Hiljutiste eriolukorrast põhjustatud muutuste valguses on paljud väikesed ja keskmised ettevõtted kas juba loonud veebipoe või mõelnud selle tegemisele. Kriisi valguses ei tohiks siiski unustada andmekaitsenõudeid. Ilma andmete töötlemiseta on ettevõtte juhtimine praktiliselt võimatu. Kust peaks väikeettevõtte alustama ja millele tähelepanu pöörama, sellest räägib lähemalt ettevõtte GDPR Register tegevjuht Aleksander Uibo.
Suurimad vead, mida tehakse
Tavaliselt on kõige suuremad vead, mida veebis tehakse, seotud nõusoleku ja andmete küsimisega.
Näiteks ei vasta n-ö “küpsiste” (Cookies) nõusolek enamikel veebipoodidel kehtivatele nõuetele või unustatakse andmekogumisel võtta eraldi nõusolek küpsiste ja otseturunduse jaoks. Tihtipeale küsitakse ka rohkem infot, kui tegelikult vaja oleks. Näiteks kui klient tellib veebipoest kauba pakiautomaati, ei ole põhjendatud kliendi aadressiandmete küsimine. Samuti unustatakse olemasolev dokumentatsioon kaasajastada.
Kust alustada?
Esmalt võiks teha andmete kaardistamise (inglise keeles data mapping) ja luua andmetöötlustoimingute registri selleks, et mõista, milliseid andmeid üldse kogutakse ning kus ja mis tingimustel neid hoidma ja töötlema hakatakse.
Registri koostamist tuleks teha enne muu dokumentatsiooni loomist, sest see annab struktuurse vaate kõigile andmetele ning nende töötlemisele.
Samuti on hilisema registri koostamise puhul suurem risk, et muu dokumentatsioon ei vasta siis enam reaalsele olukorrale.
Teiseks võiks viia läbi andmekaitsealase mõjuhinnangu, mille käigus arvestatakse võimalike riskidega ja nende maandamise meetmetega. Mõjuhinnangu peavad tegema kõik andmetöötlejad, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht.
Samas, lihtsamas vormis võiks selle läbi viia soovituslikult kõik ettevõtted, kuna nii saab selge ülevaate võimalike riskide osas.
Kolmanda etapina tuleks mõelda dokumentatsioonile. Olenevalt ettevõtte andmetöötluse ulatusest ja keerukusest võib dokumentide hulk ulatuda kümneteni, kuid kõige olulisematest võiks nimetada volitatud töötlejaga andmetöötluslepingute sõlmimist ning privaatsusteate koostamist.
Tihtipeale on teenusepakkujatel oma andmetöötluslepingud olemas, kuid nende puudumisel tuleks koostada vastav dokumentatsioon. Samuti peaks omama ülevaadet juba sõlmitud lepingute üle. Kindlasti tuleks mõelda nõusoleku küsimise, selle haldamisele ja aegunud või mittevajalike andmete kustutamise peale.
Tänapäeval on olemas palju abistavaid tööriistu, mis aitavad ettevõtet oma andmetöötluse viimisel vastavusse Andmekaitse Üldmäärusega (GDPR). Lihtsamatest võiks nimetada Microsoft 365 kontoritarkvara, mis aitab saavutada kontrolli oma andmete töötlemise üle ja GDPR Registrit, mis aitab luua ja hallata kõiki GDPR-iga seotud toiminguid ja dokumente.
GDPR Registri kaudu on võimalik pidada andmetöötlustoimingute üle arvestust, kasutada lepingute ja muu vajaliku dokumentatsiooni malle ning vajadusel koostada aruandeid Andmekaitse Inspektsioonile (AKI). Alustavale väikeettevõttele on see kindlasti lihtsaim lahendus.
Suurem risk inimesele tähendab ka suuremat järelevalvet töötlemise üle
Andmekaitse mõjuhinnangu läbiviimine on kohustuslik, kui töötlemise tulemusena tekib füüsiliste isikute õigustele ja vabadustele tõenäoliselt suur oht. See on eriti asjakohane uue andmetöötlustehnoloogia kasutuselevõtu korral.
Näiteks tekib füüsilise isiku õigustele ja vabadustele suur oht automatiseeritud otsuste tegemisel, millel on õiguslik või sarnane mõju, teatud liiki isikuandmete töötlemisel või avalike kohtade ulatuslikul ja süstemaatilisel jälgimisel.
Samuti peab teatud juhtudel määrama andmekaitsespetsialisti, kes kontrollib tegevuse vastatavust andmekaise nõuetele ja nõustab selle osas, koostab andmekaitsealase mõjuhinnangu ning tegutseb andmesubjektide ja Andmekaitse Inspektsiooni kontaktina.
Andmekaitsespetsialisti määramine on lausa kohustuslik, kui:
- olete avaliku sektori asutus või organ (välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud);
- kui teie põhitegevuse moodustavad isikuandmete töötlemise toimingud, mis tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise;
- teie põhitegevuse moodustab eriliiki andmete ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Veebipoe puhul tuleks määrata andmekaitsespetsialist, kui töödeldakse 50 000 andmesubjekti kirjet (kirjed on kõik andmesubjektid koos – töötajad, kliendid, koostööpartnerite kontaktid, masspostituse saatmiseks kogutud e-posti aadressid jne).
Nõusolek andmete töötlemiseks kodulehel
GDPR näeb ette, et nõusolek andmetöötluseks peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega isik kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.
Nõusolekut tuleb küsida, kui puudub muu alus isikuandmete töötlemiseks, eelkõige otseturunduse ja küpsiste korral. Küpsiste puhul tähendab praktikas see mingisuguse küpsisekontrolli mehhanismi loomist, et tagada kõigi küpsiste skriptide “pidurdamise” seni, kuni kasutaja aktiivselt oma nõusoleku annab. Samuti peab nõusoleku tagasivõtmine olema sama lihtne, kui selle andmine. See tähendaks ka mehhanismide loomist, mis võimaldavad kasutajatel küpsiste nõusoleku tagasi võtta hilisemas etapis.
Vabatahtlikuks nõusoleku andmiseks ei saa pidada olukorda, kus nõusolekuvorm on osa teenuse üldtingimustest ning nendega ei ole võimalik eraldi nõustuda. Samuti kui teenuse kasutamine või selle funktsionaalsus sõltub andmete töötlemiseks nõusoleku andmisest.
Näiteks kui veebilehe sisule ei ole võimalik ligi pääseda ilma nuppu “Nõustu küpsistega” vajutamata ehk nn “küpsiseseina” (inglise keeles cookie wall) korral. Kui vastutav töötleja soovib töödelda isikuandmeid, mis on tegelikult vajalikud lepingu täitmiseks, pole nõusolek asjakohane.
Kasutaja „õigus olla unustatud“ – kuidas toimida?
Vastavalt GDPR-i artiklile 17 on andmesubjektil õigus nõuda oma andmete kustutamist ning vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta. Lisaks on GDPR-i põhjenduses 59 sätestatud, et vastutav töötleja on kohustatud ette nägema mehhanismi, millega isik saaks taotleda tasuta isikuandmete kustutamist. Kui isikuandmeid töödeldakse elektrooniliste vahenditega, tuleks võimaldada taotlus esitada elektroonselt.
Esmalt tuleks kontrollida, millisel alusel on vastavad isikuandmed kogutud ning kas isikul on õigus nõuda andmete kustutamist. Näiteks nõusoleku ja lepingu alusel kogutud andmete kustutamist saab nõuda, aga arvete või ostuajaloo andmeid tuleks säilitada vastavalt raamatupidamisseaduses sätestatud nõuetele.
Kui aga andmete kustutamist on võimalik nõuda, tuleks andmed kustutada põhjendamatu viivituseta. Andmete kustutamise kohustus on töötlejal samuti siis, kui selgub, et isikuandmeid on töödeldud ebaseaduslikult. Töötleja peab andmed kustutama tasuta.
Kui isiku taotlus on selgelt põhjendamatu või ülemäärane, võib töötleja küsida mõistlikku tasu või kustutamisest keelduda. Sellisel juhul lasub töötlejal kohustus eelnimetatud asjaolusid tõendada. Lõimitud andmekaiste põhimõttest tulenevalt tuleks andmekaitse nüanssidele, nagu kuidas toimib õiguste teostamine praktikas, mõelda juba e-poe loomise faasis. Seepärast on andmete kaardistamine või mõjuhinnangu koostamine soovituslik.
Mida teha, kui klientide isikuandmed on lekkinud?
Isikuandmetega seotud rikkumise (lekke) korral tuleb vastutaval töötlejal teatada rikkumisest AKI-le põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele.
Hilisemat teavitamist tuleb põhjendada.
Teates tuleks kirjeldada isikuandmetega seotud rikkumise laadi, nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv. Samuti tuleks kirjeldada isikuandmete rikkumisega seotud võimalikke tagajärgi ja võetud või kavandatud meetmeid rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.
Juhul, kui rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab vastutav töötleja andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest. Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks, lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest.
Kas hiigeltrahvid ohustavad ka alustavat veebipoodi?
Rikkumiste korral on AKI praktika olnud esmalt rikkujaid hoiatada ja selgitada. Karistusi ja sundi rakendatakse viimase abinõuna.
See siiski ei tähenda, et pahatahtlikkuse või korduva tõsise rikkumise korral piirdutaks vaid hoiatusega. Seni on Baltimaade suurima, 150 000 eurose trahvi saanud üks Läti ettevõtte. Eestis on andmekaitsealased rikkumised sätestatud süütegudena ning menetletud enamjaolt väärteomenetluses, mille trahvi ülemmäär juriidilise isiku puhul on 400 000 eurot.
Justiitsministeerium on saatnud kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks AKI-l lihtsamini trahvida andmekaitseõiguse rikkumiste eest. See tähendab, et AKI-l on tulevikus rohkem motivatsiooni tegeleda kontrollmeetmetega. Euroopa Liidu õigusest tulenevad trahvide ülemmäärad ulatuvad kümnetesse miljonitesse ning ületavad oluliselt väärteo eest kohaldatavate rahatrahvide ülemmäärasid. Seadus peaks jõustuma järgmisel aastal ja see tähendab, et praegu on just õige aeg tegutseda, et püsivalt korrastada protsessid isikuandmete kaitse dokumentatsiooni osas.
