Isikuandmetekaitse üldmäärus on juba ukse taga. Oled selleks valmis?
Juba järgmisel nädalal, 25. mail 2018 hakatakse kohaldama Isikuandmete kaitse üldmäärust (rohkem tuntud ka oma ingliskeelse lühendi GDPR poolest). Selleks, et olla üldmäärusega kooskõlas on ettevõtetel soovitatud üle vaadata oma sisemine töökorraldus, dokumentatsioon ja infosüsteemid.
Alljärgnevalt toome mõned punktid, millele tasub tähelepanu pöörata seoses uue Isikuandmete kaitse üldmäärusega.
1. Milliseid isikuandmeid töötlete?
Tuvastage, milliseid andmesubjektide kategooriaid, isikuandmete liike ning mis eesmärkidel töötlete. Kuidas olete need isikuandmed saanud, kas edastate neid isikuandmeid kolmandatele osapooltele, kui kaua isikuandmeid säilitate. Ühtlasi, milliseid tehnilisi ja korralduslikke turvameetmeid olete rakendanud isikuandmete kaitsmiseks.
Eeltoodud küsimuste analüüsimise tulemusena on võimalik luua ka isikuandmete töötlemistoimingute register. Vastava registri loomine laieneb GDPR kohaselt põhimõtteliselt kõikidele isikuandmete töötlejatele, sest isikuandmete töötlemise toiminguid peavad registreerima muuhulgas need andmetöötlejad, kelle isikuandmete töötlemise toimingud ei ole juhtumipõhised.
Registri loomisel tasub meeles pidada, et Andmekaitse Inspektsiooni seisukoha kohaselt tuleb tööandjatel registrisse kanda ka enda töötajate kohta käivate isikuandmete töötlemine.
2. Vaadake üle ettevõtte andmekaitsetingimused
Kontrollige, kas ettevõtte isikuandmete töötlemise tingimused vastavad GDPR-s toodud nõuetele. Näiteks, kas isikuid on teavitatud isikuandmete töötlemise õiguslikest alustest ja eesmärkidest, isikuandmete vastuvõtjatest, andmete säilitamise ajavahemikust ja muudest GDPR-st tulenevatest tingimustest.
Vastavad tingimused peavad olema sõnastatud kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis.
3. Hinnake, kas suudate andmesubjektide GDPR-st tulenevaid õigusi täita ettenähtud tähtaja jooksul
GDPR kohaselt on andmesubjektil õigus tutvuda tema kohta käivate isikuandmetega, nõuda isikuandmete parandamist ja teatud juhtudel ka isikuandmete kustutamist („õigus olla unustatud“), isikuandmete töötlemise piiramist, isikuandmete ülekandmist ning teiste GDPR-st tulenevate õiguste täitmist.
Seega peaksite hindama ja ajakohastama ettevõtte protseduurid selliselt, et oleksite suuteline esitama andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist teabe vastava taotluse alusel võetud meetmete kohta.
4. Võite vajada andmekaitsespetsialisti
GDPR sätestab, et andmekaitsespetsialisti peavad määrama:
avaliku sektori asutus või organ;
andmetöötlejad, kelle põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise;
andmetöötlejad, kelle põhitegevuse moodustab andmete eriliikide ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Andmekaitsespetsialist võib olla andmetöötleja koosseisuline töötaja või juriidiline isik, kes täidab sama funktsiooni andmetöötlejaga sõlmitud teenuse osutamise lepingu raames. Juhul kui hindate tõenäoliseks, et teie ettevõte ei vaja igapäevaselt andmekaitsespetsialisti, siis võib vastava teenuse kasutamine olla teie jaoks märksa kuluefektiivsem lahendus.
Andmekaitsespetsialisti määramisest tuleb teavitada Andmekaitse Inspektsiooni.
5. Kas olete koostanud isikuandmete rikkumisega seotud protseduurid?
Peate veenduma, et teil on isikuandmetega seotud rikkumise tuvastamiseks, dokumenteerimiseks ja uurimiseks ning vajadusel Andmekaitse Inspektsiooni teavitamiseks kehtestatud kindlad protseduurid.
Vastutav töötleja peab isikuandmetega seotud rikkumise korral teatama isikuandmetega seotud rikkumisest Andmekaitse Inspektsiooni põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Seda ka sellises olukorras, kus näiteks rikkumise kõik täpsed asjaolud ei ole veel teada. Niipea kui ilmneb täiendav informatsioon rikkumise osas, tuleb sellest teavitada Andmekaitse Inspektsiooni.
Lisaks peab vastutav töötleja dokumenteerima kõik isikuandmetega seotud rikkumised.
Ühtlasi võib tekkida täiendavalt vajadus andmesubjekti teavitamiseks. Nimelt, kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab vastutav töötleja andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest.
Juhime tähelepanu, et eeltoodud punktid ei kujuta endast ammendavat loetelu, vaid tegemist on pigem esimeste sammudega, mis on vajalikud GDPR-ga kooskõla saavutamiseks.