GDPR-i rikkumisel võivad ettevõtteid oodata suured rahatrahvid
Oleme ajakirjanduse vahendusel kuulnud olukordadest, kus teiste Euroopa Liidu liikmesriikide kohtud on määranud GDPR-i rikkumise eest miljonitesse ulatuvaid rahatrahve. Eestis ei ole seni andmekaitsealaste rikkumiste eest vastutusele võtmine suuremat kõlapinda saanud. Seda seetõttu, et Eestis seni kehtinud seadused seadsid takistusi nii juriidilise isiku vastutusele võtmisele kui ka rahatrahvi suurusele.
Alates 1. novembrist jõustus karistusseadustiku muudatus, mille eesmärgiks on võimaldada Euroopa Liidu õiguses sätestatud haldustrahvide kohaldamist väärteomenetluses ning mis lahendab seni kehtinud väärteomenetluse piirangud, tehes ettevõtjate rikkumiste eest vastutusele võtmise lihtsamaks.
Mida muudatused täpsemalt kaasa toovad?
Ettevõtet on lihtsam rikkumise eest vastutusele võtta
Seni kehtinud reeglid seadsid juriidilise isiku vastutuse sõltuvusse füüsilise isiku tegevusega. Seaduse muutmisega nähakse ette, et ettevõte vastutab ka siis, kui rikkumine on toime pandud mistahes isiku poolt juriidilise isiku organi, tema liikme, juhtivtöötaja või pädeva esindaja korraldusel või kui rikkumine on tingitud ettevõtte puudulikust töökorraldusest või järelevalvest. Juriidilise isiku saab vastutusele võtta ka tegevusetuse eest olukorras, kus ta on seaduse alusel kohustatud tegutsema.
See tähendab, et ettevõttele võidakse määrata rahatrahv selle eest, et ettevõttes puuduvad vajalikud andmekaitsealased dokumendid, andmekaitset puudutavad protsessid pole piisavalt dokumenteeritud, töötajaid pole vajalikus mahus koolitatud jne.
Võimalikud trahvid muutuvad oluliselt suuremaks
Uus seadusmuudatus kaotab väärteotrahvide ülemise lävendi andmekaitsealaste rikkumiste korral ning senise kuni 400 000-eurose trahvi asemel on andmekaitse inspektsioonil õigus rakendada rahatrahve kuni 20 miljonit eurot või kuni 4 protsenti ettevõtte eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
Pikeneb menetlusaeg
Oluline muudatus on seotud ka GDPR-ist tulenevate rikkumiste aegumistähtajaga, mis tõsteti senise kahe aasta pealt kolmele, andes Andmekaitse Inspektsioonile rohkem aega väärtegusid uurida.
Mida see ettevõtja jaoks tähendab?
Uute trahvimäärade ja ettevõtete vastutuse laienemisega muutub GDPR-i nõuete rikkumine ettevõttele oluliselt kulukamaks. Sellest tulenevalt peaksid kõik ettevõtjad vastavust GDPR-ile veelgi tõsisemalt võtma ja protsessid, dokumentatsiooni ning järelevalve nõuetele vastavaks viima.
Uut regulatsiooni saab kohaldada GDPR rikkumiste suhtes, mis on toime pandud alates 1. novembrist 2023 või mis on jätkunud sellest kuupäevast alates.
Kui teil tekkis küsimusi või vajate abi GDPR-i nõuete täitmisega, võtke julgelt ühendust. Fondia andmekaitse eksperdid on valmis nõustama ja jagama praktilisi juhiseid, et ennetada rikkumisi ja vältida võimalikke rahatrahve.