Oodatud ja kardetud isikuandmete kaitse reform kiideti heaks

Määrus jõustub 20 päeva pärast peale selle peatset avaldamist ning seda tuleb liikmesriikides kohaldama hakata kahe aasta möödudes jõustumise päevast. See tähendab ülemineku-ettevalmistusperioodi kuni 2018. aasta maikuuni. Seega on ettevõtjatel viimane aeg soojendusdress seljast visata ja alustada ettevalmistustega, et olla õigeaegselt valmis kõikide uute ja täpsustatud kohustuste täitmiseks.

Juba üle 20 aasta tagasi vastu võetud andmekaitsedirektiiv ei ole tehnoloogiliste arengutega sammu pidanud ning vajab hädasti värskendamist, et mitte jääda majandusliku arengu takistuseks. Uue määruse projekti nelja aasta jooksul tabanud kriitikanoolte peamine sõnum on samas olnud just see, et välja pakutav mitte ainult ei jäta lahendamata probleeme, mille ületamiseks reform ellu kutsuti, vaid tekitab hulgaliselt uusi. On sellega, kuidas on, täna võib väita, et kohe-kohe on määruse näol tegemist uue reaalsusega ja oma ettevõtte isikuandmete töötlemise rutiinide kaardistamiseks, analüüsiks ja uuendamiseks on viimane aeg.

Eksivad need, kes arvavad, et teema puudutab vaid interneti- või erinevate uute tehnoloogiate põhiseid ettevõtteid. On tõsi, et selliste ärimudelite puhul on puutepunkt isikuandmete töötlemisega reeglina suurem ja nüansid keerulisemad. See aga ei tähenda sugugi, et ka iga muu ettevõte sõltumata tegevusvaldkonnast, kes kogub või säilitab töötajate, klientide ja koostööpartnerite andmeid, ei oleks uutest reeglitest puudutatud. Kui kogutavaid andmeid edastatakse teistele isikutele (nt erinevad teenusepakkujad - raamatupidamisfirma, müügi- või reklaamikampaania korraldaja, erinevad konsultatsioonibürood ja muud allhankijad), vajavad suure tõenäosusega lisaks ettevõttesisestele andmetöötlusprotsessidele üle vaatamist ja kohendamist ka kõik vastavate teenuse hankimiseks sõlmitud lepingud.

Käesoleva kirjatüki raames ei ole võimalik anda ülevaadet kõikidest andmetöötlejatele lisanduvatest kohustustest. Heaks indikatsiooniks kohustuste laienemise ja täpsustumise kohta on ainuüksi asjaolu, et isikuandmete kaitse seaduse 11 lehekülge asenduvad määruse 261 lehekülje ja rohkete Euroopa Komisjonile antud volitusnormidega täpsustavate rakendusaktide vastuvõtmiseks.

Iseenesest ei kaasne määrusega mingisuguseid revolutsioonilisi uuendusi isikuandmete kaitse üldprintsiipides. Küll aga tuleb silmas pidada, et kuna määruse peamisi eesmärke on andmesubjektide õiguste kaitse suurendamine, on nende olemasolevaid õigusi uue korra alusel üksjagu täpsustatud. Lisaks antakse neile seni puudunud õigusi. Kõigi nendega peavad andmete töötlejad arvestama ja silmas pidama, et igale andmesubjekti õigusele vastab andmete töötleja teatav kohustus.

Mõned näited Eesti ettevõtjat puudutavatest muudatustest:

1. Õigus olla unustatud võimaldab andmesubjektil teatud tingimustel nõuda töötlejalt oma isikuandmete kustutamist. Kuigi mitte sellise nimetuse all, on õigus nõuda andmete kustutamist olemas ka kehtiva seaduse alusel. Siiski näeb määrus ette selle õiguse maksmapanekuks oluliselt suuremad võimalused ja täpsemad tingimused, mis omakorda sunnib andmete töötlejat (eeskätt tehniliseks) valmisolekuks selliseid nõudmisi rahuldada;

2. Isikuandmete ülekantavuse põhimõte kohustab andmete töötlejat andma andmesubjektile tema nõudmisel tema isikuandmed üle struktureeritud, üldkasutatavas ja masinloetavas vormingus. Andmesubjektil peab olema ka võimalus selliseid andmeid töötleja poolse takistuseta teisele töötlejale üle anda. Ka siin on kriitiline, et andmete töötlejal oleks tehniline võimekus sellise kohustuse nõuetekohaseks täitmiseks.

3. Tulenevalt ettevõtte tegevusalast ning andmete töötlemise viisist ja ulatusest selle raames tekib paljudel ettevõtetel kohustus määrata andmekaitseametnik. Ametnik peab olema pädev andmekaitseõiguse alal ja võib olla nii ettevõtte töötaja kui kolmandast isikust teenusepakkuja. Kontserni peale võib määrata ühe ametniku.

4. Andmete töötleja kohustus teavitada järelevalvet isikuandmetega seotud rikkumistest (andmete lekked, alusetu ligipääs andmetele jmt) 72 h jooksul.

5. Mõjuanalüüsi läbiviimise kohustus enne töötlemistoimingute teostamist tulenevalt toimingu viisist, ulatusest, kontekstist ja eesmärgist.

6. Üsna ulatuslik andmete töötlemise toimingute dokumenteerimiskohustus.

7. Oluliselt on täpsustatud andmete volitatud töötlejate kohustusi.

8. Sõltuvalt andmekaitsealase kohustuse olulisusest ja rikkumise astmest võivad trahvid ulatuda kuni 20 miljoni euroni või 4%ni ettevõtte ülemaailmsest kogukäibest. Võrdluseks, senine isikuandmete kaitse seaduse alusel määratav maksimaalne rahatravh on 32 000 eurot.

Millest alustada? Esimese sammuna tuleks kaardistada isikuandmete töötlemise olemasolevad protseduurid oma ettevõttes. Selleks tuleks selgitada, milliseid andmeid, millisel viisil ja eesmärgil töödeldakse (s.t. kogutakse, säilitatakse ning tehakse mis tahes muid toiminguid vastavate andmetega). Seejärel on vaja hinnata olemasolevate rutiinide vastavust andmekaitsemääruse nõuetega. Tuvastades mittevastavused tuleb juurutada uued ja korrigeeritud protsessid, täiendada või muuta ettevõtte sisedokumente ja sõlmitud lepinguid. Tõenäoliselt on suuremas mahus andmeid töötlevate ettevõtete puhul vajalikud teatavad täiendavad tarkvaraarendused.