1. novembrist 2023 jõustub Eestis seadusemuudatus, mis loob Andmekaitse Inspektsioonile (AKI) senisest tõhusama õigusliku aluse võtta vastutusele ettevõtted, kes rikuvad andmekaitsenõudeid (nn GDPR-i).

Videokaamerad tööruumides, söögikohtades, teenindussaalides; GPS-seadmed tööautodes; veebilehtedel küsimus “Kas nõustud küpsistega”; automaatvastaja ütlemas “Parema teeninduse huvides teie kõne salvestatakse”; postkast umbes reklaampakkumistest; taustakontrollid värbamiskonkursil või firma jõulupakid pisematele jne. Eelnevast loetelust võib teha mitu järeldust. Andmekaitse puudutab ühtmoodi nii kliente, töötajaid kui tööandjat, avalikku kui erasektorit. Ümbritsev andmetöötlus on tahtmatult meie igapäevaelu osa.

Andmekaitsetarkvara ja -teenust pakkuva DataVie juhatuse liige Kaisi Udumäe selgitab artiklis, kuidas teadlikkus ning ennetav tegutsemine aitavad trahvimishirmust üle saada. Tüütu kõrvaltegevus ja seadusepügal tuleks keerata hoopiski ettevõtte kasuks ning usaldusväärsuse märgiks.

Trahvini jõutakse tõenäoliselt siis, kui ettevõte ei tee koostööd olukorra parendamiseks

WhatsApp sai 225 miljonit eurot trahvi, kuna privaatsusteadete (teise nimega isikuandmete töötlemise põhimõtete) avaldamine ei olnud läbipaistev ja arusaadav. Mistahes andmetöötlejal on kohustus teha privaatsusteated klientidele kättesaadavaks, enamasti kasutatakse selleks kodulehte. Google Ireland sai 90 miljonit eurot trahvi, sest raskendas inimesel oma nõusoleku tagasivõtmist (loe täpsemalt SIIT). Näiteks kui anda teenusepakkujale nõusolek reklaampakkumiste saamiseks, siis peab olema võimalus nõusolek alati ja lihtsalt ka tagasi võtta.

Ida-Tallinna Keskhaiglale määrati kevadel 200 000 euro suurune trahv, mis küll kohtus tühistati (loe täpsemalt SIIT), sest patsientide haiguslood olid valveta ehituskonteineris (loe täpsemalt SIIT). Võrreldes ülejäänud Euroopa Liiduga on senine trahvimispraktika Eestis olnud kesine, kuna varasemalt sai seaduse silmis vastutusele võtta ettevõttes töötavat füüsilist isikut, mille tõendamine on keerukas või ka ebamõistlik.

Alates novembrist on aga võimalik vastutusele võtta juriidilist isikut, mis loob järelevalveasutusele nn lisatööriista kutsumaks korrale ettevõtteid, kes tahtlikult ja pikaajaliselt eiravad nõudeid ja/või ettekirjutusi olukorra parendamiseks. Juhul kui ettevõte on sattunud AKI huviorbiiti, tuleb teha koostööd ja näidata üles tahet olukorda parendada.

Andmekaitseline selgus on ka kaitse ettevõttele

Läheme sammu tagasi: 2018. aastal võeti Euroopa Liidu üleselt vastu nn GDPR, mille missioon on õilis – kaitsta inimese kui nõrgema osapoole isikuandmeid.

Isikuandmed on teave inimese kohta, millega saab teda otse või kaudselt tuvastada ja/või mille avaldamisega kaasneb oht elule ja tervisele, identiteedivargusele, võib kaasneda varaline või mainekahju jms, näiteks nimi, isikukood, (reaalajas) asukohateave, krediidireiting, biomeetrilised andmed, terviseandmed, seksuaalne sättumus, rassiline päritolu jne.

Regulatsiooni eesmärk on anda õiguslik raamistik, et mõlemad osapooled, nii ettevõtja/asutus (andmetöötleja) kui inimene (andmete omanik ehk andmesubjekt), oleksid teadlikud oma õigustest ja kohustustest. Sisuliselt kaitseb läbipaistvus ja selgus andmetöötlemise põhimõtetes mõlemat osapoolt.

Ettevõtja saab olla usaldusväärne nii oma kliendile kui koostööpartnerile, samas vältides kliendiga tarbetuid vaidlusi. Näiteks kui klient küsib, mille alusel teeninduskõnesid salvestatakse ja kuhu tema andmed lähevad, siis on ettevõtjal kiirelt võimalik viidata privaatsusteadetele ja õiguslikule alusele, et vältida tahtmatute kirjasõprade teket.

“Õigustatud huvi analüüs” annab vastuse, kas ettevõtte äritegevus kaalub üles inimese õiguse privaatsusele

Kuulus rõivabränd H&M sai Saksamaal 35 miljonit eurot trahvi töötajate ebaseadusliku jälgimise eest, salvestades töötajate eraelulisi andmeid ning lubades teabele ligipääsu rohkem kui 50 juhile (loe täpsemalt SIIT). AKI tegi AS Prisma Peremarketile järelepärimise, miks on poe kaamerad suunatud riietuskabiini sisse (vaata AKI avalik dokumendiregister, viit 2.1.-5/23/1972-3).

Videopildi, kõnede ja tööalaste situatsioonide ning kohtumiste salvestamine võib olla ettevõtte äritegevuse toetamiseks vajalik, näiteks teeninduskvaliteedi tõstmiseks või varade kaitseks. Kuid see eeldab õigustatud huvi analüüsi läbiviimist ja kaalutletud põhjendusi, miks vastav tegevus kaalub üles eraisiku huvi ja/või privaatsuse.

Näiteks videosalvestamine vara kaitseks võib olla õigustatud, kuid täiendavalt häälsalvestise kasutamine sel eesmärgil pigem ei ole õigustatud. Kliendi maksevõime hindamine enne kodulaenu võtmist on õigustatud ja ka kliendi enda huvides, kuid maksevõime hindamine enne kolmekümneeurose toote ostmist pigem ebaproportsionaalne ja mittevajalik.

Ettevõte pole lõpuni kaitstud kaebuste, andmelekete jms inimvigade eest, kuid ennetamine aitab riske maandada

Andmekaitsenõuete täitmine tähendab ettevõtja jaoks enamasti kõrvaltegevust, mis pealtnäha ettevõtte põhitegevust ei toeta, pigem vastupidi – see toob endaga kaasa lisategevusi ja -väljaminekuid. Näiteks nõuab seadus andmekaitsespetsialisti olemasolu eranditult kõigilt avaliku sektori asutustelt. Erasektori puhul aga näiteks ettevõtetelt, kes töötlevad süstemaatiliselt isikuandmeid (loe täpsemalt SIIT). Andmekaitsespetsialisti laiemaks ülesandeks on andmekaitse kultuuri üles ehitamine organisatsioonis selleks, et andmekaitse oleks ettevõtte igapäevatöö osa.

Andmekaitsenõuete täitmiseks ettevõttes tuleb alustada andmetöötluse kaardistamisest (andmetöötlusregistri olemasolu on seadusenõue, mida võib AKI igal hetkel välja küsida). Andmetöötluse kaardistamine annab tervikpildi, mille pinnalt on juba lihtne tuvastada võimalikud kitsaskohad, panna paika tegevuskava ning ka riskide maandamismeetmed.

Inimese andmete kaitsmine peaks olema sama loomulik osa andmetöötluses nagu kätepesu enne sööki. Andmekaitse tagamine pole ühekordne projekt, vaid kestev protsess ning pikas perspektiivis on soodsam tegeleda ennetuse, mitte tagajärgedega.

Ära korja andmeid, mida pole vaja – vähendad ettevõtte andmeprügi ja hoiad kokku pilvekulusid

Andmekaitset tuleb võtta kui investeeringut jätkusuutlikumasse tulevikku. Kui ettevõttes puudub ülevaade, mis andmeid korjatakse ning andmetel pole säilitustähtajad paika pandud, siis on üsna tõenäoline, et korjatakse andmeid, mida pole vaja või korjatakse andmeid topelt või säilitatakse andmeid tähtajatult ja igavesti. See kõik aga tähendab täiendavat võrguressurssi. Vaid vajalike andmete kogumine ja säilitamine minimaalsusprintsiibil aitab vähendada ka andmelekkeriski.

Muuda andmekaitse oma ettevõtte edukuse mõõdupuuks DataVie abiga

Kuna GDPR-i kehtima hakkamisest on möödas vaid viis aastat, siis on häid andmekaitsespetsialiste turul veel vähe ning praktikat efektiivseks andmekaitse lõimimiseks ettevõtetes piiratult. Sellest tulenevalt ongi sündinud DataVie, mis on saanud alguse Eesti ühe suurettevõtte andmekaitsespetsialisti Piia Laks-Järve soovist leida efektiivsemad viisid andmekaitsenõuete tagamiseks.

DataVie eesmärk on anda ettevõtetele standardlahendus nõuete täitmiseks – GDPR-teenuse ja -tarkvara näol. Ettevõte ei pea end regulatsioonide ja nõuetega kurssi viima ega leiutama, kuidas neid täita, vaid DataVie pakub vastava toe.

Kui sa ei tea, millest alustada, kuid soovid investeerida ettevõtte usaldusväärsusesse, siis võta DataVie tiimiga ühendust ning leiame iga ettevõtte jaoks personaalse ja parima lahenduse.