Andmekaitse uued nõuded ehmatasid ettevõtted ära
Ei, uus isikuandmete kaitse üldmäärus ei nõua ettevõtjalt kõigi andmetöötlustoimingute puhul mõjude hindamist ja andmekaitse inspektsiooniga konsulteerimist, rahustab ettevõtjaid andmekaitse inspektsiooni peadirektor Viljar Peep.
Tema sõnul rakenduvad rangemad nõuded siis, kui isikuandmete töötlemine sisaldab riske. „Näiteks andmetöötluse suur maht, tundlik sisu, inimeste automatiseeritud profileerimine, automaatotsused, suurte alade kaameravalve, isikuandmete edastamine väljapoole Euroopat,“ loetles Peep. „See tähendab, et mõjuhinnangu tegemise kohustus on neil andmetöötlejatel, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt inimeste õigustele ja vabadustele suur oht.“
Samuti tuleb Peebu sõnul mõju hinnata siis, kui ettevõtja hakkab kasutama uut tehnoloogiat, millega tal varem kokkupuudet pole olnud. „Näiteks sõrmejälje- või näotuvastuspõhised lahendused või nn asjade interneti seadmetel põhinevate teenuste osutamine. See annab andmetöötlejale teadmise, kas näiteks uus riist- või tarkvara võib võrreldes senisega kujutada inimestele kõrge riskiga eraelulist riivet,“ selgitas ta.
Kui selliseid riske ettevõtte andmetöötlusprotsessidega ei kaasne, siis mõjuhinnangut teha ei tule, lisas Peep.
Tema sõnul on osa ettevõtjaid ekslikult tõlgendanud eelneva konsulteerimise kohustust käsitlevat määruse artiklit endale ebasoodsamal viisil. „Eksliku tõlgenduse kohaselt jääks eelneva konsulteerimise kohustus andmeid töötlevale ettevõttele-asutusele ka siis, kui pärast mõjuhinnangu tegemist leitakse sobivad meetmed ohu leevendamiseks ning andmete töötlemisel enam ohtu ei ole.“