Euroopa Liidu isikuandmete kaitse üldmäärus – GDPR

GDPR – General Data Protection Regulation

 

GDPR ehk Euroopa Liidu isikuandmete kaitse üldmäärus hakkab kehtima juba selle aasta 25. maist. Oma ettevõtte vastavus uutele nõuetele tuleks üle vaadata esimesel võimalusel ning teha vajaminevad muudatused enne uute regulatsioonide kehtima hakkamist.

Isikuandmete kaitse üldmäärusele mittevastavus võib ettevõttele tuua kaasa kuni 20 miljoni suuruse trahvi. Samuti ei aita see, kui Euroopa Liidu isikuandmete kaitse üldmääruses esineb vastuolusid Eesti Vabariigi seadusega, sest GDPR on Euroopa Liidu liikmesriikidele otsekohanduv, seega Eesti Vabariigi seadused selle rakendumist ei takista.

 

ISIKUANDMETE HULKA KUULUVAD NÄITEKS:
  • Nimi
  • Aadress, e-post, telefon, ip aadress
  • Asukohateave, mobiilsed andmed
  • Tervisekohane teave
  • Palgainfo, tulud
  • Fotod, videod
  • Sotsiaalmeedia postitused
  • Käitumine kliendina ja taustainfo
  • Profiil ja kõik muu mis kasvõi kaudseltki on füüsilise isikuga seostatav

 

MIDA ON VAJA TEHA JA JÄLGIDA:
  • Pea registrit iga isikuandmetega seotud toimingu kohta. See on vajalik määruste järgimise tõendamiseks.
  • Määra isikuandmete säilitamise aeg. Kui see pole võimalik, tuleb teavitada kriteeriumist, mille alusel säilitusaeg määratakse. Lisaks vaja värskenduspoliitikat. See on vajalik andmetöötlusprotsessi kirjeldamiseks ja mõjuhinnanguks.
  • Andmekaitse tähtsuse kasvamisega seoses võib osutuda vajalikuks määrata ametisse andmekaitsespetsialist, kes vastutaks isikuandmete käitlemise eest (kohustuslik suurematele andmetöötlejatele ja riigiasutustele).

*Andmekaitsespetsialist ei saa kindlasti olla IT-juht, kuna sellisel juhul kontrolliks ta iseenda tööd.

  • Profiilimise keeld.

Ilma kliendi otsese nõusolekuta on peaaegu kõik profiili loomise protseduurid keelatud. Lubatuks jääb krediidikontroll enne lepingut.

  • Rakenda kaitsemeetmeid isikuandmete töötlemisel ka teenuse sisseostul.

Vajalik sõlmida asjakohased lepingud kõigi osapooltega. Määratleda olukorrad, mille puhul on teenuse sisseost kohane, ning kindlustada, et kõik vastavad lepingud on koostatud korrektselt. Näiteks käsitletakse ka andmete talletamist pilves teenuse sisseostuna (vaatamata sellele, et teenusepakkuja aktiivselt andmeid ei töötle).

  • Nõusoleku saamine kliendilt:

-Nõusolek peab olema antud sõnaselgelt: kirjaliku, elektroonilise või suulise avalduse vormis.

-Nõusolek peab tõendama, et isik on vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt andnud loa oma isikuandmete kasutamiseks.

-Tavaliselt antakse nõusolek vastava märkeruudu täitmisega – NB! Ei tohi olla eelmärgistatud.

-Lisada nõusolek ka lepingutesse, et vältida lepingute katkemist, kui inimene õiguse tagasi võtab.

Eeltäidetud vastused ei sobi, seega kui kasutate märkeruutu, siis peab see tühi olema või vaikevalikus ”valimata”.

*Soovitavalt tuleks panna andmetenõue ka lepingutesse, et need andmed ei oleks eraldi ja ei peataks lepingu kehtivust.

  • Kliendil on õigus nõuda andmete kustutamist.

*Ka pilve varukoopiad peavad olema kustutatud.

  • Kliendil on õigus nõuda andmete edastamist.

Andmed peavad olema edastatavad masinloetaval kujul (xml, json, csv) ja mitte pdf või doc.

  • Andmeturbega seotud eksimustest teavitamine.

-Rikkumise ilmnemisest 72 tunni jooksul peab teavitama ametivõime.

-Kõiki isikuid, keda rikkumine võib mõjutada, tuleb teavitada niipea, kui nende isikuõigused ja/või -vabadused rikkumise tõttu (tõenäoliselt) ohtu satuvad.

-Määrata protseduurireeglid, mis kindlustaks tõhusad ja korrektsed tööprotsessid.

  • Rikkumistega võivad kaasneda kopsakad trahvid.

2% kuni 4% ettevõtte aastakäibest. Trahvid on suured ja sõltuvad käibest ning laienevad kõikidele firmadele, kes Euroopa Liidus tegutsevad otseselt või kaudselt.

 

Isikuandmete kaitse üldmäärus.

Kiirtesti enda ettevõtte valmisoleku kohta vastamaks GDPR-ile saad teha näiteks Andmekaitseteenuste koduleheküljel.

 

Euroopa Liidu Teataja (2016). EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2016/679. Kasutamise kuupäev: 29.01.2018. a., allikas http://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32016R0679