Andmekaitse inspektsioon: kindlasti on ettevõtteid, kes uue üldmääruse reegleid ei tea
"Ettevõtetel peaks praeguseks kindlasti olema ülevaade sellest, kas, mil määral ja millistes aspektides uus määrus nende tegevust mõjutab. Ettevõtjate rahustuseks võib öelda, et ehkki ajalehepealkirjadest võib jääda mulje nagu oleks tegemist kardinaalsete senist andmekaitseõigust põhjalikult ümberkujundavate muudatustega, siis tegelikkuses see kindlasti nii ei ole. Senise andmekaitseõiguse alustalad on kindlalt paigas ja kõik olulised seni kehtinud põhimõtted jäävad kehtima ka edaspidi," ütles ta.
Iro sõnul on üldmääruse läbiv joon riskipõhine lähenemine. "Mida tundlikum andmetöötlus, seda rangemad reeglid. Ettevõte ja asutus, kel tundlikku andmetöötlust pole ning kes ka seni reegleid korralikult täitis, ei pea suuri muudatusi tegema. Kes aga kogub ja kasutab tundlikke isikuandmeid ja suuri andmemassiive, teeb automaatprofileerimist või ulatuslikku kaamerajälgimist, peaks kindlasti oma töökorralduse, infosüsteemid ja dokumendipõhjad üle vaatama," ütles ta. See eeldab isikuandmete kaardistamist, andmete töötlemise õiguslike aluste määramist, vajaduse korral muudatusi lepingutes, ärimudelites, ettevõtte sisedokumentides, aga ka infosüsteemides, kliendibaasides ja müügis, mis võib nõuda ajamahukaid IT-arendusi. Samas toonitab Iro, et suurem osa kirjeldatust peaks praeguseks tehtud olema.
AKI poole pöördutakse suure hulga küsimustega
Peamised küsimused on Iro sõnul puudutanud trahvimist, mõjuhinnangu tegemise ja eelkonsulteerimise kohustust ning töötlemistoimingute registri pidamist.
"Trahvide osas ei ole meil plaanis senist praktikat muuta - inspektsioon on oma töös keskendunud mitte üksikrikkumiste avastamisele ja karistamisele, vaid terveid sektoreid katvale ennetavale ja nõustavale järelevalvele ning selgitustööle. Trahvide määramine on olnud viimane abinõu – kui tegu on raske, pahatahtliku ja/või korduva rikkumisega," ütles ta.
Samas mõjuhinnangu tegemise ja eelneva konsulteerimise kohustust on Iro sõnul mitmed ettevõtjad ekslikult tõlgendanud endale ebasoodsamal viisil. "Tegelikkuses peavad AKI-ga konsulteerima tulema ainult need andmetöötlejad, kes pärast mõjuhinnangu tegemist ja vajalike meetmete kasutuselevõtmist ohtu piisavalt leevendada ei suuda. Kui riskid on maandatud, siis eelkonsulteerimise kohustust ei ole."
Määrus toob pea kõigile ettevõtetele-organisatsioonidele kaasa isikuandmete töötlemise toimingute registri pidamise kohustuse. "Lihtsamad näidised selleks on üleval ka inspektsiooni võrgulehe refomrirubriigis. AKI-lt on sageli küsitud ka seda, kas ettevõte peab oma töötlustoimingute registri inspektsioonile esitama. Ei, üldjuhul registrit meile esitama ei pea," ütles ta.
Kui palju on ettevõtjaid, kes määrusest midagi ei tea?
Iro sõnul on kindlasti selliseid ettevõtteid, kes pole veel jõudnud ennast uute nõuetega kurssi viia. "Väikeettevõtjatele oleme soovitanud, et hoolimata sellest, kas neil tuleb määruse kohaselt andmekaitsespetsialist määrata või mitte, oleks hea leida endale abiks andmekaitseõiguse asjatundja. Keegi, kes oskab sidustada andmekaitse ja infoturbe nõudeid reaalselt konkreetse ettevõtte tööprotsesside ja infosüsteemidega. Kõigi murede korral tasub kindlasti nõu küsida ka AKI-st," ütles ta.
Kas AKI-l on olnud raskusi teatud punktide tõlgendamistega ja kas tõlgendused on läinud ettevõtjate või advokaadibüroode omadest lahku?
"Peamised seisukohad üldmääruse tõlgendamisel on välja töötatud Euroopa andmekaitseasutuste töörühmas, kus ka Eesti andmekaitse inspektsioon aktiivselt osaleb. Töörühm töötab ühiselt välja põhjalikke juhendmaterjale, et selgitada lähemalt, mida määrus nii avaliku sektori kui ka eraettevõtete jaoks kaasa toob. Samuti vastatakse juhendmaterjalides sagedasematele määrusega seotud küsimustele," selgitas ta.
Ettevõtjad ja ka advokaadibürood küsivad Iro sõnul määruse tõlgendamise osas sageli inspektsioonilt nõu, nüüd mil 25. mai kohe-kohe kätte on jõudmas, on ka küsimused sagenenud. Suuri vastuolusid tema sõnul tõlgenduste osas ei ole seni ette tulnud ning oma juhendite väljatöötamisel oleme kaasanud ka ettevõtete katusorganisatsioone, kes on valdkonnapõhiselt andnud meile väga head tagasisidet.
"Määruses on ka palju küsimusi, mille osas on liikmesriikidele jäetud võimalus siseriiklikult täpsemad reeglid kehtestada. Näiteks tööõigust puudutavad küsimused. Need otsused on seadusandja teha. Eelnõud valmistas ette justiitsministeerium, kellele oleme omalt poolt võimalikult palju tagasisidet andnud ja oma seisukohad esitanud. Siseriiklikku õigusakti ei ole aga siiani veel vastu võetud. Praeguseks on eelnõu jõudnud riigikokku, aga täit selgust veel neis küsimustes siiski ei ole. Ent enne kui eelnõu pole vastu võetud, ei ole võimalik inspektsioonil ses osas ka ettevõtjatele konkreetseid suuniseid anda," elgitas ta.