Neljapäeval oli Äripäeva raadio hommikuprogrammis külas Ellex Raidla juhtivpartner Ants Nõmper, kes andis nõu, mida teha siis, kui ettevõte ei ole jõudnud end uue isikuandmete kaitse üldmääruse peensustega kurssi viia. Mis on esimene asi, mida peaks kindlasti kohe tegema?
- Ants Nõmper Foto: Raul Mee
Tule osalema!
Seminar:
Isikuandmete töötlemise lepingu vajadus ja sisu IT-projektide tellimisel11.05.2018Koolitajad PwC Legal Eesti vandeadvokaat Mari-Liis Orav ja CGI Eesti AS jurist Kati Vellak.Loe lähemalt ja registreeru
SIIN.Lisaks oli saates juttu Toyota plaanist lõpetada diiselautode tootmine ja Tartu Ülikoolile antud värskest tunnustusest. Stuudios olid Hando Sinisalu ja Kadri Põlendik.
Uus andmekaitsemäärus ehk GDPR jõustub 25. mail, aga paljud ettevõtted ei ole ikka veel sellega piisavalt kursis, ütles saatejuht Hando Sinisalu. "Uus seadus kipub paljude jaoks tulema ootamatult, nagu talvgi. Ants Nõmperi abiga püüame teha kiirabi, et mis peaks tehtud olema," lausus ta.
Ants Nõmperi soovitused
Enne 25. maid on kaks asja, mida jõuaks ära teha:
1) Tuleb määrata andmakaitse spetsialist, kes on IT teadmistega inimene, kes aitaks juhil ellu viia andmekaitse reformi ettevõttes. Neid spetsialiste on koolitatud, on tehtud erinevaid kursusi. Paljudes ettevõtetes võiks sellised teadmisel olla IT-juhil. Paljud isikud on määranud ka isikuandmete töötlemise eest vastutava isiku. Selle isiku määramisest saab Äriregistri kaudu kõigile teada anda. See isik võib olla töötaja ja see võib olla ka sisseostetud teenus advokaadibüroost, audiitorfirmast, andmekaitse taustaga IT-firmast.
2) Väline fassaad tuleb korda teha, eelkõige veebilehed ja privaatsustingimised, mis veebilehele on üles pandud. Need on vaja kohendada, sest GDPRi nõuded on natukene karmimad, aga mitte midagi ka üle mõistuse. Võib-olla, et äriühing saab oma tegevust jätkata samal viisil kui siiani, aga väline külg tuleb uuendada. Kui ettevõte kasutab ka nõusolekupõhist andmetöötlust, siis need nõusolekud tuleb ka pärast 25. maid uuendada.
Uudiskirjade saatmise kohta selgitas Nõmper, et kui seni on uudiskirjade nõusolekud saadud legaalselt, siis võib samamoodi jätkata. GDPRist tulenevad nõusolekud on suhteliselt sarnased praegu kehtivatele nõusolekutele, kuid väiksed detailid siiski on ja jurist peaks need üle vaatama, selgtas ta.
Trahvidega hirmutamine ei ole päris kohane
Juba praegu on Nõmperi sõnul võimalik määrata Eestis andmekaitseseaduse rikumise eest trahvi mitukümmend tuhat eurot. "Minule teadaolevalt ei ole seda kunagi tehtud. 2016 aasta lõpuga seisuga oli kõige suurem trahv üldse 160 eurot," ütles ta. Andmekaitse Inspektsiooni nimetas Nõmper pigem partnerorganisatsiooniks ettevõttele ja asjad soovitas ta seadusele vastavaks teha ikka pigem selle pärast, et olla parem ettevõte ja osutada oma klientidele paremat teenust.
Kuula pikemalt hommikuprogrammi siit
Seotud lood
Isikuandmete kaitse üldmääruse ehk GDPRi nõuetele vastavuse näitamine võib olla hea võimalus eristada oma äri, võites tarbijate usaldust ja seega ka konkurentsieelist, selgus KPMG üleilmsest uuringust.
Eestis on palju väikeettevõtteid, kus isikuandmed pole põhitegevusega seotud ning neid firmasid ei tohi peagi kehtestuva ELi isikuandmete kaitse üldmääruse valguses kiusama hakata, ütles Elisa Eesti juht Sami Seppänen.
Andmekaitse inspektsiooni peadirektor Viljar Peep jagab soovitusi sujuvamaks üleminekuks uuele andmekaitseõigusele.
Peagi jõustuva GDPRi kohaselt tuleb teatud juhtudel IT-projektide tellimisel sõlmida isikuandmete töötlemise leping. Praktikas võib see väga keeruliseks osutuda. Kuidas leping niimoodi ette valmistada, et vältida tülikat ajakulu ja mitte takerduda pikka läbirääkimisprotsessi, sellest räägivad 11. mail toimuval seminaril PwC Legal Eesti vandeadvokaat Mari-Liis Orav ja CGI Eesti AS jurist Kati Vellak.
Kujuta ette, et sinu ettevõte on nagu maja, mis peab vastu vihmale, tormile ja ajahambale. Selle tugevus sõltub vundamendist, kandvatest seintest ja katusest. Kui mõni neist pole paigas, võib maja muutuda ebastabiilseks.