Andmekaitsega tegeleva firma juht: Euroopa Liidu uued direktiivid muudavad andmekaitse nõuded keerulisemaks

Selle aasta jooksul lisandub andmekaitse valdkonda mitmeid uusi nõudeid, mis tulenevad nii Euroopa Liidu uutest direktiividest kui ka Euroopa kohtupraktikast. „Uued õigusaktid ja kohtuotsused kujundavad andmekaitse valdkonda ka Eestis ning GDPR nõuetega pahuksisse mitte sattumiseks peavad ka meie ettevõtted kohendama tänaseks juba väljakujunenud isikuandmete kaitse rutiinid,” ütles andmekaitse valdkonnas tegutseva iduettevõtte GDPR Register juht Krete Paal.

Euroopa Liidus võetakse andmekaitse veelgi teravama tähelepanu alla, kuna tehisintellekti suurema levikuga kasvavad ka riskid. Ettevõtjatelt aga oodatakse, et nad oleks valmis oma turvameetmed kasvanud riskidega vastavusse viima. Nimelt ennustatakse, et tehisintellekti kasutavad küberrünnakud muutuvad aina keerukamaks ja automatiseeritumaks.

„Häkkerid võivad kasutada tehisintellekti suurte andmehulkade analüüsimiseks ning juhitud õngitsemisrünnakute korraldamiseks tundliku teabe väljameelitamiseks. See tõstab riske ning mõjutab otseselt ka andmekaitset,” selgitas Paal. 

Sel aastal kehtima hakkavad küberjulgeoleku määrused sunnivad ettevõtteid olema läbipaistvamad ka oma rikkumiste ja toimunud rünnakute osas. Peagi kehtima hakkav Euroopa Liidu NIS2 direktiiv ja kübervastupidavuse määrus kehtestavad küberkaitsele rangemad standardid, sisaldavad mitmeid uusi küberjulgeoleku kohustusi nii turvalisuse kui ka intsidentide raporteerimise osas.

Oktoobriks peab ka Eesti direktiivi nõuded riiklikesse seadustesse üle võtma. „See tähendab, et mõjutatud ettevõtted peaksid jälgima arenguid, kuna need muutuvad nõutavaks,” rõhutas Paal. Lisaks peab arvestama, et direktiiv võib ettevõtet mõjutada ka kaudselt läbi hankijate või kolmandate osapoolte. „Andmete eest vastutab igal juhul nende vastutav töötleja, kandes vastutust ka oma partnerite tegevuse või tegevusetuse eest isikuandmete töötlemisel,” lisas Paal. 

Euroopa Liidu privaatsusõiguse kohtupraktika on pidevas arengus ning ka sel aastal ootab ees rida olulisi kohtulahendeid, mis avaldavad mõju ka Eesti ettevõtetele. “Näiteks on Euroopa Liidus hoo sisse saanud kollektiivhagid ning uus kollektiivhagide direktiiv avab tee veel uutelegi hagide tüüpidele,” ütles Krete Paal.

Üks oluline andmekaitse tulevikku kujundav kohtuotsus puudutab andmekogumite "anonüümsuse" määratlemist ja selle kriteeriumeid. Lisaks keskendutakse Euroopa kohtupraktikas hagejate tõendamiskoormusele moraalsete kahjude puhul ning privaatsusrikkumise seostamisele juriidilise isikuga ilma rikkumise toimepanija kindlaksmääramiseta ettevõtte sees. Euroopa Kohtult oodatakse selgitust ka ettevõtete läbipaistvuskohustustele seoses automatiseeritud otsustusprotsessidega.

Eesti iduettevõtte poolt loodud GDPR Register on arendatud koostöös IT ekspertidega ning teeb GDPRi nõuete järgimise lihtsaks ja loogiliseks, aidates ettevõtetel ja asutustel efektiivselt hallata GDPR regulatsiooniga kaasnevaid protsesse, toiminguid ja dokumente.