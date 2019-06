Baltikumis Leedu järelevalveorgan määras trahvi suuruses 61 500 eurot finantstehnoloogia valdkonna ettevõttele MisterTango. Ettevõttele heideti ette, et 2018. aasta juulis olid lekkinud ettevõtte klientide andmed internetti ja enam kui 9000 kuvatõmmist klientide tehinguandmetega olid avalikult kättesaadavad. MisterTango jättis sellest intsidendist Leedu Andmekaitse Inspektsiooni teavitamata. Seda aga loetakse GDPR-i alusel reeglite rikkumiseks, kuivõrd GDPR kohustab andmelekkest teavitama 72 tunni jooksul sellest teada saamisest.

3. Eesti siseriiklik seadusandlus

Reeglina tähendab Euroopa Liidu määruse kohalduma hakkamine seda, et liikmesriik ei võta ise täiendavaid regulatsioone vastu, kuivõrd määrus kohaldub kõigis liikmesriikides otse. Andmekaitse üldmäärusega oli siiski teisiti. Nimelt sisaldas andmekaitse üldmäärus mitmeid punkte, kus igal liikmesriigil endal tuli vastu võtta oma reeglid. Ideaalis pidid need normid kohalduma hakkama ja jõustuma samal ajal kui andmekaitse üldmäärus s.o 25.05.2018. Küll aga läks nii Eestis kui ka paljudes teistes liikmesriikides rohkem aega. Käesolevaks hetkeks on siiski ka Eesti oma normid vastu võtnud ja need on jõustunud. Eesti isikuandmete kaitse seadus jõustus 29.01.2019 ja 15.03.2019 jõustus isikuandmete kaitse seadus rakendamise seadus.

4. Trahvid ja Eesti

Eestis ei ole Andmekaitse Inspektsioon kiirustanud uue määruse järgi trahvima. Andmekaitse Inspektsiooni lehelt otseselt isegi ei selgu, kas inspektsioon on jõustunud Eesti siseriiklikel normidel ja GDPR-il põhinevat trahvi määranud. Andmekaitse Inspektsiooni praktikat ja tegutsemist saad jälgida SIIT.

5. Uued soovitused

Nii nagu iga õigusharu, siis ei seisa ka andmekaitseõigus paigal. Euroopa Andmekaitsenõukogu (varasema nimetusega Artikkel 29 töörühm) on aasta jooksul välja tulnud veel täiendavate soovituste ja juhistega, mis aitavad GDPR-i teksti mõista. Viimati on avalikkusele tagasiside saamiseks välja antud spetsiifiline juhend, kuidas peaks töötlema isikuandmeid internetis teenuseid pakkuvad ettevõtjad, kes töötlevad andmeid GDPR artikkel 6(1)b alusel ehk kui isikuandmete töötlemine on vajalik lepingu täitmiseks või sõlmimiseks.

Euroopa Andmekaitsenõukogu soovitustele on oluline tähelepanu pöörata, kuivõrd andmekaitse üldmäärust ei tohi liikmesriigid ise oma suva järgi tõlgendada. Selgitusi, kuidas määruses sätestatud reegleid järgida, saab eelkõige jagada just Euroopa Andmekaitsenõukogu ja Euroopa Liidu kohus.