Advokaat hoiatab: kolm lihtsat võimalust ELi andmekaitsereformi rataste vahele jäämiseks

 (22)
Tanel Tark
Tanel TarkFoto: Annika Metsla

Aasta pärast jõustuv Euroopa Liidu andmekaitsereform annab kodanikule märksa suurema kontrolli enda andmete kasutamise üle, kuid seab ettevõtteile isikuandmete töötlemisel ka äärmiselt karmid reeglid (ja karistused). Paraku võib ettevõte seaduserikkujaks saada ka pahaaimamatult igapäevatööd tehes, kirjutab advokaadibüroo Tark partner, vandeadvokaat Tanel Tark.

Delli ülemaailmne uuring kinnitas, et neli ettevõtet viiest ei tea, mida Euroopa andmekaitse üldmäärus (GDPR) nende jaoks kaasa toob. Väga mahukas ja keerukas uus andmekaitseregulatsioon jätab õhku ka palju vastuseta praktilisi küsimusi ja ebamäärast tõlgendamisruumi, mistõttu prognoosime et suur osa Eesti ettevõtteist osutub järgmise aasta maikuust seaduserikkujaks.

Toome siin mõned lihtsad näited „lõksudest“, mis varitsevad ettevõtjat pealtnäha süütutes argiolukordades.

Liiga palju infot
Määrus ütleb: kliendilt tohib küsida ainult asjakohaseid andmeid, mis on vajalikud andmete töötlemise eesmärgist lähtudes.
Lõks praktikas: tavaline ankeet, mille klient täidab kasvõi kliendikaardi saamiseks, võib osutuda ebaseaduslikuks. Tallinna suurest kaubanduskeskusest korjatud esimesed ettejuhtuvad ankeedid näitasid selgelt: infot küsitakse rohkem, kui uus seadus lubab.

Kui teenuse pakkumiseks ja kliendiga suhtlemiseks piisab e-postist, tuleks kaaluda kas telefoninumbri või koduse aadressi küsimine on vajalik. Perekonnaseisu või laste vanuse küsimine, mida samuti teinekord kliendikaardiankeetidel kohtab, vajab juba päris selget põhjendust ja õigustust. Kui firma kaupa koju ei tarni, pole ka klientide koduste aadresside kogumine ja säilitamine õigustatud.

Seotud lood:

Küsitavad andmed peavad olema õiged ja otseselt seotud pakutava teenusega või toimingutega, milleks klient on konkreetselt nõusoleku andnud. Kliendil on õigus nõuda oma andmete kustutamist, kui nende algne kogumise eesmärk on ära langenud, andmeid on kasutatud ebaseaduslikult või klient on nõusoleku andmete töötluseks tagasi võtnud.
Samuti peab ettevõtja kliendile märksa põhjalikumalt – ja samas lihtsamalt – selgitama andmete kogumise eesmärki ning kogumise, hoidmise ja kustutamise tingimusi. Samuti tuleb klienti teavitada tema õigustest andmete edasise kasutamise osas.

Tolmunud tagavarakoopiad
Määrus ütleb: isikuandmeid võib säilitada vaid niikaua, kuni nende kogumise algne eesmärk on täidetud.
Lõks praktikas: iga andmetega vastutustundlikult ümber käiv ettevõte teeb enda arvutisüsteemidest, serveritest ja andmebaasidest varukoopiaid, sageli lausa iga päev. Tavaline on ka aasta või enama vanuste varukoopiate säilitamine. Selline varukoopia on toores andmefail, mis pole ühendatud kliendihaldussüsteemi, raamatupidamissüsteemi ega ettevõtte muu igapäevase andmetaristuga.

See tähendab, et kuigi varukoopia on vaid ettevõtte it-turvalisuse instrument ega toimi sisuliselt andmebaasina, rikutakse neis andmete säilitamisega tõenäoliselt GDPR-iga saabuvat andmete säilitamise ajapiirangu põhimõtet. Et mitte seadust rikkuda, tuleb määrata tähtajad andmete kustutamiseks või teostada varukoopiates peituvate andmebaaside perioodilist läbivaatamist. Ideaalne oleks lahendus, kus ühest arvutist või andmebaasist kustutades kustuks andmed ka teistest talletuskohtadest, sh varukoopiatest.
Oluline on ka, et kõik andmetega tehtud toimingud peavad olema dokumenteeritud ja vajadusel tõendatavad.

Exceli fail läks kõndima
Määrus ütleb: isikuandmetega ümber käies peab tagama nende turvalisuse, sh välistama ilma loata töötlemise, juhusliku kaotsimineku, hävimise või sattumise kõrvaliste inimeste kätte.
Lõks praktikas: muuhulgas tähendab see, et ettevõttes tohivad andmetele ligi pääseda vaid inimesed, kel selleks selge vajadus ja õigus.
Ent kujutlegem igati tavalist-elulist olukorda: müügijuht küsib turundusjuhilt Hiiumaal klientide „meililisti“ millegi pakilise teavitamiseks, turundusjuht saadab talle vastuseks faili „kunded_laane_eesti.xls“.

Nüüd on üks süütu Exceli-fail kogu Lääne-Eesti klientide andmetega kahes arvutis ja kahes, võib-olla enamaski meiliserveris. Seega on ettevõttes ühe asemel juba kaks andmebaasi vähemalt kahe erineva inimese kasutuses, kellest ühel on vajadus (ja seega õigus) näha vaid osa selle baasi andmeist (Hiiumaa kliendid) ja sedagi ajutiselt (pakilise teavituse lõpuleviimiseni). Praktikas teame me aga kõik selliste „ekselite“ tegelikku saatust, nad kipuvad jääma kõvakettale arvuti eluea lõpuni.
Enamgi, ettevõte peab tagama, et isikuandmete muudatused (ajakohastamine, kustutamine jne) kajastuks üheaegselt ja ühtmoodi kõigis ettevõtte andmebaasides. Kuid vähemalt üks andmebaas – tunamullu saadetud Exceli-fail – istub müügijuhi kõvakettal, aegunud ja kõigist unustatud-hüljatud, kuid ometi seadust rikkudes.

Valmistumiseks alla aasta
Uus andmekaitse üldmäärus puudutab enim ettevõtteid, kus isikuandmete töötlemise maht on suur. Et andmekaitsereformi jõustumisel 25. mail 2018 vältida ootamatuid nõudeid klientidelt või lausa karistusi rikkumiste eest, peaks ettevõtted selgeks tegema kas ja kui palju uus üldmäärus neid puudutab ning kuidas selleks valmistuda. Paljudelt ettevõtteilt, kes seda täna ei kahtlustagi, nõuab see vähemalt selgete andmetöötlusreegliste kehtestamist ja toimivate töötlemissüsteemide rajamist.
Ettevalmistustöödesse tuleks juhtkonna kõrval kaasata kõik ettevõtte osakonnad mis vähegi isikuandmetega kokku puutuvad, ning võimalusel ka professionaalne andmekaitseregulatsioone tundev ekspert.