06.12.2016, 20:05

Jurist selgitab: käitumisjuhis ettevõtjale - mida teha, kui isikuandmetega käituti valesti

Tea Kookmaa, jurist

Isikuandmed

FOTO: Triniti

Kuidas peab käituma ettevõtja olukorras, kus on toime pandud mõni isikuandmetega seotud rikkumine, selgitab Triniti jurist Tea Kookmaa.

Meie uue andmekaitse üldmääruse teemalise TOP10 blogisarja kuues osa kirjeldab määrusest tulenevat uudset teavitamiskohustust. Nimelt näeb määrus ette täpsed käitumisjuhised olukorras, kus on aset leidnud isikuandmete turvanõuete rikkumine.
„Rikkumine“ ei ole vaid see, kui ettevõtjal kaovad ära talle usaldatud isikuandmed. Rikkumiseks on mistahes turvanõuete rikkumine, millega kaasnes isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine, loata avalikustamine või neile juurdepääsu võimaldamine.

72 h reegel
Isikuandmetega seotud rikkumise korral peab vastutav töötleja teavitama sellest viivitamatult järelevalveasutust. Määrus näeb ette, et reeglina peab ta seda tegema 72 h jooksul. Järelevalveasutuseks Eestis on Andmekaitse Inspektsioon. Seega, näiteks, kui ettevõtte personalijuhi arvuti on konverentsil avatud internetivõrgus ning selle kaudu said avalikuks ettevõtte töötajatega seotud terviseandmed, peab ettevõte teavitama juhtunust Andmekaitse Inspektsiooni 72 h jooksul. Selle kolme päeva jooksul peaks ettevõte suutma tuvastada, millised andmefailid kadusid ning mitu isikut on puudutatud; kirjeldama võimalikke tagajärgi ning meetmeid, mida ettevõte kasutab rikkumisega tegelemiseks.

Erandina on lubatud teavitada hiljem, juhul kui rikkumine ei kahjusta isiku õigusi ja vabadusi. See tähendab, et vastutav töötleja peab oskama anda oma hinnangu sellele, missugused tagajärjed on konkreetsel rikkumisel.
Oluline on tähele panna ka seda, et vastutav töötleja peab kõik isikuandmetega seotud rikkumiste juhtumid dokumenteerima. Dokumenteerima peab nii rikkumise asjaolud kui ka selle mõju ja võetud parandusmeetmed.
Arvestades protseduuri keerukust, peab teavitamine olema hoolikalt läbi mõeldud enne, kui selleks vajadus tekib.

Kohustus teavitada isikut ennast
Juhul, kui rikkumisega kaasneb tõenäoliselt suur oht isiku õigustele ja vabadustele, tuleb isikut ennast samuti viivitamata rikkumisest teavitada. Suur oht isiku õigustele või vabadustele oleks näiteks siis, kui pangal juhtub, et kelmustega tegelevad isikud saavad juurdepääsu kliendi pangakonto andmetele.

Teavituses tuleb kirjeldada rikkumise laadi, rikkumise võimalikke tagajärgi ning seda, mida on töötleja ette võtmas kahjulike tagajärgede ärahoidmiseks.
Teade peab olema esitatud lihtsas keeles, st isik peab olema võimeline aru saama, missugune rikkumine on tema isikuandmete suhtes toime pandud.
Vastutaval töötlejal ei ole teavitamise kohustust juhul, kui töötleja on rikkumisest mõjutatud isikuandmed krüpteerinud.

Seega, meelespea:

Jäta meelde üldreegel: isikuandmetega seotud rikkumistest tuleb alati teavitada Andmekaitse Inspektsiooni ja seda 72 h jooksul;
Rikkumisest teavitamise kohustuse tagamiseks vii sisse siseprotseduurid sellest, kes ja mida rikkumise korral tegema peab. Küsimuseks ei ole, kas Sinu ettevõttes toimub rikkumine, vaid kas Su ettevõte on selliseks juhtumiks valmis;
Vaata, et rikkumiste juhtumid saaksid alati dokumenteeritud selliselt, nagu määrus nõuab;
Võimalusel rakenda isikuandmete pseudonümiseerimist või krüpteerimist, mis tagab andmete turvalisuse.

Kommenteeri Loe kommentaare