Selle aasta kevadel võeti Euroopa Liidus vastu isikuandmete kaitse üldmäärus (GDPR), mis asendab 1995. aastast pärineva andmekaitsedirektiivi. GDPR on liikmesriikidele otsekohalduv ning rakendub 2018. aasta mais.
Andmekaitsereformi eesmärk on internetiajastul anda füüsilistele isikutele suurem kontroll oma isikuandmete üle, luua digitaalse ühisturu jaoks kohandatud reeglistik ning ühtlane andmekaitse tase kogu ELis.
GDPRi mõju on äärmiselt laiaulatuslik, kuna uued põhimõtted kehtivad kõikidele ELi ettevõtjatele ja organisatsioonidele, kes töötlevad isikuandmeid. Samuti on üldmäärust kohustatud järgima need ettevõtted, mis pole ELis asutatud, kuid töötlevad ELis olevate andmesubjektide isikuandmeid seoses kaupade ja teenuste pakkumisega ELis.
Mida andmekaitsereform kaasa toob?
GDPR sisaldab mitmeid uuendatud põhimõtteid, mis võivad ettevõtja jaoks kaasa tuua vajaduse suures mahus muuta seniseid protseduure ja süsteeme. Mõned näited andmetöötleja uuenenud kohustustest, mis annavad aimu ettevõtja ees seisvate muudatuste mahukusest:
•Isikuandmete töötlejatel on teavitamiskohustus, mille puhul tuleb õiguseid ja vabadusi kahjustada võivatest isikuandmetega seotud rikkumistest teavitada järelevalveasutust ning teatud juhtudel ka andmesubjekti ennast.
•Isikuandmete töötlemine peab olema korrastatud ja süsteemne ning andmesubjekti kohta kogutud andmestik peab olema teisaldatav ühest elektroonilise töötlemise süsteemist teise.
•Kohustus määrata andmekaitseametnik, kui isikuandmete töötluse laad ja ulatus seda nõuavad, näiteks kui ettevõtte põhitegevus nõuab regulaarset ja süstemaatilist isikuandmete töötlemist või erikategooriasse kuuluvate isikuandmete laiapõhjalist töötlemist.
•Isikuandmete töötlejal tuleb tagada isikuandmete töötlemise toimingute dokumenteerimine ning olukorras, kus andmete töötlemisega võib tekkida füüsiliste isikute õigustele ja vabadustele suur oht, tuleb andmete töötlejal teha andmekaitsealane mõjuhinnang.
Lisaks eelnevale võib ettevõtjal olla keeruline kustutada isikuandmed olukorras, kus andmete töötlemise eesmärk on lõppenud ning andmesubjekt ei soovi edasise töötlemise jätkamist. Samuti võib keerukaks osutuda kohustus tagada ning vajadusel tõendada andmesubjekti selgesõnalise, teadliku ja vabatahtliku nõusoleku olemasolu olukordades, kus see on nõutav.
Tagamaks ELi eeskirjade täitmine liikmesriikides, suurendatakse GDPRiga riiklike andmekaitseasutuste volitusi ning seatakse karmid karistused GDPRi rikkumise eest, mis võivad ulatuda väikeste eksimuste puhul kuni 2%ni ja suurte eksimuste puhul kuni 4%ni ettevõtte eelmise aasta ülemaailmsest käibest või kuni 20 000 000 euroni, sõltuvalt sellest, kumb summa on suurem.
Mida teha, et isikuandmete töötlemine vastaks uuenenud nõuetele?
Kuna GDPRi mõju ettevõtetele on ulatuslik ning trahvid rikkumise eest märkimisväärsed, tuleks isikuandmete kaitsega seotud tegevused seada prioriteediks ning alustada ettevalmistustöödega juba nüüd.
Soovitame kaardistada, millistes süsteemides ja milliseid isikuandmeid ettevõttes töödeldakse ning kes omavad isikuandmetele ligipääsu. Kasulik oleks läbi viia andmekaitse õigus- ja infosüsteemide audit, mis võimaldab tuvastada andmete töötlemisega seotud puudused ja riskikohad. Kindlasti tuleks analüüsida ja kasutusele võtta tehnilised meetmed andmekaitsereeglite järgimiseks. Soovituslik oleks äriprotsessidest ja auditi tulemustest lähtudes töötada välja isikuandmete töötlemise juhendid ja strateegia ning koolitada töötajaid, tagamaks vastavus GDPRi nõuetele.
Sõltuvalt ettevõtja tegevuslaadist ning isikuandmete töötlemise mahust ja viisist võivad ettevalmistustööd kujuneda väga ajamahukaks. Kindlasti on protsessi eduka läbiviimise eelduseks, et tegevusse on kaasatud lisaks juhtkonnale kõik osakonnad ja tugiteenused, kes isikuandmete töötlemisega kokku puutuvad. Soovitame kaaluda kogenud piiriülest teenust pakkuva multidistsiplinaarse välise nõustaja kaasamist, kes aitab viia andmetöötluse protsessi vastavusse uuendatud andmekaitse reeglistiku ja ELi andmekaitsemäärusega.
Allikas: KPMG