ÄRILEHE ONLINE-INTERVJUU: Kas turvakaamerad rikuvad isikuandmete kaitset? Kes peaks kartma hiigeltrahve? Eksperdid selgitavad peagi jõustuva isikuandmete kaitse üldmääruse mõju

 (67)

Raamatupidaja
KontorFoto: Hendrik Osula

Kevadel jõustub üle-Euroopaline isikuandmete kaitse üldmäärus, mis mõjutab nii ettevõtjaid kui riigiasutusi. Ärilehes online-intervjuus vastavad sel teemal esitatud küsimustele NJORD Advokaadibüroo vandeadvokaat Liisi Jürgen ja partner Katrin Sarap.

25. mail jõustub Euroopa Liidu isikuandmete kaitse üldmäärus (AKÜM). See on isikuandmete kaitses viimase paarikümne aasta suurim muudatus, mis on ajanud ettevõtjad ärevusse, sest seaduse mittetäimise korral ootab ettevõtjaid kopsakas trahv.

Kui sind huvitab, kas ja kuidas uus üldmäärus sind või sinu ettevõtet puudutab või sul on tekkinud spetsiifilisi küsimusi, siis anna neist teada e-kirja teel uudised@arileht.ee. Intervuu toimub kella 11st kella 13ni.

Online-intervjuu andmekaitse üldmääruse teemal
Online-intervjuu on lõppenud. Aitäh huvitavate küsimuste eest!
Kui andmeid ei ole paberil, ega üheski digitaalses salvestusmeediumis. Andmed on ainult ettevõtte juhataja peas. Kuidas kohaldada andmete kustutamist? Meditsiiniliselt? Pole näinud, pole kuulnud.
Isiku õigus olla unustatud ehk palutakse kustutada tema andmed. Kuidas seda tõestada, et sai kustutatud? Kui andmeid ei ole siis ei saa kuidagi ka näidata. Kindlasti tuleb andmesubjektile saata kinnitus, millal andmed kustutatakse. Kui isikul tekib kahtlus, et andmed ei ole siiski kustutatud ja rikud on tema õigust olla unustatud, siis võib vastav isik pöörduda kohtusse või Andmekaitse Inspektsiooni poole. Arvestada tuleb, et andmetöötleja ei saa tõenda enda suhtes negatiivset asjaolu (-et andmed on kustutatud).
Kes kontrollib määrusest tulenevate nõuete täitmist?Andmekaitse Inspektsioon
Autode pardakaamerad filmivad kõike – eraisikute autode numbreid, mööda jalutavate inimeste nägusid jne. Kas peab autole hoiatavad sildid peale panema? Aitäh huvitava küsimuse eest. Eraisik võib oma tarbeks andmeid koguda, sellest eeldusest lähtudes silte autole panema ei pea. Seejuures tuleb siiski tähele panna põhimõtet, mille kohaselt teiste isikute õigused ei tohi saada kahjustatud. Näiteks võib tegu olla rikkumisega, kui salvestis laetakse Interneti üles selliselt, et seda saavad vaadata määratlemata hulk isikuid ja salvestisel olevad isikud on äratuntavad.
Pankade, mobiiltelefonifirmadesse jne. infotel. helistades vastatakse, et teie kõne salvestatakse. Mul ei ole muud varianti, kui nõustuda. Kas firmadel on õigus minu nõusolekuta kõnet salvestada? Teil on võimalus lõpetada kõne, kui Te ei soovi rääkida siis, kui kõne salvestatakse ja minna teenuse pakkuja kontorisse. Ilma teavituseta või nõusolekuta ei või kõnesid salvestada ega salvestusi kasutada muul eesmärgil, kui neid on kogutud. Erand on kriminaalmenetluse raames tehtavad jälitustoimingud.
Kas üldse leidub ettevõte, kes ei pea pidama (andmetöötlustoimingute) registrit? Mainitakse küll, et vähem kui 250 töötaja organisatsioonis ei ole vaja, kuid siiski on seal juures ka erandid ning need jätavad mulje, et siiski üsna tõenäoliselt on kõigil vaja.Määrus kohaldub kõikidele organisatsioonidele. Erandite kohaldumist on vaja igakordselt eraldi analüüsid. Seega siinkohal ei saa me kahjuks täpsemat vastust anda. 
Kuivõrd lubatud on niiütelda "kobartingimused"? Näiteks soovides midagi tarbida, pead aktsepteerima tingimused kogu komplektis. Näiteks kandideerides kuskile ametipostile pead aktsepteerima oma andmete igavese säilitamise? Või Facebooki puhul, et tarbida Facebooki teenuseid, pead aktsepteerima "kobartingimused", millega annad igasuguse loa oma andmeid töödelda? Sul on ju õigus mitte kandideerida või mitte kasutada Facebooki? Kus läheb piir, et millised "kobarad" on lubatud ja kellele, ja millised ei ole? Kobarnõusolekuid tuleb pigem vältida. Nõusoleku küsimise tingimuste osas vaadake eelnevalt antud vastuseid.
Kas nüüd saan kirjutada infoportaalidele (inforegister.ee) ja nõuda, et nad mu andmed eemaldaksid?Kus selle seaduse terviktekst nähtaval on?  Kui Teie, kui füüsilise isiku andmed on kogutud seaduse vastaselt, siis on Teil õigus nende andmete kustutamist. Määrus on kättesaadav siit: http://eur-lex.europa.eu/legal-content/ET/TXT/PDF/?uri=CELEX:32016R0679&from=en
Kuidas on planeeritud isikuandmete kaitse seaduse muutmine lähtuvalt uue kaitsemääruse kehtimahakkamisest?Kuna riikidel on õigus kehtestada määrusest lähtuvaid omi täpsustatud reeglistikke, siis milline ontähtaeg seaduse muutmiseks? Tuleb ju igal asutusel lähtuda oma vastavate õigusaktide kehtestamisel riigi õigusaktidest. Määrus on küll EL õigusakt, aga see on otsekohalduv (mitte nagu direktiiv). Õige on, et määruses on liikmesriikidele volitusnorme, mille reguleerimiseks on vajalik ka siseriikliku õigusakti. Siseriikliku õigusakti puudumine ei tähenda, et määrus ei kohalduks või seda ei peaks järgima.
Kas ma võin nõuda ka riigiasutustelt oma isikuandmete kustutamist? Näiteks maksuametilt, kaitseressursside ametilt, raviasutustelt jne?Kui vastav riigiasutust töötleb Teie andmeid seaduse alusel, siis ei pea riigiasutus Teie andmeid kustutama.
Kas juriidilise kliendi kontaktisiku nimi ja tema visiitkaardil toodud mobiiltelefon on isikuandmed? Kõik andmed, mida on võimalik seostada ühe isikuga ja mis võimaldavad isiku kindlaks teha, on isikuandmed.
Kas andmekaitse register tuleks grupiettevõtetes koostada iga ettevõtte kohta eraldi ning hinnata iga grupiettevõtte ja tütarettevõtte osas eraldi ka seda, kas on kohustus registrit koostada või võib teha ühe grupiülese registri? Iga ettevõte on vastutavaks isikuks vastava subjekti ees. Üleüldise töökorralduse eesmärgil on muidugi parem, kui on standardiseeritud lahendus grupi sees.
Eelnevalt on küsitud ja vastatud juba olukorrast, kus arvutisse on salvestatud sõprade telefonid/ sünnipäevad (isiklikuks kasutamiseks). Kui samasugune register on tööarvutis äripartnerite sünnipäevadega, kas siis peab sellest konkreetseid isikuid ka teavitama? St pean neile ütlema, et ma tean nende sünnipäeva ja soovin neid õnnitleda?  JOKK vastus: jah, kui Teie äripartner ei soovi Teilt enam õnnitlusi saada, siis määruse kohaselt, ärge neid enam saatke.
Kuidas on reguleeritud valvekaamerate kasutamine töökohal. Varasemalt piisas sisuliselt vastavatest siltides ning andmete töötleja konktaktandmetest ettevõtte uksel. Kas ja millistel tingimustel võib töötajaid ja töötajate töö tegemist kaamerate vahendusel jälgida? Kuidas peab olema toimunud töötajate teavitamine? Millistel tingimustel võib kaamerapilti hiljem vaidlustes kasutada? Selles valdkonnas põhimõttelisi muudatusi ei ole. Endiselt peab olema kaamera tööd teavitav silt väljas. Jätkuvalt peab olema töötajate nõusolek, kui nende tööprotsesse jälgitakse. Ikka peab tööandja suutma põhjenda, miks kaamerat vaja on ja kas teisiti ning vähem riivaval moel ei saaks sama eesmärki saavutada.
Kas turundissõnumite nt. e-mailide ja SMS saatmiseks on vaja olemasolevat registreerunud kliendilt uuesti nõusolekut küsida iga kommunikatsioonikanali kohta või kehtib tema vana nõusolek?Kui klient on avaldanud soovi loobuda kommunikatsioonist, kas on lubatud kliendi jaoks tähtsate sõnumite edastamine nt. Tema lojaalsuskontole kogutud summa aegub?Kuhu klient saab pöörduda, kui ettevõte ei käitu vastavalt uuele määrusele?  Vaadake Teile antud vanad nõusolekud ja nende taotlusete vormid üle. Eelnevalt oleme siin intervjuus andud kriteeriumid, millele nõusolek peab vastama. Kui vana nõusolek ei vasta määrusele ja Teil on siiski soov kliendiga edasi suhelda, siis tuleb esitada kliendile uus nõusolek.   Oma lepinguliste kohustuste täitmiseks vajalikud teavitused tuleb siiski teha, eriti siis, kui teavituse mittetegemine võib põhjustada kliendile kahju.
E-pood genereerib ostuga automaatselt arve millel on kliendi poolt vabatahtlikult antud andmed mida on tellimuse täitmiseks vaja. Lisaks on seal ka IP aadress – kas võib olla? Andmete kogumine peab olema põhjendatud ja vajalik. Kui IP aadress on siiski vajalik, siis võib seda ka koguda. Vaadake üle ka nõusolekud, mida Te kliendina e-poele annate.
Kas uudisteportaalil on uue seaduse järgi kohustus edastada kõik isiku kohta kogutud andmed? Kas isikul on õigus nõuda nende kustutamist?Mida teha olukorras kus portaal, näiteks delfi.ee keeldub andmeid väljastamast ning ka kustutamast? Kõik organisatsioonid EL-is või kes pakuvad EL-is kaupu või teenuseid, peavad järgima määrust. Näiteks ka Delfi. Kui Te leiate, et Teie õigusi on rikutud, siis pöörduge Andmekaitse Inspektsiooni poole. Kodulehelt leiate juhise, kuidas teavitada rikkumisest.
Raamatupidajate andmed paberkandjatel. Neil on suurtes kogustes arveid ja muid dokumente kus on ka isikuandmeid ja enamasti on riiulites kaustades. Kas neid peab veel kuidagi turvama? Ettevõtja enda huvides on, et kõik andmeid (mitte ainult isikuandmed vaid ka nt ärisaladus) oleks kaitstud. Mõistlik on lubada juurdepääs ainult nendel isikutel, kes nimetatud andmetega töötavad. Soovitatav on töötajatega sõlmida ka konfidentsiaalsuskokkulepped.
Logi pidamine isikuandmete töötlemisel – kas raamatupidaja peab iga arve puhul eraldi logi pidama millega töötab kui seal on andmed. Kas on erinevusi eraisiku arvega ja ettevõtte arvega kui ettevõtte arvel on kontaktisik? Antud küsimuse puhul tuleb eristada andmeid, mida töödeltaks lepingu alusel (nt müügilepinguga kaasneb müügiarve) ja isikuandmeid, mida kogutakse nt suunatud reklaami tegemise eesmärgil. Ei pea olema nõusolekuid, kui väljastatakse nt mööbli ostuga müügiarve. Nõusolek peab olema, kui soovite teha otsepostitusi müügikampaaniate raames.
Kõik tööga seotud andmekandjad, telefonid ja arvutid peaksid vist krüpteeritud olema? Kadumise puhul on siis oluliselt madalam risk andmete lekkimisele? Tuleb hinnata andmete sisu ja kahju tekkimise suurust, kui need andmed nt avalikuks saavad. Vastavalt sellel tuleb leida meede, kuidas neid andmeid kaitsta.
Milliseid andmeid ei pea kaitsma?Neid andmeid, mis ei ole konkreetse füüsilise isikuga seostatavad.
Kas kõik pilveteenuse pakkujad, kelle juures mõni ettevõte oma klientide või töötajate andmeid hoiab, on alati volitatud töötleja? Kui ei, siis millistel juhtudel pilveteenuse pakkuja volitatud töötleja ei ole?Sellele küsimusele vastamiseks tuleks analüüsida pilveteenuse sisu ja pilveteenuse osutaja ja kliendi vahelist lepingut. Tõenäoliselt on küsija silmas pidanud vastutavat töötlejat. Teoreetiliselt on võimalik, et pilveteenuse osutaja ei ole vastutav töötleja, kui tal reaalselt puudub võimalus pilves olevaid andmeid töödelda (sh kustutada).
Kas andmed on määruse tähenduses kustutatud, kui süsteemides on ära anonüümitud need andmed, mille kaudu on võimalik isikut otsida (isik pole otsitav)?  Määruse kohaselt andmekaitse põhimõtteid ei kohaldata anonüümse teabe suhtes, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada.
Meilide turvalisus – näiteks erakliendile arve saatmine, kus on peal tema kontaktid jne. Kas see arve peaks krüpteeritud olema, et juhuslikult valele aadressile minnes ei oleks avatav? Klient ise võib vale meili anda ekslikult. Andmete turvaline töötlemine ja kasutajamugavuse vahel on alati teatav konflikt. Andmesubjekt peab siiski olema võimeline talle saadetavat avama ja sellest arusaama ilma ebamõistlike omapoolsete kohustuseta. Erilist tähelepanu tuleb siiski pöörata, kui edastamisele kuuluvad delikaatsed isikuandmed (nt info tervise kohta (haiglaravi, kasutatavad ravimid vms)). Rehvitöökoja arve krüpteerimine on meie hinnangul selgelt ebamõistlik.
Facebook süstematiseerib ja kogub "sõprade" andmeid, informeerib sünnipäevadest jne. Kui ma annan Facebookile oma sünniaja, mida registreerimisel küsitakse ja isegi kui ma luban sõpradel seda näha, kas see siis tähendab, et Facebook tohib neid andmeid töödelda ja informeerida sõpru mu sünnipäevast?Tuleb lugeda Facebooki kasutustingimusi ja üle vaadata oma seadistused. Kui oled nendega nõustunud, siis eelduslikult töödeldakse neid vastavalt tingimustele. Kui Teil on kahtlus, et andmetöötleja rikub Teie õigus, siis tuleb pöörduda vastava töötleja ja/või Andmekaitse Inspektsiooni poole.
Teatavasti on uue üldmäärusega tarvis ettevõtetel oma pakkumiste/reklaami saatmise tarbeks saada kliendilt nõusolek. Kas seda nõusolekut on tarvis ka juba kliendiks hakanud inimestelt üle küsida? Millises vormis võib inimeselt nõusolekut küsida?Ettevõte peab vajadusel nõusoleku olemasolu tõendama.  Seega olenemata nõusoleku saamise viisist (sms, e-kiri vms), peate olema võimelised tõendama, et nõusolek on antud. Kõik nõusoleku taotlused peavad olema esitatud viisil, mis on muudest küsimustest: (iv) selgelt eristatavad;  (v) selges ja lihtsas sõnastuses;(vi) arusaadavalt ja lihtsalt kättesaadavad ning edastatavad. Nõusolek peab olema antud vabatahtlikult.   Määruse kohaselt ei ole vaikimine nõusolek. Kui olemasolev klient ei ole varem nõusolekut andnud, siis tuleb talt see küsida.
Ettevõte saab tänu oma tegevusspetsiifikale palju isikuandmeid e-posti teel ja kasutab neid teatud töö tegemiseks kliendi huvides. Neid andmeid kasutatakse teatud töö tegemiseks ja tööd koos isikuandmetega salvestatakse ettevõtte serveris. Samas võib juhtuda, et klient küll saadab enda andmed, kuid mingil põhjuselt neid ei kasutata. Andmeid kuhugi ei salvestata, küll aga jäävad need andmed töötaja meilboxi.Kuidas käituda nende e-kirjadega? Kuna infot on palju, siis oleks ülikeeruline hakata igal töötajal meilboxi mingi aja tagant puhastama? Samas ei saa ka nii, et automaatselt kustutatakse kõikide töötajate e-kirjad mis on vanemad kui näiteks 6 kuud, kuna lisaks isikuandmetele on igal töötajal seal ka muu tööks kasutatav info ja kliendikommunikatsioon.Teie näite puhul eeldame, et klientide puhul on tegemist füüsiliste isikute andmetega. Sellisel juhul tuleks need e-kirjad, mis sisaldavad füüsilise isiku kohta käivaid andmeid meilboxist kustutada. Kui selliste e-kirjade hulk on suur, siis tuleb leida tehniline lahendus, et need andmed kustutada. Asjaolu, et neid on palju ja nende kustutamine on keeruline ei ole põhjuseks neid mitte kustutada. Lahendus tuleb siiski leida.
Soovin teada kas ja kuidas mõjutab uus seadus sugupuu-uurimist ning sellega seoses kogutud isikuandmeid?Isikuandmete kaitse üldmääruse kohaselt ei tuleks määrust kohaldada isikuandmete töötlemise suhtes, mida füüsiline isik teostab eranditult isiklikel või kodustel eesmärkidel ja seega väljaspool ametialast või äritegevust. Isiklik ja kodune tegevus võiks hõlmata kirjavahetust ja aadresside loetelu või tegevust suhtlusvõrgustikes ja internetis, mida tehakse sellise isikliku või koduse tegevuse raames. Seega füüsilise isiku enda isiklikul ja kodusel eesmärgil sugupuu uurimisele määrus ei kohaldu.
Mis juhtub siis kui ettevõte keeldub mulle minu kohta käivate andmete edastamisest? Kelle poole ma pean siis pöörduma?Sellises olukorras saate pöörduda Andmekaitse Inspektsiooni poole.
Kas ja kuidas uus seadus võiks mõjutada korteriühistute juhatust / juhatuse liikmeid? Teatavasti on paljudel ühistutel videovalve süsteem, tegeldakse võlgnevustega jne. Määrus kohaldub KÕIGILE organisatsioonidele. Erandeid ei ole.
Kuidas mõjutab isikuandmete kaitse üldmäärus logimisteenuseid, näiteks Googlet ja Facebooki? Mis tingimustel nemad tohivad isikuandmeid igaühele edasi anda? Kuidas mõjutab see määrus pangalingiga autentimisi, kus pank annab isiku nime ja isikukoodi kolmandale osapoolele?Isikuandmekaitse üldmäärus kohaldub kõikidele organisatsioonidele, seega ka Google’le ja Facebook’ile. Andmete edastamine viidatud ettevõtete poolt peab toimuma sama moodi kõnealuse määruse järgi. Panga tegevus peab vastama määruse tingimustele.
Vastavalt Maanteeameti lepingule ülevaatuspunktiga, hakkavad alates 01.07.2018 tehnoülevaatuspunktid salvestama ülevaatuse protsessi mis tähendab, et ka klient saab samuti salvestatud videosalvestajasse. Kui klient nõuab videosalvestuse peatamist/lõpetamist/kustutamist, kas ülevaatuspunkti töötaja peab täitma kliendi soovi? Klient peab olema teavitatud kaamerate olemasolust. Kliendi nõudmisel peab kliendile selgitama miks, kus ja kui kaua salvestist säilitatakse.  Kliendi võimalike nõudeid seoses videosalvestuse peatamise/lõpetamise/kustutamisega saab täita siis, kui see õigus ei kahjusta teiste isikute õigusi ja vabadusi (mh (turva)kaamerate ülesseadmise eesmärgist tulenevat).
Kas uus seadus puudutab ka näiteks Tallinna linnatranspordi ISIKUSTATUD kaartide kasutust? Praegune  süsteem võimaldab JÄLITADA isiku liikumist.Isikuandmekaitse üldmäärus kohaldub kõikidele organisatsioonidele. Seega tuleb seda järgida ka isikustatud kaartide väljaandmisel ja nende kasutusel.
Kas ja kuidas ja mis tingimustel on mul õigus nõuda minu kohta kirjutatud Wikipedia lehekülje kustutamist?Kindlasti on teil õigus pöörduda Wikipedia poole.  Kontakti saamiseks tuleks teil esmalt tutvuda nende kasutustingimustega, mis on kindlasti leitav nende veebilehelt. Seejärel kirjutage vastav taotlus.
Värbamise kontekstis: inimesel on GDPR-i järgi õigus olla unustatud. Kui on  taas tegemist olukorraga, kus ma avalikest allikatest kogusin teabe kokku (sh kontaktandmed) ja siis temaga ühendust võtsin. Misiganes põhjustel otsustab see kandidaat, et ta näiteks ei soovi kandideerida ja palub end unustada. Kustutan teabe ära ja mingi aja pärast tuleb uus võimalus, kus ma a’la mäletan või alustan otsingut nullist ning leian sama inimese üles. Võtan temaga uuesti ühendust. Kas ma saan/pean enda e-kirja alla kirjutama disclaimeri, et võtan ühendust, sest see teave on kogutud värskelt ja mul ei ole potentsiaalse unustamise tõttu võimalik kontrollida, kas ma olen varem kontakti võtnud? Kuidas sellist olukorda lahendada? Alati peate teavitama, kust Te kontaktandmed saite ja alati peate jätma võimaluse olla „unustatud.“ Sellist disclaimer’it ei pea kirjutama, sest see viitab, et isik siiski ei olnud „unustatud.“ Soovitame sellist olukorda käsitleda nagu esmakordset olukorda.
Värbamise kontekstis: kas ja kuidas reguleerib GDPR potentsiaalsete kandidaatide kohta informatsiooni kogumist, et otsustada, kas talle helistada/kirjutada, et töövestlusele kutsuda? Sellisel juhul on tegu inimesega, kes ei ole ise kandideerinud aga kelle vastu minul on huvi. Turunduslik reklaam on üsna reglementeeritud määruses, kuid kuidas käituda töövõimaluse pakkumise kontekstis?Määruse kohaselt võib potentsiaalsele töötajale tööd pakkuda. Kui ta küsib, kus Te mu andmed saite, siis peate talle vastama. Juhul, kui kontaktandmed on olnud avalikud, kuid Te olete nende pinnalt loonud oma andmebaasi, siis on Teil vaja ka nõusolekut andmesubjektilt.
Üks määruse põhimõte on, et inimene võib pärida enda kohta käivaid andmeid ja et see info peab olema ettevõttele elektroonselt kergesti edasisaadetav. Värbamise kontekstis teen mina näiteks kandidaadi CV peale, mille olen välja printinud, märkmeid (sh paremini meenutamiseks näiteks välimuse või käitumise kohta) ning ma ei kanna kuskile dokumenti/andmebaasi muud teavet kui seda, kas ta pääses järgmisse vooru. Põhjused ja kommentaarid kirjutan enda tarbeks paberile. Kas ma pean selle paberil oleva teabe ka kandidaadile tema nõudmisel GDPR vaates edaspidi saatma või saan ma sellest mingil alusel hoiduda? Kuna Te teete neid märkmeid oma tööülesannete raames (mitte isiklikul otstarbel), siis on andmesubjektil õigus ka neid andmeid saada.
Kas ma võin küsida meie ettevõttesse kandideerivatelt inimeselt nõusolekut säilitada tema CV ka väljaspool seda konkreetset konkurssi, kuhu ta kandideerib (kui ma olen eelnevalt küsinud nõusolekut isikuandmete töötlemise kohta)?  Kaua ma võin sellisel moel inimese CV-d säilitada elektroonselt ja ka paberil? Kõik nõusoleku taotlused peavad olema esitatud viisil, mis on muudest küsimustest: (i) selgelt eristatavad;  (ii) selges ja lihtsas sõnastuses;(iii) arusaadavalt ja lihtsalt kättesaadavad ning edastatavad. Nõusolek peab olema antud vabatahtlikult.  Säilitada võib nii kaua, kui kauaks isik andis loa andmete säilitamiseks. Soovitame nõusoleku küsimisel piirata andmete säilitamise ajaline periood.
Oleme mõelnud panna oma koduleheküljele üles meie ettevõtte isikuandmete töötlemise korra (kaua me CV-d hoiame, kes seda loeb/näeb jne). Kas ma võin kandidaadilt paluda kohe kandideerides ehk CV-d saates, et ta kinnitaks, et ta on selle dokumendiga tutvunud ja on sellega nõus? Kaua ma võin konkreetse konkursi jaoks mittevalitud kandidaadi CV-d uue määruse alusel hoida? Jah, võite kandidaadilt kohe sellise kinnituse võtta.  Kui kandidaat saatis oma CV konkreetse konkursi jaoks, siis lõppeb ka andmete töötlemise õigus selle konkursiga ehk andmeid ei tohi edasi säilitada ilma vastava nõusolekuta. Andmed tuleb sellisel juhul määruse alusel kustuda.
Näiteks kui autoremonditöökojas on kaustik töötajate töölepingutega või klientide nimede ja telefoninumbritega, siis kas ma pean ka töökojas määrusest tulenevaid nõudeid täitma?Jah, peate küll.
Kas ja kuidas mõjutab üle-Euroopaline isikuandmete kaitse üldmäärus MTÜsid? Määrus kohaldub KÕIGILE organisatsioonidele. Erandeid ei ole.
Kas Teie hinnangul hakatakse reaalselt rakendama Eestis ka üldmääruses toodud karistusi? Kuni 20 miljonit eurot või teatud protsent ettevõtte aastakäibest? Või kehtivad need ainult Google sugustele suurettevõtetele? Seadusandja ei tee liikmesriikidel ja ettevõtte suurustel vahet sanktsioonide kohaldamisel. Reeglina sanktsiooni määramisel võetakse arvesse rikkumise ja kahju suurust ja ulatust. Väikest maapoodi kindlasti 20 miljoni euro trahv ei ähvarda aga see ei tähenda, et kui on rikkumine aset leidnud, siis maapood üldse mingit sanktsiooni ei saa. Seega maapoes isikuandmeid sisaldavat kassaraamatut tuleb töödelda vastavalt määrusele.
Minu tööleping lõppes viimase tööandja juures 5 aastat tagasi? Kas ma sellest määrusest tulenevalt saan sellelt ettevõttelt küsida mida nad on minu andmetega teinud? Lisaks tahan, et nad minuga seotud andmed kustutavad.Jah, vaatamata sellele kui kaua aega tagasi töötasite selle tööandja juures on teil õigus küsida ja sellel tööandjal teile vastata. Lisaks on teil õigus paluda, et teie kohta olevad andmed kustutatakse. Tööandja ei saa kustutada neid andmeid, mille hoidmise kohustus tuleneb seadusest. Näiteks peab tööandja hoidma töölepinguid alles 10 aastat pärast töölepingu lõpetamist.
Milliseid peamisi nõudmisi peab ettevõtte andmekaitse üldmääruse kohaselt täitma?Ettevõtte peab esmalt arvestama sellega, et isikuandmete töötlemiseks peab olema selle isiku vabatahtlikult antud nõusolek. Tuleb arvestada sellega, et üldjuhul saab isik alati nõusoleku tagasi võtta. Nõusolek peab olema antud vormis, mida andmete töötleja saab tõendada. Kui isik soovib, siis tuleb ettevõttel anda isikule temaga seotud andmed. Isiku taotlusel on ettevõttel kohustus isiku kohta käivad andmed kustutada. Ettevõttel peab olema olemas andmete kogumise reeglid. Juhul, kui on toimunud isikuandmete leke, tuleb sellest teavitada nii seda isikut kui ka Andmekaitse Inspektsiooni. Isikuandmete töötlemist tuleb dokumenteerida. Vajadusel tuleb koostada andmekaitsealane mõjuhinnang jne.
Mul on kodus paljude sõprade aadressid ja sünnipäeva kuupäevad arvutis elektroonilise failina. Kas mina pean ka seda määrust järgima?Määruse kohaselt ei tuleks seda kohaldada isikuandmete töötlemise suhtes, mida füüsiline isik teostab eranditult isiklikel või kodustel eesmärkidel ja seega väljaspool ametialast või äritegevust. Isiklik ja kodune tegevus võiks hõlmata kirjavahetust ja aadresside loetelu või tegevust suhtlusvõrgustikes ja internetis, mida tehakse sellise isikliku või koduse tegevuse raames.
Mida peab ettevõtte andmekaitse üldmääruse jõustumise järgselt tegema?Määruse jõustumise järgselt peab ettevõtte sisesed protseduurid, juhendid, lepingud jne vastama määruse nõuetle. Seega tuleks selleks valmistuda juba praegu. Kindlasti tasub määruse valguses esmalt saada ülevaade olemasolevast olukorrast. Ehk kas senised andmete töötlemise protseduurid ja IT alased lahendused on sellised, mis andmeid kindlalt kaitsevad. Oluline on üle vaadata ka lepingud, mis on sõlmitud koostööpartneritega (näiteks raamatupidamisteenuse leping). Võib-olla leidub nendes tingimusi, mis ei ole kooskõlas jõustuva määrusega. Kindlasti tasub koolitada neid ettevõtte töötajaid, kes puutuvad kokku andmete töötlemisega. Kui kogu teema tundub ülejõu käivana ei tasu jätta asja sinna paika vaid sellisel juhul tuleks osta teenust sisse.
Kas andmekaitse üldmäärus on kohustuslik kõikidele ettevõtetele või ikka suurematele, näiteks alates kümnest töötajast?Määrus ei sea kriteeriume ettevõtte suuruse või andmete hulga osas. St., et kui ettevõttes on olemas kasvõi üks tööleping või e-kiri, mis sisaldab füüsilise isiku kohta käivaid andmeid, siis on määrus kohalduv.
Miks räägitakse viimasel ajal nii palju andmekaitsest?Andmekaitse teema on tõepoolest viimasel ajal väga aktuaalseks muutunud. Põhjuseks ei ole mitte see, et seniajani ei ole olnud vajadust isikuandmeid kaitsta vaid see, et 25.05.2018 jõustub üle-Euroopaline isikuandmete kaitse üldmäärus. See on otsekohalduv kõikidele ettevõtetele ja riigiasutustele, kes suuremal või vähemalt määral omavad füüsiliste isikute kohta käivaid andmeid. Määrus toob kaasa mitmeid täiendusi senisele andmekaitsele ning ka oluliselt karmimad sanktsioonid.

Loe veel

Jäta kommentaar
või kommenteeri anonüümselt
Postitades kommentaari nõustud reeglitega
Loe kommentaare Loe kommentaare