Kuidas valmistuda uueks andmekaitsemääruseks

Kui raamatupidamisteenuste osutaja töötleb isikuandmeid volitatud töötlejana, peaks asjakohased muudatused tegema olemasolevatesse kliendilepingutesse.

Nimelt kehtestab GDPR loetelu erinevatest teemadest, mis peavad vastutava ja volitatud töötleja vahelises lepingus kaetud olema – nt turvalisuse taseme tagamiseks asjakohaste tehniliste ja korralduslike meetmete kirjeldus, konfidentsiaalsuskohustus, andmesubjektide päringutele vastamine, alltöötlejate kaasamine, isikuandmete tagastamine pärast teenuse osutamise lõpetamist, andmekaitse auditid jms.

Rikkumistest teavitamine

Uuendusena näeb GDPR ette kohustuse teavitada isikuandmetega seotud rikkumistest järelevalveasutust ja teatud juhtudel, olenevalt rikkumise iseloomust, ka andmesubjekte. Isikuandmetega seotud rikkumine on turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.

Teavitamiskohustus on vastutaval töötlejal, kuid volitatud töötlejatel on kohustus mis tahes rikkumisest alati teavitada vastutavat töötlejat.

Vastutaval töötlejal on täiendav kohustus dokumenteerida kõik rikkumised, rikkumisega seotud asjaolud, mõju ning rikkumise puhul rakendatud parandusmeetmed. Mõistlik oleks kehtestada ka tegutsemisjuhised isikuandmetega seotud rikkumiste puhuks.

Oluliselt on laienenud andmesubjektile teabe andmise kohustused. Vastutavad töötlejad peavad isikuandmete töötlemise läbipaistvuse tagamiseks (ja seeläbi andmesubjektide õiguste parema kaitse tagamiseks) tegema andmesubjektidele kättesaadavaks märkimisväärse hulga erinevat teavet isikuandmete töötlemise kohta.

Muud olulised uuendused

Vastutavad töötlejad peavad tagama lõimitud andmekaitse ja vaikimisi andmekaitse, võttes kasutusele asjakohased tehnilised ja korralduslikud meetmed.Teatud erijuhtumitel tuleb teha andmekaitse mõjuhinnangud.Vajalikuks võib osutuda määrata andmekaitseametnik (DPO).Andmesubjektide õigused on laienenud, sõnaselgelt on GDPR-i toodud „õigus olla unustatud” ning uudse õigusena on lisandunud andmete ülekandmise õigus.Täiendavad nõuded profileerimise ja automaatsete otsuste osas.Suuremad sanktsioonid ja ulatuslikum vastutus.

Kuidas valmistuda?

Alustada tuleb olemasoleva olukorra väljaselgitamisest. Mõistlik on koostada isikuandmete töötlemise toimingute register.GDPR-iga kooskõla saavutamiseks on soovitav määrata vastutav isik/töötaja/osakond olenemata sellest, kas andmekaitseametniku (DPO) määramine on kohustuslik või mitte ning tagada piisavad ressursid.Üle tuleb vaadata ja uuendada juhised ja eeskirjad, mis puudutavad isikuandmete töötlemist organisatsioonis. Vajaduse korral koostada täiendavad juhised, eeskirjad ja protsessid.Kontrollida, kas isikuandmete töötlemiseks on olemas õiguslik alus.Rakendada võimalikule ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid.Veenduda, et andmesubjektile teabe andmise kohustuse täitmine on tagatud.Tagada, et andmesubjektid saaksid oma õigusi kasutada.Kehtestada tuleb tegevusjuhised isikuandmetega seotud rikkumiste puhuks.Hinnata, kas on vaja määrata andmekaitseametnik (DPO).Vaadata üle ja täiendada (kliendi)lepinguid, mis hõlmavad isikuandmete töötlemise kokkuleppeid.Isikuandmete edastamise korral väljapoole EMÜ liikmesriike veenduda, et see on lubatud või et oleks rakendatud asjakohased abinõud, et tagada isikuandmete kaitse piirav tase.Koolitada töötajaid GDPR-i nõuete osas.

Täismahus artiklit lugege ajakirjast Raamatupidamise Praktik.

Autor: Mihkel Miidla, advokaadibüroo Sorainen vandeadvokaat