Isikuandmete kaitse üldmäärus – 12 kuud hiljem. Mis on juhtunud?
Sellele küsimusele on paslik otsida vastust andmekaitse inspektsiooni (edaspidi AKI) 2018. aasta aastaraamatust, tõdeb autor Grant Thornton Balticu blogis. Järgev tuginebki just viidatud aastaraamatule.
Aastaraamatus antakse ülevaade olulisematest seaduste täitmise ja rakendamisega seotud asjaoludest ning menetluspraktikast. Sissejuhatuses nendib AKI peadirektori ülesandeid täitev Raavo Palu, et 2018. aasta on olnud mitmes mõttes muutuste aasta - seda nii AKI-le, isikuandmete töötlejatele kui ka andmesubjektidele. Andmetöötlejad on pidanud tegema investeeringuid oma protsessidesse, kaardistama oma isikuandmete töötlemise ning mõned töötlejad on pidanud ka esimest korda struktureeritult mõtlema isikuandmete töötlemise turvalisusele ja andmete kaitsevajadusele. Ilmselt ei saa keegi väita, et need muudatused oleksid ebavajalikud.
Tänapäeva ühiskonnas on üha rohkem juurdunud veendumus, et isikuandmed on isikutele kuuluv vara, mis vajab kaitset, ning õigus isikuandmete kaitsele on põhiõigus. Grant Thornton Balticu isikuandmete kaitse spetsialistid on nõustanud väga paljusid kliente, kes tegutsevad väga erinevatel tegevusaladel - alates krediidivahendajatest ja -andjatest kuni töötleva tööstuse ettevõteteni. See näitab selgelt, et isikuandmete kaitsmise vajadust mõistetakse ning ollakse altid ka majaväliselt abi otsima.
Rikkumisteateid sai AKI üksjagu, aga mitte ummistavalt palju
Isikuandmete kaitse üldmääruse jõustudes eeldati, et rikkumisteateid, mille esitamine on nüüdsest kohustuslik, hakkab laekuma väga suures koguses. Statistikast nähtub, et AKI sai kuu aega enne isikuandmete kaitse üldmääruse kehtima hakkamise esimest aastapäeva andmetöötlejatelt kokku 101 isikuandmetega seotud rikkumisteadet. 25. maist (isikuandmete kaitse üldmääruse kehtima hakkamise daatum) kuni 31. detsembrini 2018 esitati AKI-le kokku 64 rikkumisteadet. AKI aastaraamatus on põhjusteks märgitud nii inimlik eksimus, hooletus, teadmatus kui ka puudulik andmeturve. Uudistessegi on jõudnud erinevad isikuandmetega seonduvad rikkumised, mis peamiselt on olnud seotud andmete lekkimisega. Ka meie oleme täheldanud, et peamised lekkepõhjused on kas inimeste teadmatus või hooletus. Seetõttu soovitame alati peale protsesside ülevaatamist ja ümbertegemist teha töötajatele isikuandmete kaitse ja küberturvalisuse koolitusi. Sellest pole kasu, kui protseduurid, näiteks isikuandmete töötlemise kord, on vastu võetud, kuid töötajatele seda ei tutvustata ning ei tehta praktilist koolitust uute reeglite kohta.
AKI tehnoloogiadirektor Urmo Parm resümeeris aastaraamatus, et rikkumisteated andsid möödunud aastal aluse väärteomenetluse algatamiseks kolmel korral ja haldusjärelevalve menetluseks ühel korral. Valdkondlikult toimus rikkumisi nii avalikus kui ka erasektoris. Intsidente registreeriti veebiteenuste, tervishoiuteenuste, pangandus/finantsteenuste ja transporditeenuste pakkujate hulgas. Samuti side-, tootmise - ja haridusvaldkonna andmetöötlejatel.
AKI ei muutu trahvivabrikuks
Isikuandmete kaitse üldmääruses on sätestatud üüratud trahvid ning tekkis ka hirm, et üldmääruse kehtima hakkamise päevast hakatakse ettevõtteid trahvima. See hirm on olnud põhjendamatu ning ka aastaraamatus nendib AKI järgnevat: ,,Võib tekkida küsimus, millal hakkab Andmekaitse Inspektsioon määrama isikuandmete kaitse üldmäärusega tulnud hiigeltrahve, mida Eesti õiguse kohaselt tuleb määrata väärteomenetluse raames. Selle osas kinnitan, et Andmekaitse Inspektsioon ei muutu ka edaspidi trahvivabrikuks. Rikkumiste puhul on meie käitumismustriks olnud selgitamine ja hoiatamine. Karistusi ja sundi rakendame viimase abinõuna."
Väljatoodu muidugi ei välista trahvimist, kui toimub tahtlik ja väga oluline rikkumine. Andmetöötlejad ei tohiks eeldada, et igal juhul ja alati AKI vaid selgitab ja hoiatab. Andmetöötlejad peavad isikuandmetega ümber käima hoolsalt ning tundma vastutust andmesubjektide ees, mitte tagama isikuandmete kaitse üldmäärusega vastavust pelgalt sanktsioonihirmust.
Kokkuvõttes võib öelda, et isikuandmete kaitse üldmääruse esimese aasta temperatuur ei ole olnud ei kõrbekuum ega ka jääkülm. See on olnud pigem leige. Siiski on positiivne, et ettevõtted on hakanud struktureeritumalt lähenema isikuandmete kaitsele ning mõistnud isikuandmete kaitsmise vajadust. Struktureeritud andmekaitse üks osa on ka andmekaitse spetsialisti määramine ning hea meel on tõdeda, et AKI-t on teavitatud juba ligi 2700 andmekaitse spetsialisti määramisest.
AKI aastaraamat sisaldab ka soovitusi 2019. aastaks, millest olulisemad võiksid olla järgnevad: kehtesta selged, lihtsad ja arusaadavad andmetöötlustingimused - seda nii klientide kui ka oma töötajate jaoks; veendu, et ettevõtte töötajad on saanud koolitusi, selgitusi ning (kirjalikke) juhendmaterjale, mis aitavad neil ettevõtte nimel isikuandmeid õiguspäraselt töödelda.