Sisuturundus
12.03.2025, 20:25

Mõjuhinnang: tüütu kohustus või elupäästev tööriist?

 
1x
1x
  • 0.25
  • 0.5
  • 0.75
  • 1
  • 1.25
  • 1.5
  • 2
00:00

AKI taskuhäälingul „Andmehääling“ on ilmunud juba 20. episood. Seekord arutavad inspektsiooni juristid Geili Keppi ja Terje Enula mõjuhinnangu üle.

Mis on andmekaitsealane mõjuhinnang? Mis on selle eesmärk?

Tegelikult on andmekaitsealane mõjuhinnang andmetöötleja abivahend: töövahend just selleks, et ta saaks hinnata, milliseid riske toob kaasa tema alustatud andmete töötlemine.

Mõjuhinnangu eesmärk on kirjeldada isikuandmete töötlemist, hinnata selle vajalikkust ja proportsionaalsust, aidata märgata ohte, mida selline töötlemine endaga kaasa toob. Sealjuures aitab see hinnata neid ohte ja määrata kindlaks meetmed, kuidas neid maandada, st see aitab andmetöötlejal aru saada, mida ta tegelikult tegema hakkab.

Mis on andmekaitsealase mõjuhinnangu ja riskianalüüsi vahe?

Riskianalüüsi puhul hinnatakse mõju ettevõttele. Andmekaitsealase mõjuhinnangu puhul tuleb hinnata mõju inimesele. Näiteks kui toimub mingisugune andmete lekkimine, kus ühe isiku andmed satuvad valedesse kätesse, võib tavainimese jaoks risk olla väga suur, sest tegemist võib olla väga tundlike andmetega.

Siinjuures olgu öeldud, et igasuguse andmetöötluse puhul mõjuhinnangu tegemist ei nõuta. Seda peab tegema sellise andmetöötluse puhul, kus võib esineda suur oht füüsiliste isikute õigustele ja vabadustele.

Kuidas hinnata ohu suurust?

Suure ohuga on tegemist siis, kui mõju andmesubjektile on selline, mis toob endaga kaasa rasked tagajärjed. Iga andmetöötleja peab ohu suurust ise hindama.

Kõigepealt on oluline mõelda, milliseid andmeid üldse koguma hakatakse – kas tegemist on tundlike või vähem tundlike andmetega. Kui tegemist on tundlike andmetega, siis võib arvata, et kui nende andmetega midagi juhtub, on mõju andmesubjektile suurem. Näiteks, kui tegemist on terviseandmetega ja need andmed satuvad valedesse kätesse, siis mõju inimesele võib olla väga suur ja üliraskete tagajärgedega. Oht on ka sellisel juhul, kui andmed on valed. Siis võib patsient saada vale ravi, mille tagajärjeks on tervisekahjustused. Tagajärjed võivad väga rasked olla ka siis, kui andmeid ei saada kätte õigel ajal ja sellepärast jääb teenus osutamata.

Tihtilugu räägitakse mõjuhinnangu kohustuslikkusest, kuid siinkohal on ehk olulisem võtta seda kui andmetöötlejale mõeldud abivahendit. Tänu sellele saab andmetöötleja aru, kas andmetöötlus, mida ta teha plaanib, vastab andmekaitse nõuetele.

Andmekaitse Inspektsioon on määranud kriteeriumid, millise andmete hulga korral võiks andmekaitsealane mõjuhinnang tehtud olla. Mõjuhinnangut on vaja, kui andmetöötlejal on:

  • terviseandmed 5000+ inimese kohta;

  • tundlikud isikuandmed 10 000+ inimese kohta;

  • ülejäänud isikuandmed 50 000+ inimese kohta.

Siinjuures tuleb mõelda ka säilitamistähtaegade peale. Sellest tulenevalt on mõjuhinnang nii-öelda elav dokument, mida pidevalt täiendada ja muuta.

Kuidas mõjuhinnangu läbiviimise protsess välja näeb?

Mõjuhinnang puudutab konkreetset töötlejat, seega kindlat ühesugust mõjuhinnangu läbiviimise protsessi olemas ei ole.

  • Kõige tähtsam on see, et mõjuhinnanguga tuleks alustada võimalikult vara, enne andmete töötlemisega alustamist.

  • Teine soovitus on kindlasti kaasata kohe ka andmekaitsespetsialist. Tema on seesama inimene, kes esindab nii-öelda andmesubjekti poolt. Ta aitab hinnata mõju, mis inimesele kaasneb.

  • Kindlasti soovitame konsulteerida nii organisatsiooni seest kui ka väljastpoolt võimalikult paljude spetsialistidega, kes oskavad anda nõu plaanitava andmetöötluse osas, sest mida rohkem inimesi kaasata õnnestub, seda paremini on võimalik hinnangut anda.

  • Paika tuleb panna andmetöötluse eesmärgid, määrata, milliseid isikuandmeid plaanitakse töötlema hakata, ja hinnata, milline on mõju andmesubjekti õigustele ning vabadustele, hinnata ära riskid ja määrata, kas need riskid on aktsepteeritavad. Kõiki riske ei saa maandada, st mingis osas tuleb neid riske aktsepteerida. Siin saabki andmetöötleja otsustada, kas ta aktsepteerib seda riski või mitte.

  • Väga oluline on hinnangusse kirja panna ka ilustamata hetkeolukord. Kui selles ei ole piisavalt infot, ei ole sellest tegelikult ka kasu. Mõjuhinnang peakski kirjeldama sedasama andmetöötlust, sedasama olukorda, neidsamu meetmeid, mida on võimalik võtta ja mida ei ole.

Mõjuhinnang on küll majasisene dokument ja seda ei pea tegema avalikult kättesaadavaks, kuid tuleb arvestada, et Andmekaitse Inspektsioon võib seda välja küsida. Mõjuhinnang peab olema läbi viidud kirjalikult.

Kes peab selle hinnangu kirjutama?

See, kes võtab kasutusele kas uue teenuse või tehnoloogilise lahenduse. Mõjuhinnangut ei pea kindlasti kirjutama andmekaitsespetsialist!

Millised on soovitused mõjuhinnangu tegemiseks?

  1. Ära hiline selle tegemisega. Alusta võimalikult vara.

  2. Hinnangut tehes ole aus, ära mõtle siinjuures, mis võiks meeldida AKI-le, vaid kaardista ära ka hetkeolukord.

  3. Parem võta riskide hindamisel arvesse rohkem kui vähem, sest inimene on nõrgim lüli ja sedasi maandad riske enim.

  4. Juhindu kindlasti konfidentsiaalsusest, käideldavusest ja terviklusest.

  5. Vaata, et meetmed, mida riske maandades kasutusele võetakse, oleksid ka reaalselt rakendatavad.

  6. Koolita ja tõsta organisatsiooni sees inimeste teadlikkust.

  7. Kaasa kõik vajalikud osapooled, sh andmekaitsespetsialist, IT-inimesed, õiguskaitsega tegelevad inimesed vms.

  8. Veel kord – ole aus!

Vaata lisaks: Andmekaitsealane mõjuhinnang

Episood valmis Euroopa Liidu CERV programmi rahastuse toel. Mõnusat kuulamist!

Delfi
Jaga
Kommentaarid