Ettevõtetes ja asutustes seni kasutusel olevad infohaldusviisid ja käitumismustrid, lepinguvormid ja dokumendipõhjad ei pruugi sobida uude olukorda, ütles uue andmekaitseõiguse suuremaid muudatusi ning era- ja avaliku sektori jaoks sisalduvaid arvestatavaid erisusi selgitades Andmekaitse Inspektsiooni peadirektor Viljar Peep.
- Andmekaitse Inspektsiooni peadirektor Viljar Peep Foto: Raul Mee
Alates 25.05.2018 hakatakse kohaldama Euroopa Liidu
isikuandmete kaitse üldmäärust 2016/679. Kehtetuks muutub 1995. aastast pärinev
andmekaitsedirektiiv 95/46 ja sellel põhinev
isikuandmete kaitse seadus. Kuigi üldmäärus on otsekohalduv, jätab ta liikmesriikide seadusandjatele teatud mänguruumi. Seda iseäranis avaliku sektori andmetöötluses.
Andmekaitseõiguse vundament on ikka seesama mis enne. Kõik senised andmekaitsedirektiivist tulenevad ning tänases Eesti seaduses kajastuvad põhimõtted kehtivad ikka edasi.
Tõsi, vana vundamendi (seniste põhimõtete) peale on ehitatud uus, senisest suurem hoone (uue sõnastusega õigusaktid). Ühe maja mööbel ei pruugi täpselt sobida teise majja. Samamoodi ei pruugi kõik senised ettevõtetes ja asutustes kasutusel olevad infohaldusviisid ja käitumismustrid, lepinguvormid ja dokumendipõhjad sobida uude olukorda.
Üldmääruse läbiv joon on riskipõhine lähenemine. Mida tundlikum andmetöötlus, seda rangemad reeglid. Ettevõte ja asutus, kel tundlikku andmetöötlust pole ning kes ka seni reegleid korralikult täitis, ei pea suuri muudatusi tegema.
Kes aga kogub ja kasutab tundlikku isikuteavet ja suuri andmemassiive, teeb automaatprofileerimist või ulatuslikku kaamerajälgimist, peaks kindlasti oma töökorralduse, infosüsteemid ja dokumendipõhjad üle vaatama.
Suurim sisuline muutus, mis ootab kogu erasektorit, on
isikuandmete ülekantavus. Inimene võib võtta oma digitaalandmed ettevõttest A ning viia nad ettevõttesse B. Ettevõttel, kel põhjust oodata selliseid soove hulgi, on mõistlik kulude optimeerimiseks ning klientide rahuolu suurendamiseks oma infosüsteem(id) üle vaadata – et andmeid oleks võimalikult hõlbus ja lihtne üle kanda. Arvestama peab ka struktureeritud üldkasutatava masinloetava vormingu nõudega. Ülekantavuse kohta saad täpsemalt lugeda
siit.2018. a. muudatusteks valmistumisel vajab nii era- kui avalik sektor korraga suurel hulgal asjatundjaid. Inspektsioon pidas ettevõtlus- ja erialaorganisatsioonide ja ülikoolidega nõu. Selle tulemusena sündis 21.12.2016
andmekaitsespetsialisti ülesannete, teadmiste ja oskuste kirjeldus.
Uus andmekaitseõigus sisaldab era- ja avaliku sektori jaoks päris arvestatavaid erisusi. Seetõttu jagame põhisoovitused kaheks: soovitused ettevõtjatele ja soovitused asutuste juhtidele.
Soovitused ettevõtjatele
Andmekaitsespetsialist
Sõltumata sellest, kas peate üldmääruse kohaselt (art. 37-39) määrama andmekaitsespetsialisti või mitte, leidke endale abiks asjatundja. Ära usaldage diletante! Vaadake, kas saadate omaenda töötaja soliidsele täiendkoolitusele või kas majaväline nõustaja on asjakohast koolitust saanud. Ta peab oskama sidustada andmekaitse ja infoturbe nõudeid reaalselt Teie ettevõtte tööprotsesside ja infosüsteemidega. Teil ei ole kasu teoreetikust, kes oskab vaid papagoina õigusnorme korrutada.
Andmekaitsespetsialisti määramisest saab täpsemalt lugeda
siit.
Andmekaitsespetsialisti teadmised ja oskused on kirjeldatud
siin.
Tervikhindamine
Kui isikuandmete kogumine ja kasutamine Teie ettevõttes on suuremahuline või sisaldab olulisi riske, siis võtke ette oma andmetöötluse tervikhindamine. Vaadake uue andmekaitseõiguse pilguga üle kogu oma töökorraldus, infosüsteemid ja dokumendipõhjad. Niiviisi saate ühekorraga tervikliku tulemuse, mis
sisaldab andmekaitselist mõjuhinnangut (üldmääruse art. 35) koos riskide maandamisega,sisustab andmetöötlusregistri (art. 30),juurutab lõimitud ja vaikimisi andmekaitset (art. 25),juurutab rikkumistest teatamise protseduurid (art. 33, 34) ningdokumenteerib klientidele ja partneritele avaldamiseks ettevõtte andmekaitsetingimused (art. 12-22 nõuded).
Andmete ülekantavas
Kindlasti vaadake üle andmete ülekantavus (art. 20) oma tööprotsessides ja infosüsteemides. See saab tõenäoliselt olema rakendustegevustest kulukaim ja aeganõudvaim. Ülekantav info peab ju olema üldkasutatavas masinloetavas vormingus struktureeritud kujul. Ärge jätke seda viimasele minutile, sest seda võidakse Teilt nõuda juba üldmääruse kohaldamise esimesest päevast peale.
Andmete ülekandmise õigust selgitame pikemalt
siin.
Soovitused asutuste juhtidele
Andmekaitsespetsialist
Andmekaitsespetsialisti (art. 37-39) määramine on kohustuslik kõigis avaliku sektori asutustes, muus on soovitus kokkulangev ettevõtetele antud soovitusega.
Tervikhindamine
Viige läbi oma asutuse andmetöötluse tervikhindamine, mis arvestaks nii üldmäärust, avaliku teabe seadust kui konkreetselt Teie asutusele suunatud õigusakte. Teie töökorraldus, infosüsteemid ja dokumendipõhjad peavad nende kõigiga arvestama. Niiviisi saate ühekorraga tervikliku tulemuse, mis
sisaldab andmekaitselist mõjuhinnangut (üldmääruse art. 35) koos teabe avaandmetena kättesaadavaks tegemise mõjuhinnanguga (avaliku teabe seaduse § 31 lg 3 ja § 28 lg 1 p 312, sh nn massipiirangute ja litsentside seadmise vajaduse läbikaalumisega),sisustab andmetöötlusregistri (art. 30),katab andmekogu pidamise seniste nõuete üldmäärusega vastavusse viimise koos andmekogu kohta riigi infosüsteemi haldussüsteemi sisestatu uuendamisega (avaliku teabe seaduse 51. ptk),katab dokumendiregistri pidamise nõuded (avaliku teabe seaduse §-d 11 ja 12, sh 16.01.2016 jõustunud nõue näidata avalikus vaates füüsiliste isikute andmed umbisikustatult),juurutab lõimitud ja vaikimisi andmekaitset (art. 25),juurutab rikkumistest teatamise protseduurid (art. 33, 34) ningdokumenteerib asutuse andmetöötlustingimused (art. 12-22 nõuded), mis avaliku teabe seaduse § 28 lg 1 p 311 kohaselt tuleb avaldada asutuse võrgulehel.
Avaliku sektori asutused, kes pakuvad füüsilisest isikust klientidele kaupu ja teenuseid tsiviilõiguslikul alusel, peaksid rakendama andmete ülekantavuse sarnaselt ettevõtetega (art. 20).
Autor: Viljar Peep, Andmekaitse Inspektsiooni peadirektor
Seotud lood
25. mail 2018. a. jõustuva uue isikuandmete kaitse üldmääruse kontekstis pakub palju kõneainet üldmäärusega tutvustatav uus andmesubjekti õigus, milleks on õigus nõuda andmete ülekandmist (üldmääruse artikkel 20). Olukorda selgitavad Eversheds Sutherland Ots & Co intellektuaalomandi- ja andmekaitse valdkonna juht, vandeadvokaat Tambet Toomela ja jurist Erika Tuvike.
Ei, uus isikuandmete kaitse üldmäärus ei nõua ettevõtjalt kõigi andmetöötlustoimingute puhul mõjude hindamist ja andmekaitse inspektsiooniga konsulteerimist, rahustab ettevõtjaid andmekaitse inspektsiooni peadirektor Viljar Peep.
Kõik ettevõtted peavad aasta jooksul üle vaatama oma IT-süsteemid ja viisid, kuidas kogutud andmeid töödeldakse, sest 2018. aasta mais rakenduvad Euroopa Liidus andmekaitse uued põhimõtted.
Eelmisel kevadel võeti Euroopa Liidus vastu uus andmekaitsemäärus, mis toob ettevõtetele kaasa lisaülesandeid andmete kogumisel, kasutamisel ja turvalisuse tagamisel. Ettevõtetele on uue määrusega kohandumine suur väljakutse, sest muutuvad või suisa kaovad senised ärimudelid. Vastuseid kõigile küsimustele veel ei ole, tõdes Tele2 tegevjuhi Argo Virkebau.
Juhid puutuvad sageli kokku keeruliste võlgnike ja hilinenud maksetega, mis võivad mõjutada rahavoogu ja tekitada stressi. Võlgnikega tegelemine on aeganõudev ja koormav, eriti kui kaasnevad meeldetuletused, vaidlustused ja võlgnike passiivsus.
Infopanga võlaregister aitab aga juhtidel hallata võlgnevusi kiiremini ja lihtsamalt, säästes nii aega kui ka närve.
Hetkel kuum
Tagasi ITuudised esilehele