Andmekaitse üldmäärus

Tänaseks on juba enamik kursis, et EL võttis 2016.a kevadel vastu isikuandmete kaitse üldmääruse (edaspidi andmekaitsemäärus). Määrus tunnistas kehtetuks isikuandmete kaitse direktiivi 95/46/EÜ. Uue määruse mõte oli muuta andmekaitset reguleeriv seadusandlus senisest täpsemaks ja detailsemaks ning määratleda selgemalt vastutus. Andmekaitsemäärus on täitmiseks kohustuslik alates 25.05.2018.

Selgitame, et isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Isikut on võimalik tuvastada, kui teada on nimi, isikukood, asukohateave, võrguidentifikaator või füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal. Isikuandmeid tuleb kaitsta juhusliku või tahtliku volitamata muutmise, hävitamise, töötlemise ning õigustamata isikule kättesaadavaks tegemise eest.

 

Isikuandmete töötleja on see, kes kogub, dokumenteerib, korrastab, struktureerib, säilitab, kohandab, muudab, levitab või teeb muul moel kättesaadavaks isikuandmed. Näiteks toimub isikuandmete töötlemine siis, kui ilusalong küsib kliendilt kliendikaardi väljastamiseks kliendi täisnime, isikukoodi ja e-postiaadressi. Kogutud andmed on delikaatsed isikuandmed, mille nõuetele mittevastav töötlemine võib põhjustada kliendile kahju.

 

Uue andmekaitsemäärusega on tehtud kohustusliks alljärgnev:

 

  1. andmekaitsespetsialisti määramine teatud juhtudel – tegemist eksperdiga, kes tunneb andmekaitsealaseid õigusakte ning tavasid ja kes abistab ning kontrollib andmetöötlejat nõuete täitmisel. Andmekaitse Inspektsiooni (AKI) hinnangul peab andmekaitsespetsialisti kompetentsi kuuluma oskus rakendada pädevaid turvameetmeid, kes oma ülesannete täitmisel annab nõu seoses andmekaitsealase mõjuhinnanguga ning jälgib selle toimimist, teeb koostööd järelevalveasutusega ja tegutseb kontaktisikuna ettevõtte nimel. Andmekaitsespetsialisti ei pea eraldi ettevõttesse palkama. Spetsialisti teenuseid võib sisse osta või nõusoleku korral koolitada ettevõttes olevat töötajat vajaliku tasemeni. Oluline on teada, et andmekaitsespetsialist on juhtkonna tasemel, kes peab teadma ettevõtte struktuuri ning seda, kes ja kus andmeid töötleb. Spetsialistil on õigus teha juhtkonnale ja ettevõtte töötajatele märkusi/ettekirjutusi, kui andmete töötlemisel ei järgita nõudeid. Spetsialisti ei saa vallandada põhjusel, et ta teeb ettekirjutusi juhtkonnale nõuetekohaseks andmete töötlemiseks.

 

  1. Isikuandmete töötleja peab teadma täpselt, milliseid isikuandmeid ja kuidas töödeldakse, millise reegli järgi neid hoitakse, kellel on ettevõtte siseselt juurdepääs ning mis väga oluliseks muutub, millised õigused on isikul, kelle kohta need andmed käivad. See tähendab seda, et ettevõte peab protsessiliselt lahti kirjeldama, mida ja millisel eesmärgil kogutakse ja töödeldakse. Iga isikuandmetega teostatud toiming ja selle eesmärk peab olema tõestatav, nende töötlemist tuleb hakata „logima“.

 

  1. Isikuandmete töötlejal on kohustus tõestada, et ta on andmed saanud andmesubjekti nõusolekul määratud tegevusteks ja vaikimine ei ole nõusolek, va kui töötlemiseks tuleneb õigus seadusest. See tähendab seda, et uudiskirjade edastamiseks peab klient olema andnud eelnevalt nõusoleku. Nõusolek peab olema antud vabatahtlikult, teadlikult ja informeeritult. See peab olema üheselt mõistetav ja aktiivse toiminguna tehtud tahteavaldus. Andmesubjektil ehk kliendil on õigus küsida teavet, milliseid toimingud andmetöötleja teeb, kes on töötleja ja millised on kliendi õigused päringute tegemisel. Kõige olulisem muudatus on kliendi õigus olla unustatud. See tähendab, et kui andmesubjekt on palunud enda andmed kustutada (nt e-postiaadress ja telefon), ei ole ettevõttel õigus enam andmeid kasutada (nt uudiskirja edastamiseks e-mailiga).

 

  1. Isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus. See tähendab, et kui teenuse osutamiseks ei ole vajalikud kliendi elukohaandmed, on keelatud neid koguda. Näiteks, kui veebipood toimetab kauba kätte vaid pärast makse teostamist ning ainult pakiautomaatide vahendusel, puudub vajadus küsida isikult eelnevalt täpne elukoha järgne aadress. Sellisel juhul piisab telefoninumbrist või e-postiaadressist, et vajadusel anda kliendile infot saadetise kohta. Kehtib andmete minimaalsuse printsiip.

 

  1. Juhul kui on leidnud aset isikuandmete töötlemise nõuete rikkumine, on kohustuslik vastav rikkumine fikseerida. Seda ka juhul kui rikkumine oli väike (nt kogemata vaadati andmesüsteemist vale kliendi andmeid). Sõltuvalt rikkumise astmest, on kohustuslik teavitada AKI-t ning vajadusel andmesubjekti. Kohustuslik on AKI-t ja andmesubjekti teavitada, kui rikkumise tulemusel on oodata suurt kahju (nt delikaatsete isikuandmete lekkimisel võib võimalikuks saada andmesubjekti diskrimineerimine). Rikkumiste fikseerimisega tagab töötleja ülevaate isikuandmete töötlemisega seonduvatest riskidest ning võimaluse riske maandada.

 

Advokaadibüroo Eipre&Partnerid aitab meeleldi saada selgemaks uue andmekaitsemäärusega ettenähtud muudatusi.