1. Esimesed andmekaitse üldmääruse alusel tehtud trahvid

Suurt tähelepanu sai Portugali haiglale Centro Hospitalar Barreiro Montijo määratud trahv suuruses 400 000 eurot. Portugali järelevalveasutuse hinnangul olid patsientide isikuandmed jäänud kaitseta - haigla infosüsteemid lubasid sisuliselt igal haigla töötajal ligi pääseda kõigi patsientide andmetele. Selline piiramatu ligipääs terviseandmetele, mida peetakse andmekaitseõiguses ka eriti tundlikeks andmeteks, ei vasta aga andmekaitse nõuetele. Tähelepanu said ka Ühendkuningriigi ametasutuse ICO trahvid, mis määrati Heathrow lennujaamale ja Uberile ning seda andmekaitse turvanõute rikkumise eest. Huvitav kaasus, mis lõppes trahvi määramisega, leidis aset ka Austrias, kus ettevõte sai trahvi selle eest, et tema kaamerad filmisid liialt suurt lõiku kõnniteest, mis ei olnud aga otseselt ettevõtte turvalisuse tagamiseks vajalik. Kõige enam kajastust sai ilmselt suurim trahv, mis siiani on andmekaitse nõuete rikkumise eest määratud ja seda suuruses 50 miljonit eurot. Trahv määrati Prantsusmaa järelevalveorgani poolt Google'ile. Internetihiid sai trahvi läbipaistmatu tegevuse eest. Muuhulgas on Google Prantsusmaa järelevalveorgani hinnangul jätnud kasutajatele piisavalt selgitamata, mida nende andmetega tegelikult tehakse.

2. Esimene suur andmekaitse nõuete rikkumise eest määratud trahv

Baltikumis Leedu järelevalveorgan määras trahvi suuruses 61 500 eurot finantstehnoloogia valdkonna ettevõttele MisterTango. Ettevõttele heideti ette, et 2018. aasta juulis olid lekkinud ettevõtte klientide andmed internetti ja enam kui 9000 kuvatõmmist klientide tehinguandmetega olid avalikult kättesaadavad. MisterTango jättis sellest intsidendist Leedu Andmekaitse Inspektsiooni teavitamata. Seda aga loetakse GDPR-i alusel reeglite rikkumiseks, kuivõrd GDPR kohustab andmelekkest teavitama 72 tunni jooksul sellest teada saamisest.

3. Eesti siseriiklik seadusandlus

Reeglina tähendab Euroopa Liidu määruse kohalduma hakkamine seda, et liikmesriik ei võta ise täiendavaid regulatsioone vastu, kuivõrd määrus kohaldub kõigis liikmesriikides otse. Andmekaitse üldmäärusega oli siiski teisiti. Nimelt sisaldas andmekaitse üldmäärus mitmeid punkte, kus igal liikmesriigil endal tuli vastu võtta oma reeglid. Ideaalis pidid need normid kohalduma hakkama ja jõustuma samal ajal kui andmekaitse üldmäärus s.o 25.05.2018. Küll aga läks nii Eestis kui ka paljudes teistes liikmesriikides rohkem aega. Käesolevaks hetkeks on siiski ka Eesti oma normid vastu võtnud ja need on jõustunud. Eesti isikuandmete kaitse seadus jõustus 29.01.2019 ja 15.03.2019 jõustus isikuandmete kaitse seadus rakendamise seadus.

4. Trahvid ja Eesti

Eestis ei ole Andmekaitse Inspektsioon kiirustanud uue määruse järgi trahvima. Andmekaitse Inspektsiooni lehelt otseselt isegi ei selgu, kas inspektsioon on jõustunud Eesti siseriiklikel normidel ja GDPR-il põhinevat trahvi määranud. Andmekaitse Inspektsiooni praktikat ja tegutsemist saad jälgida SIIT.

5. Uued soovitused

Nii nagu iga õigusharu, siis ei seisa ka andmekaitseõigus paigal. Euroopa Andmekaitsenõukogu (varasema nimetusega Artikkel 29 töörühm) on aasta jooksul välja tulnud veel täiendavate soovituste ja juhistega, mis aitavad GDPR-i teksti mõista. Viimati on avalikkusele tagasiside saamiseks välja antud spetsiifiline juhend, kuidas peaks töötlema isikuandmeid internetis teenuseid pakkuvad ettevõtjad, kes töötlevad andmeid GDPR artikkel 6(1)b alusel ehk kui isikuandmete töötlemine on vajalik lepingu täitmiseks või sõlmimiseks.

Euroopa Andmekaitsenõukogu soovitustele on oluline tähelepanu pöörata, kuivõrd andmekaitse üldmäärust ei tohi liikmesriigid ise oma suva järgi tõlgendada. Selgitusi, kuidas määruses sätestatud reegleid järgida, saab eelkõige jagada just Euroopa Andmekaitsenõukogu ja Euroopa Liidu kohus.

Kuidas see lugu Sind end tundma pani?

Rõõmsana
Üllatunult
Targemana
Ükskõiksena
Kurvana
Vihasena