Andmekaitseekspert soovitab: mida võiks suurimatest eksimustest õppida?
(11)
Euroopa andmekaitse järelevalveasutused on selle aasta esimese kuue kuuga määranud GDPR nõuete rikkumiste eest 107,3 miljonit eurot trahve. Ka Eestis on sel aastal olnud mitmeid juhtumeid, mis näitavad, et ettevõtete ja avalike asutuste teadlikkus inimeste andmete kaitsest vajab parandamist, tõdes GDPR Registri juht Krete Paal.
Eesti iduettevõtte GDPR Register juht Krete Paal tõi välja, et sel aastal määratud trahvid pakuvad väga head ülevaadet levinud probleemidest andmekaitsevaldkonnas. „Kindlasti on täna teadlikkus suurem ja olukord inimeste andmete kaitse valdkonnas palju parem, kui veel mõned aastad tagasi, kuid sel aastal määratud trahvid näitavad ilmekalt, et arenguruumi on. Näiteks tugevad andmeturbe meetmed on täna võtmesõna ning mitmed tänavused trahvid tulenesid eelkõige ebapiisavate turvameetmete rakendamisest,“ tõi Paal välja.
Selle aasta seni suurima trahvi sai Itaalia energiaettevõte Enel Energia SpA, mis sai trahvitud 79,1 miljoni euroga. Nimelt eksis ettevõte andmeturbe meetmete rakendamisel, mis võimaldas volitamata juurdepääsu nende klientide isikuandmetele. Rikkumised hõlmasid soovimatuid reklaamkõnesid klientidele, kes polnud selleks nõusolekut andnud ning juurdepääsuõiguste ja -paroolide ebaturvalist jagamist töötajate endi vahel.
Ebapiisavate turvameetmete eest sai trahvitud Eestiski tuntud UniCredit, mis sai Itaalias 2,8 miljonit eurot trahvi. Nimelt ilmnes pärast andmeleket tõsiasi, et ettevõte ei olnud kohaldanud piisavaid turvameetmeid, mis piiraksid juurdepääsu isikuandmetele ning see tõi kaasa võimaluse, et inimeste andmed olid vabalt kättesaadavad kõigile.
Teiseks suureks mureks on andmete kasutamise läbipaistvus ning inimestelt nõusoleku küsimise praktikad. „Hiljutised juhtumid nagu näiteks ettevõttele Avast Software määratud 13,9 miljonit eurot trahv rõhutavad vajadust selge suhtluse järele inimese ja andmetöötleja vahel. Nimelt müüs Avast, kes on viirusetõrjetarkvara ettevõte, turundusettevõtetele oma klientide isikuandmeid tulu teenise eesmärgil. Kui ettevõte või asutus küsib inimeselt nõusoleku andmete töötlemiseks, peab see olema nõuetekohane ja selgelt arusaadav,“ selgitas Paal.
Olulisel kohal on töötajate privaatsuse kaitse
Prantsusmaa järelevalve trahvis 32 miljoni euroga Amazon France’i jälgimissüsteemide kasutamise eest, mis sekkusid töötajate privaatsusesse. Nimelt jälgis ettevõte Amazoni Prantsusmaa laohoonete töötajaid nende kasutatavate skannerite ja videokaamerate kaudu, hindamaks inimeste tööjõudlust. Andmekaitseasutus alustas uurimist ning jõudis järeldusele, et Amazon ei vajanud kogutud andmeid töö planeerimiseks. Lisaks ei antud töötajatele piisavat teavet videovalve kohta, mis põhjustas inimestele liigset stressi.
Ei tohi unustada ka rikkumistest õigeaegset teatamist. Poolas sai laia kõlapinna kohaliku panga Santander Bank Polska juhtum, kui avastatud rikkumisest ei antud teada piisavalt operatiivselt sellest mõjutatud inimestele ega ametiasutustele. Eksimus tõi pangale kopsaka 326 000 eurot trahvi.
Paal tõi välja ka Soome veebikaubamajale Verkkokauppa.com tehtud trahvi, kuna ettevõttel puudusid selged andmete säilitamise põhimõtted. „Isikuandmete säilitamine peab olema väga hästi läbi mõeldud ja põhjendatud ning kindlasti tuleb vältida isikuandmete tarbetut säilitamist,“ rõhutas ta.
Sel aastal tehtud eksimuste põhjal andis andmekaitseekspert viis soovitust GDPR nõuete paremaks järgimiseks ja trahvide vältimiseks.
Rakenda terviklikke andmeturbe protokolle: Värskenda ja testi regulaarselt turvasüsteeme ja -protokolle, et kaitsta isikuandmeid volitamata juurdepääsu ja rikkumiste eest.
Taga läbipaistvus ja hangi kehtiv nõusolek: Vii läbi perioodilisi auditeid, et tagada nõusoleku mehhanismide vastavus GDPR nõuetele ja pakkuda selget teavet.
Tasakaalusta jälgimispraktikad privaatsusõigustega: Arenda ja rakenda jälgimissüsteeme, mis austavad töötajate privaatsust ja pakuvad selgeid teatisi jälgimispraktikate kohta.
Loo selged reageerimise plaanid andmerikkumise korral: Andmerikkumisele reageerimise plaan peaks sisaldama protseduure õigeaegseks teatamiseks ametiasutustele ja mõjutatud isikutele.
Määratle ja järgi andmete säilitamise põhimõtteid: Uuenda andmetöötlusregistrit ja rakenda süsteeme andmete kustutamiseks vastavalt määratletud säilituspõhimõtetele, minimeerides tarbetute isikuandmete säilitamist.
