Isikuandmete kaitse üldmääruse jõustumise ootuses

Isikuandmete kaitse üldmääruse jõustumise ootuses
Isikuandmete kaitse üldmäärus 2016/679 jõustub 25. mail 2018. a

Isikuandmete kaitse üldmäärus 2016/679 (määrus) jõustub 25. mail 2018. a, jäänud on vähem kui aasta. Määrusega tunnistatakse kehtetuks direktiiv 95/46/EÜ, millel põhineb ka Eestis kehtiv isikuandmete kaitse seadus (IKS). Lähiajal tunnistatakse kehtetuks direktiivi Eesti riigisisesesse õigusesse harmoniseerinud IKS, sest edaspidi tuleb esmajärjekorras lähtuda otsekohalduvast määrusest, mille suhtes ei või kehtida dubleerivaid ega vastuolulisi õigusnorme.

Ehkki määrus on vahetult kohalduv, pakub see liikmesriikidele mitmeid võimalusi määruses sätestatut õigusaktidega täpsustada või täiendavalt reguleerida. Justiitsministeerium on otsustanud reguleerida sellised küsimused õigusnormidega, mida kavandatakse jõustada määruse jõustumisel.

Uus IKS-i jõustumine

Uue määruse olulisemaks rakendusaktiks kavandatakse uut IKS-i, mis peaks jõustuma määruse jõustumisel.

Esialgsete prognooside kohaselt pidi uus IKS-i eelnõu olema kooskõlastusringile edastamiseks valmis 2017. a suvel. Valitsuse lauale pidi see jõudma 2017. a sügisel. Tegelikkuses ei ole aga IKS-i eelnõu veel kooskõlastusringile jõudnud ja uute prognooside kohaselt loodab justiitsministeerium seda teha hiljemalt novembri alguses.

Valmis on aga justiitsministeeriumi koostatud õigusliku raamistiku kontseptsioon, mille alusel võime ette näha mitmeid olulisi muudatusi.

Üks suurema mõjuga muudatustest andmetöötlejale on kohustus määrata teatud juhtudel andmekaitseametnik (andmekaitsespetsialist). Määruse kohaselt on see kohustus ette nähtud nii avaliku sektori asutustele ja organitele (nt linna- või vallavalitsused, üldharidus-, kutse- ja kõrgkoolid) kui ka piiratud ulatuses erasektoris tegutsevatele ettevõtetele.

Erasektoris tegutsevale andmetöötlejale tekib kohustus siis, kui selle ärimudel seondub andmesubjektide korrapärase ja süstemaatilise jälgimisega. Nimetatud alus hõlmab näiteks andmetöötlejaid, kes teevad jälgimis- või profileerimistoiminguid internetis (sh telekommunikatsiooni teenuse pakkujad). Kohustus tekib ka andmetöötlejale, kelle põhitegevus on andmete eriliikide ulatuslik töötlemine. Kuivõrd eriliigilisteks andmeteks loetakse ka terviseandmeid ja biomeetriat, on kohustatud isikuteks sellel alusel muuhulgas haiglad ning perearstikeskused.

Määruses on kohustatud isikute ring määratletud laiaulatuslikult, seetõttu võiks kaaluda täpsustavaid eeskirju.

Kohustus laieneb nii era- kui ka avaliku sektorile korraga, seetõttu vajavad mõlemad sektorid korraga palju asjatundjaid, kes teaksid eksperdi tasandil andmekaitse õigusakte ja tavasid, oleksid suutelised aitama andmetöötlejaid ning kontrollima andmetöötlejate tegevuse kooskõla nõuetega. Andmekaitse Inspektsiooni (AKI) hinnangul ei taga Eesti kõrgkoolis omandatud õigusteaduse või infotehnoloogia kraad uutele vajadustele kohast kutsekvalifikatsiooni. Seetõttu AKI koostas ning avaldas oma kodulehel andmekaitsereformi rubriigis andmekaitsespetsialisti ülesannete, teadmiste ja oskuste loetelu, mis on eelduseks andmekaitseametniku rolli tulemuslikuks täitmiseks. Eespool toodu on võetud aluseks ka andmekaitseametnike täiendkoolitusprogrammi välja töötamiseks, esimesi koolitusi alustati Tallinna Ülikoolis ja Tallinna Tehnikaülikoolis.

Määruse tõttu on palju kõneainet pakkunud selles märgitud suured karistused, mis võivad küündida kuni 20 000 000 euroni või 4%-ni ettevõtte ülemaailmsest käibest. Selles osas sätestatakse Eestile aga oluline erand. Nimelt ei kohaldu Eesti ettevõtetele määruses toodud trahvimäärade maksimummäärad, sest Eesti muude õigusaktide kohaselt ei ole selliste karistuste määramine võimalik. Seega kuuluvad Eestile omased trahvimäärad sätestamisele uues IKS-is ning võib loota, et need jäävad 32 000 euro piiridesse.

AKI koostatav juhendmaterjal

AKI kavandab selgitada määruses sätestatud nõudeid, õigusi ja kohustusi ka eraldi juhendmaterjalidega. Peamiseks määrust selgitavaks juhendiks saab määruse üldjuhend, kuhu koondatakse kokku kõik üldist laadi juhtnöörid. Nii selgitatakse üldjuhendis määruse peamisi nõudeid ning näidatakse suunda andmetöötlusprotsesside kooskõlla viimiseks määruse nõuetega.

Prognooside kohaselt pidi üldjuhend olema valmis kinnitamiseks AKI nõukoja sügiskoosolekul. Justiitsministeeriumi koostatav IKS-i eelnõu pole aga seni kooskõlastamisele jõudnud, seetõttu võib arvata, et ka üldjuhendi väljaandmine lükkub edasi. Suures osas hakkab üldjuhend toetuma juba AKI kodulehel andmekaitse reformirubriigis avaldatule (andmetöötleja kohustuste lühikataloog, andmekaitsespetsialisti määramine, andmekaitsespetsialisti kompetentsid, mõjuhinnang, andmete ülekandmise õigus, rikkumisteated, töötlustoimingute registreerimine, vaikimisi ja lõimitud andmekaitse, andmekaitsetingimuste kontrollnimekiri ja nõusoleku kontrollnimekiri).

Üldjuhendile lisaks on AKI-il kavas enne määruse jõustumist välja anda ka andmesubjekti õiguste meelespea. Mahult veidi väiksema juhendmaterjali eesmärk on anda terviklik ning kokkuvõtlik ülevaade kõigist olulisematest määrusest tulenevatest õigustest. Muus osas kavatseb AKI täiendada ja muuta juba olemasolevaid juhendmaterjale. Esimesena täiendatakse olulisemaid teemasid, näiteks andmete töötlemine töösuhtes, kaamerate kasutamine ning seejärel kõiki ülejäänud juhendmaterjale.

Määruse jõustumisega ettevõtetele kaasnevate rakenduskulude kokkuhoidmiseks koostab AKI ka andmesubjekti nõusoleku andmise tingimusi, andmesubjektile teabe andmise näidise ja kaebuse näidisvormi (sh elektroonilise). Need dokumendid ei ole samuti veel avaldatud.

Olenemata asjaolust, et määruse rakendusakte ning erinevaid juhendmaterjale ei ole seni avaldatud, peaksid andmetöötlejad määruse jõustumiseks valmistuma juba praegu.

Esitame viis soovitust, millega võiksite algust teha:

  1. Leidke asjatundja. Olenemata asjaolust, kas teie ettevõttel on kohustus määrata andmekaitsespetsialist või mitte, leidke piisava kompetentsiga inimene, kes suudab teid abistada määruse jõustumiseks ettevalmistuste tegemisel. Vajaduse korral koolitage ettevõtte oma töötajaid. Otsustage, kas teie ettevõttes on vaja määrata andmekaitsespetsialist.
  2. Selgitage välja tarvilikud toimingud. Tehke selgeks, milliseid isikuandmeid ettevõttes andmesubjekti kohta kogute, mis eesmärgil ning kuidas teavitate andmesubjekti isikuandmete töötlemise protsessist.
  3. Hinnake õiguste tagamise võimekust. Kui olete isikuandmete töötlemise toimingud välja selgitanud, siis veenduge, et ettevõte on võimeline tagama kõiki määrusega andmesubjektile kaasnevaid õigusi. Tehke selgeks see, kuidas käituda, kui andmesubjekt nõuab teda puudutavate isikuandmete kustutamist või andmete ülekandmist.
  4. nõusoleku kooskõla määrusega. Isikuandmete töötlemisel nõusoleku alusel tutvu AKI koostatud nõusoleku kontrollnimekirjaga ning veendu nõusolekuvormi kooskõlas määrusega.
  5. Koostage mõjuhinnang. Määrus kohustab teatud andmetöötlejaid koostama andmekaitse mõjuhinnangut, kui isikuandmete töötlemisega võib kaasneda kõrge risk. Soovitame teha selle hinnangu kõigil andmetöötlejatel, sest olenemata andmetöötlejast ja töötlusriskidest parandatakse hinnangu koostamisega andmetöötlusprotsesse ning tagatakse paremini nõuetekohasus.

Osale arutelus

  • Tambet Toomela, Eversheds Sutherland Ots&Co partner, andmekaitse ja IT valdkonna juht
    Erika Tuvike, Eversheds Sutherland Ots&Co jurist

Toetajad:

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi Raamatupidajat sotsiaalmeedias

RSS
Palgakalkulaator
Maksuvabastus (kuu)
Maksuvabastus (aasta)

Toetajad:

Tarkvara

SmartAccounts - lihtsaim ja kiireim raamatupidamistarkvara pilves

SmartAccounts on majandustarkvara, mis on suunatud väikese ja keskmise suurusega uuendusmeelsetele ettevõtetele, kelle jaoks on oluline lihtsus ja mugavus.

TAAVI PALK – parim valik kõigile palgaarvestajaile

Töötasude arvutamist ja maksustamist puudutava seadusandluse igaaastane muutumine ja uute peensuste jätkuv lisandumine on palgaarvestusest teinud ühe komplitseerituma valdkonna finantsarvestuses.

Valdkonna tööpakkumised

Taxify is looking for an ACCOUNTANT

Taxify OÜ

17. detsember 2017

Maxima otsib FINANTSANALÜÜTIKUT

Maxima Eesti OÜ

22. detsember 2017

Uudised

Tööriistad