Teisipäev, 06 Detsember 2016 13:24

Käitumisjuhis ettevõtjale isikuandmete turvanõuete rikkumise korral

Tea Kookmaa, jurist
Tea Kookmaa, jurist Advokaadibüroo TRINITI

2018. aasta mais jõustuv andmekaitse üldmäärus näeb ette täpsed käitumisjuhised olukorras, kus on aset leidnud isikuandmete turvanõuete rikkumine. Määrusest tulenevat uudset teavitamiskohustust selgitab advokaadibüroo TRINITI jurist Tea Kookmaa.

„Rikkumine“ ei ole vaid see, kui ettevõtjal kaovad ära talle usaldatud isikuandmed. Rikkumine on mis tahes turvanõuete rikkumine, millega kaasneb isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine, loata avalikustamine või neile juurdepääsu võimaldamine.

72 tunni reegel

Isikuandmetega seotud rikkumise korral peab vastutav töötleja teavitama sellest viivitamatult järelevalveasutust. Määrus näeb ette, et üldjuhul peab ta seda tegema 72 tunni jooksul.

Eestis on järelevalveasutuseks andmekaitse inspektsioon. Seega, kui näiteks ettevõtte personalijuhi arvuti on konverentsil avatud internetivõrgus ning selle kaudu said avalikuks ettevõtte töötajatega seotud terviseandmed, peab ettevõte teavitama juhtunust andmekaitse inspektsiooni 72 tunni jooksul. Selle kolme päeva jooksul peaks ettevõte suutma tuvastada, millised andmefailid kadusid ning mitu isikut on puudutatud; kirjeldama võimalikke tagajärgi ning meetmeid, mida ettevõte kasutab rikkumisega tegelemiseks.

Erandina on lubatud teavitada hiljem, kui rikkumine ei kahjusta isiku õigusi ja vabadusi. See tähendab, et vastutav töötleja peab oskama anda hinnangu sellele, missugused tagajärjed on konkreetsel rikkumisel.

Oluline on tähele panna ka seda, et vastutav töötleja peab kõik isikuandmetega seotud rikkumiste juhtumid dokumenteerima. Dokumenteerima peab nii rikkumise asjaolud kui ka selle mõju ja võetud parandusmeetmed.

Arvestades protseduuri keerukust, peab teavitamine olema hoolikalt läbi mõeldud, enne kui selleks vajadus tekib.

Kohustus teavitada isikut ennast

Juhul kui rikkumisega kaasneb tõenäoliselt suur oht isiku õigustele ja vabadustele, tuleb isikut ennast samuti otsekohe rikkumisest teavitada. Suur oht isiku õigustele või vabadustele oleks näiteks siis, kui pangal juhtub, et kelmustega tegelevad isikud saavad juurdepääsu kliendi pangakonto andmetele.

Teavituses tuleb kirjeldada rikkumise laadi, selle võimalikke tagajärgi ning seda, mida on töötleja ette võtmas kahjulike tagajärgede ärahoidmiseks.

Teade peab olema esitatud lihtsas keeles ehk isik peab olema võimeline aru saama, missugune rikkumine on tema isikuandmete suhtes toime pandud.

Vastutaval töötlejal ei ole teavitamise kohustust siis, kui töötleja on rikkumisest mõjutatud isikuandmed krüpteerinud.

Meelespea:

  •    Üldreegel: isikuandmetega seotud rikkumistest tuleb alati teavitada andmekaitse inspektsiooni 72 tunni jooksul.
  •    Rikkumisest teavitamise kohustuse tagamiseks tuleb viia sisse siseprotseduurid selle kohta, kes ja mida rikkumise korral tegema peab. Küsimus ei ole selles, kas ettevõttes toimub rikkumine, vaid kas ettevõte on selliseks juhtumiks valmis.
  •    Jälgida, et rikkumiste juhtumid dokumenteeritaks alati nõnda, nagu määrus nõuab.
  •    Võimalusel võib rakendada isikuandmete krüpteerimist, mis tagab andmete turvalisuse.

Toetajad

IKS logo 1
Jaga:

Liituge meiega sotsiaalvõrgustikes