Järgmisel aastal kehtima hakkav andmekaitsemäärus tähendab ulatuslikke kohustusi kõikidele isikuandmeid töötlevatele firmadele, nõuete rikkumine võib tuua kuni 20 miljoni euro suuruse trahvi.
- Andmekaitsemääruse nõuete rikkumine võib tuua hiigeltrahvi Foto: Pixabay
Isikuandmete kaitse üldmääruse nõuded ja ohud raamatupidajale
29. augustil Tallinnas, Radisson Blu Hotel Olümpias
Soodushind kehtib kuni 24. augustini!
Lisainfo ja registreerimine
SIIN.
Aasta alguses teatas globaalne tehnoloogiahiid Yahoo mitmest intsidendist, mille käigus varastati kokku rohkem kui miljardi kasutaja isikuandmed. Taolised suuremahulised andmete vargused peaksid 2018. aasta mais kehtima hakkava uue isikuandmete kaitse üldmääruse valguses lööma häirekella ka Eesti ettevõtjatele, kes tegelevad andmebaasidega.
Otsene vargus on ainult üks osa isikuandmetega seotud rikkumistest, selgitas advokaadibüroo Glimstedt advokaat ja andmekaitseõiguse ekspert Mari-Liis Orav. Rikkumiste hulka kuuluvad edaspidi ka igasugune turvanõuete rikkumine, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või juurdepääsu neile.
Puudutab ka töötajate isikuandmeid
Isikuandmete töötlemise turvanõuete ja teavitamiskohustuse rikkumise eest võib nende töötlejat karistada ning trahve määrata. Trahvi puhul võetakse arvesse konkreetse juhtumi asjaolud, aga määruse järgi võib see ulatuda kuni 10 000 000 euroni või kuni 2%ni ettevõtja eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Maksimaalselt võib trahvisumma ulatuda 20 000 000 euroni või kuni 4%ni ettevõtte kogukäibest.
Kuigi uus määrus on suurte trahvisummade tõttu mõeldud eelkõike rahvusvaheliste tehnoloogiahiidude taltsutamiseks, puudutab see siiski kõiki ettevõtjaid, kes isikuandmeid töötlevad. Orava selgitusel tasub tähele panna, et uue määruse järgi kuuluvad isikuandmete kaitse regulatsiooni alla ka töötajate isikuandmed, millega seonduv kipub sageli olema keeruline ja tundlik. Selleks, et vältida karistusi ning rikkumise tagajärjel tekkivat mainekahju, tuleks ettevõtjal Orava soovitusel panustada nii isikuandmete töötlemise turvalisusesse kui ka töötada välja tegutsemisjuhised võimalike rikkumiste avastamiseks.
Advokaadi sõnul peab ettevõttel tekkima arusaam vastutusel olevate isikuandmete töötlemisest ja selle ahelast. Alles siis saab öelda, kas ja mida on vaja muuta või täiendada uue andmekaitsemääruse valguses. Igal ettevõtjal tasuks teha isikuandmete töötlemise praktika analüüs. Näiteks peavad teatud andmetöötlejad määrama andmekaitseametniku. See kohustus on avaliku sektori asutustel ja organitel, andmetöötlejatel, kelle põhitegevus on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine, andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Nii kehtiva regulatsiooni kui ka uue määruse alusel eristatakse vastutavat ja volitatud andmetöötlejat. Kui kehtiva regulatsiooni alusel on vastutus peamiselt vastutavatel töötlejatel, siis määruse alusel laiendatakse vastutust ka volitatud töötlejatele (näiteks pilveteenusepakkujatele ja teistele, kes vastutava töötleja nimel andmeid töötlevad).
Teha tuleb uusi investeeringuid
Määrus on mahukas ning muudab esialgu ettevõtjate elu pigem raskemaks, sest halduskoormus suureneb. IT- ja äriteenustega tegelev AS CGI Eesti on sellega tööd juba alustanud. Ettevõtte juristi Kati Vellaki sõnul on vaja muuta nii protseduure, äriprotsesse kui ka infosüsteeme ning see kõik on ajamahukas. Planeerides tuleb arvestada ka sisemise ajakuluga äriprotsesside muutmisele ning üldjuhul on vajalik planeerida eraldi eelarve infosüsteemide muudatuste tarvis.
Olulisemad uuendused isikuandmete kaitse määruses
Isikuandmete kaasaskantavus – isikuandmete töötlemine peab toimuma süsteemselt ja olema dokumenteeritud ning kogu andmestik peab olema teisaldatav.Andmekaitseametniku (Data Protection Officer) määramise nõue.Trahv kuni 10 000 000 eurot või kuni 2% ettevõtja eelneva majandusaasta ülemaailmsest aastasest kogukäibest.Kohustus teavitada järelevalveasutust 72 tunni jooksul rikkumise avastamisest, sealhulgas rikkumise laadist, puudutatud isikutest, nende ligikaudsest arvust, rikkumise võimalikest tagajärgedest ja rikkumise leevendamiseks kavandatavatest meetmetest.
Autor: Marge Männistu, Äripäev
Seotud lood
Infopanga võlaregister on viimase nelja kuu jooksul aidanud ettevõtetel võlglastelt tagasi saada keskmiselt 47% võlgadest ja augustis tõusis see näitaja koguni 79%-ni.