• OMX Baltic−0,03261,6
  • OMX Riga−0,42865,92
  • OMX Tallinn−0,031 696,8
  • OMX Vilnius0,03986,19
  • S&P 500−1,735 408,42
  • DOW 30−1,0140 345,41
  • Nasdaq −2,5516 690,83
  • FTSE 100−0,738 181,47
  • Nikkei 225−0,7236 391,47
  • CMC Crypto 2000,000,00
  • USD/EUR0,000,9
  • GBP/EUR0,001,18
  • EUR/RUB0,0099,85
  • OMX Baltic−0,03261,6
  • OMX Riga−0,42865,92
  • OMX Tallinn−0,031 696,8
  • OMX Vilnius0,03986,19
  • S&P 500−1,735 408,42
  • DOW 30−1,0140 345,41
  • Nasdaq −2,5516 690,83
  • FTSE 100−0,738 181,47
  • Nikkei 225−0,7236 391,47
  • CMC Crypto 2000,000,00
  • USD/EUR0,000,9
  • GBP/EUR0,001,18
  • EUR/RUB0,0099,85
  • 10.11.16, 11:15
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

Andmekaitseseadusega kaasnevad suured trahvid on müüt

Paljud konsultandid on püüdnud oma teenuste müümise eesmärgil hirmutada ettevõtjaid andmekaitseseaduse määrusest tulenevate suurte trahvidega, kuid tegelikult Eesti jaoks ei tähenda määrusele üleminek otseselt ülisuuri trahviühikuid.
Raidla Ellexi vandeadvokaat Ants Nõmper
  • Raidla Ellexi vandeadvokaat Ants Nõmper Foto: Raidla Ellex
Tänavu kevadel võttis Euroopa Parlament vastu andmekaitse üldmääruse, mis annab tarbijate kätte kontrolli oma andmete kasutamise ja talletamise üle. Ettevõtjad peavad juba uuel aastal hakkama valmistuma määruse jõustumiseks, et tagada 2018. aastal kehtima hakkavate nõuete täitmist.
Järgneb intervjuu Raidla Ellexi vandeadvokaadi Ants Nõmperiga:
Keda andmekaitse üldmäärus Eestis puudutab?
Andmekaitse üldmäärus puudutab Eestis kõiki. Määrusega peavad arvestama nii need ettevõtjad, kes on Eestis registreeritud, kui ka need, kes pakuvad Eestis oma teenuseid ja kaupu näiteks e-kaubanduse teel. Lisaks peavad määrusega arvestama need ettevõtjad, kes alles plaanivad Eestis äritegevust ja kes näiteks sellel eesmärgil uurivad Eestis tarbijate käitumist ehk profileerivad kliente. Lisanõuded on kehtestatud isikuandmete kaitse mõttes „ohtlikumatele“ ettevõtjatele ehk nendele, kellel on üle 250 töötaja ning kes tegelevad profileerimise või tundlike andmetega, näiteks terviseandmed. Nende ettevõtjate jaoks toob määrus kaasa kõige suuremaid muudatusi.
Ettevõtjale 6 vajalikku punkti
1. Veendu, et andmete töötlemiseks oleks määrusekohane õiguslik alus olemas (nt korrektne nõusolek või ehk piisab ka määrusekohasest õigustatud huvist). Andmed, millel pole seaduslikku alust, tuleks kustutada.
2. Juuruta vastutustundlikku andmete töötlemist määruses toodud andmekaitse põhimõtete järgi, tööta välja isikuandmete töötlemise juhendid, vajadusel nimeta andmekaitseametnik ning tõsta töötajate teadlikkust seoses andmekaitsega. Seejuures silmas pidades võimekust tõendada määrusest kinnipidamist.
3. Uue töötlemise viisi või tehnoloogia arendamisel veendu, et see oleks vaikimisi privaatsust arvestav, mis tähendab, et sellega on arvestatud juba arendusdokumentides.
4. Koosta või täiendada isikute privaatsust puudutavaid teavitusi ja vii andmete töötlemine kooskõlla määrusega.
5. Valmistu täitma oma kohustusi seoses andmesubjekti laiendatud õigustega (nt õigus andmete ülekandmiseks või kustutamiseks).
6. Koosta juhised, et andmekaitse reeglite rikkumisel oleks võimalik kiiresti reageerida ja vajadusel sellest õigel ajal teavitada järelevalveasutust ja/või andmesubjekti.
Allikas: Raidla Ellexi vandeadvokaat Ant Nõmper
Juhul kui määrust ei järgita, milline karistus järgneb?
Paljud konsultandid on püüdnud oma teenuste müümise eesmärgil hirmutada ettevõtjaid määrusest tulenevate suurte trahvidega. Tõsi, määrus näeb maksimaalse trahvina ette 20 000 000 eurot või 4% ülemaailmsest käibest, kuid määrus mainib kohe ka seda, et Eesti on erandlik riik Euroopas, kus tulenevalt meie teistest õigusaktidest ei ole selliste karistuste kohaldamine üldse võimalik. Seega Eestis jäävad karistused 32 000 euro piiridesse ja tegelikkuses ei rakendata suuremaid kui mõnetuhandelisi trahve. Seega isikuandmete töötlemise nõudeid ei tule järgida mitte trahvi hirmus, vaid selleks, et olla oma klienti ja töötajat austav ettevõtja.
Kuidas mõjutab määrus Eesti ettevõtete igapäevast tegevust?
Kuigi andmekaitse reformi eesmärk oli kehtestada ühesugused nõuded üle Euroopa ja seetõttu ei soovitud jätta liikmesriikidele nõuete kehtestamise vabadust, siis tegelikult on liikmesriikidel väga oluline roll andmekaitse üldmääruse nõuete täpsustamisel. Kuni täpsustused ei ole paigas, ei ole täpsete tegevusjuhiste andmine võimalik. Samas üldjoontes võib öelda, et ettevõtjad peaksid oma infosüsteemid üle vaatama ja leidma vastused küsimustele, missuguseid andmeid töödeldakse, kas neid ikka on vaja töödelda ja kas neid andmeid hoitakse tänapäeva mõistes turvaliselt. Samuti on oluline teha mõtteline harjutus ja panna ennast isiku, kelle isikuandmeid töödeldakse, rolli, ja mõelda, kas see isik teab või eeldab, et tema andmeid töödeldakse nii, nagu ettevõtja seda teeb või mitte. Seejuures pole isegi oluline püüda leida vastust, kas isikuandmete töötlemine on õiguspärane, vaid lähtuda sellest, et püütakse vältida inimlikku pettumust teises pooles, mis paratamatult toob ettevõtjale kaasa selle, et töötaja või klient lahkub või kaebab järelevalveorganile.
Tõite välja kuus punkti, mis on ettevõtjatel vaja 25. maiks 2018 ära teha. Kas nende ettevalmistustega saab iga ettevõte ise hakkama?
Suuremad ettevõtjad, kellel on nii infotehnoloogiline kui ka juriidiline kompetents, on põhimõtteliselt võimelised määruse nõudeid täitma. Samas võib täiendava teadmise sisseostmine olla vajalik, et teha vajalikud tegevused ära kiiremini. Kuna aga teenusepakkuja esimene soov on saada infot olemasoleva olukorra ja plaanide kohta, siis tuleks kõigepealt igal ettevõtjal endal kodutöö ära teha. Kuna määruse rakendumiseni on veel rohkem kui poolteist aastat aega, siis võiks järgmist poolt aastat kasutada just selleks, et enda sisemised protsessid läbi mõelda ja kirja panna. Siis on nõustaja palkamine ka odavam ja tema töö efektiivsem.
Olulisemad muudatused, mis andmekaitse üldmäärusega kaasnevad:
 · Detailsemalt reguleeritakse nõuded andmesubjekti nõusolekule isikuandmete töötlemisel (andmesubjekti õigused laienevad).
· Töötlemisvahendite kindlaksmääramisel tuleb rakendada tehnilisi ja korralduslikke meetmeid. 
· Vastutav töötleja peab dokumenteerima ja olema võimeline tõendama, et isikuandmeid töödeldes peetakse kinni määruses toodud põhimõtetest. 
· Delikaatsete isikuandmete töötlemise kontseptsioon muutub: töötlemine on keelatud, kui määrus ei sätesta selle jaoks eraldiseisvat õiguslikku alust. 
· Soodustatakse vabatahtlike andmekaitse sertifitseerimise mehhanismide, andmekaitsepitserite ja -märgiste ning toimimisjuhendite kasutuselevõttu, et aidata kaasa määruse korrektsele kohaldamisele. 
· Lisandub teavitamiskohustus seoses isikuandmete töötlemisnõuete rikkumistega.

Seotud lood

Kasulik
  • 08.03.17, 06:45
Muutus isikuandmete kaitses: tohutu lisakulu ja hiigeltrahvid
Järgmisel aastal kehtima hakkav määrus tähendab ulatuslikke kohustusi kõikidele isikuandmeid töötlevatele firmadele, nõuete rikkumine võib tuua kuni 20 miljoni euro suuruse trahvi.
  • ST
Sisuturundus
  • 02.09.24, 14:25
Paljudel tööstus- ja laohoonetel jätkuvalt tuleohutusülevaatus tegemata: Forus on ettevõtetele oluliseks partneriks
Suurel osal tuleohutusülevaatuse kohuslastest on jätkuvalt ülevaatus tegemata. Päästeamet on viimasel ajal saatnud ettevõtetele hoiatusteateid. Foruse praktika näitab, et tihti pole ettevõtete juhid ja hoone haldjad kursis, millised tuleohutusnõuded peavad olema täidetud ning mis regulaarsusega tuleb seadmeid kontrollida. Valdavalt on murekohad objektidel sarnased.

Hetkel kuum

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi Äripäeva esilehele