Isikuandmete ekspert: Eesti ettevõtteid võivad ees oodata hiigeltrahvid
14. mai 2023, 10:36
Andmekaitse inspektsiooni jaoks muutub ettevõtete trahvimine andmekaitse nõuete rikkumise eest oluliselt lihtsamaks, kui jõustuvad Euroopa Liidu õigusest tulenevad muudatused. Siis võib trahvimäär ulatuda 20 miljoni euroni ning teatud juhtudel seda isegi ületada, tõi välja advokaadibüroo Hedman isikuandmete kaitse ekspert Andres Ojaver.
Andmekaitse üldmääruse (GDPR) trahve ei ole Eestis siiani suudetud rakendada, mille üheks põhjuseks oli juriidilise isiku vastutuse definitsiooni puudulikkus, mis lubas ettevõtetel andmekaitsega seotud otsuseid edasi lükata.
Alates 1. novembrist olukord muutub, sest jõustuvad tänavu märtsis vastu võetud karistusseadustiku ja teiste seaduste muudatused, mis annab andmekaitse inspektsioonile õiguse määrata andmekaitse nõuete rikkumise eest trahve ka konkreetset füüsilist isikut süüdistamata.
«Kui küsitud andmeid ei ole andmetöötlejal ette näidata, on see inspektsiooni jaoks signaal põhjalikumaks sissevaatamiseks.»
Ojaver tõi välja, et kui varem piirdus andmekaitse inspektsioon sunniraha hoiatustega, siis alates 1. novembrist muutub trahvide määramine oluliselt lihtsamaks ja trahvimäärad on jõudmas GDPRi määratud tasemele. Trahvimäär võib seega alates novembrist ulatuda 20 miljoni euroni ning seda teatud juhtudel isegi ületada.
Soovitav on tööprotsessid üle vaadata
Andmekaitse inspektsioon soovitas kõikidel Eesti andmetöötlejatel üle vaadata ja viia andmetöötlemise protsessid kooskõlla isikuandmete kaitse üldmääruse nõuetega ning üle vaadata ka vastutavate andmetöötlejate kohustused. Lisaks peavad ettevõtted ja riigiasutused olema teadlikud, milliseid andmeid nad hoiustavad, mis eesmärgil neid töötlevad ning kui kaua ja kellel on andmetele juurdepääs.
«Need on konkreetsed asjad, mida inspektsioon oma järelevalvemenetlustes küsib ja see on neile indikaatoriks, kas asutuses või ettevõttes on andmetega seonduv läbimõeldud ja kaardistatud. Kui küsitud andmeid ei ole andmetöötlejal ette näidata, on see inspektsiooni jaoks signaaliks põhjalikumaks sissevaatamiseks,» viitas Ojaver andmekaitse inspektsiooni seisukohale.
Ta lisas, et kuigi november võib tunduda kaugel, oleks nüüd viimane aeg alustada andmete auditi läbiviimise ja edasiste tegevuste planeerimisega, kui seda ei ole seni tehtud.
Ülevaadete koostamiseks ja hoidmiseks saab näiteks kasutada Eestis loodud tarkvaralahendust GDPR register, mis on väljatöötatud selleks, et aidata ettevõtetel ja riigiasutustel vältida vigu andmete töötlemisel.
GDPR register on loodud koostöös IT ekspertidega ning teeb GDPRi nõuete järgimise lihtsaks ja loogiliseks, aidates hallata regulatsiooniga kaasnevaid toiminguid ja dokumente ning tagades ka nende nõuetele vastavuse.