25. mail hakkas üle terve EL-i kehtima Isikuandmete kaitse üldmäärus (IKÜ), laiemalt tuntud kui GDPR (General Data Protection Regulation).
GDPR täpsustab ja ühtlustab isikuandmete kaitse põhimõtteid, annab eraisikutele suurema kontrolli oma andmete kasutamise üle, muudab andmete töötlemise läbipaistvamaks ning kehtestab kopsakad trahvid isikuandmetega seotud rikkumistele.
Kõik ettevõtted peaksid seoses GDPRiga üle vaatama oma äriprotsessid ning isikuandmete (sh töötajate andmete) kogumise, säilitamise ja hävitamise põhimõtted ning tähtajad.
Mis on isikuandmed ning mida loetakse andmete töötlemiseks?
Isikuandmeteks loetakse igasuguseid andmeid tuvastatud või tuvastatava (otseselt või kaudselt) füüsilise isiku kohta. Isikuandmed jagunevad omakorda isikuandmeteks ning eriliigilisteks isikuandmeteks.
Isikuandmed on näiteks:
- inimese nimi
- isikukood ja sünniaeg
- aadress, e-postiaadress, telefoninumber
- eksamite tulemused
- sõnalised hindamised
- jne
Eriliigilised isikuandmed on andmed, millest avaldub isiku:
- rassiline või etniline päritolu
- poliitilised vaated, usulised või filosoofilised veendumused
- geneetilised ja biomeetrilised andmed
- terviseandmed
- jne
Isikuandmete töötlemine
Isikuandmete töötlemiseks loetakse isikuandmete või nende kogumitega tehtavat automatiseeritud või automatiseerimata toimingut või toimingute kogumit.
Isikuandmete töötlemiseks on näiteks andmete kogumine, säilitamine, lugemine, kasutamine, muutmine, avalikustamine, kustutamine, hävitamine jms.
Töötlemise alus
Isikuandmeid võib töödelda vaid juhul kui selleks on olemas vähemalt üks järgnevatest õiguslikest alustest:
- isiku nõusolek
- lepingu sõlmimine või täitmine
- juriidilise kohustuse täitmine
- isiku eluliste huvide kaitse
- avalik huvi
- õigustatud huvi
Andmete töötlejad
Andmete töötlejad jaotatakse vastutavaks töötlejaks ning volitatud töötlejaks.
Vastutav töötleja on see, kes määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Näiteks on ettevõte oma töötajate ja klientide andmete vastutavaks töötlejaks.
Volitatud töötleja töötleb isikuandmeid vaid vastutava töötleja ülesandel. Näiteks on volitatud töötlejaks vastutavale töötlejale teenuseid osutav raamatupidamisbüroo või kliendiuuringufirma.
Töötlustoimingute register
Selleks, et igal vastutaval töötlejal oleks ülevaade tema juures toimuvast andmetöötlusest, peab ta pidama elektroonilist registrit, mis sisaldab kõiki isikuandmete töötlemise toiminguid, mis:
- ei ole juhtumipõhised
- kujutavad endast tõenäoliselt ohtu inimeste õigustele ja vabadustele
- sisaldavad isikuandmete eriliike või süütegudega seotud andmeid
Seega peab register kindlasti sisaldama vähemalt kõiki regulaarseid töötajate andmetega tehtavaid toiminguid nagu palga arvestamine, maksmine jne. Kirja ei pea panema iga konkreetset toimingut (arvestasin töötaja x palga kuupäeval y) vaid toimingute liike (töötaja palgaarvestus).
Ka volitatud töötlejad peavad registrit pidama, kuid nende puhul piisab vastutavate töötlejate ja nende nimel tehtavate toimingute kategooriate ülesmärkimisest.
Läbipaistvus
GDPR eeldab ka ettevõtte lepingute sh kasutustingimuste ja privaatsuspoliitikate ülevaatamist. Näiteks tuleb andmete omanikule talt andmeid kogudes teatavaks teha muuhulgas:
- vastutava töötleja ja töötleja esindaja nimi ja kontaktandmed
- kui on, siis andmekaitseametniku kontaktandmed
- isikuandmete töötlemise eesmärk ja õiguslik alus
- kui töötlemine põhineb töötleja või kolmanda isiku õigustatud huvil, siis info selle kohta
- isikuandmete vastuvõtjad või vastuvõtjate kategooriad
- kas töötleja plaanib isikuandmeid edastada kolmandale riigile või rahvusvahelisele organisatsioonile
- isikuandmete säilitamise ajavahemik või ajavahemiku määramise kriteeriumid
- teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele, esitada nende töötlemisele vastuväiteid või nõuda nende parandamist, kustutamist, töötlemise piiramist või ülekandmist
- teave õiguse kohta nõusolek igal ajal ilma kahjulike tagajärgedeta tagasi võtta
- teave õiguse kohta esitada kaebus järelvalveasutusele
- kas isikuandmete esitamine on õigusaktist või lepingust tulenev nõue või lepingu sõlmimiseks vajalik nõue
- kas andmesubjekt on kohustatud kõnealuseid isikuandmeid esitama ning mis on esitamata jätmise võimalikud tagajärjed
- teave automatiseeritud otsuste (nt profiilianalüüs) tegemise kohta koos sisulise teabega kasutatava loogika, töötlemise tähtsuse ja prognoositavate tagajärgede kohta andmesubjekti jaoks
- enne töötlemist teave selle kohta, kui andmeid kavatsetakse kasutada muul eesmärgil kui neid koguti (ka siis kui andmeid pole kogutud andmesubjektilt)
Rikkumised
GDPR kohustab isikuandmeid töötlema selliselt, et tagatud oleks isikuandmete korrektselt säilimine ning välistatud nende hävimine või neile loata ligipääsemine.
Andmelekke korral:
- peab Andmekaitseinspektsiooni teavitama rikkumistest, mis tõenäoliselt kujutab endast ohtu füüsiliste isikute õigustele ja vabadustele
- teavitus peab toimuma põhjendamatu viivituseta ja 72 tunni jooksul pärast rikkumise avastamist
- kõik rikkumised tuleb dokumenteerida
- kui rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, tuleb teavitada ka puudutatud isikuid
- lisaks teatamisele tuleb välistada rikkumise taastekkimine ning leevendada võimalikke kahjulikke mõjusid
SmartAccounts ja GDPR
Oleme ettevõttes GDPRi jõustumiseks ettevalmistumisega tegelenud suurema osa viimasest aastast ning tänaseks oleme isikuandmete kaitseks rakendanud nii tehnilisi kui korralduslikke meetmeid.
SmartAccountsi isikuandmete töötlemise üldpõhimõtete ja korraga saate tutvuda:
SmartAccountsi isikuandmete töötlemise üldpõhimõtted
SmartAccountsi kliendiandmete töötlemise kord
Andmekaitseinspektsioon: www.aki.ee
Küsimuste korral kirjutage meile info@smartaccounts.eu