Euroopa Liidu andmekaitsereeglite, mida tuntakse GDPR-i ja UK Data Protection Acti nime all, kehtima hakkamisest on möödas juba üle kolme aasta. Kõik ettevõtted peavad neid reegleid nüüd täie rangusega järgima ja mõistma, sest karistused võiuvad tabada kõiki, kes neist kinni ei pea. Mida on vaja ühel väikeettevõttel teada ja kuidas isikuandmeid kaitsta, sellest räägib lähemalt Info Flight OÜ sisuloomespetsialist Virge Rebane.
Esimesed näited reeglite rikkumise tagajärgedest on juba olemas. Ühendkuningriigi andmeregulaator karistas British Airwaysi ja Marriotti hotelliketti inimeste teabe nõuetekohase kaitsmata jätmise eest. Selle tõttu pidid suurettevõtted maksma suure trahvi, mille suurus sõltub ettevõtte tulust. British Airways pidi maksma 183 miljonit naela ja Marriott 99 miljonit naela.
Kuigi kõige rohkem ongi praegu karistatud just suurettevõtteid, peavad ka väiksemad reegleid järgima, sest nemadki võivad hätta jääda.
Kuigi väikeettevõtte trahvisummad pole nii hiiglaslikud, kui suurettevõtetel, mõjutab see neid siiski üsna palju.
Kas kõik peavad järgima GDPR-i reegleid?
Jah, kõik ettevõtted peavad seda tegema. Internetis levib mõnikord valeinfo, eriti Ühendkuningriigi ja Euroopa Liidu kohta. Isegi pärast Ühendkuningriigi lahkumist Euroopa Liidust kehtivad seal endiselt GDPR-i reeglid. Suurbritannias on juba koostatud oma seadused, mis põhinevad GDPR-il ja EL-i andmeseadused on sealsetesse oma seadustesse lisatud.
See tähendab, et Ühendkuningriigi spetsiaalne büroo Information Commissioner´s Office hakkab kasutama kahte reeglite komplekti, et käsitleda olukordi, kus inimesed kasutavad isikuandmeid valel viisil. Eestis täidab sarnast andmeregulaatori rolli näiteks Andmekaitse Inspektsioon.
Mis on GDPR?
GDPR on lühidalt reeglite kogum, mida ettevõtted peavad järgima, et kaitsta inimeste isikuandmeid.
Need reeglid kehtivad nii suurettevõtetele kui väikefirmadele. Väikefirmadel on siiski ka mõned erireeglid.
Kui väikeettevõttes on vähem kui 250 töötajat, siis ei pea näiteks pidama arvestust selle kohta, kuidas isikuandmeid kasutatakse, välja arvatud juhul, kui see võib kahjustada inimeste õigusi.
Väikeettevõtetel on ka vähem raha ja ressursse, kui suurtel, seega inimesed, kes nende reeglite täitmise eest ettevõttes hoolitsevad, on see raskem, kuna nad peavad siiski järgima enamikku samu reegleid, nagu suurettevõtted. Kui väikefirma teeb koostööd suurettevõttega, peavad nad samuti järgima samu õigusreegleid.
Millal läheb vaja andmekaitse spetsialisti?
Võib-olla vajab ka väiksem firma andmekaitseametnikku. See sõltub sellest, kui palju kogutakse klientide isikuandmeid, mitte ettevõtte suurusest. Kui koguda tuleb palju teavet inimeste isikliku elu kohta, näiteks nende rassi, usutunnistuse või tervise kohta, peab olema tööl andmekaitseametnik.
Kui tegemist on organisatsioonide rühmaga, saab jagada ühte andmekaitseametnikku, kui ta on iga organisatsiooni abistamiseks saadaval.
Andmekaitseametnik on nagu abimees, kes ütleb, kuidas andmeid õigesti koguda ja kuidas reegleid järgida. Nad räägivad ka nendega, kes hoolitsevad pidevalt reeglite järgimise eest. Eestis on abistavaks organisatsiooniks Andmekaitse Inspektsioon, kes on koostanud palju juhendeid ning loob neid pidevalt juurde.
Mida toob kaasa andmete leke ja reeglite rikkumine?
Kui tehakse viga, peavad organisatsioonid maksma trahvi. Trahv võib olla kuni 2% nende igal aastal teenitud tulust või 10 miljonit eurot, olenevalt sellest, kumb on suurem. Seda reeglite mittejärgimise või andmete kogumise ebapiisava hoolikuse eest.
Kui isikuandmeid lekitatakse või loata jagatakse, võib aga trahv olla veelgi suurem. See võib ulatuda kuni 4% ettevõtte igal aastal teenitavast tulust või 20 miljoni euroni olenevalt sellest, kumb summa on suurem.
"Kumb on kõrgem" on oluline just väikestele ja keskmise suurusega ettevõtetele, kes võivad andmete lekkimise tõttu saada suure rahalise hävingu osaliseks.
Panused on seega suured. Kui rahvusvahelised ettevõtted võivad järgmises eelarvekvartalis trahvisumma ära maksta, siis aktsia hinda see liiga palju ei mõjuta. Kuid need trahvid peavad olema ka proportsionaalsed, mis on peamine asjaolu, mida andmekaitseteenuseid pakkuvad müüjad sageli ei maini. Kui suudad laiaulatusliku arvestuse abil tõestada, et ettevõtte eeskirjad ja juhtimisraamistik on loodud GDPR-i järgimiseks, kuid rikkumine sellegipoolest toimub, siis võib Andmekaitse Inspektsioon (AKI) nõuda ka väiksemat trahvi. Kui aga ei suuda seda tõestada, et GDPR-i järgimiseks on jõupingutusi teinud ja näib, et asjaosalised ei tunne seadusi, määrab AKI tõenäoliselt suurema trahvi.
Kas ma pean nüüd 100% GDPR-iga ühilduma?
Kuigi isikuandmete kaitse üldmäärus (GDPR) on mitu aastat jõus olnud, ei ole enamik ettevõtteid seda siiamaani täielikult järginud.
Kui firma näitab valmisolekut uusi määrusi järgida, on vähem tõenäoline, et ettevõtet külastab AKI ametnik. Siiski on mõned selged sammud, mida tuleb astuda, et viia oma sisemised protsessid ja praktikad vastavusse andmekaitsereeglitega. Parim koht alustamiseks on vaadata AKI kodulehel olevaid juhendeid.
Toimingud, mida väike- ja keskmine ettevõte peab tegema
Mõned VKE-de vajalikud toimingud on järgmised.
Tuleb läbi viia andmekaitsemõju hindamine. See on üks GDPR-i põhikohustusi.
Kõik ettevõtted peavad hindama ohtu, mida nende andmetöötlus võib andmesubjektide õigustele ja vabadustele kaasa tuua. Kui suudad näidata, et oled ette mõelnud ja hoolikalt kaalunud, kuidas ettevõtte käitumine võib kliente mõjutada, näitab see tugevalt pühendumust uue reeglistiku täitmisele.
Dokumenteeri, milliseid isikuandmeid firmas hoitakse. Siis saab aru, milliseid isikuandmeid on üldse vaja kaitsta, kust need pärinevad, kellega neid jagatakse, millistel eesmärkidel neid koguti ning kas need on endiselt asjakohased ja vajalikud eesmärkidel, milleks neid kogutakse.
Veendu, et saaksid täita kodanike andmenõudeid. GDPR-i kohaselt saavad EL-i kodanikud paluda oma andmed kustutada, muuta või teisele organisatsioonile üle kanda. Protsessid ja tehnoloogia peavad võimaldama selliste taotluste täitmist ühe kuu jooksul.
Loo andmetöötluseks õiguslik alus. GDPR-i kohaselt ei ole loobumiskast "linnukese" märkimisega enam piisav. Selle asemel tuleb luua õiguslik alus kodanike andmete töötlemiseks.
Nõusoleku andmisel tuleb hankida luba ja nii on lubatud oma andmeid töödelda vaid kitsalt määratletud eesmärkidel vaid piiratud aja jooksul. Nõusolekut saab ka tagasi võtta, seega on mõistlik kaaluda muid seaduslikke aluseid, mille alusel andmeid töödelda.
Valmistu andmetega seotud rikkumiseks. Veendu, et ettevõtte protsessid võimaldavad andmekaitseasutusele andmerikkumisest teada anda 72 tunni jooksul alates teadasaamisest.
Määra andmekaitseametnik. Nagu eespool mainitud, on suuri andmemahtusid töötlevate ettevõtete jaoks andmekaitseametnik GDPR-i oluline osa. Kui ettevõte on seadusega kohustatud ametikoha määrama, tuleb seda teha varem või hiljem.
Kuidas mõjub Brexit Euroopa Liidu kodanike isikuandmetele?
Brexit on protsess, mille raames Ühendkuningriik lahkus Euroopa Liidust. See võib väikeettevõtetele probleeme tekitada.
Üks probleemidest on näiteks see, et nüüd ei pruugi enam ettevõte olla võimeline andmeid EL-ist Ühendkuningriiki edastama. See võib olla suur probleem Ühendkuningriigi väikeettevõtetele, kes hoiavad andmeid Euroopas, kuna see võib põhjustada häireid ja maksta palju raha.
Probleem tekkis seetõttu, et EL-il ja Ühendkuningriigil ei olnud teabe jagamise kokkulepet. Leping on oluline teabe edastamiseks EL-i ja EL-i mittekuuluva riigi, näiteks Ühendkuningriigi vahel. Kuna leping ei olnud Ühendkuningriigi EL-ist lahkumise lepingus, pidi EL kontrollima, kas Ühendkuningriigi seadused on piisavalt sarnased.
Kui ettevõtetel pole piisavuse lepingut, peaks see kasutama kas tüüplepingu klausleid või siduvaid ettevõtte eeskirju. Need valikud võivad olla kulukad ja vajada palju abi juristidelt.
Samuti pidi kohus otsustama, kas lepingu tüüptingimused on endiselt kehtivad. Selgus, et kuigi Privacy Shield ehk privaatsuskaitse enam Ühendkuningriigi ja USA vahel andmete edastamiseks ei tööta, töötasid tüüplepingu klauslid endiselt. Ühendkuningriik pidi mõnda aega ootama, kuid lõpuks saadi ajutine kokkulepe, mis tähendab, et Euroopa Liit kontrollib iga nelja aasta tagant, kas Ühendkuningriik järgib inimeste teabe kaitsmisel samu reegleid. Kui aga siiski probleemid tekivad, tuleb need kohtus lahendada.