Isikuandmete kaitse üldmäärus GDPR – Mis see on? Osa 1

Seekordne kirjatöö käsitleb sellist kuuma teemat nagu isikuandmete kaitse üldmäärus ehk GDPR, mis puudutab kõiki ettevõtteid, organisatsioone ja füüsilisi isikuid Euroopas. Proovime sellest kirjutada paanikat külvamata.

Järgmise aasta 25. mail rakendub Euroopa Parlamendi ja nõukogu määrus 2016/679 (General Data Protection Regulation ehk GDPR). Ühe teooria kohaselt järgnevad sellele inimohverdused, kasside ja koerte kokku kolimine ning massihüsteeria. [1] Kui see ennustus valeks peaks osutuma, on alternatiiv keskpärane reede, vahelduva pilvisusega ilm ja uue ajajärgu algus isikuandmete kaitses.

Eelnev on loomulikult kirjutatud sõbraliku pilkega silmanurgas. Ma ei arva, et GDPR on senitundmatu apokalüpsise ratsanik ja mulle meeldib heita nalja müügimeeste üle, kes uue määrusega hirmutades meile juba tükk aega erinevat nodi maha müüa üritavad – alates tüüplepingutest, tulemüüridest ning lõpetades USB pulkadega. Nende entusiasm meenutab seda, mis toimus 90-ndate lõpus, kui kõikide IT-kaupmeeste keelel oli lühend Y2K 🙂

Isikuandmete kaitse määrus on oluline seadusandlik akt, millega peaksid ideaalis end kurssi viima kõik ettevõtjad. Aga suur osa selle nõudmistest eksisteerib juba olemasolevates seadustes. GDPR ütleb oma sõnumi välja senisest täpsemalt, konkreetsemalt, jõulisemalt ja seob võimalikud rikkumised kopsakate trahvidega. See võib tunduda üle pea käiv, aga ei maksa lasta ennast ehmatada.

Zone on uue määruse jaoks üks suuremaid sihtmärke, kuna meil on isikuandmete töötlemises kanda kaks rolli:

  • vastutav töötleja, kes kogub ja töötleb isikuandmeid puhtalt enda seaduslike eesmärkidel täitmiseks;
  • volitatud töötleja, kes säilitab ja töötleb teiste vastutavate töötlejate kogutud isikuandmeid, et ka nendel oleks võimalik täita oma seaduslikke eesmärke.

See tähendab, et ühilduvus GDPR-i põhimõtetega on meie jaoks vältimatu, vastasel juhul peaksime oma poe peagi kinni panema. Seepärast oleme ka pidanud vajalikuks end sel teemal harida, parandada protsesse, vaadata kriitilise pilguga otsa teenuste portfellile, kasutustingimustele jne. Üritame seda kõike teha kainelt kaalutledes.

Käesolevas ja järgnevates temaatilistes kirjutistes loodan anda põgusa ülevaate sellest, mida meie oleme jõudnud GDPR-i kohta õppida. See võiks huvitada meie kliente, aga miks mitte ka teisi väikeseid või keskmisi ettevõtteid.

Loomulikult ei tohiks minu kirjutisi võtta juriidilise nõuandena 🙂

Neil, kes töötlevad isikuandmeid suurel määral või omavad käideldavate andmete seas eriti tundlikke andmeid, soovitan kindlasti määruse sisusse väga põhjalikult süveneda ja konsulteerida oma õigusnõustajaga.

Eesmärgist ja haldusalast

Euroopa Parlament on seadnud määrusele väga kõrgelennulised eesmärgid. GDPR-ilt loodetakse nii kodanike õiguste tugevdamist, isikuandmete käitlemise turvalisuse parandamist, digimajanduse usalduse kasvu kui ka õiglasemat konkurentsikeskkonda.

Vorm, mis valiti uute reeglite kehtestamiseks, demonstreerib seda, kui tõsiselt Euroopas isikuandmete kaitsesse suhtutakse. Euroopa Parlamendi määrus on üks võimsamaid, kui mitte võimsaim, õigusliku ruumi kujundamise tööriist Euroopa Liidus – tegemist on seadusandja vastega Thori haamrile Mjölnirile. Sellise määrusena vastu võetud õigusakt hakkab jõustumise kuupäevast alates kehtima kõikides liikmesriikides korraga ja muutub koheselt ülimuslikuks kõikide teiste sama valdkonda käsitlevate seaduste suhtes.

Ka määruse mõjuala kujundamisel ei ole parlamentäärid end tagasi hoidnud, see hõlmab ei vähemat või enamat, kui tervet planeeti. Kõikidele ettevõtetele ja organisatsioonidele maailmas, kes koguvad, töötlevad või säilitavad Euroopa Liidu kodanike isikuandmeid, kehtivad järgmise aasta 25. maist ühed ja samad andmekaitse nõuded. Euroopa Liidus tuleb GDPR-iga kooskõlas töödelda kõikide füüsiliste isikute andmeid, mitte ainult liidu kodanike omi.

Definitsioonidest

Mis on isikuandmed? Isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Füüsiline isik võib andmete alusel olla tuvastatav otseselt või kaudselt. See viimane on meie teenuste kontekstis eriti oluline teada, sest füüsilise isiku kaudset tuvastamist võimaldab näiteks IP aadress ja seetõttu on ka IP aadressid käsitletavad isikuandmetena.[2]

Mis on isikuandmete töötlemine? Isikuandmete töötlemine on isikuandmete või nende kogumitega tehtav automatiseerimata või automatiseeritud toiming või nende kogum. Lasete füüsilisel isikul end veebis kasutajaks registreerida, müüte neile oma kaupa või teenust, saadate laiali oma uudiskirja? Kõikide nende toimingute raames töötlete tõenäoliselt füüsiliste isikute isikuandmeid ja olete seega nende vastutav töötleja.

Kui teete seda kõike koostöös kodulehe infosüsteemide halduspartneri, andmete majutaja või e-posti levitajaga, siis olete kaasanud oma tegevusse volitatud töötleja, aga isikuandmete töötlemise üldpõhimõtete täitmise eest jääte vastutama siiski teie. Teie kohustus on valida endale volitatud töötleja, kes annab piisava tagatise asjakohaste tehniliste ja korralduslike meetmete rakendamise kohta.

Üldpõhimõtted

Millised on üldised põhimõtted, mille järgimist GDPR nõuab? Lühidalt tahab GDPR, et ettevõtted ja organisatsioonid käitleksid isikuandmeid nagu äsja sündinud kassipoega – väga ettevaatlikult.

Teen siinkohal üldistest põhimõtetest kokkuvõtte ning võite selles ise veenduda:

  • igasugune isikuandmete töötlemine peab olema seaduslik, õiglane ja läbipaistev;
  • isikuandmeid tohib koguda ainult konkreetsetel, kokku lepitud, täpsetel, õiguspärastel eesmärkidel;
  • isikuandmeid tohib koguda ainult sellises ulatuses nagu sellise eesmärgi täitmiseks vaja;
  • isikuandmeid võib säilitada füüsiliste isikute tuvastamist võimaldaval kujul ainult seni, kuni see on eesmärgi täitmiseks vajalik;
  • eesmärgi seisukohast ebaoluliseks muutunud isikuandmed tuleb kustutada;
  • isikuandmed tuleb hoida õigetena, eesmärgi seisukohast ebaõiged isikuandmed tuleb kustutada või ilma asjatu viivituseta parandada;
  • isikuandmeid tohib töödelda ainult viisil, mis tagab nende turvalisuse, sealhulgas tuleb andmeid kaitsta loata või ebaseadusliku töötlemise, juhusliku kadumise, hävitamise või kahjustamise eest, kasutades asjakohaseid meetmeid.

Vastutus kõikide ülaltoodud põhimõtete järgimise suhtes on, nagu nimigi ütleb, vastutaval töötlejal ehk ettevõttel või organisatsioonil, kes oma eesmärgi täitmiseks kasutajalt andmed töötlemiseks küsis.

Seedige need tingimused läbi ja mõtelge isikuandmetele mida töötlete.

Ülaltoodu ei ole kaugeltki kõik. Nõudeid, mida GDPR nii vastutavale kui volitatud töötlejale esitab, on palju ning nendest kirjutan järgmistes temaatilistes blogipostitustes. Jutuks tulevad volitatud töötleja vastutus ning isikuandmete turvalisus. Päris kindlasti on omaette postituse ära teeninud kommertssõnumite edastamine e-posti teel. Äkki õnnestub meie põhjatust varasalvest ka mõni näide välja võluda, mis kindlasti tulevikus GDPR-i kontekstis Andmekaitse Inspektsiooni tähelepanu pälvida võiks.

Seniks tsiteerin üht pöidlaküüdi reisijuhti: ärge sattuge paanikasse! Närvide rahustamiseks üks Dilbert:

Andmekaitse Inspektsioonilt must nimekiri rämpspostitatajatest

man_pointingToimunud on märkimist väärt areng võitluses kodumaise rämpspostiga. Andmekaitse Inspektsioon on tänasest asunud avaldama musta nimekirja retsidiivsetest rämpspostitajatest.

Musta nimekirja kantakse ettevõtted, kes on vähemalt 3 korda rikkunud elektroonilise side seaduse paragrahvi 103 lõiget 1 (“Elektrooniliste kontaktandmete kasutamine otseturustuseks”).

Nimekirjaga saab tutvuda aadressil http://www.aki.ee/et/menetluspraktika/rampspostitajate-nimekiri.

Rikkujad kantakse nimekirja aastaks!
Loe edasi “Andmekaitse Inspektsioonilt must nimekiri rämpspostitatajatest”