Peagi hakkab kehtima uus isikuandmete kaitse üldmäärus

Euroopa Liidu isikuandmete kaitse uue üldmääruse täitmiseks tuleb hakata valmistuma juba nüüd. Siit leiate kümme nõuannet ettevalmistustega alustamiseks.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?
EL andis 2016. aasta aprillis välja isikuandmete kaitse üldmääruse.

EL andis 2016. aasta aprillis välja isikuandmete kaitse üldmääruse. Teame, et pärast määruse jõustumist 2018. aasta mais (kaheaastase üleminekuperioodi lõppedes) hakkavad kehtima isikuandmeid töötlevatele ettevõtetele uued operatiivnõuded.

Kuna isikuandmete määratlus on väga lai, siis puudutab see määrus tegelikult peaaegu kõiki ettevõtteid. Nüüd on isikuandmete kaitse uue määruse jõustumiseni jäänud vaid pisut üle 300 tööpäeva, mistõttu koostasime teie jaoks kümne alapunktiga juhise, et aidata teil vajalike ettevalmistustega alustada.


1. Määruste järgimise tõendamine

Uue määruse järgi peab isikuandmete registri haldaja suutma näidata (tõendada), et töötleb isikuandmeid nõuetekohaselt.

Praktikas tähendab see seda, et oma vastutusvaldkonda puudutavate andmetöötlustoimingute kohta tuleb pidada registrit – selleks, et vajadusel andmete nõuetekohast töötlemist tõendada.

2. Nõusoleku saamine kliendilt

Kui isikuandmete töötlemine toimub isiku nõusolekul, siis peab olema võimalik tõendada, et vastav nõusolek on saadud.

Lisaks muutuvad nõusolekuga seotud reeglid rangemaks.

- Nõusolek peab olema antud sõnaselgelt kas kirjaliku, elektroonilise või suulise avalduse vormis.

- Nõusolek peab tõendama, et isik on vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt andnud loa oma isikuandmete kasutamiseks.

- Harilikult antakse nõusolek vastava märkeruudu klikkamisega (eelmärgistatud lahtreid ei tohiks pidada nõusolekuks).

3. Kliendi õigus nõuda andmete kustutamist

Üks kehtima hakkava määruse uus punkt puudutab registreeritud isiku õigust nõuda tema andmete nö unustamist. Praktikas tähendab see, et isikul on õigus nõuda oma andmete andmebaasist eemaldamist (kustutamist).

Sellise situatsiooniga on näiteks tegu siis, kui isik võtab tema isikuandmete kasutamiseks antud nõusoleku hiljem tagasi (tühistab selle). Kui isikuandmete töötlemisel on aga jätkuvalt seaduslik alus ja eesmärk, siis andmete eemaldamise kohustust pole.

Kui te peate andmed eemaldama, tuleb sellest teavitada kõiki (juriidilisi) isikuid, kes on vastavaid andmeid saanud või väljastanud. Seda on vaja, et kustutada ka kõik vastava materjaliga seotud lingid, duplikaadid ja koopiad.

4. Kliendi õigus nõuda andmete edastamist

Praegu on kõigil õigus saada enda kohta käivaid isikuandmeid, võimaluse korral isiku soovitud viisil.

See õigus kehtib ka nende isikuandmete puhul, mille isik on andnud nõusoleku või lepinguga.

5. Profiilimise keeld

Kõigil on õigus sellele, et nende suhtes ei võetaks vastu kohtulikke või muid olulise mõjuga otsuseid andmete automaatse töötlemise põhjal. Teiste sõnadega: isikut mõjutavaid kaalukaid otsuseid ei saa vastu võtta tuginedes andmete automaatsele töötlemisele.

Erandina ei kehti profiilimiskeeld juhul, kui otsustamine on vajalik isiku ja ettevõtte vahelise lepingu sõlmimiseks. Peate kindlustama, et profiilimis- ja otsustusprotsess on seadustega kooskõlas ning kõik vajalikud muudatused sisse viidud.

Profiilimiskeelu levinud erandi näitena võib tuua krediidiotsuste tegemise. Selliste otsuste puhul tuginetakse sageli automaatsetele klassifitseerimissüsteemidele ja vastavatele soovitustele.

6. Andmeturbega seotud eksimustest teavitamine

Tulevikus on teil kohustus ametivõime ja registreeritud isikuid andmeturbega seotud eksimustest teavitada. See nõue puudutab olukordi, mille puhul rikutakse mingisuguseid isikuõiguste ja -vabadustega seotud eeskirju. Sellistes situatsioonides tuleb toimida järgmiselt:

- 72 tunni jooksul (rikkumise ilmnemisest) peab teavitama ametivõime.

- Kõiki isikuid, keda rikkumine võib mõjutada, tuleb teavitada niipea, kui nende isikuõigused ja/või -vabadused rikkumise tõttu (tõenäoliselt) ohtu satuvad.

Selleks, et neid nõudeid saaks täita, peab koostama ettevõttesisesed juhised ja määrama protseduurireeglid, mis kindlustaks tõhusad ja korrektsed tööprotsessid.

7. Andmetöötlusprotsessist teavitamine

Kõikjal maailmas koguvad ettevõtted neil päevil isikuandmeid rohkem kui kunagi varem. EL-i määruste täitmiseks tuleb esitada andmetöötluse teavet varasemaga võrreldes rohkem.

See tähendab, et teil tuleb määrata isikuandmete säilitamise aeg. Kui see pole võimalik, tuleb teavitada kriteeriumist, mille alusel säilitusaeg määratakse.

Praktikas tähendab see teie jaoks näiteks registri- ja andmeturbega seotud dokumentide värskendamist. Samuti tuleb mõelda sellele, kuidas tegelikkuses registreeritud isikuid teavitama hakata.

8. Andmekaitsespetsialisti ametikoha loomine

Andmekaitse tähtsuse kasvamisega seoses võib osutuda vajalikuks määrata ametisse andmekaitsespetsialist, kes vastutaks isikuandmete käitlemise eest. Näiteks võib olla andmekaitsespetsialisti määramine oluline sellistes ettevõtetes, kus laialdaselt, regulaarselt ja süsteemselt inimesi jälgitakse, või kus selline jälgimine on üks põhitegevustest. Seda arvesse võttes tuleks kaaluda, kas teie ettevõttes on andmekaitsespetsialisti määramine otstarbekas või mitte.

9. Kaitsemeetete rakendamine isikuandmete töötlemise teenuse sisseostmisel

Kui mingit osa andmetöötlusprotsessist haldab mõni kolmas asutus (teenus on sisseostetud)  ja käitleb isikuandmeid teie eest, on teil järgmised kohustused:

- Te peate kindlustama, et asjakohased tehnilised ja organisatsioonilised kaitsemeetmed vastavad uue määruse nõuetele.

- Te peate kindlustama, et registreeritud isikute õigused on kaitstud.

Praktikas tähendab see, et teil tuleb määratleda olukorrad, mille puhul on teenuse sisseost kohane, ning kindlustada, et kõik vastavad lepingud on koostatud korrektselt. Näiteks käsitletakse ka andmete talletamist pilves teenuse sisseostuna (vaatamata sellele, et teenusepakkuja aktiivselt andmeid ei töötle).

10. Rikkumistega võivad kaasneda kopsakad trahvid

Oluline on arvesse võtta ka seda, et lisaks hoiatustele võidakse andmekaitsemääruste vastu eksimisel karistada teid kopsaka trahviga. Trahv võib ulatuda 20 miljoni euroni või moodustada kuni 4% teie ettevõtte aastakäibest.