08.11.2017, 16:20

Advokaat selgitab: mis on andmekaitsealane mõjuhinnang ning kellele on see kohustuslik?

Natalia Aleksejeva, advokaadibüroo Deloitte Legal advokaat

Advokaadibüroo Deloitte Legal advokaat Natalia Aleksejeva.

FOTO: Foto: erakogu

Järgmise aasta 25.mail jõustuva isikuandmete kaitse üldmääruse (GDPR) artikkel 35 kohustab andmetöötlejaid viima enne isikuandmete töötlemise alustamist läbi andmekaitsealase mõjuhinnangu. Mida andmekaitsealane mõjuhinnang täpselt endast kujutab ning kellele on see kohustuslik tekitab organisatsioonide seas jätkuvalt segadust.

GDPR kohaselt peavad mõjuhinnangu tegema kõik need organisatsioonid, kus toimuvad kõrge riskiga andmetöötlustoimingud ehk toimingud, mille laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsilistele isikute õigustele ja vabadustele suur oht.

Andmekaitse Inspektsiooni arvamuse kohaselt leiavad kõrge riskiga andmetöötlustoimingud aset eelkõige nt tervishoiusektoris, kus töödeldakse patsientidega seotud terviseandmeid; ettevõtetes, kes pakuvad füüsilistele isikutele finants-, kindlustus- ja investeerimisteenuseid; e-poodides; tööportaalides; personali otsingu- ja tööjõu rendi teenust pakkuvates organisatsioonides; side-, turvaettevõtetes, kuid ka näiteks jaekaubanduses, kus töödeldakse kliendikaardiga ostuandmeid.

Nimekiri hõlmab ka teisi tegevusalasid ning ei ole ammendav. See tähendab, et organisatsioonidel endil lasub kohustus viia läbi vastava analüüsi, tuvastamaks, kas tema tegevusega kaasnev isikuandmete töötlemine on kõrge riskiga.

Samuti tuleb andmekaitsealane mõjuhinnang läbi viia ka siis, kui organisatsioon kavatseb võtta kasutusele uue tehnoloogia, millega tal varem kokkupuudet pole olnud – nt uus arvutiprogramm, kuhu sisestatakse klientide andmeid.

Andmekaitsealane mõjuhinnang tuleb teha kõikide andmetöötlustoimingute osas, millega andmetöötleja alustab peale GDPR jõustumist, 25. mail 2018 ning ka nende andmetöötlustoimingute osas, mis on alates 25. maist 2018.a oluliselt muutunud. Samas on Andmekaitse Inspektsioon tähele pannud, et mõjuhinnang ei ole ühekordne toiming ning organisatsioonid peaksid sellega alustama juba täna.

Selleks, et olla võimeline hindama tulevaste tehnoloogiate ja andmetöötlustoimingute vastavust GDPR nõuetele, peab organisatsioon eeskätt saama selge ülevaate kõikidest organisatsioonis juba toimivatest isikuandmete töötlemise protsessidest ja süsteemidest ning sellest, kuidas nad mõjutavad andmesubjektide õigusi. Samuti peab organisatsioonis olema 25. maiks 2018 juba paigas mõjuhinnangu läbiviimise protseduur ja metoodika ning määratud kogu protsessi eest vastutav isik või isikud. S

eetõttu on kõigil organisatsioonidel soovitatav alustada eelhinnangu ehk GDPR-ks valmisoleku analüüsi läbiviimisest. Läbi vastavuse analüüsi saab kõige parema ülevaate sellest, kas ja kuivõrd organisatsiooni tänane tegevus vastab GDPR nõuetele ning milliste isikuandmete töötlemise toimingutega võib kaasneda kõrge risk.

Samuti aitab vastavuse analüüs panna paika praktilise plaani ja metoodika, tagamaks, et organisatsioon on järgmise aasta maikuuks valmis täitma GDPR nõudeid, sh viima vajadusel läbi andmekaitsealaseid mõjuhinnanguid.

Kommenteeri Loe kommentaare