5 kontrollküsimust: kas olete uueks andmekaitseseaduseks valmis?

Facebook.

FOTO: Reuters/ScanPix

Teatavasti hakkas eilsest kehtima üle-Euroopaline uus isikuandmete kaitse üldmäärus. Advokaadibüroo Eversheds toob ettevõtjate jaoks välja 5 olulisemat kontrollküsimust, mis peaks nüüdseks tehtud olema.

1. Kas asjatundja on määratud ja töötajad koolitatud? Tuleb selgeks teha, kas teie ettevõte kuulub nende hulka, kellel on kohustus määrata andmekaitsespetsialist. Alates tänasest peaks olema määratud andmekaitsespetsialist näiteks avaliku sektori asutustel ja organitel (nt linna- või vallavalitsused, üldharidus-, kutse- ja kõrgkoolid), aga ka neil erasektoris ettevõtetel, kelle ärimudel seondub andmesubjektide korrapärase ja süstemaatilise jälgimisega, näiteks telekommunikatsiooni teenuse pakkujad aga ka terviseandmetega toimetavad ettevõtted. Lisaks on oluline, et kõik töötajad, kes koguvad, kasutavad või töötlevad isikuandmeid, on saanud uue määruse kohta piisava koolituse.

2. Kas protsess on kaardistatud? Nüüdseks peab olema selgeks tehtud, milliseid isikuandmeid ettevõttes andmesubjekti kohta kogute, millisel eesmärgil ning kuidas teavitate andmesubjekti isikuandmete töötlemise protsessist.

3. Kas olete ära hinnanud õiguste tagamise võimekuse? Peate olema kaardistanud isikuandmete töötlemise protsessi ja veendunud, et ettevõtte on võimeline tagama kõiki määrusega andmesubjektile kaasnevaid õigusi. Muuhulgas on teil selge see, kuidas käituda, kui andmesubjekt nõuab teda puudutavate isikuandmete kustutamist või nõuab andmete ülekandmist.

4. Kas nõusoleku alusel andmetöötluse nõusoleku küsimise vorm vastab määrusele ja nõusolekud on saadud? Palun veenduge, et olete läbi vaadanud ka Andmekaitse Inspektsiooni (AKI) poolt koostatud nõusoleku kontrollnimekirja.

5. Kas teil on koostatud mõjuhinnang? Määrus kohustab teatud andmetöötlejaid koostama andmekaitse mõjuhinnangut juhul, kui isikuandmete töötlemisega võib kaasneda kõrge risk. Soovitame viia selle hinnangu läbi kõigil andmetöötlejatel, kuna sõltumata andmetöötlejast ja töötlusriskidest parandatakse hinnangu koostamisega andmetöötlusprotsesse ja tagatakse parem vastavus nõuetele.

Määrusega sätestatud karistused küündivad kuni 20 miljoni euroni või 4 protsendini ettevõtte ülemaailmsest käibest.

Tambet Toomela, advokaadibüroo Eversheds Sutherland Ots&Co partner ja andmekaitse valdkonna juht märkis, et üsna mitmed ettevõtted on kenasti valmistunud uue määruse jõustumiseks ja saanud kõik vajaliku klientide suunal tehtud.

Toomela rõhutas, et kindlasti tuleb meeles pidada ka oma töötajatega seonduvaid andmeid ning tagada selle vastavus uue määrusega.

Toomela lisas, et Eesti ettevõtetel on kombeks koguda töötajate kohta ka selliseid andmeid, mida uue määruse kohaselt ilma nõusolekuta koguda, säilitada ega kasutada ei saa, näiteks laste nimed ja vanus jõulupakkide jaoks, meeskonnaüritustel fotode tegemine, autode registrimärgid parkimise korraldamiseks jne. «Oluline on, et ka kõik sellised andmed oleks kaardistatud ja nõusolekud küsitud.»

Tagasi üles