Viis kontrollküsimust - kas olete uueks isikuandmete kaitse määruseks valmis?
Allolevalt esitab advokaadibüroo Eversheds Sutherland Ots&Co viis kontrollküsimust, mis peaks tänaseks tehtud olema:
- Kas asjatundja on määratud ja töötajad koolitatud? Olete selgeks teinud, kas teie ettevõte kuulub nende hulka, kellel on kohustus määrata andmekaitsespetsialist. Alates tänasest peaks olema määratud andmekaitsespetsialist näiteks avaliku sektori asutustel ja organitel (nt linna- või vallavalitsused, üldharidus-, kutse- ja kõrgkoolid), aga ka neil erasektoris ettevõtetel, kelle ärimudel seondub andmesubjektide korrapärase ja süstemaatilise jälgimisega, näiteks telekommunikatsiooni teenuse pakkujad aga ka terviseandmetega toimetavad ettevõtted. Lisaks on oluline, et kõik töötajad, kes koguvad, kasutavad või töötlevad isikuandmeid, on saanud uue määruse kohta piisava koolituse.
- Kas protsess on kaardistatud? Selgeks on tehtud, milliseid isikuandmeid ettevõttes andmesubjekti kohta kogute, millisel eesmärgil ning kuidas teavitate andmesubjekti isikuandmete töötlemise protsessist.
- Kas olete ära hinnanud õiguste tagamise võimekuse? Olete kaardistanud isikuandmete töötlemise protsessi ja veendunud, et ettevõtte on võimeline tagama kõiki määrusega andmesubjektile kaasnevaid õigusi. Muuhulgas on teil selge see, kuidas käituda, kui andmesubjekt nõuab teda puudutavate isikuandmete kustutamist või nõuab andmete ülekandmist.
- Kas nõusoleku alusel andmetöötluse nõusoleku küsimise vorm vastab määrusele ja nõusolekud on saadud? Palun veenduge, et olete läbi vaadanud ka Andmekaitse Inspektsiooni (AKI) poolt koostatud nõusoleku kontrollnimekirja.
- Kas teil on koostatud mõjuhinnang? Määrus kohustab teatud andmetöötlejaid koostama andmekaitse mõjuhinnangut juhul, kui isikuandmete töötlemisega võib kaasneda kõrge risk. Soovitame viia selle hinnangu läbi kõigil andmetöötlejatel, kuna sõltumata andmetöötlejast ja töötlusriskidest parandatakse hinnangu koostamisega andmetöötlusprotsesse ja tagatakse parem vastavus nõuetele.
Määrusega sätestatud karistused küündivad kuni 20 000 000 euroni või 4%-ni ettevõtte ülemaailmsest käibest.
Eversheds Sutherland Ots&Co partner ja andmekaitse valdkonna juht Tamber Toomela märkis, et üsna mitmed ettevõtted on kenasti valmistunud uue määruse jõustumiseks ja saanud kõik vajaliku klientide suunal tehtud. Toomela rõhutas, et kindlasti tuleb meeles pidada ka oma töötajatega seonduvaid andmeid ning tagada selle vastavus uue määrusega.
„Eesti ettevõtetel on kombeks koguda töötajate kohta ka selliseid andmeid, mida uue määruse kohaselt ilma nõusolekuta koguda, säilitada ega kasutada ei saa, näiteks laste nimed ja vanus jõulupakkide jaoks, meeskonnaüritustel fotode tegemine, autode registrimärgid parkimise korraldamiseks jne. Oluline on, et ka kõik sellised andmed oleks kaardistatud ja nõusolekud küsitud,“ lisas ta.