27.05.2019 Esmaspäev

Viis olulist GDPR arengut ettevõtja jaoks

Juba pea aasta tagasi ehk 25.05.2018 hakkas kohalduma uus andmekaitse reeglistik ehk Euroopa Liidu isikuandme kaitse üldmäärus (ingl GDPR). Järgnevalt toon välja viis peamist sündmust, mis on seoses sellega aasta jooksul Euroopa Liidu määruse kohalduma hakkamisest aset leidnud.
Maarja Pild, vandeadvokaadi abi
Maarja Pild, vandeadvokaadi abi Foto: TRINITI

Esimesed andmekaitse üldmääruse alusel tehtud trahvid

Suurt tähelepanu sai Portugali haiglale Centro Hospitalar Barreiro Montijo määratud trahv suuruses 400 000 eurot. Portugali järelevalveasutuse hinnangul olid patsientide isikuandmed jäänud kaitseta – haigla infosüsteemid lubasid sisuliselt igal haigla töötajal ligi pääseda kõigi patsientide andmetele. Selline piiramatu ligipääs terviseandmetele, mida peetakse andmekaitseõiguses ka eriti tundlikeks andmeteks, ei vasta aga andmekaitse nõuetele.

Tähelepanu said ka Ühendkuningriigi ametasutuse ICO trahvid, mis määrati Heathrow lennujaamale ja Uberile ning seda andmekaitse turvanõute rikkumise eest. Huvitav kaasus, mis lõppes trahvi määramisega, leidis aset ka Austrias, kus ettevõte sai trahvi selle eest, et tema kaamerad filmisid liialt suurt lõiku kõnniteest, mis ei olnud aga otseselt ettevõtte turvalisuse tagamiseks vajalik.

Kõige enam kajastust sai ilmselt suurim trahv, mis siiani on andmekaitse nõuete rikkumise eest määratud ja seda suuruses 50 miljonit eurot. Trahv määrati Prantsusmaa järelevalveorgani poolt Google’ile. Internetihiid sai trahvi läbipaistmatu tegevuse eest. Muuhulgas on Google Prantsusmaa järelevalveorgani hinnangul jätnud kasutajatele piisavalt selgitamata, mida nende andmetega tegelikult tehakse.

Esimene suur andmekaitse nõuete rikkumise eest määratud trahv Baltikumis

Leedu järelevalveorgan määras trahvi suuruses 61 500 eurot finantstehnoloogia valdkonna ettevõttele MisterTango. Ettevõttele heideti ette, et 2018. aasta juulis olid lekkinud ettevõtte klientide andmed internetti ja enam kui 9000 kuvatõmmist klientide tehinguandmetega olid avalikult kättesaadavad. MisterTango jättis sellest intsidendist Leedu Andmekaitse Inspektsiooni teavitamata. Seda aga loetakse GDPR-i alusel reeglite rikkumiseks, kuivõrd GDPR kohustab andmelekkest teavitama 72 tunni jooksul sellest teada saamisest.

Eesti siseriiklik seadusandlus

Reeglina tähendab Euroopa Liidu määruse kohalduma hakkamine seda, et liikmesriik ei võta ise täiendavaid regulatsioone vastu, kuivõrd määrus kohaldub kõigis liikmesriikides otse. Andmekaitse üldmäärusega oli siiski teisiti. Nimelt sisaldas andmekaitse üldmäärus mitmeid punkte, kus igal liikmesriigil endal tuli vastu võtta oma reeglid. Ideaalis pidid need normid kohalduma hakkama ja jõustuma samal ajal kui andmekaitse üldmäärus s.o 25.05.2018. Küll aga läks nii Eestis kui ka paljudes teistes liikmesriikides rohkem aega. Käesolevaks hetkeks on siiski ka Eesti oma normid vastu võtnud ja need on jõustunud. Eesti isikuandmete kaitse seadus jõustus 29.01.2019 ja 15.03.2019 jõustus isikuandmete kaitse seadus rakendamise seadus.

Trahvid ja Eesti

Eestis ei ole Andmekaitse Inspektsioon kiirustanud uue määruse järgi trahvima. Andmekaitse Inspektsiooni lehelt otseselt isegi ei selgu, kas inspektsioon on jõustunud Eesti siseriiklikel normidel ja GDPR-il põhinevat trahvi määranud. Andmekaitse Inspektsiooni praktikat ja tegutsemist saad jälgida SIIT.

Uued soovitused

Nii nagu iga õigusharu, siis ei seisa ka andmekaitseõigus paigal. Euroopa Andmekaitsenõukogu (varasema nimetusega Artikkel 29 töörühm) on aasta jooksul välja tulnud veel täiendavate soovituste ja juhistega, mis aitavad GDPR-i teksti mõista. Viimati on avalikkusele tagasiside saamiseks välja antud spetsiifiline juhend, kuidas peaks töötlema isikuandmeid internetis teenuseid pakkuvad ettevõtjad, kes töötlevad andmeid GDPR artikkel 6(1)b alusel ehk kui isikuandmete töötlemine on vajalik lepingu täitmiseks või sõlmimiseks.

Euroopa Andmekaitsenõukogu soovitustele on oluline tähelepanu pöörata, kuivõrd andmekaitse üldmäärust ei tohi liikmesriigid ise oma suva järgi tõlgendada. Selgitusi, kuidas määruses sätestatud reegleid järgida, saab eelkõige jagada just Euroopa Andmekaitsenõukogu ja Euroopa Liidu kohus.

Allikas: TRINITI

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!
430824810 430800019636154 7356040320163199917 n255