Kaks soovitust andmekaitse trahvi vältimiseks

Äripäeva raadio hommikuprogrammis ütles andmekaitseekspert, advokaadibüroo Sorainen advokaat Tea Kookmaa, et Eestis pole ükski ettevõte GDPRi rikkumise eest karmi trahvi saanud. „Tegelikult andmekaitse inspektsioon ei saagi praegu määrata nii kõrgeid trahve kui GDPR lubab,“ tõdes Kookmaa. Tema sõnul pole siin aga rõõmustada midagi, sest GDPRiga peab ikka kõik hästi olema.

Kookmaa sõnul on mitmes Euroopa riigis juba praktikat selle kohta, et GDPRi rikkumise eest on määratud trahve ja ka väga suuri. Näiteks tõi ta Google’ile hiljuti määratud 50 miljoni euro suuruse trahvi Prantsusmaa andmekaitseasutuselt.

Tema sõnul on probleem selles, et unarusse jäetakse andmekaitse põhinõuded. „GDPR tegelikult väga palju fundamentaalseid muudatusi andmekaitsealastesse nõuetesse ei too, mõned üksikud, küll aga on vastutus rikkumise eest suurem,“ märkis Kookmaa. „Google saigi trahvi sellepärast, et põhilised asjad polnud inimestele piisavalt hästi selgeks tehtud – mis on see õiguslik alus, millele tuginedes ta saadab inimestele personaliseeritud reklaame näiteks.“

Kookmaa sõnul on kuulda olnud, et üks eesmärk nende trahvide määramisel, eriti just suurkorporatsioonide puhul, on näidata, et Euroopa Liidu seadusandjal on GDPRiga tõsi taga ja kui rikutakse andmetöötluse nõudeid ja üldpõhimõtteid, siis sellele järgnevad sanktsioonid ja seda tuleb võtta väga tõsiselt.

Advokaat tõi hoiatava näitena Marriotti hotelliketi juhtumi. Nimelt murdsid häkkerid sisse Marriotti hotelli andmebaasi, kus oli ligi 500 miljoni kliendi isikuandmed, sh andmed nende krediitkaartide kohta, andmed selle kohta, millistes hotellides nad olid olnud, milliseid reserveeringuid teinud ja millal – ehk see rikkumine oli väga laia ulatusega, kirjeldas ta. Ja selle tegi markantseks veel see, et rikkumine algas juba aastal 2014, aga avastati alles kahjuks 2018. aasta septembris. „Rikkumisjuhtumite puhul on see nõue, et sellest peab teavitama andmekaitse järelevalveasutust õigel ajal,“ juhtis Kookmaa tähelepanu. „Meil võib alati rikkumisi juhtuda, seda ei saa kunagi ära hoida, see on normaalne. Aga kui see juhtub, siis peab ettevõte olema eriti hoolas, et ta vähemalt teavitab järelevalveasutust õigel ajal.“

Marriotti puhul esitati see teave liiga hilja – kaks kuud pärast rikkumise avastamist. „See näitab väga hästi seda, et kahjuks suurkorporatsioonid ei võta veel andmekaitset tõsiselt. Kuskil on midagi valesti läinud, on kahtlus, et kuskil on keegi andmebaasi sisse murdnud, aga noh, las see olla sahtlis, äkki keegi ei kuule, äkki keegi ei näe, ei saa teada. Aga lõpuks saab ikka,“ rääkis Kookmaa.

Advokaadil on kaks soovitust. Esiteks on GDPRis tema sõnul üks hästi spetsiifiline nõue, mis tihti jääb tähelepanuta, sest seda on ridade vahelt raske üles leida. Privaatsuspoliitikas peab tema sõnul olema sees üks rubriik, mis eesmärgil me andmeid töötleme: lepingu sõlmimiseks, tarbijaandmete analüüsimiseks, kliendikogemuse parendamiseks. „GDPR ütleb selgesti, et need üksikud isikuandmete töötlemise eesmärgid peavad olema eraldi välja toodud, aga see jäetakse tihti tähelepanuta ja ma näen oma praktikast, et ettevõtted kipuvad olema väga abstraktsed ja üldised. Me kogume sinu isikuandmeid, kuna meil on vaja neid selleks, et teenindada oma kliente, mis on kaugelt liiga üldine, see on GDPRi järgi kohe läbipaistvuse nõude rikkumine,“ kirjeldas ta igapäevaelu.

Ja Kookmaa teine praktiline soovitus puudutab koostööpartnereid, kes osutavad meile mingisugust teenust või kellega koos teeme mingeid projekte, ja seega andmed, mis on meie kasutuses, liiguvad ettevõttest või organisatsioonist väljapoole. „Selle peaks kindlasti täpsemalt üle kontrollima, kuhu need andmed liiguvad, kas meil on oma koostööpartneritega sõlmitud andmetöötluse lepingud, kui nad on meie volitatud töötlejad, või mis suhe meil nendega üldse on.“

Kookmaa sõnul on GDPRis väga täpselt ära reguleeritud, kas kaks andmete töötlejat on kui vastutav ja volitatud töötleja või on mõlemad kaasvastutavad töötlejad, seal on sellised detailsed mõisted ja sellest tulenevad omakorda kohustused. On vaja teatud lepingud ja kokkulepped sõlmida, ütles ta.

Kui edastatakse isikuandmeid Euroopa majanduspiirkonnast väljapoole, näiteks Keeniasse, siis seal kehtivad veel erinõuded, rääkis Kookmaa. „Probleem on siin selles, et kui me ei ole endale teadvustanud seda, kuhu meie töödeldud isikuandmed veel liiguvad, võib juhtuda, et kuskil juhtub mingi rikkumine, mis tuleb ringiga meie juurde tagasi, et me ei ole täitnud GDPRist tulenevaid nõudeid,“ hoiatas ta.

Seda, mis valdkonnas saab esimene Eesti ettevõte GDPRiga seoses trahvi, on Kookmaa sõnul väga raske prognoosida. „Nii palju, kui ma olen näinud andmekaitse inspektsiooni praktikat, siis ma võin öelda, et inspektsiooni ja teiste andmekaitse järelevalve asutuste huviorbiidis on siiski tavaliselt need ettevõtted ja asutused, kes töötlevad väga suures ulatuses isikuandmeid, kellel on hästi palju kliente või nad töötlevad paljude kodanike isikuandmeid, kui nad on avalikud asutused ehk siis pangad, teised krediidiasutused, sellist laadi ettevõtted peaksid olema eriti hoolikad. Ka riigiasutused,“ pakkus ta.

Kuula intervjuud Tea Kookmaaga alates 27. minutist.