Järgmisel aastal kehtima hakkav määrus tähendab ulatuslikke kohustusi kõikidele isikuandmeid töötlevatele firmadele, nõuete rikkumine võib tuua kuni 20 miljoni euro suuruse trahvi.
Aasta alguses teatas globaalne tehnoloogiahiid Yahoo mitmest intsidendist, mille käigus varastati kokku rohkem kui miljardi kasutaja isikuandmed. Taolised suuremahulised andmete vargused peaksid 2018. aasta mais kehtima hakkava uue isikuandmete kaitse üldmääruse valguses lööma häirekella ka Eesti ettevõtjatele, kes tegelevad andmebaasidega.
Otsene vargus on ainult üks osa isikuandmetega seotud rikkumistest, selgitas advokaadibüroo Glimstedt advokaat ja andmekaitseõiguse ekspert Mari-Liis Orav. Rikkumiste hulka kuuluvad edaspidi ka igasugune turvanõuete rikkumine, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või juurdepääsu neile.
Puudutab ka töötajate isikuandmeid
Isikuandmete töötlemise turvanõuete ja teavitamiskohustuse rikkumise eest võib nende töötlejat karistada ning trahve määrata. Trahvi puhul võetakse arvesse konkreetse juhtumi asjaolud, aga määruse järgi võib see ulatuda kuni 10 000 000 euroni või kuni 2%ni ettevõtja eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Maksimaalselt võib trahvisumma ulatuda 20 000 000 euroni või kuni 4%ni ettevõtte kogukäibest.
Kuigi uus määrus on suurte trahvisummade tõttu mõeldud eelkõike rahvusvaheliste tehnoloogiahiidude taltsutamiseks, puudutab see siiski kõiki ettevõtjaid, kes isikuandmeid töötlevad. Orava selgitusel tasub tähele panna, et uue määruse järgi kuuluvad isikuandmete kaitse regulatsiooni alla ka töötajate isikuandmed, millega seonduv kipub sageli olema keeruline ja tundlik. Selleks, et vältida karistusi ning rikkumise tagajärjel tekkivat mainekahju, tuleks ettevõtjal Orava soovitusel panustada nii isikuandmete töötlemise turvalisusesse kui ka töötada välja tegutsemisjuhised võimalike rikkumiste avastamiseks.
Advokaadi sõnul peab ettevõttel tekkima arusaam vastutusel olevate isikuandmete töötlemisest ja selle ahelast. Alles siis saab öelda, kas ja mida on vaja muuta või täiendada uue andmekaitsemääruse valguses. Igal ettevõtjal tasuks teha isikuandmete töötlemise praktika analüüs. Näiteks peavad teatud andmetöötlejad määrama andmekaitseametniku. See kohustus on avaliku sektori asutustel ja organitel, andmetöötlejatel, kelle põhitegevus on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine, andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Nii kehtiva regulatsiooni kui ka uue määruse alusel eristatakse vastutavat ja volitatud andmetöötlejat. Kui kehtiva regulatsiooni alusel on vastutus peamiselt vastutavatel töötlejatel, siis määruse alusel laiendatakse vastutust ka volitatud töötlejatele (näiteks pilveteenusepakkujatele ja teistele, kes vastutava töötleja nimel andmeid töötlevad).
Tulekul!
12. oktoobril Bliss Maja konverentsikeskuses
Tutvu kavaga ja registreeri
SIIN!
Olulised uuendused isikuandmete kaitse määruses
Isikuandmete kaasaskantavus – isikuandmete töötlemine peab toimuma süsteemselt ja olema dokumenteeritud ning kogu andmestik peab olema teisaldatav.
Andmekaitseametniku (Data Protection Officer) määramise nõue.
Trahv kuni 10 000 000 eurot või kuni 2% ettevõtja eelneva majandusaasta ülemaailmsest aastasest kogukäibest.
Kohustus teavitada järelevalveasutust 72 tunni jooksul rikkumise avastamisest, sealhulgas rikkumise laadist, puudutatud isikutest, nende ligikaudsest arvust, rikkumise võimalikest tagajärgedest ja rikkumise leevendamiseks kavandatavatest meetmetest.
Teha tuleb uusi investeeringuid
Määrus on mahukas ning muudab esialgu ettevõtjate elu pigem raskemaks, sest halduskoormus suureneb. IT- ja äriteenustega tegelev AS CGI Eesti on sellega tööd juba alustanud. Ettevõtte juristi Kati Vellaki sõnul on vaja muuta nii protseduure, äriprotsesse kui ka infosüsteeme ning see kõik on ajamahukas. Planeerides tuleb arvestada ka sisemise ajakuluga äriprotsesside muutmisele ning üldjuhul on vajalik planeerida eraldi eelarve infosüsteemide muudatuste tarvis.
Vellak selgitas, et määruse eesmärk on inimestele anda tagasi kontroll nende isikuandmete käitlemise üle ja reguleerida nii andmetöötlejate tegevust. „Sellest tulenevalt ongi meie eesmärk panna paika selge ja loogiline plaan 2017. aastaks. Käime läbi ja kaardistame kõik ettevõtte tegevused ning seejärel hindame, kas midagi vajab muutmist,” selgitas ta. Ettevõtte seisukohast on tegemist märkimisväärse kuluartikliga, nõudes investeeringuid inimestesse ja vajadusel ka tehnilistesse meetmetesse.
Kuidas valmistuda uueks määruseks?
Reeglite tundmine.- Eeltöö algab arusaamisest, mis on isikuandmetega seotud rikkumine ning teadvustamisest, et see ei ole üksnes andmete vargus. Rikkumine on näiteks ka töötaja kaotatud sülearvuti või mälupulk, mis on krüpteerimata ja sisaldab klientide andmebaasi.
Rikkumise tuvastamine.- Kui rikkumine on tuvastatud, peab ettevõtja hindama, kas tal on kohustus teavitada järelevalveasutust. Juhul, kui teavitamiskohustust ei ole, sest rikkumine ei kujuta tõenäoliselt ohtu puudutatud isikute õigustele ja vabadustele, peab ta olema võimeline seda ka tõendama.
Kiire tegutsemine läbimõeldud plaani alusel.- Kui ettevõtja jõuab järeldusele, et tal on teavitamiskohustus, peab ta olema suuteline kokku koguma kogu vajaliku teabe, selle järelevalveasutusele edastama ning temaga edasi suhtlema. Ettevõtja peab ka hindama, kas tal on kohustus teavitada puudutatud isikuid ning kui jah, siis seda tegema.
Allikas: advokaadibüroo Glimstedt advokaat Mari-Liis Orav
Suurandmete konverents „5% täiendavat efektiivsust“
Elisa kogemusest andmekaitsemääruseks valmistumisel saate kuulata Elisa peajuristi
Allan Aedmaa suust 12. oktoobril toimuval
suurandmete konverentsil.
Veel esinevad:
Dmitry Turchyn- , Microsofti andmeplatvormi ja tehisintellekti juht Kesk- ja Ida-Euroopas: Kuidas andmete abil äri ja elu muuta? (inglise keeles)
Andres Kukke- , Infovara ärianalüüsi juhtivkonsultant: Milliseid muudatusi teeks robot, kui äri tema kätte anda?
Argo Virkebau- , Tele2 Eesti tegevdirektor: Kuidas on Tele2 andmete abil äri edendanud?
Mart Mägi- , Statistikaameti juht: Kuidas erinevad andmeallikad loovad täiendväärtust?
Diskussioon:- kui kaugele võib isikuandmete kasutamisega minna?
Tutvu kavaga ja registreeri
SIIN.
Autor: Marge Männistu, Äripäev
Seotud lood
Tehnoloogia areneb kiires tempos ja see tähendab, et ka õigusloome peab katsuma sellega sammu pidada, kirjutavad Triniti advokaadid Karmen Turk, Marten Kaevats ja Maarja Pild.
Uus andmekaitsemäärus paneb 2018. aasta maist ettevõtjatele kohustuse tagada isikuandmete kaasaskantavus, õiguse olla unustatud ja annab isikutele ka teisi uusi õigusi. Sellega lisandub andmeid töötlevale ettevõtjale hulk kohustusi, kirjutab jurist Maarja Pild.
Paljud konsultandid on püüdnud oma teenuste müümise eesmärgil hirmutada ettevõtjaid andmekaitseseaduse määrusest tulenevate suurte trahvidega, kuid tegelikult Eesti jaoks ei tähenda määrusele üleminek otseselt ülisuuri trahviühikuid.
Eestis on negatiivse kuvandi saanud termin Exceli-põhine juhtimine. Tegelikkuses ei ole andmepõhises juhtimises midagi halba, see ongi tulevik. Andmepõhine juhtimine peab aga tuginema võimalikult suurele andmekogumile, leiab ettevõtja Madis Lämmergas.
Eesti ja kogu Baltikumi suurim kasutatud autode jaemüüja AS Longo Group pakub kõigis kolmes Balti riigis võlakirju summas 10 miljonit eurot, mille aastane fikseeritud intressimäär on 10% ja tähtaeg kolm aastat. Võlakirjade märkimisperiood kestab kuni 25. novembrini ning on avatud nii jae- kui ka kutselistele investoritele.