3 asja, millega peaks andmekaitse määruse valguses juba tegelema

25. mail jõustuv Isikuandmete kaitse üldmäärus ei puuduta igasuguseid andmeid ja võimalik, et ka mitte päris igat äri. Kui räägime andmetest, mis ei võimalda kuidagi isiku tuvastamist, siis ei pea selle määruse pärast üldse muretsema. Ettevõtjad peavad siin iseendale otsa vaatama ja piinliku täpsusega selgeks tegema, mis andmed nende käsutuses on, milleks neid kasutakse ja kas nende andmekogu kaudu on võimalik konkreetse isikuni välja jõuda või pigem mitte. Kui nende andmetega konkreetse isikuni välja ei jõua, siis ei ole need isikuandmed.

Andmed on alati isiku omad

Uus määrus toob endaga kaasa palju keerulisi termineid. Näiteks uus kontseptsioon pseudonümisatsioon. Sõna ise on juba parajalt keeruline. See tähendab, et kui inimesed isikuandmeid töötlevad, teevad nad seda võimalikult isikustamata kujul. Isikuandmete töötlemine on mistahes isikuandmetega tehtav toiming. Kui näiteks turundusinimene tahab saata teatud klientidele kirja, siis ei näe ta korraga kogu andmabaasi, vaid ainult temale vajalikke lahtreid. See peaks toimuma nii, et ta ei näe otsingutulemusi isikupõhiselt. Näiteks võib ta otsida veebruaris sündinud inimesi nii, et ei näe teisi isikut puudutavaid andmeid. Andmetega tuleb toiminguid teha väga kitsastel alustel ja töötleja peab arvestama, et andmed ei ole ettevõtte omad. Andmed on alati isiku omad ja seetõttu peab isikul säilima kontroll, mida ja kuidas tema andmetega tehakse.

Äri IT-tehniline pool tuleb üle vaadata

Uusi termineid on palju ja need on keerulised. Määrus peaks kaotama võimaluse selle sisu mitmeti mõista, sest senises kohtupraktikas on mitmeti tõlgendamine olnud probleem. Seetõttu tuleks veenduda, et uutest terminitest ja üldse kogu määrusest on üheti aru saadud ja seda mõistetakse. Lisaks juristi abile tasub kaasata ettevõtte tegemistesse ka keegi, kes on IT-sektoris tegev ja teadlik, sest määrus toob kaasa ka palju tehnilisi muudatusi ja sellega on palju lihsam tegeleda, kui IT-lahenduse pool on olemas. Praeguse praktika ja arusaamise pinnalt tundub, et päris juristiga üksi määrusest jagu ei saa ja kui saabki, tuleb ikkagi üle vaadata oma äri IT-tehniline pool.

Andmekaitseametniku määramise kohustus

Üks oluline punkt, millele peab mõtlema, on õigused, mis töötajatele antakse. Kes ja millises mahus pääseb andmetele ligi? Tõenäoliselt ei ole vaja kõikidel töötajatel näha klientide andmeid. Üks uus kohustus, mis ettevõtetele lisandub, on andmekaitseametniku määramise kohustus. Andmekaitseametnik ei ole määruse tähenduses mingisugune riigitöötaja, vaid sisuliselt ikkagi ettevõtte töötaja, kes valitakse vastutama andmekaitse eest ja kes peab olema võimeline töötajaid ja kliente andmekaitse küsimustes nõustama. Näiteks võib klient pöörduda ametniku poole, kui tunneb, et tema õigusi on rikutud. Amentik peab olema teemaga piisavalt kursis, et pakkuda kliendile lahendust. Lisaks peab ta veenduma, et ettevõtte töötajad järgivad andmete töötlemisel määrust ega lähe sellega vastuollu. Määrus ütleb, et kui andmete töötlemisega tegeletakse suures ulatuses, siis selline ametnik peab ettevõttes olemas olema. Isegi siis, kui ettevõte ise on väike, ainult paari töötajaga. Ametniku vajadus oleneb ka sellest, kui delikaatseid isikuandmeid töödeldakse. See on üks punkt, millele ettevõtjana tuleb tähelepanu pöörata.

Kolm tegevust, mis võiksid juba töös olla

Esiteks tuleb ettevõttes selgeks teha, kas see määrus on ettevõtte ja selle tegevuse jaoks relevantne ning kui palju see konkreetset ettevõtlust puudutab.

Teise punktina tuleks kindlasti läbi mõelda, mis on need isikuandmed, mida ettevõtte kogub ja kuidas neid säilitatakse. Tähelepanu tuleb pöörata kõikidele andmetele, mis ettevõtte kasutuses on, ka nendele, mis võivad olla mõnel töötajal koduarvutis Excelis hoiul.

Kolmandaks tuleb hakata mõtlema, milliseid andmeid kogutakse ja kuidas saada kliendilt andmete töötlemiseks nõusolek. Kui kliendile tahetakse saata mitut erinevat asja, näiteks uudiskirja, reklaami, pakkumisi ja muud sellist, siis on vaja iga tegevuse jaoks eraldi nõusolekut. Erandiks on muidugi lepingu sõlmimisel saadud andmed. Ettevõtte peab mõtlema välja määrusega kooskõlastatud süsteemi ja sellest lähtuvalt otsustama, millised andmeid ja kuidas kogutakse, miks ja kuidas neid töödeldakse ja kui pikalt neid sälitatakse. Siin võib selguda, et mõned andmed on ülemäärased ja neid ei olegi vaja tegelikult töödelda.

20. märtsil on võimalik osaleda Triniti advokaatide koolitusel „Õigusteadmised IT-juhile“, kus saate ülevaate 4 olulisemast õigusküsimusest IT-juhi töös. Programmiga saate tutvuda ja regsitreeruda SIIN.

Kuula täispikka raadiosaadet Karmen Turki ja Maarja Pildiga SIIN.