Andmekaitseseadusega kaasnevad suured trahvid on müüt

Tänavu kevadel võttis Euroopa Parlament vastu andmekaitse üldmääruse, mis annab tarbijate kätte kontrolli oma andmete kasutamise ja talletamise üle. Ettevõtjad peavad juba uuel aastal hakkama valmistuma määruse jõustumiseks, et tagada 2018. aastal kehtima hakkavate nõuete täitmist.

Järgneb intervjuu Raidla Ellexi vandeadvokaadi Ants Nõmperiga:

Keda andmekaitse üldmäärus Eestis puudutab?

Andmekaitse üldmäärus puudutab Eestis kõiki. Määrusega peavad arvestama nii need ettevõtjad, kes on Eestis registreeritud, kui ka need, kes pakuvad Eestis oma teenuseid ja kaupu näiteks e-kaubanduse teel. Lisaks peavad määrusega arvestama need ettevõtjad, kes alles plaanivad Eestis äritegevust ja kes näiteks sellel eesmärgil uurivad Eestis tarbijate käitumist ehk profileerivad kliente. Lisanõuded on kehtestatud isikuandmete kaitse mõttes „ohtlikumatele“ ettevõtjatele ehk nendele, kellel on üle 250 töötaja ning kes tegelevad profileerimise või tundlike andmetega, näiteks terviseandmed. Nende ettevõtjate jaoks toob määrus kaasa kõige suuremaid muudatusi.

Juhul kui määrust ei järgita, milline karistus järgneb?

Paljud konsultandid on püüdnud oma teenuste müümise eesmärgil hirmutada ettevõtjaid määrusest tulenevate suurte trahvidega. Tõsi, määrus näeb maksimaalse trahvina ette 20 000 000 eurot või 4% ülemaailmsest käibest, kuid määrus mainib kohe ka seda, et Eesti on erandlik riik Euroopas, kus tulenevalt meie teistest õigusaktidest ei ole selliste karistuste kohaldamine üldse võimalik. Seega Eestis jäävad karistused 32 000 euro piiridesse ja tegelikkuses ei rakendata suuremaid kui mõnetuhandelisi trahve. Seega isikuandmete töötlemise nõudeid ei tule järgida mitte trahvi hirmus, vaid selleks, et olla oma klienti ja töötajat austav ettevõtja.

Kuidas mõjutab määrus Eesti ettevõtete igapäevast tegevust?

Kuigi andmekaitse reformi eesmärk oli kehtestada ühesugused nõuded üle Euroopa ja seetõttu ei soovitud jätta liikmesriikidele nõuete kehtestamise vabadust, siis tegelikult on liikmesriikidel väga oluline roll andmekaitse üldmääruse nõuete täpsustamisel. Kuni täpsustused ei ole paigas, ei ole täpsete tegevusjuhiste andmine võimalik. Samas üldjoontes võib öelda, et ettevõtjad peaksid oma infosüsteemid üle vaatama ja leidma vastused küsimustele, missuguseid andmeid töödeldakse, kas neid ikka on vaja töödelda ja kas neid andmeid hoitakse tänapäeva mõistes turvaliselt. Samuti on oluline teha mõtteline harjutus ja panna ennast isiku, kelle isikuandmeid töödeldakse, rolli, ja mõelda, kas see isik teab või eeldab, et tema andmeid töödeldakse nii, nagu ettevõtja seda teeb või mitte. Seejuures pole isegi oluline püüda leida vastust, kas isikuandmete töötlemine on õiguspärane, vaid lähtuda sellest, et püütakse vältida inimlikku pettumust teises pooles, mis paratamatult toob ettevõtjale kaasa selle, et töötaja või klient lahkub või kaebab järelevalveorganile.

Tõite välja kuus punkti, mis on ettevõtjatel vaja 25. maiks 2018 ära teha. Kas nende ettevalmistustega saab iga ettevõte ise hakkama?

Suuremad ettevõtjad, kellel on nii infotehnoloogiline kui ka juriidiline kompetents, on põhimõtteliselt võimelised määruse nõudeid täitma. Samas võib täiendava teadmise sisseostmine olla vajalik, et teha vajalikud tegevused ära kiiremini. Kuna aga teenusepakkuja esimene soov on saada infot olemasoleva olukorra ja plaanide kohta, siis tuleks kõigepealt igal ettevõtjal endal kodutöö ära teha. Kuna määruse rakendumiseni on veel rohkem kui poolteist aastat aega, siis võiks järgmist poolt aastat kasutada just selleks, et enda sisemised protsessid läbi mõelda ja kirja panna. Siis on nõustaja palkamine ka odavam ja tema töö efektiivsem.

Olulisemad muudatused, mis andmekaitse üldmäärusega kaasnevad:

 · Detailsemalt reguleeritakse nõuded andmesubjekti nõusolekule isikuandmete töötlemisel (andmesubjekti õigused laienevad).

· Töötlemisvahendite kindlaksmääramisel tuleb rakendada tehnilisi ja korralduslikke meetmeid. 

· Vastutav töötleja peab dokumenteerima ja olema võimeline tõendama, et isikuandmeid töödeldes peetakse kinni määruses toodud põhimõtetest. 

· Delikaatsete isikuandmete töötlemise kontseptsioon muutub: töötlemine on keelatud, kui määrus ei sätesta selle jaoks eraldiseisvat õiguslikku alust. 

· Soodustatakse vabatahtlike andmekaitse sertifitseerimise mehhanismide, andmekaitsepitserite ja -märgiste ning toimimisjuhendite kasutuselevõttu, et aidata kaasa määruse korrektsele kohaldamisele. 

· Lisandub teavitamiskohustus seoses isikuandmete töötlemisnõuete rikkumistega.