Andmekaitse peaks olema võrdselt oluline nii ettevõtete kui ka inimeste jaoks. Palju kõmu tekitanud isikuandmete kaitse üldmäärus ehk IKÜM (tuntud ka kui GDPR) võeti Eestis vastu juba 2018. aastal, ent tänaseni pole tegelikult täiesti selge, kuidas täpselt asutused oma andmete kaitset korraldama peaksid.

KPMG advokaat Oliver Grauberg on varem välja öelnud, et Eesti on isikuandmete kaitse taseme osas Euroopa Liidu liikmesriikide võrdluses pigem sabassörkija. Võib isegi öelda, et oleme Euroopa Liidus isikuandmete kaitses üks nõrgemaid lülisid.

“Isikuandmete kaitse teemat nähakse ettevõtete poolt täna endiselt kui bürokraatliku takistust, mitte abivahendit oma vara kaitsmisel ja haldamisel. Tegelikult on andmed igale äriühingule väga vajalik vara. Kui organisatsioon ei suuda andmeid õiguspäraselt töödelda ega ka neid protsesse kaitsta, siis võib ta oma infovara ja avaliku usalduse kaotada.

Kahjuks taipavad isikuandmete kontekstis pigem vähesed, et andmetöötluse haldamine ning andmebaaside kaitsmine on samuti majandustegevuse jätkusuutlikkuse üks alustalasid,” rääkis Grauberg.

Puudub otsene ajend andmekaitsega tegelemiseks

Ühe põhjusena, miks Eesti ettevõtted ja asutused siiani andmekaitse teemat piisava tõsidusega ei võta, võib välja tuua otsese ajendi puudumise. 

KPMG vandeadvokaadi, endise Andmekaitse Inspektsiooni peadirektori Urmas Kuke sõnul on Eesti suurim probleem täna olematu järelevalve andmekaitse reeglite järgimise üle.

“Sisuliselt ei ole täna Eesti täidesaatev võim täitnud üldmääruses ette antud kohustusi, mis pidid olema sisse viidud 2018. aasta 25. maiks. Esiteks puudub meil trahvi näol karistusmehhanism IKÜMi reeglite eksimise vastu, ega ei ole kehtestatud teist viisi rikkujate karistamiseks läbi kohtumenetluse.” sõnas ta.

Seega puudub justkui otsene põhjus andmekaitsega tegelemiseks. Õigustasandil on IKÜMi nõuete rikkumine karistatav väärteona, mille trahv võib ulatud 10-20 miljoni euroni või 4%-ni ettevõtte ülemaailmsest käibest. 

“Väärteomenetlusi me Eestis aga väga läbi ei vii ja kui viimegi, siis üksikute töötajate suhtes. Sellest tulenevalt on ka senised üldmääruse nõuete rikkumiste trahvid piirdunud 48 ja 56 euroga,” nentis Kukk. 

Võrreldes Eestis väärteo menetlemisega ja trahvimisega oleks tegelikult haldustrahvi menetluslikult tunduvalt lihtsam läbi viia. 

“Seetõttu on ka tõenäoliselt teistes liikmesriikides IKÜM määrus paremini jõustatud. Aga tegelikult ei peaks ajend olema see, et sa saad trahvi, kui sa andmekaitsega ei tegele,” sõnas vandeadvokaat.

Andmekaitse teema vältimine võib hiljem kätte maksta

Kui 2018. aastal üldmäärus kehtima hakkas, tekkis Kuke sõnul Eesti ettevõtete seas suur küsimuste laine – mida me nüüd tegema peame? 

“Toona olid suured teemad kogutud andmete kohta dokumentatsiooni ja ülevaadete koostamine. Täna, kolm aastat hiljem, on olukord selline, kus kõik on nagu midagi ära teinud, midagi on võibolla tellitud, mingid dokumendid kirja saanud, aga suuresti on üldse ära unustatud, et 2018. mingi muudatus üldse tuli,” nentis Urmas Kukk.

Praegu on üpris levinud, et kui ettevõte ei taha teemasse põhjalikumalt süveneda, siis välditakse andmekaitse nõudeid ja teemat täielikult. Mida tähendab ettevõtja jaoks see, kui ta tahab andmekaitse teemat vältida? 

“Sisuliselt tähendab see, et igas olukorras, kus küsimuseks tuleb isikuandmete töötlemine, lülitatakse ennast välja ega taheta sellega tegeleda, sest andmekaitse on ettevõtja jaoks võõras ja ta ei taha pingutada, et süveneda. Ja nii ei tehtagi midagi. Igaks juhuks sageli isegi ei mainita seda teemat,” tõi Kukk välja.

Tegelikkuses tähendab isikuandmete töötlemise ja kaitsmisega seotud nõuete ja juhiste ignoreerimine ning vältimine seda, et ettevõte ei saa oma andmepagasit täiel määral rakendada. 

“Äripotentsiaali suhtes on see endale jalga tulistamine, kui ei taheta andmekaitse jaoks pingutusi teha ning viibitakse teadlikult teadmatuses. Esiteks on oluliselt odavam andmekaitse nõudeid järgida juba teenuste ning toodete arendamisel ning mitte tegeleda tagantjärele auditeerimisega ning vigade parandustega. Teiseks muutub see teema niikuinii vältimatuks, kui eesmärk on siseturul või uutel turgudel äritegevust laiendada.” lisas Oliver Grauberg.

Millest isikuandmete töötlejana alustama peaks?

Kui ettevõte või asutus pole varem isikuandmete töötlemise nõuetele tähelepanu pööranud, võib teema esialgu võõra ja isegi hirmutavana tunduda. Tegelikkuses pole muidugi tegu raketiteadusega, vaid teemaga, mis nõuab mõningast süvenemist. 

KPMG advokaat Oliver Grauberg ja vandeadvokaat Urmas Kukk tõid soovitustena välja viis punkti, millest isikuandmete töötlejana alustama peaks, et kogu organisatsiooni andmemajandus oleks reeglipärane ega tekitaks kellelegi tulevikus probleeme.

1. Koostage töötlemistoimingute ülevaade. On oluline, et teil on endal selge ülevaade isikuandmetega seonduvast. Siis oskate ka andmesubjekti või Andmekaitse Inspektsiooni küsimustele vastata. Siinkohal ärge piirduge ainult sellega, mida nõuab IKÜM artikkel 30. Lisage ka need andmed, mida tuleb esitada andmesubjektile vastavalt artiklitele 13 ja 14.

2. Tehke vähemalt üks kord mõjuhinnang olulisemate andmetöötluste eesmärgipärasuse ja turvalisuse hindamiseks. Isegi siis, kui see ei ole kohustuslik. Avalikult saadav tööriist selle jaoks on näiteks siin.

3. Igaks juhuks nõusolekute küsimine ei ole hea mõte. Andmesubjekti nõusolek ei ole abi igaks elujuhtumiks. Töötleja jaoks on see pigem kõige ebamugavam isikuandmete töötlemise alus. Ostetud andmebaas ei ole tõend isikuandmete töötlemise nõusoleku kohta, isegi kui müüja kinnitab, et kõik on õige.

4. Tehke selgeks enda õigused isikuandmete töötlemisel. Andmesubjekt teile neid selgitama ei tule.

5. Vaadake üle oma andmekaitsetingimused. Kui teie nende lugemisest targemaks ei saa, siis kuidas peaksid sellesse dokumenti suhtuma teie andmesubjektid?