04.02.2020, 09:30

Andmekaitsereformi hiigeltrahvid jõuavad üha lähemale: Läti ettevõte peab juba välja käima 150 000 eurot

Toimetas: Siiri Liiva

siiri.liiva@arileht.ee

Eesti andmekaitse inspektsioon on veel trahvide määramisel rahulikult võtnud.

FOTO: Foto: Vallo Kruuser

Euroopa Liidu uue andmekaitseseaduse, GDPRi nõuete rikkumise eest on liikmesriikides määratud juba sadade miljonite eurode ulatuses trahve. Baltimaade seni suurima, 150 000 eurose trahvi sai Läti ettevõtte.

Isikuandmete kaitse üldmääruse (ingliskeelne lühend GDPR) trahvid on jõudnud Eestile lähemale – Läti andmekaitse inspektsioon trahvis kohalikku ettevõtet, mille nime ei avaldata, 150 000 euroga, teatas advokaadibüroo Hedman Partners meediale.

Ettevõtet trahviti, kuna ta ei suutnud tuvastada, kuidas andmeid töödeldakse ja mida nendega tehakse ning kas ettevõttel on selleks ka õiguslik alus. Leedus trahviti finantstehnoloogia ettevõtet üleliigsete isikuandmete kogumise ja turvanõuete eiramise eest 61 500 euro suuruse trahviga.

Eesti on veel võtnud rahulikult

Eesti andmekaitse inspektsioon on seni olnud tagasihoidlik ja ei ole trahve määranud, kuid Euroopa Liidu andmekaitse inspektsioonid on määratud sadadesse miljonitesse eurodesse ulatuvaid trahve ning neid tuleb iga päev juurde.

Eriti aktiivsetena paistavad silma Hispaania, Prantsusmaa ja Saksamaa andmekaitseasutused. “See tähendab, et Eesti ettevõtted, kes oma äritegevust nendesse riikidesse suunavad, peaksid GDPRi nõuetele erilist tähelepanu pöörama. Trahve on määratud pea kõikide GDPR nõuete rikkumise eest, nt andmete töötlemise ebapiisav turvalisus, töötlemise vale õiguslik alus või inimeste teavitamata jätmine,” selgitas advokaadibüroo Hedman Partners partner ja vandeadvokaat Toomas Seppel.

Ideaalis võiks Seppeli sõnul levida arusaam, et GDPRi nõuded ja nendega kaasnevad kohustused ei ole vaid koormaks. “Selle taga peitub palju laiemalt võti ärikultuurile, mis tagaks inimestele suurema turvalisuse digimaailmas ning ettevõtetele suurema usalduse kliendiga ja vahendid innovatsiooniks,” lisas ta.

GDPR nõuete rikkujat saab järelevalveasutus karistada rahatrahviga kuni 20 000 000 eurot või kuni 4 protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Seni suurima GDPR trahvi määras Prantsuse andmekaitseasutus Google’ile – 50 miljonit eurot. “Trahv mõisteti välja, kuna Google ei suutnud anda kasutajatele piisavalt teavet isikuandmete nõusoleku halduse kohta ega andnud piisavalt teavet selle kohta, kuidas isikuandmeid kasutatakse,” tõi välja advokaadibüroo Hedman Partners vandeadvokaat.

Terve rida hoiatavaid näiteid

Taanis määrati 160 000 euro suurune trahv taksofirmale, kes ei kustutanud klientide telefoninumbreid. Kuigi klientide nimed kustutati kahe aasta jooksul, siis polnud see piisav. Telefoninumber eraldiseisvalt loetakse samuti isikuandmeteks, mis tuleb vajadusel kustutada.

Norra andmekaitseasutus hoiatas väikelinna kooli 1,6 miljoni norra krooni suuruse trahviga, kuna ligipääs 35 000 õpilase ja töötaja kasutajanimedele ning salasõnadele polnud piisavalt turvaline.
Austrias trahviti 4800 euroga ettevõtet avaliku ruumis filmimise eest sellest eelnevalt teavitamata.

Saksamaa sotsiaalmeediateenust trahviti 20 000 euroga, kuna kasutajate salasõnasid hoiustati tavalises tekstivormingus. Portugali haiglat trahviti 400 000 euroga kui töötajad said valekontosid kasutades loata ligipääsu patsientide andmetele.

Poolas trahviti digitaalturundusega tegelevat ettevõtet 220 000 euro suuruse trahviga, kuna inimestele ei edastatud teavet isikuandmete töötlemise kohta.

Kommenteeri Loe kommentaare