Eesti ettevõtteid võivad oodata ees hiiglaslikud andmekaitsetrahvid
(15)Alates 1. novembrist jõustuvad karistusseadustiku ja teiste seaduste muudatused, mis muudab Andmekaitse Inspektsiooni jaoks ettevõtete trahvimise andmekaitse nõuete rikkumise eest oluliselt lihtsamaks.
Andmekaitse nõuete rikkumise eest saab trahve määrata ka olenemata sellest, kas konkreetsel füüsilisel isikul ettevõttes oli kohustus tegutseda.
Isikuandmete kaitsele keskendunud Eesti iduettevõtte GDPR Register juht Krete Paal sõnas, et andmekaitse üldmääruse (GDPR) trahve ei ole Eestis siiani suudetud rakendada väärteomenetluse eripärade tõttu.
„See lubas ettevõtetel ja riigiasutustel andmekaitsega seotud otsuseid edasi lükata kulude ja riskide ebaproportsionaalse suhte tõttu. Kaotajaks on paraku jäänud inimesed, kelle privaatsust andmekaitse üldmäärus kaitseb,“ sõnas Paal.
Kui varem piirdus Andmekaitse Inspektsioon sunniraha hoiatustega, siis alates 1. novembrist jõuavad trahvimäärad GDPR’is määratud tasemele. Euroopa Liidu õigusest tulenevate muudatuste jõustumisel võivad trahvimäärad ulatuda 20 miljoni euroni ning teatud juhtudel seda isegi ületada.
Andmekaitse Inspektsioon soovitas kõikidel Eesti andmetöötlejatel üle vaadata ja viia sisemised andmetöötlemise protsessid kooskõlla isikuandmete kaitse üldmääruse nõuetega ning üle vaadata ka vastutavate andmetöötlejate kohustused. Lisaks peavad ettevõtted ja riigiasutused olema teadlikud, milliseid andmeid nad hoiustavad, mis eesmärgil nad neid töötlevad ning kui kaua ja kellel on andmetele juurdepääs.
„Need on konkreetsed asjad, mida inspektsioon oma järelevalvemenetlustes küsib ja see on neile indikaatoriks, kas asutuses või ettevõttes on andmetega seonduv läbimõeldud ja kaardistatud. Kui küsitud andmeid ei ole andmetöötlejal ette näidata, on see inspektsiooni jaoks signaaliks põhjalikumaks uurimiseks,“ viitas Paal Andmekaitse Inspektsiooni seisukohale.
Ülevaadete koostamiseks ja hoidmiseks saab näiteks kasutada Eestis loodud tarkvaralahendust GDPR Register, mis on välja töötatud selleks, et aidata ettevõtetel ja riigiasutustel vältida vigu andmete töötlemisel. Tarkvara, mille GDPR Registri õigus- ja IT-spetsialistidest koosnev tiim on arendanud, on tööriist GDPRi nõuete täitmiseks, sealhulgas sisaldab see andmete kaardistamist, privaatsusdokumentatsiooni haldamist, raportite koostamist, andmete visualiseerimist ja palju muud.