Mirjam Võsu ja Sille Lehtsaar: peagi tuleb Euroopa Liidu andmekaitsereform – mida peaks ettevõtja tegema juba täna? (1)

Kuna iga ELi tasandil vastu võetud määrus on liikmesriikides otsekohalduv, siis tuleb ka Eesti ettevõtjatel kõiki määruses toodud nõudeid rangelt järgida. Vastasel korral toob see kaasa karmid karistused, mis määruse projekti kohaselt võivad teatud juhtudel ulatuda kuni 20 000 000 euroni või nelja protsendini ettevõtte ülemaailmsest käibest.

Pärast määruse vastuvõtmist muutuvad uued reeglid kohustuslikuks kahe aasta möödumisel, seega tõenäoliselt 2018. a kevadel. Uute süsteemide väljatöötamine ja juurutamine on aga pikaajaline protsess ning selleks, et ettevõtjad oleksid võimelised uusi reegleid õigeaegselt kohaldama, tuleks ettevalmistavaid samme teha juba täna.

Soovitame alljärgnevat tegevuskava:

• Identifitseeri ja süstematiseeri ettevõtte poolt seni kogutud isikuandmed. Selle tulemusena saad hinnata, millised isikuandmed on ettevõtte tegevuse jaoks olulised ja vajalikud ning millised mitte. Viimaste osas tuleks võimalusel kaaluda nende andmete töötlemise lõpetamist juba täna, et tagada ainult oluliste andmete töötlemine ja säilitamine.
   
• Tööta välja isikuandmete töötlemise juhendid ja strateegia. Kuna määruse üks märksõnasid on aruandlus, siis vaata kriitilise pilguga üle ettevõtte senine tegevus isikuandmete töötlemisel, sh isikuandmete töötlemise alused, ning kaardista leitud puudused ja riskikohad. Selle pinnalt saad välja töötada kohased juhendid ja ettevõtte strateegia andmete kogumiseks, liigitamiseks, säilitamiseks ja kustutamiseks. Oluline on kogu paberimajandus jooksvalt korras hoida, kuna määruse kohaselt kohustuvad ettevõtted säilitama dokumentatsiooni isikuandmete töötlemise kohta ja läbi viima mõjuanalüüse, mille täitmist võib järelevalveasutus igal ajal kontrollida. Kindlasti tuleb muudatuste kohaseks rakendamiseks tõsta ka töötajate teadlikkust andmekaitsest ja vajadusel korraldada koolitusi.
   
• Määra isikuandmete töötlemise eest vastutav isik. Määruse projekti järgi kohustub ettevõtja teatud juhtudel nimetama andmekaitseametniku (Data Protection Officer), mh kui ettevõtte põhitegevus nõuab regulaarset ja süstemaatilist isikuandmete töötlemist või erikategooriasse kuuluvate isikuandmete laiapõhjalist töötlemist. Samas on oluline, et ka juhul, kui ettevõtjal ei ole määrusest tulenevat kohustust andmekaitseametnikku nimetada, määraks iga ettevõte isiku, kelle vastutusala hõlmaks isikuandmetega seonduvat.
   
• Tööta välja rikkumistest teavitamise protsess, tugevda turvalisust ja kõrgenda valmisolekut kriisiolukordadeks. Määruse projekti kohaselt peab isikuandmete töötleja teavitama järelevalveasutust isikuandmetega seotud rikkumistest viivitamata, tehes seda võimaluse korral 72 tunni jooksul. Samuti tuleb teavitada andmesubjekti, kelle isikuandmeid võib rikkumine kahjustada, et ta saaks kasutusele võtta vajalikke ettevaatusabinõusid. Ettevõtjad võiksid kaaluda andmekaitse auditi läbiviimist, mis aitaks süsteemi potentsiaalsed nõrkused välja selgitada ja need võimalusel rikkumiste ennetamiseks kõrvaldada.
   
• Loo tehnilised lahendused, mis võimaldavad isikuandmeid teisaldada ühest elektroonilisest süsteemist teise. Määruse kohaselt peab kogu andmesubjekti kohta kogutud andmevaru olema võimalik üle kanda ühest elektroonilise töötlemise süsteemist teise. Vastava nõude eesmärk on parandada andesubjektide ligipääsu oma andmetele, kuna ettevõtja peab olema võimeline andma isikule tema kohta käivad andmed struktureeritult ja valdavalt kasutatavas elektroonilises vormingus. See lihtsustab isikuandmete edastamist ühelt teenusepakkujalt teisele, millega parandatakse ka teenusepakkujate vahelist konkurentsi.
   
• Ole valmis täitma nõuet «õigus isikuandmete kustutamisele». Määrus annab isikule selged alused nõuda isikuandmete töötlejalt enda kohta kogutud andmete kustutamist. Seejuures olukorras, kus töötleja on andmed avalikustanud, peab ta astuma tarvilikke samme selleks, et teavitada kolmandaid isikuid sellest, et lingid ning koopiad vastavate andmete osas saaksid kustutatud. Samas on oluline märkida, et teistest seadustest võib töötlejale tulla kohustus isikuandmeid teatud perioodi jooksul siiski säilitada. Seega sunnib nimetatud nõue tõenäoliselt paljusid ettevõtjaid erinevate osapooltega sõlmitud lepinguid ja ka seadusandlusest tulenevaid nõudeid kompleksselt üle vaatama ja hindama.
   
• Integreeri tehnilistesse lahendustesse andmekaitset tagavad meetmed. Määrus eeldab andmekaitset tagavate meetmete integreerimist tehnilistesse lahendustesse (data protection by design), mis võimaldaksid vaid vajalike andmete töötlemist ja tagaksid määrusest tulenevate nõuete range järgimise.

Kokkuvõtteks võib öelda, et kuna ettevõtjate suhtes rakendatavad trahvid suurenevad määrusega tunduvalt, siis tasub isikuandmete töötlemisse kindlasti suhtuda senisest suurema ettevaatlikkusega ning nõuete täitmiseks vajadusel ennetavalt asjatundjaga konsulteerida.

Mis on Euroopa Liidu andmekaitsereform?

Euroopa Liidu andmekaitsereformi käigus võetakse ühe dokumendina vastu isikuandmete kaitse üldmäärus (General Data Protection Regulation). Sellega kehtestatakse Euroopa Liidus isikuandmete kaitse üldraamistik. Praegu on erinevates Euroopa Liidu liikmesriikides andmekaitse reeglid erinevad. Määrusega tahetakse seda muuta ja peagi on reaalsus, et andmekaitse regulatsioon on kõikjal Euroopa Liidus samasugune. See aitab kaasa digitaalse ühisturu loomisele, mille nimel töötab Brüsselis hetkel ka Andrus Ansip.

Määruse vastuvõtmise osas jõuti kokkuleppele 15. detsembril 2015. a ja selle lõplik tekst kooskõlastatakse ELi Parlamendi ja Nõukogu poolt 2016. a alguses. Uued reeglid muutuvad kohustuslikuks kaks aastat pärast nende ametlikku vastuvõtmist.

Määrusega tahetakse mh parandada isikute võimalusi oma andmetega tutvuda, neid kontrollida ja kustutada lasta. Internetikasutajatele tagatakse õigus olla veebikeskkonnas unustatud ja antakse õigus andmete ülekandmisele ühest elektroonilisest süsteemist teise. Määrust kohustuvad järgima ka need ettevõtted, mis pole Euroopa Liidus asutatud, kuid müüvad Euroopasse oma kaupu ja osutavad siin oma teenuseid. Oluline muutus on ka see, et juhul, kui ettevõtja toimetab mitme liikmesriigi turul, siis hakkab ettevõtja tegevust kontrollima vaid selle riigi järelevalveasutus, kus toimub ettevõtte peamine tegevus.