Kümme soovitust isikuandmete kaitse üldmääruse järgimiseks

Kümme soovitust isikuandmete kaitse üldmääruse järgimiseks

Valmistuge ELi isikuandmete kaitse üldmääruse vastuvõtmiseks juba praegu. Anname kümme soovitust, mis aitavad teil seda teha.

Valmistuge ELi isikuandmete kaitse üldmääruse vastuvõtmiseks juba praegu. Anname kümme soovitust, mis aitavad teil seda teha. ELi isikuandmete kaitse üldmäärus mõjutab paljusid Euroopa ettevõtteid Olete muutusteks valmis?

Euroopa Liit andis 2016. aasta mais välja isikuandmete kaitse üldmääruse. Oleme juba teadlikud, et pärast määruse jõustumist 2018. aasta mais (kaheaastase üleminekuperioodi lõppedes) hakkavad kehtima isikuandmeid töötlevatele ettevõtetele uued operatiivnõuded.

Kuna isikuandmete määratlus on väga laiahaardeline, puudutab see määrus tegelikult peaaegu kõiki ettevõtteid. Nüüd on isikuandmete kaitse uue määruse jõustumiseni jäänud vaid pisut üle 300 tööpäeva, mistõttu koostasime teie jaoks kümnest alapunktist koosneva juhise, et aidata teil vajalike ettevalmistustega alustada.

1. Eeskirjade järgimise tõendamine

Uue määruse alusel peab isikuandmete registri haldaja suutma näidata, et töötleb isikuandmeid nõuetekohaselt.

Praktikas tähendab see seda, et oma vastutusalasse kuuluvate andmetöötlustoimingute kohta tuleb pidada registrit – selleks, et vajadusel andmete nõuetekohast töötlemist tõendada.

2. Nõusoleku saamine kliendilt

Kui isikuandmete töötlemine toimub isiku nõusolekul, peab olema võimalik tõendada, et vastav nõusolek on tõepoolest saadud.

Lisaks muutuvad nõusolekuga seotud reeglid rangemaks.

Nõusolek peab olema antud sõnaselgelt kas kirjaliku, elektroonilise või suulise avalduse vormis. Nõusolekuga peab olema tõendatud, et isik on vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt andnud loa oma isikuandmete kasutamiseks. Harilikult antakse nõusolek vastava märkeruudu klõpsamisega.

3. Kliendi õigus nõuda andmete kustutamist

Üks kehtima hakkava määruse uus punkt puudutab registreeritud isiku õigust nõuda tema andmete nö unustamist. Praktikas tähendab see, et isikul on õigus nõuda oma andmete andmebaasist eemaldamist.

Sellise situatsiooniga on näiteks tegu siis, kui isik võtab oma isikuandmete kasutamiseks antud nõusoleku hiljem tagasi. Kui isikuandmete töötlemisel on aga jätkuvalt seaduslik alus ja eesmärk, siis andmete eemaldamise kohustust ei ole.

Kui teil tuleb siiski andmed eemaldada, tuleb sellest teavitada kõiki juriidilisi isikuid, kes on vastavaid andmeid saanud või väljastanud. Seda on vaja, et kustutada ka kõik asjakohase materjaliga seotud lingid, duplikaadid ja koopiad.

4. Kliendi õigus nõuda andmete edastamist

Praegu on kõigil õigus saada enda kohta käivaid isikuandmeid, võimaluse korral isiku soovitud viisil.

See õigus kehtib ka nende isikuandmete puhul, mille isik on andnud nõusoleku või lepingu alusel. Kuid see nõue ei kohusta teid siiski heaks kiitma või säilitama andmetöötlussüsteeme, mis on tehniliselt ühilduvad.

5. Teid mõjutada võiva profiilimise keeld

Kõigil on õigus sellele, et nende suhtes ei võetaks vastu kohtulikke või muid olulise mõjuga otsuseid andmete automaatse töötlemise põhjal. Teiste sõnadega: isikut mõjutavaid kaalukaid otsuseid ei saa vastu võtta, tuginedes andmete automaatsele töötlemisele.

Erandina ei kehti profiilimise keeld juhul, kui otsustamine on vajalik isiku ja ettevõtte vahelise lepingu sõlmimiseks. Teil tuleb tagada, et profiilimis- ja otsustusprotsess on seadustega kooskõlas ning kõik vajalikud muudatused on sisse viidud.

Profiilimise keelu levinud erandi näitena võib tuua krediidiotsuste tegemise. Selliste otsuste puhul tuginetakse sageli automaatsetele klassifitseerimissüsteemidele ja vastavatele soovitustele.

6. Andmeturbega seotud eksimustest teavitamine

Tulevikus on teil kohustus ametivõime ja registreeritud isikuid andmeturbega seotud eksimustest teavitada. See nõue puudutab olukordi, mille puhul rikutakse mis tahes isikuõiguste ja -vabadustega seotud eeskirju. Sellistes situatsioonides tuleb toimida järgmiselt.

72 tunni jooksul rikkumise ilmnemisest peab teavitama vastavat ametiasutust. Kõiki isikuid, keda rikkumine võib mõjutada, tuleb teavitada niipea, kui nende isikuõigused ja/või -vabadused rikkumise tõttu tõenäoliselt ohtu satuvad.

Selleks, et neid nõudeid saaks täita, peab koostama ettevõttesisesed juhised ja määrama menetlusreeglid, mis aitaks tagada tööprotsesside tõhususe ja asjakohasuse.

7. Andmetöötlusprotsessist teavitamine

Kõikjal maailmas koguvad ettevõtted neil päevil isikuandmeid rohkem kui kunagi varem. ELi õigusaktide täitmiseks tuleb esitada andmetöötlust käsitlevat teavet varasemaga võrreldes rohkem.

See tähendab, et teil tuleb määrata isikuandmete säilitamise aeg. Kui see ei ole võimalik, tuleb teavitada kriteeriumist, mille alusel säilitusaeg määratakse.

Praktikas tähendab see teie jaoks näiteks registri- ja andmeturbega seotud dokumentide värskendamist. Samuti tuleb mõelda sellele, kuidas tegelikkuses registreeritud isikuid teavitama hakata.

 8. Andmekaitseametniku ametikoha loomine

Seoses andmekaitse valdkonna tähtsuse kasvamisega võib osutuda vajalikuks määrata ametisse andmekaitseametnik, kes vastutab isikuandmete käitlemise eest. Näiteks võib andmekaitseametniku määramine olla oluline sellistes ettevõtetes, kus laialdaselt, regulaarselt ja süsteemselt inimesi jälgitakse või kus selline jälgimine on üks ettevõtte põhitegevustest. Seda arvesse võttes tuleks kaaluda, kas teie ettevõttes on andmekaitseametniku määramine otstarbekas või mitte.

9. Kaitsemeetmete rakendamine isikuandmete töötlemise teenuse sisseostmisel

Kui mingit osa andmetöötlusprotsessist haldab mõni kolmas asutus, kes käitleb isikuandmeid teie eest, on teil järgmised kohustused.

Te peate tagama, et asjakohased tehnilised ja organisatsioonilised kaitsemeetmed vastavad uue määruse nõuetele. Samuti tuleb teil tagada, et registreeritud isikute õigused on kaitstud.

Praktikas tähendab see, et teil tuleb kindlaks määrata olukorrad, mille puhul on teenuse sisseost kohane, ning tagada, et kõik vastavad lepingud on koostatud nõuetekohaselt. Näiteks käsitletakse ka andmete talletamist pilves teenuse sisseostuna, vaatamata sellele, et teenusepakkuja aktiivselt andmeid ei töötle.

10. Rikkumistega võivad kaasneda kopsakad trahvid

Oluline on arvesse võtta ka seda, et lisaks hoiatustele võidakse teid andmekaitsealaste eeskirjade vastu eksimisel karistada kopsaka trahviga. Trahv võib ulatuda 20 miljoni euroni või moodustada kuni 4% teie ettevõtte aastakäibest.