Uus andmekaitsemäärus tagab parema isikuandmete kaitse

Mihkel Miidla
Vandeadvokaat Mihkel Miidla käsitleb uut andmekaitsemäärust

Tuleva aasta 25. mail kohaldub uus isikuandmete kaitse üldmäärus (GDPR). GDPR on osa Euroopa Komisjoni 2012. aastal algatatud andmekaitsereformist eesmärgiga moderniseerida andmekaitseõigus ning tagada parem andmesubjektide õiguste kaitse.

Tänavu 25. mail lõpeb esimene aasta kaheaastasest üleminekuperioodist GDPR-iks valmistumisel. GDPR-i põhialused ja lähtekohad on küll üpris sarnased kehtivate isikuandmete kaitset puudutavate reeglitega, kuid siiski sisaldab see ka palju uut. Kõik isikuandmete töötlejad peaksid oma andmetöötlusprotsessid üle vaatama ning rakendama vajalikke abinõusid, et saavutada kooskõla GDPR-i nõuetega.

GDPR on EL-i liikmesriikides otsekohalduv

Erinevalt 1995. aastast pärinevast isikuandmete kaitse direktiivist on GDPR otsekohalduv kõikides EL-i liikmesriikides. See peaks tagama ka ühetaolisema lähenemise isikuandmete kaitsele EL-is, sest seda ei pea iga liikmesriigi õigusesse eraldi üle võtma. Samas ka GDPR jätab teatud määral vabadust liikmesriikidele reegleid täpsustada, mistõttu ei saa rääkida täielikult ühtlustuvast korrast, vaid edaspidi võib samuti tekkida vajadus arvestada erisustega liikmesriigiti.

Tulevikus on oodata ka sektoripõhiseid määrusi, mis kehtestavad veelgi täpsemad andmekaitse nõudmised eri sektorites (nt e-privaatsuse määruse eelnõu on juba menetluses). GDPR on üldmäärus – see viitab sektoriülesele iseloomule ning üksnes raamatupidamisele ja raamatupidajatele kohalduvaid sätteid sellest ei leia. Teisalt võib aga kindla veendumusega öelda, et ükski raamatupidamisteenuste pakkuja GDPR-i nõuetest puutumata ei jää.

Isikuandmete töötlemine

Lähtekohaks GDPR-i nõuete kohaldumisele on küsimus, kas isikuandmeid üldse töödeldakse. Lihtsustatult öeldes on isikuandmed mis tahes teave tuvastatud või tuvastatava füüsilise isiku kohta. Arvestades isikuandmete mõiste laia määratlust, võib eeldada, et raamatupidamisteenuste osutajad ja raamatupidajad töötlevad isikuandmeid – kas siis oma töötajate või klientide ja nende esindajate andmeid, kliendi raamatupidamist puudutavas teabes sisalduvad isikuandmed vms.

Teiseks on oluline hinnata, millises rollis isikuandmeid töödeldakse – kas vastutava töötlejana, volitatud töötlejana või vastuvõtjana. Sellest sõltub kohalduvate nõuete hulk ja nende sisu. Näiteks raamatupidamisteenuseid osutav ettevõtja tegutseb vastutava töötlejana oma töötajate isikuandmete puhul, kuid samal ajal ka volitatud töötlejana oma klientidele raamatupidamisteenuste osutamise raames.

GDPR on mahukas õigusakt ning kõike selles sisalduvat ei ole võimalik ühes lühikeses artiklis edasi anda. Seetõttu on alljärgnevalt välja toodud valik olulisematest uuendustest, millega tuleks arvestada.

Vastutuse põhimõte

GDPR näeb üldpõhimõttena ette, et vastutav töötleja vastutab GDPR-i nõuete täitmise eest (isikuandmete mis tahes töötlemisel tema poolt ja tema nimel) ning peab suutma seda tõendada. See aga ei tähenda, et volitatud töötlejad ei saaks vastutada GDPR-i nõuete rikkumise eest.

GDPR kehtestab selged kohustused ka volitatud töötlejatele, mille rikkumise korral vastutab volitatud töötleja.

Selleks et midagi oleks ka tegelikkuses võimalik hiljem tõendada ja seeläbi end paremini kaitsta, tuleb eriti hoolikalt dokumenteerida mis tahes toiminguid, millel on puutumus GDPR-i nõuete täitmisega. Osa dokumenteerimiskohustusi on GDPR-is ka selgelt välja toodud – nt isikuandmete töötlemise toimingute registreerimine, mis sisuliselt tähendab vastutava või volitatud töötleja või mõlema poolt vastava registri pidamist.

Selline register peab sisaldama andmeid selle kohta, kes töötlevad isikuandmeid, millisel eesmärgil, kelle isikuandmeid töödeldakse, milliseid isikuandmeid töödeldakse, kellele isikuandmeid edastatakse, mis aja jooksul isikuandmeid töödeldakse, milliseid turvameetmeid rakendatakse jms. Sellist registrit tuleb pidevalt ajakohastada ja seda peab olema võimalik esitada järelevalvet tegevale asutusele.

Õiguslik alus töötlemiseks

Oluline on alati veenduda, et isikuandmete töötlemiseks konkreetsel eesmärgil on olemas asjakohane õiguslik alus. Selleks võib olla andmesubjekti nõusolek või muu õigusaktist tulenev alus (nt andmesubjektiga sõlmitud lepingu täitmine või selle tagamine; seadusest tulenevate nõuete täitmine). GDPR võimaldab isikuandmeid töödelda ka õigustatud huvi alusel, kuid sellele alusele tuginemine eeldab vastutava töötleja huvide kaalumist vastandatuna andmesubjekti põhiõigustele ja -vabadustele.

Kui raamatupidamisteenuste osutaja töötleb isikuandmeid volitatud töötlejana, peaks asjakohased muudatused tegema olemasolevatesse kliendilepingutesse.

Nimelt kehtestab GDPR loetelu erinevatest teemadest, mis peavad vastutava ja volitatud töötleja vahelises lepingus kaetud olema – nt turvalisuse taseme tagamiseks asjakohaste tehniliste ja korralduslike meetmete kirjeldus, konfidentsiaalsuskohustus, andmesubjektide päringutele vastamine, alltöötlejate kaasamine, isikuandmete tagastamine pärast teenuse osutamise lõpetamist, andmekaitse auditid jms.

Erilise hoolikusega tuleb analüüsida, kas isikuandmeid töödeldakse vahenditega (nt server), mis füüsiliselt asuvad väljaspool EMÜ liikmesriike või kui isikuandmeid muul viisil tehakse kättesaadavaks väljaspool EMÜ liikmesriike. Sellisel juhul võib osutuda vajalikuks võtta kasutusele täiendavad kaitsemeetmed isikuandmete kaitse piisava taseme tagamiseks. Tüüpiline näide on pilveandmetöötluse ressursi või pilvepõhiste rakenduste kasutamine (nt pilvepõhine raamatupidamistarkvara, aga ka traditsioonilisemad lahendused nagu e-posti server).

Rikkumistest teavitamine

Uuendusena näeb GDPR ette kohustuse teavitada isikuandmetega seotud rikkumistest järelevalveasutust ja teatud juhtudel, olenevalt rikkumise iseloomust, ka andmesubjekte. Isikuandmetega seotud rikkumine on turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.

Teavitamiskohustus on vastutaval töötlejal, kuid volitatud töötlejatel on kohustus mis tahes rikkumisest alati teavitada vastutavat töötlejat.

Vastutaval töötlejal on täiendav kohustus dokumenteerida kõik rikkumised, rikkumisega seotud asjaolud, mõju ning rikkumise puhul rakendatud parandusmeetmed. Mõistlik oleks kehtestada ka tegutsemisjuhised isikuandmetega seotud rikkumiste puhuks.

Oluliselt on laienenud andmesubjektile teabe andmise kohustused. Vastutavad töötlejad peavad isikuandmete töötlemise läbipaistvuse tagamiseks (ja seeläbi andmesubjektide õiguste parema kaitse tagamiseks) tegema andmesubjektidele kättesaadavaks märkimisväärse hulga erinevat teavet isikuandmete töötlemise kohta.

Muud olulised uuendused

  • Vastutavad töötlejad peavad tagama lõimitud andmekaitse ja vaikimisi andmekaitse, võttes kasutusele asjakohased tehnilised ja korralduslikud meetmed.
  • Teatud erijuhtumitel tuleb teha andmekaitse mõjuhinnangud.
  • Vajalikuks võib osutuda määrata andmekaitseametnik (DPO).
  • Andmesubjektide õigused on laienenud, sõnaselgelt on GDPR-i toodud „õigus olla unustatud” ning uudse õigusena on lisandunud andmete ülekandmise õigus.
  • Täiendavad nõuded profileerimise ja automaatsete otsuste osas.
  • Suuremad sanktsioonid ja ulatuslikum vastutus.

Kuidas valmistuda?

  • Alustada tuleb olemasoleva olukorra väljaselgitamisest. Mõistlik on koostada isikuandmete töötlemise toimingute register.
  • GDPR-iga kooskõla saavutamiseks on soovitav määrata vastutav isik/töötaja/osakond olenemata sellest, kas andmekaitseametniku (DPO) määramine on kohustuslik või mitte ning tagada piisavad ressursid.
  • Üle tuleb vaadata ja uuendada juhised ja eeskirjad, mis puudutavad isikuandmete töötlemist organisatsioonis. Vajaduse korral koostada täiendavad juhised, eeskirjad ja protsessid.
  • Kontrollida, kas isikuandmete töötlemiseks on olemas õiguslik alus.
  • Rakendada võimalikule ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid.
  • Veenduda, et andmesubjektile teabe andmise kohustuse täitmine on tagatud.
  • Tagada, et andmesubjektid saaksid oma õigusi kasutada.
  • Kehtestada tuleb tegevusjuhised isikuandmetega seotud rikkumiste puhuks.
  • Hinnata, kas on vaja määrata andmekaitseametnik (DPO).
  • Vaadata üle ja täiendada (kliendi)lepinguid, mis hõlmavad isikuandmete töötlemise kokkuleppeid.
  • Isikuandmete edastamise korral väljapoole EMÜ liikmesriike veenduda, et see on lubatud või et oleks rakendatud asjakohased abinõud, et tagada isikuandmete kaitse piirav tase.
  • Koolitada töötajaid GDPR-i nõuete osas.

Osale arutelus

  • Mihkel Miidla, advokaadibüroo Sorainen vandeadvokaat

Toetajad:

Jälgi Raamatupidajat sotsiaalmeedias

RSS
Palgakalkulaator
Maksuvabastus (kuu)
Maksuvabastus (aasta)

Toetajad:

Tarkvara

e-arveldaja – raamatupidamise tarkvara alustavale ja väikeettevõtjale (esimene aasta tasuta)

e-arveldaja on veebipõhine tarkvara, mis sobib hästi just alustavale ja väikeettevõtjale, aga ka mittetulundusühingule ning sihtasutusele. Sellel on tänaseks juba üle 5300 kasutaja.

SmartAccounts - lihtsaim ja kiireim raamatupidamistarkvara pilves

SmartAccounts on majandustarkvara, mis on suunatud väikese ja keskmise suurusega uuendusmeelsetele ettevõtetele, kelle jaoks on oluline lihtsus ja mugavus.

Valdkonna tööpakkumised

Uudised

Tööriistad