Andmekaitse Inspektsiooni jaoks muutub ettevõtete trahvimine andmekaitse nõuete rikkumise eest oluliselt lihtsamaks, kui jõustuvad Euroopa Liidu õigusest tulenevad muudatused, tõi välja advokaadibüroo Hedman isikuandmete kaitse ekspert Andres Ojaver. Trahvimäär võib ulatuda 20 miljoni euroni ning teatud juhtudel seda isegi ületada.
Andmekaitse üldmääruse (GDPR) trahve ei ole Eestis siiani suudetud rakendada, mille üheks põhjuseks oli juriidilise isiku vastutuse definitsiooni puudulikkus, mis lubas ettevõtetel andmekaitsega seotud otsuseid edasi lükata.
Alates 1. novembrist olukord muutub, sest jõustuvad tänavu märtsis vastu võetud karistusseadustiku ja teiste seaduste muudatused, mis annab Andmekaitse Inspektsioonile õiguse määrata andmekaitse nõuete rikkumise eest trahve ka konkreetset füüsilist isikut süüdistamata.
Hedmani isikuandmete kaitse ekspert Andres Ojaver tõi välja, et viis aastat on Eesti ettevõtted ja ka riigiasutused tegutsenud olukorras, kus isikuandmete kaitse prioritiseerimine võis olla problemaatiline. “Ühelt poolt tunnetavad valdkonna spetsialistid puuduste tõsidust, kuid teiselt poolt on juhtkonnale raske muudatusvajadusi “maha müüa” eelkõige kulude ja riskide ebaproportsionaalse suhte tõttu ning võimalik suur trahvisumma ei ole siiani olnud argument. Kaotajaks jäävad paraku inimesed, kelle privaatsust andmekaitse üldmäärus kaitseb,” sõnas Ojaver.
Novembris jõustuv muudatus toob trahvid
Kui varem piirdus Andmekaitse Inspektsioon sunniraha hoiatustega, siis alates 1. novembrist muutub trahvide määramine oluliselt lihtsamaks ja trahvimäärad on jõudmas GDPR’i poolt määratud tasemele. Trahvimäär võib seega alates novembrist ulatuda 20 miljoni euroni ning seda teatud juhtudel isegi ületada.
Andmekaitse Inspektsioon soovitas kõikidel Eesti andmetöötlejatel üle vaadata ja viia sisemised andmetöötlemise protsessid kooskõlla isikuandmete kaitse üldmääruse nõuetega ning üle vaadata ka vastutavate andmetöötlejate kohustused. Lisaks peavad ettevõtted ja riigiasutused olema teadlikud, milliseid andmeid nad hoiustavad, mis eesmärgil nad neid töötlevad ning kui kaua ja kellel on andmetele juurdepääs.
“Need on konkreetsed asjad, mida inspektsioon oma järelevalvemenetlustes küsib ja see on neile indikaatoriks, kas asutuses või ettevõttes on andmetega seonduv läbimõeldud ja kaardistatud. Kui küsitud andmeid ei ole andmetöötlejal ette näidata, on see inspektsiooni jaoks signaaliks põhjalikumaks sisse vaatamiseks,” viitas Andres Ojaver Andmekaitse Inspektsiooni seisukohale ning lisas, et kuigi võib tunduda, et november on kaugel, oleks nüüd viimane aeg alustada andmete auditi läbiviimise ja edasiste tegevuste planeerimisega, kui neid ei ole seni tehtud.
Ülevaadete koostamiseks ja hoidmiseks saab näiteks kasutada Eestis loodud tarkvaralahendust GDPR Register, mis on väljatöötatud selleks, et aidata ettevõtetel ja riigiasutustel vältida vigu andmete töötlemisel. GDPR Register on loodud koostöös IT ekspertidega ning teeb GDPRi nõuete järgimise lihtsaks ja loogiliseks, aidates hallata GDPR regulatsiooniga kaasnevaid toiminguid ja dokumente, tagades ka nende nõuetele vastavuse.