Andmekaitse @ TRINITI


TRINITI GDPR Käsiraamat

Meie advokaadid on tulnud klientidele appi ning pannud kokku kõige olulisemat kätkeva käsiraamatu. Loe siit Sind huvitavate peatükkide kaupa või laadi alla terve käsiraamat PDF formaadis.


TOP 10: I MIS ON ISIKUANDMED?

Isikuandmete kaitse üldmäärus laiendab ja täpsustab oluliselt andmete definitsiooni sh võib määruse järgi isikuandmeteks teatud juhtudel lugeda ka IP aadressi.

 

Isikuandmed

Määrusega astutakse samm kaugemale sellest, mida üldse andmeteks lugeda. Määruse artikkel 4(1) järgi on isikuandmeteks igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Seejärel määrus täpsustab, kuidas eelnevat tuleb mõista. Määrusest tuleneb, et andmeteks on sh nimi, isikukood, asukohateave, võrguidentifikaator aga lisaks ka füüsilise isiku füüsilised, füsioloogilised, geneetilised, vaimsed, majanduslikud, kultuurilised või sotsiaalsed tunnused ning võrgukäitumine. 

Huvitav on see, et tuvastatavaks loeb määrus füüsilise isiku ka võrguidentifikaatori abil. Võrguidentifikaatoritena on määruse preambulis omakorda nimetatud ka IP-aadresse ja küpsiseid. Seega, kui traditsiooniliselt oleme mõistnud, et teave, millega saab isikut tuvastada on eelkõige nimi, isikukood ja asukohateave, siis nüüd tuleneb määrusest selgelt, et andmeteks võivad olla ka IP aadressid ja küpsised. Eriti just dünaamiliste IP aadresside osas täpsustuse saamiseks on Saksamaa ülemkohus pöördunud Euroopa Liidu Kohtusse eelotsusetaotlusega. Küpsiste osas on oluline, et kui ettevõte ei kasuta selliseid küpsiseid või veebimajakaid, mille kaudu on isik tuvastatav, ei ole enam vajalik ka nn küpsise-teavituse esitamine kodulehel.

Isikuandmed võivad olla ettevõttes kasutusel ja töödeldavad nii serveris paiknevates dokumentides (nt Excel-failid); e-kirjades; paberdokumentidel; erinevates infotehnoloogilistes keskkondades (s.h nt test-keskkonnad); serveri varukoopiates; töötajate arvutite kõvaketastel; CRM-programmides.

Selleks, et üldmääruse nõuetega vastavust hinnata, peaks ettevõtja täpselt teadma, kus ja milliseid andmeid hoitakse – kuidas muidu saaks ta tagada, et andmesubjekt saab teostada näiteks enda õigust koopiale.

 

Suhtelisus ja subjektiivsus

Juba eelnevast on mõistetav, et isikuandmed ei ole objektiivne kategooria.

Isikuandmete suhtelisus tähendab seda, et üks andmepoeg (ehk „anne“) võib olla isikuandmeteks, kuid seesama andmepoeg ei pruugi seda alati olla. Näiteks isiku nimi. Kui tegemist on nimega Margus Tamm, siis eraldi muudest, täiendavatest andmetest, ei ole tegemist isikuandmetega, sest selle kaudu ei ole füüsiline isik tuvastatav. Kui lisada sellele ükskikule andmepojale täiendavaid andmeid, nt isikukood, siis need koos moodustavad juba isikuandmed, sest füüsiline isik on nüüd tuvastatav.

Isikuandmete subjektiivsus täiendab seda, et see, kas konkreetsed andmed on isikuandmed või mitte sõltub sellest, kes seda vaatab. Heaks näiteks on sõiduki registrinumber. Tavalisele tänaval liikuvale isikule ei ole auto numbrimärgi näol tegemist isikuandmetega, sest tal ei ole võimalik tuvastada sõiduki kasutajat või omanikku (sest autoregister ei ole avalik register). Olles aga ARK töötajaks, kellel on ligipääs registrile ning kelle tööülesanded hõlmavad registrikannete ülevaatamist, oleks selline andmetükk nagu seda on autoregistri number isikuandmeteks.

 

Isikuandmete eriliigid

IKS-st varem delikaatseteks isikuandmeteks liigitunud isikuandmed on üldmääruses mõiste „isikuandmete eriliigid“ all ning nendeks on: isikuandmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilised andmed, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, terviseandmed või andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

Lisaks toob määrus eraldi välja ka süüteoasjades süüdimõistvad kohtuotsused ja süütegude või nendega seotud turvameetmetega seotud isikuandmed, mille kaitsele nüüdsest rohkem rõhku ja tähelepanu pööratakse. Tegemist ei ole siiski määruse järgi eriliigiliste andmetega. 

 

Järgmised sammud ehk asu tegutsema!

Selleks, et tagada enda tegevuse kooskõla üldmääruse nõuetega on vajalik:

• Teada, milliseid andmeid töödeldakse. Seda teadmist on võimalik saada näiteks läbi andmeauditi või ettevõtte töötlemistoimingute tervkhindamise;
• Teada, kus asuvad isikuandmete eriliigid ja kas, kuidas neid töödeldakse, sest nende osas on vajalik eriline hoolsus ja täpsus.

TOP 10: II MÄÄRUSE KOHALDAMISALA JA ANDMETE EDASTAMINE VÄLJAPOOLE EUROOPA LIITU

Uue isikuandmete kaitse üldmääruse põhilise eesmärgi – füüsiliste isikute põhiõiguste ja vabaduste, eriti isikuandmete kaitse tagamiseks, on määrusel muu hulgas laiendatud territoriaalne ja sisuline kohaldamisala. Esmapilgul vähetähtsad põhimõtted kätkevad endas muuhulgas ka seda, et mõelda tuleb, milline õigus kohaldub konkreetse EL ettevõtte tegevustele erinevates liikmesriikides ning kuidas ja millisel alusel saab toimuda andmete töötlus väljaspool EL-i.

 

Laiendatud territoriaalne kohalduvus

Nimelt, määruse artikli 3 järgi kohaldub määrus Euroopa Liidus asuvate füüsiliste isikute isikuandmete töötlemisele sõltumata sellest, kas töötlemine toimub liidus või mujal. Seega kohaldub määrus nii  Euroopa Liidus asuvatele kui ka väljaspool olevatele töötlejatele, kes pakuvad kaupu või teenuseid liidus asuvatele füüsilistele isikutele või jälgivad liidus asuvaid isikuid.

Ehk määrus kohaldub järgnevatel juhtumitel:

• esiteks, liidus asuvatele isikuandmeid töötlevatele ettevõtetele ja organisatsioonidele;
• teiseks, liidust väljaspool asuvatele ettevõtetele ja organisatsioonidele, kui toimub kaupade või teenuste suunamine liitu, kusjuures pole oluline, kas kaupade või teenuste eest küsitakse tasu. Näiteks võib kaupade liitu suunamiseks pidada, kui USA e-poest on võimalik tellida kaupa liitu ja e-pood arvutab hindu ümber liidu vääringusse või on saadav ka liikmesriigi keeles;
• kolmandaks, liidust väljaspool asuvatele ettevõtetele ja organisatsioonidele, kui toimub liidus asuvate füüsiliste isikute jälgimine, näiteks, kui ettevõte profileerib (kogub infot nt ostuharjumuste, finantsvõimekuse vms kohta) liidus asuvaid isikuid.

Määrus kohaldub ka füüsilistele isikute poolt isikuandmete töötlemisele, kui muud sisulised nõudmised on täidetud ja tegemist pole isikuandmete kasutamisega rangelt isiklikus tarbeks.

Niisiis on määruse kohaldamisala lai, omades mõju ka Euroopa Liidust väljaspool asuvatele ettevõtetele.

 

Määruse sisuline kohaldamisala

Sisulise kohaldamisala järgi kohaldub määrus igasugusele isikuandmete töötlemisele, mis toimub täielikult või osaliselt automatiseeritult, aga ka automatiseerimata töötlusele, kui viimane on seotud süsteemse andmete kogumiga. Määrus ei loo ka erandit isikuandmetele, mille kogumine ja töötlus on toimunud enne määruse kohalduma hakkamist – töötlus peab vastama määruse nõuetele. 

Määrus määratleb teatud piirangud ja erandid, millal see ei kohaldu. Näiteks ei kohaldu määrus, kui töödeldakse andmeid, mis puudutavad juriidilise isiku kontaktandmeid või kui andmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus. 

Määrus üks olulisi laiendusi on kohaldumine tervele nn töötlejate-võrgustiku. See tähendab, et võrreldes eelneva direktiiviga on oluliselt laiendatud nii vastutava töötleja kui ka iga volitatud töötleja kohustusi ja see tähendab, et ka volitatud töötlejad peavad uue määrusega kooskõlas olema ja võivad rikkumise korral olla koos vastutava töötlejaga solidaarselt vastutavad.

 

Millise liikmesriigi õigusest lähtuda?

Määrus on otsekohalduv, kuid jätab mitmes kohas liikmesriikidele õiguse teha erisusi. Eesti erisused on määratud isikuandmete kaitse seaduses ning määrust rakendavas enam kui 100-s eriseaduses. Näiteks on liikmesriikidel õigus ise määrata kui vana on laps andmekaitse mõttes kui otsustatakse infoühiskonnateenuseid. Laps ei saa ise nõusolekut anda ja kui annab, siis see on tühine. Eestis on selliseks vanuseks 13, samas kui Saksamaal 16. S.t et Eestis peab 12 a. lapse osas nõusoleku andma vanem, kuid Saksamaal on vaja, et ka 15 a. eest annaks nõusoleku vanem seda andmete töötlemiseks infoühiskonna teenuste nt sotsiaalmeedia kasutamiseks. 

Menetluslikult loob määrus nn one-stop-shop põhimõtte, mille kohaselt juhtiv ettevõtte peamise või ainsa tegevuskoha järelevalveasutus on pädev tegutsema juhtiva järelevalveasutusena kõnealuse ettevõtte tehtud piirülese töötlemise suhtes. See tähendab, et ühe rikkumise osas, olgu kui tahes ulatuslik ning piire ületav, toimub menetlus pigem selles ühes, kindlaks määratud riigis sealse järelevalveasutuse poolt, seal kehtiva korra järgi. Seega kutsume selliseid ülepiirilisi ettevõtteid aegsasti kaaluma, kas nende isikuandmete alast tegevust on võimalik käsitada ühes riigis ning kas tolle riigi menetluskord, praktika ja viis on kõige sobivam. 

 

Mida tähele panna andmete edastamisel väljapoole Euroopa Liitu?

Kuigi tegemist ei ole kitsalt kohaldumisala küsimusega, siis siinkohal nimetame ära ka suure osa määrusest, mis reguleerib seda, kuidas andmeid edastatakse väljaspoole Euroopa Majanduspiirkonda riiki, millel ei ole piisav andmekaitse. 

Etteruttavalt tuleb nimetada, et sellised riigid on kõik riigid väljaspool EL-i, ja EMP riike, mille osas ei ole Euroopa Liidu tasandil teisiti otsustatud. Samas, arvestades infotehnoloogiliste teenuste ja toodete päritolu paljuski USA turul on asjakohane nimetada, et Euroopa Liidu ja USA vahel on sõlmitud nn andmekaitseraamistik Privacy Shield, millega liitunud USA ettevõtetele võib edastada töötlemiseks EL elanike andmeid. Kuigi edastuse korral üksnes töötlemise eesmärgil, on ikkagi vajalik lepingu sõlmimine volitatud töötlejaga, võimaldab see siiski lihtsamini teatud harjumuspäraseid teenuseosutajaid kasutada. Seda, kas kasutatava teenuse osutaja on volitatud töötlejana liitunud Privacy Shield programmiga, saad kontrollida 

Mistahes muul juhul on edastamine lubatud vaid siis, kui:

• on kokkulepitud kaitsemeetmetes (nt siduvad kontsernisisesed eeskirjad või standardsed andmekaitseklauslid); 
• andmesubjekt on sellise edastuse kohta andnud selge ja teadliku nõusoleku; 
• edastamist nõuab üheselt andmesubjektiga sõlmitud leping; 
• edastamine ei ole korduv või puudutab ainult piiratud arvu Andmesubjekte, 
• on vajalik, et kaitsta ettevõtte õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus ning kui on hinnatud kõiki edastamisega seotud asjaolusid ja kehtestatud sobivad kaitsemeetmed Isikuandmete kaitseks.Viimane neist on edastamine õigustatud huvi alusel ning sellest tuleb teavitada ka Andmekaitse Inspektsiooni.

Edastamisest väljapoole Euroopa Liitu ja EMP-i loe määruse 5. peatükist. 

 

 

Juhtivast järelevalveasutusest 

Vastutava töötleja või volitatud töötleja juhtiva järelevalveasutuse kindlaksmääramise suunised (eesti keeles) - vastu võetud 13.12.2016, kinnitatud 05.04.2017

Inglise keeles: Guidelines for identifying a controller or processor’s lead supervisory authority

Korduma kippuvad küsimused juhtiva järelevalveasutuse kohta (eesti keeles)  - vastu võetud 13.12.2016

Inglise keeles: FAQ on lead supervisory authority

Juhtiva andmekaitse ameti määramisest

Guidelines on the Lead Supervisory Authority (wp244rev.01)

Andmete edastamisest kolmandatesse riikidesse

Adequacy Referential

Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules

Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules

TOP 10: III SEADUSLIK ALUS

Määruse kohaselt on isikuandmete töötlemine seaduslik, kas andmesubjekti nõusolekul või mõnel teisel määruse artiklis 6 sätestatud ühel kuuest alusest. Iga töötlemise aluse lubatavuse kontrolliks on vajalik teha tööd tagamaks võime tõendada enda andmekasutuse kooskõla üldmäärusega.

 

Seaduslikud alused

Isikuandmete töötlemise lubatavus seadusliku aluse olemasolul jääb üldpildis samaks varem kehtinuga ehk igal töötlusel peab olema seaduslik alus ning valida on 6 erineva aluse vahel:

Nimetatud alused on alternatiivsed, seega nõusolekut ei ole vaja töötlemiseks näiteks

lepingu täitmiseks või töötleja juriidiliste kohustuste täitmiseks. Allolevalt peatume pikemalt kahel seaduslikul alusel, mis enim küsimusi tekitavad: nõusolek ning õigustatud huvi.

 

Nõusolek – peab olema selge ja vabatahtlik

Nõusoleku küsimise näol ei ole tegemist uue kohustusega, kuna valdav osa isikuandmete töötlemistest leiab ka praegu aset andmesubjekti nõusolekul. Küll aga on määruses nõusolekut käsitlevaid nõudeid karmistatud.

Määruse kohaselt kehtib nõusolek isikuandmete töötlemiseks ainult juhul kui selleks on antud selge avaldus, kinnitus (olgu siis suuliselt, elektrooniliselt või kirjalikult) või nõusolekut väljendav tegevus. Nõusolek ei saa tuleneda isiku vaikimisest või tegevusetusest. Seega on määruse mõtte kohaselt nõusolek antud nt veebisaidil kastis linnukese või risti tegemisega, kuid vabatahtliku nõusolekuga ei ole tegemist, kui linnuke või rist kastis on juba eelnevalt olemas (ja isik peaks keeldumiseks selle ise eemaldama).

Nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline.

Nõusoleku andmist loetakse vabatahtlikuks üksnes ulatuses, milles see on eesmärgipäraselt (nt lepingu täitmiseks) vajalik ning nõusolek ei tohiks olla teenuse osutamise eeltingimuseks, kui see ei ole iseenesest lepingu täitmiseks vajalik. Näiteks ei ole eelduslikult vabatahtlikuks nõusolekuks ka selline nõusolek, kus ei ole võimalik anda erinevate töötlemise toimingutele eraldi nõusolekut ega nõusolek, mis on antud selgelt ebavõrdses olukorras (eelkõige nt töösuhe).

Isikuandmete töötlemiseks nõusoleku küsimine peab määruse kohaselt olema lihtne ja arusaadav. Samuti, andmesubjekt peaks olema teadlik, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Määruse kohaselt peab nõusolek hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Teisisõnu, kui isikuandmete töötlemisel on mitu eesmärki või kasutusviisi, tuleks nõusolek anda iga eesmärgi ja viisi kohta.

Alaealiste isikuandmete töötlemisel on erisused. Määrusega rõhutatakse, et laste isikuandmed väärivad erilist kaitset, mistõttu on infoühiskonna teenuste pakkumisega seoses lapse isikuandmete töötlemine seaduslik ainult juhul, kui laps on vähemalt 16-aastane (Eesti on kasutanud liikmesriikidele määrusega antud voli vanusemäära vähendada kuni 13 aastani) või nooremate laste korral juhul ja sellises ulatuses, milleks on nõusoleku või loa andnud lapse vanem või eestkostja. Teenuse pakkuja peab mõistlikult kontrollima, et nõusolek on antud lapse vanema või eeskostja poolt.

Seega, kui isikuandmete töötlemine toimub nõusoleku alusel, peab vastutav töötleja suutma tõendada, et andmesubjekt on andnud toiminguks määruse nõuetele vastava väga selge ja konkreetse nõusoleku. Sealjuures uutele tingimustele peab vastama ka nõusolek, mis on kogutud enne määruse kohalduma hakkamist, mistõttu tuleb ka enne määruse jõustumist küsitud nõusolekud viia määrusega kooskõlla.

Määruse kohaselt on andmesubjektil õigus iga hetk oma nõusolek tagasi võtta, nõuda teda käsitlevate isikuandmete parandamist ja töötlemise lõpetamist aga teatud juhtudel ka kustutamist ehk „õigus olla unustatud“. Samuti on määruse kohaselt andmesubjektil isikuandmete automatiseeritud töötlemise korral õigus saada vastutavalt töötlejalt isiku poolt esitatud ja teda puudutavaid isikuandmeid struktureeritud ja masinloetavas vormis.

 

Õigustatud huvi peab olema tasakaalus andmesubjekti õiguste ja huvidega

Õigustatud huvi on sobiv alus paljudes olukordades. Olenevalt ettevõtte tegevusest ning ärimudelist võib töötlemine olla seaduslik õigustatud huvi alusel näiteks:

• Usaldusliku kliendisuhte tagamiseks, näiteks tegelike kasusaajate väljaselgitamiseks või pettuste vältimiseks;
• Kliendibaasi haldamiseks ja analüüsiks, et parandada teenuste ja toodete kättesaadavust, valikut, kvaliteeti ning et teha kliendile nõusoleku korral parimaid ja personaalsemaid pakkumisi;
• veebilehtede, mobiilirakenduste ja muude teenuste kasutamisel kogutavad identifikaatorid ja isikuandmed kui andmeid kasutatakse veebianalüüsiks või mobiili- ja infoühiskonnateenuste analüüsiks, töötamise tagamiseks, parendamiseks, statistika tegemiseks ja külastaja • käitumise ning kasutuskogemuse analüüsiks ning parema ja personaalsema teenuse osutamiseks;
• kampaaniate korraldamiseks, s.h personaliseeritud ja suunatud kampaaniate korraldamine, rahulolu uuringute teostamine ning teostatud turundustegevuste efektiivsuse mõõtmine;
• külastaja käitumise analüüsimiseks veebilehtedel;
• teeninduse monitooringuks. Näiteks võib olla õigustatud salvestada nii enda asukoha ruumides kui sidevahendite (e-posti, telefoni vm) teel antud teateid ja korraldusi
• võrgu-, info- ja küberturbe kaalutlustel, näiteks piraatlusega võitlemiseks ning veebilehtede turvalisuse tagamiseks ning tagavarakoopiate tegemiseks ja talletamiseks võetavad meetmed;
• Organisatsioonilistel eesmärkidel. Eelkõige finantsjuhtimiseks ning kontsernisiseselt edastamaks isikuandmeid kontserni piires sisehalduse eesmärkidel;
• õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Õigustatud huvi kasutamine eeldab hinnangu läbiviimist selleks, et võrrelda kas olulisemad on töötleja huvid või andmesubjekti huvid. Selline hinnang tuleb kindlasti tallel hoida ning vajadusel seda uuendada.

 

Õigustatud huvi annab määrusese ka ühe olulise lisaaluse töötlemiseks uuel eesmärgil, mis on tänapäevase kiire ja muutuva ärielu aluseks. Nimelt lubab üldmäärus teatud kindlatel tingimustel töödelda andmeid uuel eesmärgil võrreldes sellega, millisel neid algselt koguti. Muu eesmärgi lubatavuseks tuleb otsustada, kas see uus eesmärk on kokkusobiv algse eesmärgiga ning arvesse tuleb võtta, milline oli kogumise kontekst, milliseid andmeid koguti ja millised on võimalikud tagajärjed andmesubjektile. Näiteks võib tuua olukorra, kus ettevõte on võtnud nõusoleku e-kirja teel uudiskirja saatmiseks enda autoremonditeenuste osas teabe edastamiseks, siis lubatud võiks olla ka uudiskirja saatmine uudsel tehnoloogilisel viisil või uue tooteliini avamisel näiteks autopuhastusteenuste kohta teabe edastamiseks.

 

Kokkuvõttev soovitus ja tegevuskava

Määrusele omaselt – töötleja peab olema võimeline tõendama, et ettevõttes andmete töötlemine on kooskõlas üldmäärusega. Selline tõendamise kohustus ei hõlma ainult andmeid, mida kogutakse alates 2018. aastast vaid kehtib ka kõigi juba aastate jooksul kogutud andmete osas.

Seega tuleb juba täna asuda ettevõtetel analüüsima olemasolevaid isikuandmeid eesmärgiga:

• määrata isikuandmete töötlemise alused (nõusolek või seadus) ning ulatused iga töötlemistoimingu lõikes (parim viis selleks on töötlemistoimingute registri pidamine);
• täpsustada võimalused rakendada uusi töötlemisviise; ning
• luua register, kus sellised andmekategooriad ja töötlemise eesmärgid on talletatud.

 

Nõusolekust 

Guidelines on Consent under Regulation 2016/679 - (inglise keeles) vastu võetud 28.11.2017, kinnitatud 10.04.2018

 Õigustatud huvist 

Opinion 06/2014 on the "Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC - WP217

Töötlemisest töösuhtes

Opinion 2/2017 on data processing at work - wp249

 
TOP 10: IV UUDSED ANDMEKAITSE PÕHIMÕTTED

Andmekaitsepõhimõtted on omased ka varem kehtinud andmekaitseõigusele ning ka nende põhimõtete järgimata jätmisel on tagajärg sama – töötlemine on lubamatu. Uus üldmäärus lähtub samast eeldusest, kuid erisuseks on varasemate põhimõtete konkretiseerimine ja uute loomine.

 

Andmekaitsepõhimõtted üldmääruses

Üldmäärus sisaldab samu põhimõtteid, mis varem Eestis kehtinud õigus, nt õiglase ja seaduspärase töötlemise; andmete asja- ja ajakohasuse põhimõtted.

Samas konkretiseerib üldmäärus nii mõndagi varasemat põhimõtet:

• eesmärgi piirangu põhimõte (nn purpose limitation) sätestab üheselt, et olemasolevate andmete töötlemine ei ole hiljem lubatud eesmärkidel, mis on vastuolus algse kogumise eesmärgiga;
• võimalikult väheste andmete kogumise põhimõte (nn data minimisation) asendab „ülemäärase kogumise keelu“ kohustusega tagada, et kogutakse vaid vajalikke andmeid;
• õigsuse põhimõtet (nn accuracy) karmistatakse kohustusega viivitamatult kustutada või parandada töötlemise eesmärgi seisukohast ebaõiged andmed;
• säilitamise piirangu põhimõtte (nn data retention) kohaselt ei säilitata andmeid kauem kui see on vajalik eesmärgi täitmiseks;
• vastutuse põhimõte nõutab nii seda, et töötleja vastutab põhimõtete täitmise (nii välis- kui siseriske arvestades) eest kui ka seda, et töötleja on võimeline tõendama põhimõtete täitmist. See nn tõendamisvõimelisus on üldmääruse riskipõhise lähenemise keskne osa.

Toome näite eeltoodud põhimõtete alusel veebipõhise turunduskampaania puhuks. Turundajate soov on üldjuhul teada klientide kohta võimalikult palju informatsiooni – alates meili- ja posti aadressist ning lõpetades lemmikraamatuga. Üldmääruse alusel peaks töötleja olema võimeline tõendama, et nii meili- kui postiaadressi üheaegne kogumine on eesmärgikohaselt vajalik ning vähim, millega eesmärgini jõuda. Teabe kogumine lemmikraamatu kohta aga ei ole tõenäoliselt põhimõtetega a priori kooskõlas.

 

Vaikimisi ja lõimitud andmekaitse

Üldmäärus nimetab ka mõned uudsed põhimõtted, näiteks vaikimisi ja lõimitud andmekaitse põhimõtted. Andmekaitsemäärusele on omane lähtumine põhimõttest, et kõik elu- ja tegevusvaldkonnad on seotud infotehnoloogiaga ning infotehnoloogia on omakorda kasutajatele ning regulatiivsetele asutustele läbipaistmatu. Praktikas tähendab see seda, et andmekaitse asutustel ei ole võimekust efektiivselt ja süstemaatiliselt uurida ning karistada rikkumisi. Selle „nõrkuse“ tasakaalustamiseks ongi seadustatud viidatud põhimõtted.

Sisuliselt tähendab vaikimisi andmekaitsepõhimõte, et toote või teenuse algseadistuseks peab olema maksimaalne andmekaitse (nn privacy by default). Näiteks, töötleja järgib põhimõtet, kui mobiiltelefoni või sotsiaalmeedia konto algseadistus sisaldab selgesõnalist nn opt-in põhimõtet; vaikimisi on piiratud mistahes jagamise funktsioonid; andmete kogumine on viidud miinimumi ning sisse on seatud andmete säilitamise põhimõtted ning subjekti õiguste realiseerimise võimalused (nt andmete kustutamine, kaasaskantavus). Vaikiva andmekaitse puhul ongi seadme, lahenduse või teenuse esialgses ülesehituses isikuandmete töötlemine viidud miinimumi ja kasutajale jääb võimalus ise otsustada, kas ja kui palju ta enda kohta andmete kogumist lubab.

Lõimitud andmekaitse on teine põhimõte, mille omaksvõtt on keeruline, eriti IT-ettevõtete jaoks (nn privacy by design). Nimelt, mistahes tarkvara arendaja võib kinnitada, et arenduse käigus on esmamureks toote/teenuse tuum-funktsionaalsusete arendamine ning andmekaitse üle murtakse pead pigem kiirustades ning lõppfaasis. Lõimimise põhimõte nõutab, et andmekaitse, nt teenuse turvalisuse üle muretsemine ning selle tagamine näiteks läbi krüptimise ja autentimise peaks muutuma tuum-funktsionaalsuseks, millega tuleb tegeleda projekti algusest alates ning iga toote/teenuse osa ja mooduli loomisel (nn “end-to-end” security). Lõimitud andmekaitse eesmärgiks on ennetada privaatsuse riivet, mitte tegeleda tagajärgedega. Samuti on lõimitud andmekaitsele omane kasutajakesksus. Nii võiks lõimitud andmekaitse põhimõtet järgides seadmetes olla kuvatud andmekaitsega seotud hoiatused selle kohta, mida mingi toiming kaasa toob. Lõimitud andmekaitse juures ongi oluline, et andmekaitse oleks algusest peale integreeritud seadmesse, pakutavasse lahendusse või teenusesse.

Uudsete lõimitud ja vaikimisi andmekaitse põhimõtete eelduseks on näiteks see, et ettevõtted töötavad välja siseprotseduurid, mis neid arvesse võtaks. Näiteks looma andmekaitsemõjude hindamise malli, mida on igakordselt uue toote/teenuse väljatöötamisel lihtne ning kohustuslik täita; samuti looma uute protsesside kasutuselevõtul näiteks automaatse kustutamismehhanismi andmetele, mida ettevõttel ei ole enam vaja jne.

 

Järgmised sammud ehk asu tegutsema!

Praktikas tähendavad uued ja täpsustatud põhimõtted seda, et paljud ettevõtted peavad ümber mõtestama enda andmekaitsepoliitika.

Alustada tuleks järgnevast:

• analüüsida seni kogutud andmete vastavus „võimalikult väheste andmete kogumise“ ja „eesmärgi piirangu“ eesmärkidele ning otsustama olemasolevate andmete edasine kasutamine, kustutamine, pseudonümiseerimine või krüptimine;
• analüüsida enda ettevõtte olemasolevad andmekaitsepõhimõtted ning andmete kogumise ja töötlemise viisid ja eesmärgid ning teha järeldused sellest, kuidas ning millises ulatuses edaspidi andmeid kogutakse;
• uuendada olemasolevaid lepinguid partneritega reguleerimaks vastutuse ja riisiko seoses lõimitud ja vaikimisi andmekaitse ja teiste põhimõtete nõuete täitmisega.

 

 

Läbipaistvusest 

Guidelines on transparency under Regulation 2016/679 - (inglise keeles) vastu võetud 29.11.2017, kinnitatud 11.04.2018

Andmekaitse Inspektsiooni juhis 

Avaleht » Eraelu kaitse » Andmekaitse reform

Vaikimisi ja lõimitud andmekaitse

Anonümiseerimisest 

Opinion 05/2014 on "Anonymisation Techniques- WP216

TOP 10: V UUED ÕIGUSED

Enne üldmääruse jõustumist kehtinud isikuandmete kaitse seadus  võimaldas isikutel teatud eranditega nõuda sh andmete töötlemise ja avalikustamise lõpetamist, ebaõigete andmete parandamist ja õigust saada isikuandmete töötlejalt enda kohta käivaid isikuandmeid. Need õigused on alles ka uues üldmääruses. Küll aga annab uus määrus isikutele palju laiemad õigused isikuandmete töötleja suhtes või ka õigused, mida neil varem üldse ei olnud. Sellega lisandub ettevõtjale hulk kohustusi. Selles peatükis käsitlemegi viit uut õigust, mis on isikutel 2018. aasta maist.

 

Õigus teabele, infole ja koopiale

Vastutaval töötlejal on laialdane teabe andmise kohustus nii olukorras, kui andmed saadakse otse isikutelt kui ka siis, kui need kogutakse mujal: alates töötluse eesmärgist ja lõpetades säilitamise tähtaegadega. 

Teabeõigust täiendab andmesubjekti õigus koopiale enda andmetest. Siinkohal on oluline tähelepanu, et kui andmesubjekt taotleb lisakoopiaid, siis mõistlikku tasu halduskulude katmiseks. 

 

Isikuandmete kaasaskantavus

Isikul on õigus oma andmeid liigutada erinevate töötlejate vahel. Ehk siis isik saab nõuda töötlejalt andmeid endale või ka paluda need otse edastada uuele töötlejale. Edastus peab toimima struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus. Määrus julgustab töötlejaid arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. Sisuliselt tähendab see näiteks seda, et kui isik ei soovi enam ostelda poes A, siis isik saab paluda poelt A anda masinloetavas vormis kaasa tema isikuandmed ning minna nendega poodi B, kellest saab isiku uus andmete töötleja ning poel B on juba teada isiku ostueelistused ja ostlemise ajalugu. Samuti saab isik paluda poel A edastada oma andmed otse poele B.

Selleks, et isikuandmete kaasaskantavust tagada võib olla vajalik teha investeeringuid, kuivõrd enamasti ei ole ettevõttel andmed ei sellises vormingus ega vastavalt struktureeritud kujul, et neid igal ajal kliendile kaasa anda või veel vähem edastada lihtsasti kasutatavas vormis enda konkurendile.

 

Teavitamine õigusest keelduda andmete töötlemisest

Määrusest tuleneb andmete töötlejatele kohustus informeerida isikuid, et neil on õigus keelduda andmete töötlemisest. Varasem seadusandlus sellist kohustust töötlejatele ette ei näinud. Õigusest keelduda tuleb teavitada selgelt ja eraldi igasugusest muust teabest. Teavitamiskohustus hõlmab ka seda, et selgitatakse, et isikul on õigus reguleerida, kuidas ja milleks kasutatakse tema erinevaid liiki andmeid.

Kuivõrd töötlejatel tuleb määruse järgi anda isikutele täiendavat informatsiooni, siis see kohustab ettevõtteid selles osas üle vaatama oma andmekaitse eeskirjad ning viisi, kuidas nõusolekut võetakse.

 

Töötlemise piiramise õigus

Isikud saavad õiguse nõuda töötlemise lõpetamist konkreetsete töötlemisviiside või konkreetsete andmete osas. Näiteks kui isik seab kahtluse alla, kas töötlejal on ikka tema kohta kaasaegsed andmed või kas ettevõtja peaks töötlema andmeid konkreetsel eesmärgil X, siis saab ta nõuda nende andmete töötlemise lõpetamist. Selline õigus nõuab ettevõtjalt tehnilisi võimalusi ja ressursse lõpetada töötlemine konkreetse isiku kohta või lõpetada konkreetsete andmete töötlemine.

 

Õigus olla unustatud

Õiguse nõuda teatud andmete kustutamist ehk nn õiguse olla unustatud saab isik eelkõige siis, kui andmete töötlemiseks ei ole õigustust või need ei ole enam ajakohased. Näiteks juhul kui töötlejal ei ole enam andmeid vaja eesmärgil, millega seoses need on kogutud.

Õigus nõuda andmete kustutamist oli isikutel ka varem, kuid uues määruses on see palju laiem. Sellega seoses tuleb ettevõtjal ka rohkem tegeleda erinevate avaldustega, kus andmete kustutamist nõutakse.

 

Profiilianalüüsi keelamine

Isik saab suurema õiguse teatud tingimuste täitmisel nõuda, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil. Vastav õigus tekib siis, kui profileerimisel on teada puudutavad õiguslikud tagajärjed või see avaldab talle märkimisväärset mõju. Näiteks veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta.

 

Erandid andmesubjekti õiguste teostamisest

Igast õiguse teostamisele näeb määrus ette teatud erandid. Eelkõige on andmesubjekti nõue täidetamatu, kui sellega kahjustatakse ka teiste isikute õigusi ja vabadusi. Aga ülekandmise korral ka tehnilised võimalused või nende puudumine. Ettevõttel soovitame tagada, et kehtestatud on reeglid ja protseduurid sellest, kas ja kuidas need erandid ühes või teises ettevõttes kohalduvad. 

Kokkuvõttev soovitus ja tegevuskava

Andmekaitse määruse jõustumine toob ettevõtetele suure hulga uusi kohustusi, millega peaks tegelema juba täna.

Uute õiguste osas tuleb ettevõtetel asuda analüüsima olemasolevaid isikuandmeid eesmärgiga välja selgitada:

• kas ettevõttel on alused keelduda ühe või teise andmsubjekti õiguse teostamisest?
• Kas ettevõtte on tehniliselt võimalik isikule tema andmed n-ö kaasa anda (või teisele teenuse pakkujale edastada) ja masinloetavaks teha ning vajadusel teatud andmete töötlemine lõpetada;
• kas privaatsustingimused on uuendatud selliselt, et nendes kohaselt teavitatakse isikuid õigusest keelduda andmete töötlemisest, s.h andme liikide ja eesmärkide lõikes;
• kas ettevõtte töötajad on pädevad andma vastuseid klientide küsimustele seoses isikuandmetega.

 

 

Andmete ülekantavusest 

Suunised andmete ülekandmise õiguse kohta (eesti keeles) - vastu võetud 13.12.2016, kinnitatud 05.04.2017

Inglise keeles: Guidelines on the right to data portability

Korduma kippuvad küsimused andmete ülekandmise õiguse kohta (eesti keeles) - vastu võetud 13.12.2016

Inglise keeles: FAQ on the right to data portability

Automaatotsustest ja profileerimisest 

Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679 -  (inglise keeles) vastu võetud 03.10.2017, kinnitatud 06.02.2018

TOP 10: VI ANDMETÖÖTLUSEKESKSETEST ETTEVÕTETEST JA PROFILEERIMISEST

Andmetöötluse kesksete ettevõtete erisused

Ettevõtted, kelle tegevusest moodustab andetöötlus keskse või suure osa, on määruse kohaselt mitmeid täiendavaid kohustusi. Näiteks ettevõtted, kelle põhitegevuseks on ulatuslik isikuandmete töötlemine, ei pääse andmekaitse ametniku määramisest, sest sellistel ettevõtetel on andmekaitseametniku määramine ettenähtud määrusega. Samuti nõutab määrus, et mõjuhinnangu peavad tegema kõik, kelle isikuandmete töötlemisel selle laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsilistele isikute õigustele ja vabadustele suur risk. 

Kõik eeltoodu ei tee lihtsamaks aga seda, kuidas määrata, kas konkreetne ettevõte on selline, mille põhitegevuseks on isikuandmete ulatuslik töötlemine või kelle töötlemise kaasneb suur risk. Määrus annab mõned viited, näiteks, et erasektoris on vastutava töötleja põhitegevus seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena. Suure riski  

Tegevusest, mida määrus eraldi reguleerida on võtnud on ettevõte, kelle tegevuse hulka kuulub profileerimine. 

 

Profileerimine kui erikohustustega tegevus

Profileerimiseks nimetab määrus igasugust isikuandmete automatiseeritud töötlemist, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks. 

Automatiseeritud otsuste regulatsiooni juures on oluline teha vahet kahel erineval olukorral. Esiteks, kui tehakse otsus, mis ei põhine üksnes automatiseeritud töötlusel ja teiseks, otsus, mis põhineb üksnes automatiseeritud töötlusel. Näiteks ei loeta üksnes automatiseeritud töötlusel põhinevaks laenuandja otsust, kui laenuandja kasutab küll algoritmi abi krediidiskoori kujundamiseks, kuid lõpliku otsuse, kas laenu anda, teeb siiski inimene. Kui aga näiteks otsuse selle kohta, millise hinnaga tuleb isikul maksta kindlustusmakseid, teeb robot üksi, siis see oleks vaid automatiseeritud töötlusel põhinev otsus, mida määrus reguleerib rangemalt. 

Nimelt on keelatud üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil põhinevate otsuste tegemine, millel on andmesubjektile kahjulikud õiguslikud tagajärjed või märkimisväärne mõju v.a kui selleks on: 

• andmesubjekti nõusolek; 
• see on lepingu täitmiseks või andmesubjekti taotlusel lepingu sõlmimiseks vajalik; 
• see on lubatud liikmesriigi õigusega. 

Otsuse puhul, mis ei põhine üksnes automatiseeritud töötlusel on aga võimalik kasutada õigusliku alusena ka mh õigustatud huvi. 

Täiendavalt on oluline automatiseeritud otsuste juures tähele panna, et andmesubjektidel on nendega seoses ka rohkem õigusi need on: 

• andmesubjektil on õigus konkreetsele teabele automatiseeritud töötluse kohta. Näiteks algoritmi korral sellele teabele, mida konkreetne algoritm muutujatena arvesse võtab; 
• õigust otsesele isiklikule kontaktile; 
• õigust väljendada oma seisukohta; 
• õigust saada selgitust otsuse kohta, mis tehti automatiseeritud otsusega; 
• õigust automatiseeritud otsust vaidlustada.

 

Automaatotsustest ja profileerimisest 

Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679 -  (inglise keeles) vastu võetud 03.10.2017, kinnitatud 06.02.2018

Mõjuhinnangust

Suunised, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679 (eesti keeles) vastu võetud 04.04.2017, kinnitatud 04.10.2017

Inglise keeles: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk”

TOP 10: VII ANDMEKAITSEAMETNIKU MÄÄRAMISE KOHUSTUS

Erinevalt eelnevast direktiivist seab üldmäärus kindlatel juhtudel andmekaitseametniku määramise kohutuse. Käesolev peatükk avab selle kohutuse sisu ja selgitab, millal ning kellel on andmekaitseametniku määramise kohustus.

 

Andmekaitseametniku määramine

Määruses märgitakse keerulises sõnastuses, et andmekaitseametnik (ingl data protection officer) tuleb määrata, kui ettevõtja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise.

Esmapilgul võib kohustus tunduda relevantne vaid suurettevõtetele. Kui ka määruse algses versioonis oli kirjas, et ühingud alla 250 töötajaga ametnikku reeglina määrama ei pea, siis määruse lõppversioon sellist erisust enam ei sedasta. Ametnikku määrama võib olla kohustatud ka ühing, kus töötab paar kuni kümme inimest.

Enamgi veel, seda kohustust on tõlgendanud ja täpsustanud Euroopa andmekaitseasutuste töörühm (artikkel 29 töörühm). Euroopa andekaitseasutuste töörühma suunisest tuleneb, et märgitud sätet ei tohi tõlgendada kitsendavalt. Soovitus nimetab näitena sellisest ettevõttest, kes ei pea ametnikku määrama, pereettevõtte väikelinnas, kes isikuandmeid peaaegu et ei töötle. Seega sisuliselt tuleb igal ettevõtjal kasvõi korraks läbi mõelda, kas määrusest tulenev kohustus puudutab ka tema äri ning kas eraldi ametikoht on vajalik.

Määrus sätestab, et andmekaitseametnik tuleb määrata, kui:

• Kui sinu põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine, siis on andmekaitseametniku määramine kohustuslik.
• Andmekaitseametniku peavad määrama ka kõik avaliku sektori asutused, aga ka teised avalike ülesannete täitjad. 
• Lisaks on kohustus määrata andmekaitseametnik andmetöötlejatel, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine. 

Üldmäärus räägib töötlejatest, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine. Seega on vajalik selgitada välja, mida mõeldakse järgmiste mõistete all: põhitegevus, ulatuslik jälgimine, korrapärane ja süstemaatiline jälgimine. 

Põhitegevuseks peetakse neid tegevusi, mille abil saavutatakse ettevõtte põhilisi eesmärke. Andmekaitseametniku määramine on kohustuslik, kui põhitegevuse lahutamatuks osaks on selline isikuandmete töötlus, mis sobitub üldmääruse artikli 37 alla. Näiteks peab andmekaitseametniku määrama turvafirma, mis jälgib kaameratega suurt avaliku ala või paljusid avalike kohti, selline andmetöötlus on nende turvateenuste osutamise oluline osa, on ulatuslik, korrapärane ja süsteemne. Põhitegevuseks ei loeta toetavaid tegevusi nt töötajatele palkade maksmist.

Ulatuslikkuse hindamisel tuleb tähelepanu pöörata järgmistele teguritele: i) töötlemisest puudutatud andmesubjektide arv - kas konkreetse arvu või osana vastavast andmesubjektide grupist; ii) andmehulk ja töödeldavate erinevate andmekategooriate hulk; iii) andmetöötlustoimingute kestvus või püsivus ja iv) töötlemistoimingute geograafiline ulatus. Näiteks saab ulatusliku töötlemise alla liigitada järgnevad tegevused: andmete (sisu, liiklus, asukoha) töötlemine telefoni või Interneti-teenuse pakkujate poolt; patsiendi andmete töötlemine haigla korrapärase tegevuse käigus; kindlustusettevõtte või panga korrapärase äritegevuse käigus kliendiandmete töötlemine või ka linna ühistranspordisüsteemi kasutavate isikute reisiteabe töötlemine.

Korrapäraseks saab pidada tegevust, mis on pidev või kindla aja tagant korduv ning ei ole ühekordne tegevus. Süsteemseks saab pidada tegevust, mis on eelnevalt planeeritud, mille läbiviimine organiseeritud ja metoodiline ning mis on osa ettevõtte ärimudelist. Artikkel 29 töörühm on toonud järgmised näited korrapärasest ja süsteemsest töötlemisest: telekommunikatsioonivõrgu käitamine; telekommunikatsiooniteenuste pakkumine; profileerimisepõhised turundustegevused; riskide hindamise eesmärgil profiilide koostamine ja hindamine (nt krediidiskoorimise eesmärgil, kindlustusmaksete kehtestamine, pettuse ärahoidmine, rahapesu avastamine); asukoha jälgimine, näiteks mobiilirakenduste kaudu ja lojaalsusprogrammid; tervislikkuse, sobivuse ja terviseandmete jälgimine kantavate seadmete abil.

 

Ametniku hariduslik taust

Määrus ei kirjuta iseenesest ülemäära rangelt ette, mis haridusega ametnik peab olema, kuid määrusest tuleneb, et määrataval ametnikul peavad olema ekspertteadmised andmekaitsealase õiguse ja tava kohta.

Hetkel on andmekaitseametnikuks võimalik õppida vaid Prantsusmaal. Seda Pariisis Panthéon-Assas nimelises ülikoolis, kus vastav programm selle aasta alguses avati. Andmekaitse alaseid koolitusi on lubanud tulevikus läbi viima hakata ka Eesti ülikoolid.

Määrusega kaasneva ühe probleemkohana on välja toodud, et ettevõtjate jaoks saab olema tükk tööd kvalifitseeritud inimese leidmisega. Arvestades, et paljudel ei ole sellist inimest organisatsiooni seest võtta ning väljast teenuse sisse ostmine võib olla liialt kallis.

 

Lühidalt ametniku kohustustest

Ametniku kõige laiem ülesanne on tagada, et ettevõtte tegevused oleks kooskõlas uue regulatsiooniga. Ametnik nõustab ettevõtjat määrusest tulenevate kohustute täitmisel, järgib, et andmekaitse normidest peetaks kinni ja korraldab sh personali teadlikkuse suurendamist ja koolitamist ning seonduvat auditeerimist. Ametnik annab nõu seoses andmekaitsealaste mõjuhinnangutega. Lisaks teeb ametnik koostööd andmekaitse alaste riiklike järelevalve asutustega ning on ettevõtte kontaktisikuks andmekaitse alal.

 

Kokkuvõttev soovitus ja tegevuskava

Seega andmekaitseametniku määramise osas soovitame läbi viia hinnangu oma ettevõtte põhiselt tagamaks, et ametniku mitte määramise osas on vajadusel põhjendus varnast võtta. 

Hinnangu sisuks on kokkuvõtlikult, kas ettevõte vastab vähemalt ühele alljärgnevast kolmest küsimusest jaatavalt, mis tähendaks ametniku määramise kohustuslikkust: 

• Põhitegevuseks on ulatuslik andmetöötlus:

• ettevõtte põhitegevuse oluline osa on isikuandmete töötlemine;
• töötlemine on ulatuslik st toimub suures mahus;
• töötlemine tingib andmesubjektide korrapärase ja süsteemse jälgimise.

• Põhitegevuseks on ulatuslik eriliigiliste või süüteoandmete töötlus;
• Töötleja on avalik sektor. 

Andmekaitse määruse teemalise küsimuse korral küsi julgelt või lepi kohtumine kokku – meil on endiselt esimene konsultatsioon tasuta.

 

Andmekaitsespetsialistist:

Suunised andmekaitseametnike kohta (eesti keeles) - vastu võetud 13.12.2016, kinnitatud 05.04.2017; Inglise keeles: Guidelines on Data Protection Officers

Korduma kippuvad küsimused andmekaitseametnike kohta (eesti keeles) - vastu võetud 13.12.2016; Inglise keeles: FAQ on Data Protection Officers

Andmekaitse Inspektsiooni juhised 

Andmekaitsespetsialisti määramisest saab täpsemalt lugeda siit. Andmekaitsespetsialisti teadmised ja oskused on kirjeldatud siin.

Määruse relevantsed punktid

Määrust saab eesti keeles lugeda siit, kus eelkõige on olulised artiklid 37-39.

TOP 10: VIII KÄITUMINE ISIKUANDMETEGA SEOTUD RIKKUMISE KORRAL

Andmekaitse üldmäärus kehtestab isikuandmete töötlejale täpsed juhised tegutsemiseks olukorras, kui ta saab teadlikuks isikuandmetega seotud rikkumisest. „Isikuandmetega seotud rikkumine“ tähendab määruse kohaselt turvanõuete rikkumist, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu“.

 Rikkumisest teada saamisel nõutavad tegevused sõltuvad sellest, kas rikkumise avastas vastutav või volitatud töötleja ning kui suurt ohtu füüsiliste isikute õigustele ja vabadustele avastatud rikkumine endast kujutada võib. Piltlikult võib ettevõtte tegevusplaani kokku võtta järgneva joonisega: 

Volitatud ja vastutava töötleja tegevusplaan

Volitatud töötleja 

• teavitab vastutavat töötlejat talle teatavaks saanud rikkumisest niipea kui võimalik;
• intsidendi uurimise ajal on volitatud töötleja kohustatud abistama vajadusel ja taotlusel vastutavat töötlejat.  

Vastutav töötleja:

• hindab viivitamatult talle teatavaks saanud rikkumise võimalike tagajärgede ohtlikkust füüsiliste isikute õigustele ja vabadustele;
• teavitab pädevat järelevalveasutust rikkumisest põhjendamatu viivituseta ja võimalusel 72 tunni jooksul sellest teada saamisest, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu andmesubjektide õigustele ja vabadustele;
• teavitab andmesubjekte rikkumisest põhjendamatu viivituseta juhul, kui rikkumine kujutab endast tõenäoliselt suurt ohtu nende õigustele ja vabadustele;
• dokumenteerib rikkumise asjaolud, selle mõju ja võetud parandusmeetmed.

 

Ohu hindamise kohustus

Kohustused hinnata rikkumisest tuleneva tõenäolise ohu suurust ning dokumenteerida rikkumisega seotud asjaolud, ohuhinnang ja võetud meetmed puudutavad kõiki vastutavale töötlejale teatavaks saanud isikuandmetega seotud rikkumisi. Teavitamis- ja dokumenteerimiskohustuste täitmatajätmisel on võimalik vastutavat töötlejat trahvida kuni 10 miljoni euro või 2% ulatuses tema globaalsest aastakäibest.

Ohuhinnangust tulenevalt on võimalik kolm tegevusstsenaariumi:

• dokumenteerimine ettevõtte enda registris;
• dokumenteerimine ja Andmekaitse Inspektsiooni teavitamine;
• Dokumenteerimine, Andmekaitse Inspektsiooni teavitamine ning andmesubjekti(de) teavitamine.

Kui ohuhinnangust tuleneb, et risk andmesubjekti õigustele puudub või on väga väike, piisab kui intsident dokumenteeritakse: ohuhinnang talletatakse ning intsident registreeritakse ettevõtte siseses registris. 

 

Andmekaitse Inspektsiooni Teavitamine

Juhul kui eksisteerib tõenäoliselt oht andmesubjekti õigustele ja vabadustele, tuleb teavitada toimunust Andmekaitse Inspektsiooni. Selleks on AKI veebilehel vastav veebiteenus.

Siinkohal on oluline meeles pidada, et teavitamine peab toimuma 72 tunni jooksul alates sellest kui vastutav töötleja rikkumisest teada sai.

Kui pädeva järelevalveasutuse (Eestis on selleks Andmekaitse Inspektsioon) teavitamine toimub rohkem kui 72 tundi pärast rikkumisest teada saamist, tuleb teavitusega viivitamist põhjendada. Juhul, kui kogu nõutavat teavet ei ole võimalik esitada ühekorraga, võib seda edastada järk-järgult ilma põhjendamatu viivituseta.

Järelevalveasutusele esitatav teade peab sisaldama vähemalt järgmist teavet:

• rikkumise laad ning võimalusel ka rikkumisest puudutatud andmesubjektide ja kirjete kategooriad ja ligikaudsed arvud;
• andmekaitseametniku või muu lisateavet andva kontaktisiku nimi ja kontaktandmed;
• rikkumise võimalikud tagajärjed;
• rikkumise lahendamiseks või selle võimaliku kahjuliku mõju leevendamiseks võetud või võtmiseks kavandatavad meetmed.

 

Andmesubjekti teavitamine

Andmesubjektide teavitamine on nõutav, kui oht õigustele ja vabadustele on suur. Sellisel juhul tuleb selges ja lihtsas keeles kirjeldada rikkumise laadi ning anda andmesubjektidele määruses nõutud teave.

Erandina võib andmesubjekte otse mitte teavitada, kui:

• ettevõte on võtnud kas enne või pärast rikkumist tarvitusele meetmed, millega tagatakse, et suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline, või
• see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul peab vastutav töötleja tegema rikkumise kohta avaliku teadaande või muul viisil teavitama kõiki andmesubjekte võrdselt tulemuslikul viisil.

 

Kokkuvõte

Seega ei ole põhiküsimus mitte selles, kas sinu ettevõttes või asutuses toimub rikkumine, vaid selles, kas ja kuidas oled selliseks juhtumiks valmis.

Valmisoleku tagamiseks on vaja:

• kehtestada asjakohased sisemised protseduurid ning nende rakendamist aeg-ajalt harjutada;
• teada, kuidas hinnatakse rikkumise ohutaset;
• omada registrit intsidentide registreerimiseks ning vajadusel sealt tehtavate väljavõtete kaudu AKI ja andmesubjektide teavitamiseks

 

 

Rikkumisteadetest

Guidelines on Personal data breach notification under Regulation 2016/679 - (inglise keeles) vastu võetud 03.10.2017, kinnitatud 06.02.2018

TOP 10: IX ANDMEKAITSE JA VASTUTUS

Määrus laiendab võrreldes eelneva regulatsiooniga volitatud töötleja kohustusi ja vastutust, mis tähendab, et ka volitatud töötlejad peavad uue määrusega kooskõlas olema ja võivad rikkumise korral olla koos vastutava töötlejaga solidaarselt vastutavad. Oluline on tähelepanu pöörata ka trahviregulatsiooni erisustele Eestis.

 

Solidaarvastutus 

Varasemalt sai rikkumise korral isik minna nõudega vastutava töötleja (ingl controller) vastu. Määrusest aga tuleneb, et igal isikul, kes on kandnud määruse rikkumise tulemusel kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest. Erinevalt varasemast võib kahju nõuda mitte ainult vastutavalt vaid ka volitatud töötlejalt (ingl processor).

Seega tuleb ka volitatud töötlejatel (isik, kes töötleb isikuandmeid vastutava töötleja nimel) arvestada, et kahju saab nõuda ka neilt. Viimane tähendab seda, et kui näiteks ettevõtja A kogub kliendiandmeid ehk on vastutav töötleja, aga kasutab pilveteenust B, et neid andmeid pilves hoida, siis võib andmete lekkemise korral vastutada selle rikkumise eest ka pilveteenuse B pakkuja ehk volitatud töötleja. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

 

Vastutuse määrad

Kõige enam on meedias tähelepanu pälvinud asjaolu, et andmekaitsemäärus võimaldab kohaldada enneolematult suuri trahve. Määrus jagab rikkumised robustselt kaheks. Esiteks väiksemad rikkumised, mille eest võidakse määrata trahv, mille suurus on kuni 10 000 000 eurot või kuni 2 % ettevõtte eelneva majandusaasta ülemaailmsest aastasest kogukäibest.

Teiseks suuremad rikkumised, mille eest võidakse määrata trahv, mille suurus on kuni 20 000 000 eurot või kuni 4 % ettevõtte eelneva majandusaasta ülemaailmsest aastasest kogukäibest. Eelnev ei tähenda, aga kindlasti automaatselt seda, et ka Eestis maksimaalseid trahve reaalselt ja koheselt välja mõistetakse.

 

Eesti erand

Määruse preambuli punkt 151 sätestab, et  Eesti õigussüsteem ei võimalda määrata trahve määruses sätestatu kohaselt ja et trahve käsitlevaid eeskirju saab kohaldada selliselt, et Eestis määrab trahvi järelevalveasutus väärteomenetluse raames. Seoses sellega on Eesti isikuandmete kaitse seaduse eelnõus märgitud, et kõigepealt teeb Andmekaitse Inspektsioon ettekirjutise enne kui asi üldse trahvideni jõuab. Seega erinevalt kõigist teistest Euroopa Liidu liikmesriikidest näeb Eesti seadus määrusest tuleneva erandi tõttu ette, et rikkumisele ei järgne kunagi koheselt trahv, vaid enne tuleb Inspektsioonil teha ettekirjutis ning järgmise sammuna määrata vajadusel sunniraha. Alles seejärel võib rakendada trahvi.

 

Administratiivtrahvidest

Suunised määruse (EL) 2016/679 kohaste trahvide kohaldamise ja määramise kohta (eesti keeles) - vastu võetud 03.10.2017

Inglise keeles: Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679

 
TOP 10: X MIS ON VÄLTIMATULT VAJALIK

Määrusele vastamine on vältav projekt

 Määrusega kooskõla saavutamise projektis võiks ettevõte jaotada enda planeeritava etappidesse:

• Etapp I ja II: Hinda olukorda. Hetke olukorra hindamine, andmeauditi koostamine;
• etapp I ja II: Teadlikkus. Ettevõttes tuleb tagada asjakohaste töötajate pidev koolitamine andmekaitse nõuetest;
• etapp III: Koosta plaan. Reaalne tegevuskava sellest, mida võtad ette kohe ning mida tulevikus. 
• etapp IV: Planeeri ja rakenda.Kooskõla saavutamise tegevuskava rakendamine ning vajalike infotehnoloogiliste lahenduste teostamine; äriprotsesside muutmine ja kohandamine ning malldokumentide koostamine.

Enim tähelepanu tuleb pöörata just andmete kaardistamisele, infotehnoloogiliste lahenduste ning äriprotsesside analüüsiks ning vajadusel kohandamiseks. Muu, s.h. dokumentatsioon järgneb eelnevale.

Oluline on, et määrusele vastamise küsimused ei ole ühekordsed ning ühekordsete tegevuste tulemusena ei ole võimalik olla ja jääda ettevõtteks, kes saab jaatada nõuetele vastavust. Nimelt, paljuski on määrus ettenähtud meetmed „elus“ ning need käivad ajaga kaasa: kui ettevõte arendab uue toote, võib olla asjakohane mõjuhinnang; kui tekib uus viis ja eesmärk isiku andmete töötlemiseks, on vajalik see kajastada tingimustes ning töötlemistoimingute registris ning loomulikult – registreeritavad tegevused peavad jooksvalt kajastuma selleks ettenähtud korra kohaselt vastavas registris. 

 

Miinimumpakett

Eelnevaga koos ning osaliselt nende järgselt on paratamatult vajalik tegeleda dokumentatsiooni koostamisega. Ettevõtja peaks hindama, mis ja kas on vajalik allolevast, meie hinnangul minimaalsest paketist selle kohta, kuidas andmekaitse üldmääruse nõuetega vastavust saavutada ja seda hoida:

Milline on ettevõtte tegelik seis hinnates seda vastu andmekaitse üldmäärust? Lihtsaim viis tegeliku olukorra tuvastamiseks on andmekaitse auditi läbiviimine. Selle kaudu selgitatakse välja, kus, millised ja miks andmeid ettevõttes hoitakse ja töödeldakse.

Andmekaitseauditi valdkonnad (kajastamaks seda, mis on ettevõttes tegelikkus / lähiajal planeerimisel auditi koostamise hetkel):

• millised andmed ning kus;
• kliendi kvalifitseerumine GDPR alusel (volitatud/vastutav töötleja/kolmas isik);
• andmete kogumise asjaolud (kelle poolt, kus, kuidas)
• andmete töötlemise asjaolud (kellel on õigus muuta, täiendada, vaadata; kuidas ja kus hoitakse; avaldamise juhud)
• võimalikud seadusest tulenevad töötlemise alused;
• läbipaistvuskohustuse täitmise võimalused;
• andmekaitse põhimõtete täitmise võimalused;
• andmesubjekti õiguste tagamise võimalused;
• andmeturvalisuse tagamise võimalused;
• rikkumiste menetlemisega seotud võimalused;
• andmevahetuse asjaolud (väljaspool EL-i);
• vastutava töötlemise kohustuste täitmise asjaolud;
• volitatud töötlemise kohustuste täitmise asjaolud;
• andmetöötluse lõpetamise asjaolud;
• töötajate täiendkoolitamise asjaolud.

Andmekaitseauditi järgselt saab asuda tegevuskava koostamise ja konkreetsete tegevuste juurde, et ühingul oleks selge, millised on kõige kriitilisemad tegevused, mida tuleks hoida või arendada. Tegevuskava jooksva jälgimise ja uuendamise kaudu saavutab ettevõte ajalooliselt kohustuste täitmist peegeldava nn registri, mille kaudu eksisteerib teave, kuidas on ettevõte toiminud siiani ning mis on planeerimisel

Määrusega kooskõla eeldab teatud dokumentatsiooni, juhiste ja registrite olemasolu ettevõttes. Nimetagem seda malldokumentatsiooniks. Vajalik võiks olla järgnev:

Töötlemistoimingute register. Juhul kui töödeldakse piisavas koguses andmeid või selline töötlus ei ole juhuslik, peavad töötlemistoimingud olema registreeritud (üldmääruse artikkel 30) – s.h. andmete töötlemise viis, alus, säilitamise tähtaeg, volitatud-vastutavad töötlejad ja vastuvõtjad. Register on kogu GDPRi vastavustoimingute aluseks ka tulevikus ning mis saab sisendi nii lepingutest kui andmeauditi tulemustest ning kliendi edasisetest kavatsustest.
Mõjuhinnangute põhjad ehk mallid.

• Andmekaitse mõjuhinnangu mall. Juhul kui ettevõtte tegevuste hulgas on selliseid, millel on suur mõju isikute privaatsusõigusele, peaks sellise töötluse eeldus olema mõjuhinnangu teostamine ning selle tulemuse alusel ka AKI teavitamine.
• Õigustatud huvi hinnangu mall. Kui ettevõtte töötlusprotsessid tuginevad õigustatud huvile, võib olla vajalik koostada õigustatud huvi hindamise põhi, mille kaudu hinnata plaanitava või olemasoleva toimingu lubatavust õigustatud huvi alusel.

Privaatsustingimused. Privaatsustingimuste alusel töötleb ettevõte andmeid ning need peavad olema andmesubjektile lihtsasti kättesaadavad, s.t. näiteks veebilehel; tegutsemiskohas jm.0
Organisatoorsed isikuandmete töötlemise dokumendid:

• Organisatsioonisisesed privaatsustingimused. Oluline, et ka töötajate andmete töötlemine oleks selge ja korrektne. Enamgi veel, organisatsioonisisese poliitika kaudu kohustatakse ka töötajaid ettevõttele rakenduvaid nõudeid täitma. Töötajate osas enda kohustuste täitmine on ettevõtte selge huvi ning määruse eeldus;
• Organisatsioonisisesed infoturve poliitikad ning organisatoorsete ja tehniliste kaitsemeetmete juhis/poliitika;
• Andmetöötlusega tegelevate töötajate puhul töölepingu täiendavad sõnastused.

Nõusoleku mall. Nõusolek on vajalik vaid juhul, kui ettevõte töötleb andmeid viisil, mis ei ole vajalik isikuga sõlmitud lepingu, juriidilise kohustuse täitmiseks või õigustatud huvi alusel (nt uudiskirjade edastamine). Nendeks juhtudeks on vajalik mõelda läbi nõusolekute kogumise ja hoidmise protsess; ülesehitus jm tagamaks nende kehtivus.
Andmetöötluslepingud.

• Vastutava-volitatud töötleja lepingu mall. Määruses on sätestatud kohustus, et juhul kui volitatakse kedagi teist andmeid töötlema, siis peab olema sõlmitud leping määruses sätestatud kohustuslike tingimustega (artikkel 29).
• Enesehinnangu mall tagamaks enda lepingupartneritest volitatud ja vastutavate töötlejate tegevuse ning organisatsiooni ühetaoline hindamine selles, kuidas rakendatakse isikuandmetega seonduvaid nõudeid.

Andmesubjekti taotlustele vastamise protseduur. Andmesubjekti uued õigused on paljuski informatsioonilised – s.t. õigus nõuda teavet; koopiat; ülekandmist. Vastavatele taotlustele tuleb vastata olenevalt taotlusest viivitamatult või 30 päeva jooksul. Andmesubjekti õiguste teostamise tagamiseks peaks olema ettevõttel:

• Andmesubjekti taotluste menetlemise juhis/poliitika
• Andmesubjekti taotluste register on eriti asjakohane olemaks vajadusel võimeline tõendama ülekandmise või kustutamise põhjuslikkus
• Andmesubjekti taotluse esitamise mall ehk vorm, mida pakkuda andmesubjektidele vabatahtlikkuse alusel nende isikutuvastuseks ning taotluse sisu mõistmiseks ning võimaldamaks etteantud ajaraamistikus taotlustele vastata

Intsidendihalduse protseduur. Teavitamise näol on paljuski tegemist on uue kohustusega, mis eeldab detailset ettevalmistust juba enne rikkumise ilmnemist. Mistahes andmekao, hävimise, kadumise korral kohustub ettevõtte sellise rikkumise (a) registreerima; (b) olulise rikkumise korral teavitama 72 tunni jooksul AKI-t ning (c) teatud juhtudel ka andmesubjekti või avalikkust.

• Rikkumise ohuhinnangu mall: peaks olema läbimõeldud, deklareeritav ning tõendatav. Just selle alusel teeb ettevõtte otsuse, kas vajalik on teavitamine või piisab deklareerimisest ettevõtte registris;
• Rikkumiste register.
• Rikkumise protseduurireeglid. Selleks, et vastavas ajaraamistikus toime tulla ning esitada teavitus, mis vastab määruse nõuetele, peaks vastav vorm ja protsess olema ettevõttes kokkulepitud ja teada.

 

Kokkuvõtteks

Alustada võib alati tunduda hilja, kuid eesmärk ning selle poole teadlikult suundumine on pool (ja natuke enam) võitu.

Seega alusta plaanist; otsusta tähtajad ja tegevused ning seejärel rakenda. Lihtne! ????

 

 

Mõjuhinnangust 

Suunised, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679 (eesti keeles) vastu võetud 04.04.2017, kinnitatud 04.10.2017

Inglise keeles: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk”

Töötlemistimingute registrist 

AKI juhis: Avaleht » Eraelu kaitse » Andmekaitse reform: Töötlustoimingute registreerimine

20180419_Art29 WP_Position paper Art 30_publish.pdf 

TRINITI IPITMEEDIA töögrupp

TRINITI Advokaadibüroos on meediaõiguse, intellektuaalse omandi ning andmekaitse küsimustele spetsialiseerunud töögrupp ja seda nii Tallinna, Riia kui Vilniuse kontoris. Andmekaitsealane tegevus, kogemused ja muu materjal on alati kättesaadav: https://triniti.ee/tegevusvaldkonnad/andmekaitse/ .

inimest tööl
töökeelt
kontorit

TiNT


ehk

TÖÖRIIST ISIKUANDMETE KAITSE NÕUETE TÄITMISEKS

Kas TiNT on teie ettevõtte jaoks?

Vastus on jaatav, kui Teie ettevõtte tegevusalast tulenevalt töödeldakse suurel hulgal andmeid. 

Triniti pakub interaktiivset andmekaitsealast nõuteenust. Meil on professionaalne andmekaitsele pühendunud töögrupp, kes Teid andmekaitse küsimustes aidata saab. Meil on läbimõeldud andmekaitse paketid koos andmekaitsealase interaktiivse platvormiga. 

Oleme paindlikud ja leiame just Teile parima lahenduse – seega kui olemasolevad paketid ei tundu vastavat Teie vajadustele, võtke julgesti ühendust ja leiame just Teie huvile sobiva lahenduse.

Triniti pakub sisulist andmekaitseametniku teenust

TiNT ehk tööriist isikuandmete kaitse nõuete täitmiseks aitab Teid kõigis andmekaitse küsimustes, millega kokku puutute. Meie juures on teil mugavalt ühes kohas vajalik andmekaitse dokumentatsioon ja nõu ning täpne teave, mida peab või ei pea tegema. 

TiNT on platvorm, mille kaudu saame Teid abistada mugavalt, kiirelt ning just Teile sobival viisil. Eelkõige sisaldab see:

A. Juurutusnõu

• Juhised seoses isikuandmete kaitse üldmäärusest ja Eesti õigusest tulenevate isikuandmetega seotud kohustustega;
• Vajaliku miininmumdokumentide paketi kohandamine Teie ettevõttele;
• andmekaitsealaste juhiste ja dokumentatsiooni koostamine (ning haldamine). Minimaalse dokumentatsioonipaketi kohta loe SIIT;

B. Nõustamine interaktiivse IT-platvormi kaudu

• andmekaitse nõuete kohaldamise jälgimine, nõu ja teadlikkuse suurendamine;
• andmekaitsealaste mõjuhinnangute juures abistamine, sh andmekaitsealane mõjuhinnang (art 35) ja töötlemiseks õigustatud huvi hinnang;
• töötlemistoimingute registri koostamine ja haldamine;
• andmekaitse intsidentide haldus alates intsidendi registreerimisest kuni selle ohu hindamiseni ja vajadusel AKI teavitamiseni;
• nõu ja juhised andmesubjektide ja andmekaitse asutuste pöördumistele vastamisel;
• Dokumentatsiooni kaasajastamine ning ettevõttele relavantsed uudised;
• ülevaated andmekaitse olukorrast juhtkonnale ja vajadusel järelevalveasutusele;

C. Andmekaitseametniku teenus

• tagame ettevõttele võimaluse täita enda andmekaitsealane kohustus määrata andmekaitseametnik, kes on ametlik esmakontakt andmekaitsealastes • küsimustes väljapoole kliendi organisatsiooni.

Meie paketid

 

Paketid Teenuse kirjeldus
Juurutusteenus 3000 €
ühekordne tasu
Nõutavate dokumentide, poliitikate, vormide kohandamine organisatsiooni vajadustele ja huvidele.
Nõutavate dokumentide miinimumpaketi sisuga tutvu siin
Andmekaitsealase tööriista teenus Baas-pakett Premium-pakett
Juurdepääs TRINITI Andmekaitseametniku tööriistale TiNT
Vajadusel 2h kuus andmekaitsealast nõu andmekaitse töögrupilt platvormipõhiselt
Täiendav nõu 2h kuus andmekaitse töögrupilt platvormipõhiselt
Kord kvartalis andmekaitsealase kohtumise korraldamine kliendi ettevõttes
600 € / kuus 900 € / kuus
Andmekaitse spetsialisti teenus 300 €/kuus
Andmekaitsespetsialisti määramine ja registreerimine äriregistris; edastame ja registreerime andme-subjektide ja AKI pöördumised
Vajadusel 1h täiendavat konsultatsiooni kuus
Täpsema info saamiseks võtke meiega ühendust andmekaitse@triniti.ee või täida käesoleva lehe lõpus olev kontaktvorm
Lae alla TiNT pakettide info
Töötlemistoimingute registri?template. Juhul kui töödeldakse piisavas koguses andmeid, peavad töötlemistoimingud olema registreeritud (artikkel 30) – s.h. andmete töötlemise viis, alus, säilitamise tähtaeg, volitatud-vastutavad töötlejad ja vastuvõtjad.

Register on kogu GDPRi vastavustoimingute aluseks ka tulevikus ning mis saab sisendi nii lepingutest kui andmeauditi tulemustest ning kliendi edasisetest kavatsustest.

Privaatsustingimused. Privaatsustingimuste alusel töötleb ettevõte andmeid ning need peavad olema andmesubjektile lihtsasti kättesaadavad, s.t. näiteks veebilehel; tegutsemiskohas jm.

Ettevõtte sisesed poliitikad. Hõlmavad järgmist dokumentatsiooni:

Organisatsioonisisesed privaatsustingimused. Oluline, et ka töötajate andmete töötlemine oleks selge ja korrektne. Enamgi veel, organisatsioonisisese poliitika kaudu kohustatakse ka töötajaid ettevõttele rakenduvaid nõudeid täitma. Töötajate osas enda kohustuste täitmine on ettevõtte selge huvi ning määruse eeldus;

Organisatsioonisisesed infoturve poliitikad ning organisatoorsete ja tehniliste kaitsemeetmete juhis/poliitika;

Memo töötajatele. Ühel lehel ettevõtte privaatsuspoliitika tutvustus.

Töölepingu erisätted. Andmetöötlusega tegelevate töötajate puhul töölepingu täiendavad sõnastused - ainult juhtudel, mil on see vajalik (näiteks väga intensiivne andmetöötlejast töötaja; seda nõuab kliendiga sõlmitav leping (eriti suurettevõtetest kliendid võivad nõuda leppetrahvi olemasolu töölepingus)).

Andmekaitse mõjuhinnangu?template. Juhul kui ettevõtte tegevuste hulgas on selliseid, millel on suur mõju isikute privaatsusõigusele, peaks sellise töötluse eeldus olema mõjuhinnangu teostamine ning selle tulemuse alusel ka AKI teavitamine. Büroo aitab valmistada põhja/küsimustiku, millele vastata, kui hinnata plaanitava või olemasoleva tegevuse mõju isikuandmetele.

Õigustatud huvi hinnangu template. Juhul kui ettevõtte tegevuste hulgas on selliseid, mille puhul on töötlemise aluseks õigustatud huvi, mille puhul ei ole üheselt selge õigustatud huvi alusel töötlemise lubatavus või kui ettevõte soovib töödelda andmeid uuel eesmärgil, peals töötluse eeldus olema õigustatud huvi hinnangu teostamine. Büroo aitab valmistada põhja/küsimustiku.

Nõusoleku template. Nõusolek on vajalik vaid juhul, kui ettevõte töötleb andmeid viisil, mis ei ole vajalik isikuga sõlmitud lepingu, juriidilise kohustuse täitmiseks või õigustatud huvi alusel (nt uudiskirjade edastamine). Nendeks juhtudeks on vajalik mõelda läbi nõusolekute kogumise ja hoidmise protsess; ülesehitus jm tagamaks nende kehtivus.

Vastutava-volitatud töötleja lepingu template. Määruses on sätestatud kohustus, et juhul kui volitatakse kedagi teist andmeid töötlema, siis peab olema sõlmitud kirjalik leping määruses sätestatud kohustuslike tingimustega (artikkel 29). GDPRi kohaselt kohustuslik vorm on kirjalik.

Vastutava-volitatud töötleja lepingu template. Määruses on sätestatud kohustus, et juhul kui volitatakse kedagi teist andmeid töötlema, siis peab olema sõlmitud leping määruses sätestatud kohustuslike tingimustega (artikkel 29).

Volitatud töötlejana andmetöötluse lepingu template. Siin ka Enesehinnangu template tagamaks enda lepingupartneritest volitatud ja vastutavate töötlejate tegevuse ning organisatsiooni ühetaoline hindamine selles, kuidas ja kas rakendatakse isikuandmetega seonduvaid nõudeid.

Andmesubjekti taotlustele vastamine. Andmesubjekti uued õigused on paljuski informatsioonilised – s.t. õigus nõuda teavet; koopiat; ülekandmist. Vastavatele taotlustele tuleb vastata olenevalt taotlusest viivitamatult või 30 päeva jooksul. Andmesubjekti õiguste teostamise tagamiseks peaks olema ettevõttel:

Andmesubjekti taotluste menetlemise juhis/poliitika

Andmesubjekti taotluse esitamise template ehk vorm, mida pakkuda andmesubjektidele vabatahtlikkuse alusel nende isikutuvastuseks ning taotluse sisu mõistmiseks ning võimaldamaks etteantud ajaraamistikus taotlustele vastata

Andmesubjekti taotluse esitamise template ehk vorm lukustatult (ehk täita saab vaid vormi lahtreid) salasõnaga:

Rikkumise teavituse?template – tegemist on uue kohustusega, mis eeldab detailset ettevalmistust juba enne rikkumise ilmnemist. Mistahes andmekao, hävimise, kadumise korral kohustub ettevõtte sellise rikkumise (a) registreerima; (b) olulise rikkumise korral teavitama 72 tunni jooksul AKI-t ning (c) teatud juhtudel ka andmesubjekti või avalikkust. Selleks, et vastavas ajaraamistikus toime tulla ning esitada teavitus, mis vastab määruse nõuetele, peaks vastav vorm ja protsess olema ettevõttes kokkulepitud ja teada.

Rikkumise ohuhinnangu template: peaks olema läbimõeldud, deklareeritav ning tõendatav. Just selle alusel teeb ettevõtte otsuse, kas vajalik on teavitamine või piisab deklareerimisest ettevõtte registris;

Rikkumiste register. Siin tuleks registreerida kõik intsidendid, olenemata ohuhinnangu tulemusest.

Rikkumise protseduurireeglid. Selleks, et vastavas ajaraamistikus toime tulla ning esitada teavitus, mis vastab määruse nõuetele, peaks vastav vorm ja protsess olema ettevõttes kokkulepitud ja teada.

Andmekaitseametniku määramine. Andmekaitseametniku määramise eelduseks on määramise vajalikkuse hnnang ning see on vaVajalik juhuks, kui ettevõte soovib mitte määrata - kaasneb kohustus see otsus hinnata ja talletada.

Käsiraamat
allalaadimiseks

Anname juhised, kuidas peaksid käituma ettevõtted, kes tegutsevad suurandmete või profileerimisega.


Telli tasuta käsiraamat

Meeskond

Meie ülebaltilistes meeskondades tegutsevad kogenud advokaadid, oma valdkonna tippspetsialistid, kes teenindavad kliente kokku üheteistkümnes töökeeles.


Karmen Turk

Vandeadvokaat

Maarja Pild

Advokaat

Birgitta Ots

Jurist

Maarja Lehemets

Jurist

Peeter P. Mõtsküla

Advokaat

Klen Laus

Vandeadvokaat

KÄSIRAAMAT ALLALAADIMISEKS

Võtke ühendust


Kontakt

City Plaza, 15. korrus Tartu mnt 2, 10145 Tallinn, Eesti