete kaitse spetsialistid on nõustanud väga paljusid kliente, kes tegutsevad erinevatel tegevusaladel – alates krediidivahendajatest ja -andjatest kuni töötleva tööstuse ettevõteteni. See näitab selgelt, et isikuandmete kaitsmise vajadust mõistetakse ja ollakse altid ka majaväliselt abi otsima.

Rikkumisteateid sai AKI üksjagu, aga mitte ummistavalt palju

Isikuandmete kaitse üldmääruse jõustudes eeldati, et rikkumisteateid, mille esitamine on nüüdsest kohustuslik, hakkab laekuma väga suures koguses. Statistikast nähtub, et AKI sai kuu aega enne isikuandmete kaitse üldmääruse kehtima hakkamise esimest aastapäeva andmetöötlejatelt kokku 101 isikuandmetega seotud rikkumisteadet. 25. maist (isikuandmete kaitse üldmääruse kehtima hakkamise daatum) kuni 31. detsembrini 2018 esitati AKI-le kokku 64 rikkumisteadet. AKI aastaraamatus on põhjusteks märgitud nii inimlik eksimus, hooletus, teadmatus kui ka puudulik andmeturve. Uudistessegi on jõudnud erinevad isikuandmetega seonduvad rikkumised, mis peamiselt on olnud seotud andmete lekkimisega.

Ka meie oleme täheldanud, et peamised lekkepõhjused on kas inimeste teadmatus või hooletus. Seetõttu soovitame alati pärast protsesside ülevaatamist ja ümbertegemist teha töötajatele isikuandmete kaitse ja küberturvalisuse koolitusi. Sellest pole kasu, kui protseduurid, näiteks isikuandmete töötlemise kord, on vastu võetud, kuid töötajatele seda ei tutvustata ega tehta praktilist koolitust uute reeglite kohta.

AKI tehnoloogiadirektor Urmo Parm resümeeris aastaraamatus, et rikkumisteated andsid möödunud aastal aluse väärteomenetluse algatamiseks kolmel korral ja haldusjärelevalve menetluseks ühel korral. Valdkondlikult toimus rikkumisi nii avalikus kui ka erasektoris. Intsidente registreeriti veebiteenuste, tervishoiuteenuste, pangandus-/finantsteenuste ja transporditeenuste pakkujate hulgas. Samuti side-, tootmise- ja haridusvaldkonna andmetöötlejatel.

AKI ei muutu trahvivabrikuks

Isikuandmete kaitse üldmääruses on sätestatud üüratud trahvid ja tekkis ka hirm, et üldmääruse kehtima hakkamise päevast hakatakse ettevõtteid trahvima. See hirm on olnud põhjendamatu ja ka aastaraamatus nendib AKI järgmist: ,,Võib tekkida küsimus, millal hakkab Andmekaitse Inspektsioon määrama isikuandmete kaitse üldmäärusega tulnud hiigeltrahve, mida Eesti õiguse kohaselt tuleb määrata väärteomenetluse raames. Selle osas kinnitan, et Andmekaitse Inspektsioon ei muutu ka edaspidi trahvivabrikuks. Rikkumiste puhul on meie käitumismustriks olnud selgitamine ja hoiatamine. Karistusi ja sundi rakendame viimase abinõuna.“

Väljatoodu muidugi ei välista trahvimist, kui toimub tahtlik ja väga oluline rikkumine. Andmetöötlejad ei tohiks eeldada, et igal juhul ja alati AKI vaid selgitab ja hoiatab. Andmetöötlejad peavad isikuandmetega ümber käima hoolsalt ja tundma vastutust andmesubjektide ees, mitte tagama isikuandmete kaitse üldmäärusega vastavust pelgalt sanktsioonihirmust.

Kokkuvõttes võib öelda, et isikuandmete kaitse üldmääruse esimese aasta temperatuur ei ole olnud ei kõrbekuum ega ka jääkülm. See on olnud pigem leige. Siiski on positiivne, et ettevõtted on hakanud struktureeritumalt lähenema isikuandmete kaitsele ning mõistnud isikuandmete kaitsmise vajadust. Struktureeritud andmekaitse üks osa on ka andmekaitse spetsialisti määramine ja hea meel on tõdeda, et AKI-t on teavitatud juba ligi 2700 andmekaitse spetsialisti määramisest.

AKI aastaraamat sisaldab ka soovitusi 2019. aastaks, millest olulisemad võiksid olla järgmised: kehtesta selged, lihtsad ja arusaadavad andmetöötlustingimused – seda nii klientide kui ka oma töötajate jaoks; veendu, et ettevõtte töötajad on saanud koolitusi, selgitusi ning (kirjalikke) juhendmaterjale, mis aitavad neil ettevõtte nimel isikuandmeid õiguspäraselt töödelda.

1 Andmekaitse Inspektsiooni 2018. aasta aastaraamat on kättesaadav SIIN.

Allikas: Grant Thornton Baltic

Liitu Personaliuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Liitu Personaliuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Helen RootsPersonaliuudised.ee juhtTel: 55 988 223
Cätlin PuhkanPersonaliuudised.ee turunduslahenduste müügijuhtTel: 53 315 700
Mirell SoaseppKonverentside programmijuhtTel: 55 565 456