Advokaadibüroo Derling vandeadvokaat Ave Piik, andis ülevaate olulisematest muudatustest, millega ettevõtted peaksid GDPR-i rakendumisel arvestama. Lisaks tõi Ave välja sammud, mida ettevõtted peaksid läbima, et kiiresti, süsteemselt ja tulemuslikult end GDPR-i nõudmistega kooskõlla viia.
Business Breakfast - Ave Piik esitlus: Kuidas viia ettevõte kooskõlla uue isikuandmete kaitse määrusega?
1.
2. Mis muutub?
2
! Direktiiv asendub määrusega
Andmekaitsedirektiiv(id), IKS, ESS, mitmed eriseadused
Euroopa Liidu isikuandmete kaitse üldmäärus (Euroopa Parlamendi ja Nõukogu määrus
2016/679)
? Otsekohaldatavuse mõju:
ühtsed selged reeglid?
piiriülese tegutsemise lihtsustumine?
kohalike tavade, praktika, konteksti (mitte)arvestamine?
3. Kas hüsteeria on põhjendatud?
3
Põhiprintsiibid jäävad
Lisandub kohustusi, mis võivad olla koormavad, nt:
töötlemistoimingute registreerimine
DPO määramine
mõjuhinnangu koostamine
vastutuse (accountability) põhimõtte järgimine (sisereeglid)
Keerulisem siis, kui seni asjad korrast ära
4. Rahast!
Keegi ei valmistu alates 25.05.2018
määrama teile 20 MEUR trahve
Siiski – kas teatud juhtudel
trahvimine kohustuslik?
Trahvimäärad ja Eesti erand
5. Praktikas tekkinud küsimusi
Peaaegu ühegi lisanduva kohustuse puhul ei ole üheselt selge, kellele ja millistel
tingimustel see kohaldub ning on vaja põhjalikumat analüüsi. Nt:
Mõjuhinnang: isiklike aspektide süstemaatiline ja ulatuslik hindamine; põhineb automaatsel
IA töötlemisel; otsused toovad kaasa tagajärjed, mis oluliselt mõjutavad isikut
DPO määramine: AS-de ulatuslik, korrapärane ja süsteemne jälgimine; kas kohaldub
avalikke ülesandeid täitvale eraõiguslikule isikule?
Ebaselge, millises detailsusastmes tuleb pidada isikuandmete töötlemise toimingute
registrit
Profiilianalüüsi läbiviimise tingimused: kas eeldab täisautomaatsust?; milline tegevus
kvalifitseerub profileerimisena (skooringumudel vs uudiskirjad)?; kas Eesti leevendab
reegleid?
Millises ulatuses kehtestab Eesti seadusandja täiendavaid norme (mh mis saab
töösuhetest, KAS ja KindlTS erinormidest nõusoleku osas, maksehäireandmete
edastamisest)?
6. Praktikas tekkinud küsimusi
Puudub ülevaade IA töötlemise alustest; alused kasutusel läbisegi; liigne tuginemine
nõusolekule
Andmed asuvad üksteisega integreerimata infosüsteemides, ei ole võimalik saada
raporteid AS nime vm näitaja põhiselt (erinevates AB-des erinevate markerite kaudu
süstematiseeritud)
Infosüsteemid ei võimalda jälgida andmete säilitamise tähtaegu ning andmeid
kustutada või jäädavalt ja lõplikult anonümiseerida
Ei arvestata erinevate infosüsteemide integreerituse ja omavahelise suhtluse või selle
puudumisega – nt kustutatakse andmed ühest andmebaasist, kuid teise jäävad alles
Andmete töötlemist logivad süsteemid kas puuduvad või on olemas, kuid puudub
logide regulaarne kontroll, tulemuseks ülevaate puudumine sellest, kas on välistatud
õigustamatu ligipääs andmetele
Koostööpartneritega sõlmitud lepingutes puuduvad isikuandmete töötlemist
puudutavad õigused ja kohustused
7. Praktikas tekkinud küsimusi
Puuduvad sisemised reeglid IA töötlemise osas, töötajatel ei ole teadmist, kes ja
mille eest vastutab
Ei teata, milliseid vorminguid hakatakse aktsepteerima IA ülekandmise õiguse
teostamise korral (struktureeritud, üldkasutatav, masinloetav)
Andmete ülekandmise õiguse sisuline ulatus (toorandmed vs ärisaladus)
Mis on nõutavad turvameetmed (korralduslikud ja tehnilised)?
Andmesubjektide teavitamine ei ole äriprotsessidesse sisse ehitatud
Filiaalide puhul kohalduva õiguse ja jurisdiktsiooni küsimused
jpm
8. Kuidas testida oma ettevõtet?
Kas töödeldakse isikuandmeid?
Milliseid IA kategooriaid töödeldakse?
Millistel eesmärkidel töödeldakse?
Millisel alusel iga andmekategooriat töödeldakse?
Millises rollis ettevõte andmeid töötleb?
Kuidas töödeldakse (kelle ja mille abil ning mil viisil)?
Millised kohustused kõige eelneva põhjal kohalduvad?
Kuidas puudusi kõrvaldada (protsessid ja sisedokumendid, lepingud,
infosüsteemid)?
9. Kokkuvõtteks
Paanikaks pole põhjust, kuid tegutsema hakata on viimane aeg!
(Vähemalt hetkel) eelistage määruse inglisekeelset versiooni
Koolitage ettevõttes keegi andmekaitsealaselt välja ka juhul, kui DPO-
d ei pea määrama
Parima tulemuse saab õigus- ja IT-alaste teadmiste ühendamisel
Eelistage nõustajaid, kes tegelesid andmekaitsega ka enne 2016. a
Viige end kurssi kujuneva praktikaga