Lühidalt uuest EL andmekaitse määrusest

25.05.2018 jõustuv uus Euroopa Liidu andmekaitse määrus annab inimestele lisaõigusi ja paneb ettevõtjatele hulga kohustusi. Määrus hakkab kehtima kõigis liikmesriikides (sh. Norra, Liechtenstein ja Island). Ettevõttetelt ja riigiasutustelt nõuab andmekaitsereform senisest rangemaid reegleid füüsiliste isikute andmete kaitsmiseks ning füüsilised isikud saavad suurema kontrolli oma isikuandmete üle. Kõige suurem muutus on seotud karistustega andmekaitse nõuete vastu eksimisel. Trahvisumma maksimum on 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest, kumb iganes on suurem.

Eraisikuteks on tavaliselt ettevõtte töötajad ja kliendid. Kõigepealt tuleb alati meeles pidada, et isikuandmed on isiklik vara! Andmete töötlemiseks peab alati olema alus. Töödelda saab isiku poolt vabatahtlikult avaldatud andmeid, seaduse alusel või avaliku võimu teostamiseks, lepingu alusel, vabatahtliku nõusoleku alusel ja muul alusel nagu näiteks ajakirjanikel ja Statistikaametil.

Isikul on õigus:
• saada teavet aluse ja andmete töötlemise eesmärgi kohta
• taotleda juurdepääsu oma isikuandmetele
• nõuda andmete parandamist
• nõuda andmete kustutamist
• nõuda töötlemise piiramist
• nõuda andmete ülekandmist (näiteks ühelt töötajalt teisele)
• oma nõusoleku alati tagasi võtta
• teave õiguse kohta andmekaitseinspektsiooni kaevata
• saada teavet andmete esitamata jätmise korral, tagajärgede kohta
• saada teavet automatiseeritud otsuste tegemise kohta, ning teavet kasutatava loogika kohta (näiteks pangalaenu saamisel)
• saada teavet, kui andmeid hakatakse kasutama muul eesmärgil, kui neid koguti
• saada teavet, kui andmed on saadud kelleltgi teiselt.

Tähtsamateks ettevõtja kohustusteks on:
• isiku nõusoleku andmete töötlemiseks tõendamine
• isiku teavitamiskohustus
• andmete töötlemise protseduuride kirjeldamine
• elektroonilise töötlemise toimingute kategooriate registri pidamine
• õiguste maatriksi loomine ja hindamine
• rikkumise teavitus andmekaitseinpektsiooni 72. tunni jooksul
• vajadusel määrata andmekaitsespetsialist
• vajadusel viia läbi andmekaitsealane mõjuhinnang.

Mõned soovitused veel ettevõtjale valmistamiseks enne määruse jõustumist – üle vaadata küsimustikud, sh. rahuloluküsimustik, töötaja taustaankeet töölepingu sõlmimiseks jne, ettevõttesiseseid dokumente, eriti töökorralduse reegleid, lepinguid pilveteenuste osutajatega ja eraisiku arve jaoks küsitatavat informatsiooni.

Edukat sujumist ja süvenemist!

Ülevaadet koostas:
Natalia Gorpinchenko | Accountex OÜ