Ettevalmistused uue andmekaitsemääruse tulekuks

Mihkel Lauk
PwC IT valdkonna juhtivkonsultant Mihkel Lauk

Käesoleva aasta 25. maist hakkab kehtima uus andmekaitsemäärus, mis sisaldab valdavalt kõiki isikuandmete töötlejate praegu kehtivaid õiguseid ja kohustusi. PwC IT-valdkonna juhtivkonsultant Mihkel Lauk selgitab, mida uus andmekaitsemäärus endaga täiendavalt kaasa toob ja mida edaspidi isikuandmeid töödeldes silmas peaks pidama.

Lisandub tõendamiskohustus

Peamise täiendusena toob andmekaitsemäärus ettevõtete jaoks kaasa tõendamiskohustuse. Tõendamiskohustus tähendab seda, et andmekaitse määruse nõuetega vastavust on vaja dokumentaalselt tõestada. Kui ettevõttes on isikuandmete töötlemisel hästi toimivad praktikad ja süsteemid juba olemas, tuleb need tõendamise eesmärgil formaliseerida ja dokumenteerida. Peab vormistama ametlikud kinnitused, nt juhatuse otsused või muud sellelaadsed dokumendid, kus kirjeldatakse üksikasjalikult protseduurireegleid, mille alusel isikuandmeid töödeldakse. Vajadusel peab saama auditiga tõendada, et isikuandmeid töödeldakse ka tegelikult sel viisil, nagu on plaanitud.

Teine tõendamisvaldkond on kommunikatsioon. Siia kuuluvad isikuandmete töötlemise lubade andmine ja võtmine, andmetöötluse piiramine, igasugused päringud, mis andmesubjekti ja ettevõtte vahel võivad toimuda. Andmesubjektidelt tuleb võtta nõusolek nende andmete töötlemiseks, millel puudub muu õiguslik alus, kusjuures nõusoleku olemasolu peab suutma tõendada. Tõendada saab näiteks infosüsteemide logidega, kust on näha, millal mingi taotlus on tekkinud, millal on seda menetletud ja sellele vastatud.

Nõusolekuid ja piiranguid tuleb jälgida ja kontrollida

Finants- ja personalivaldkonnas töödeldakse tavaliselt kolme tüüpi isikuandmeid:

- füüsilisest isikutest klientide andmed;

- lepingutes sisalduvad äriklientide kontaktisikute andmed;

- oma töötajate ja potentsiaalsete oma töötajate (värvatavate isikute) isikuandmed.

Finantsvaldkonna ja personalihalduse kontekstis on levinud tüüpiline arusaam, et nendes valdkondades ei töödelda eraisikutest klientide andmeid ning et raamatupidamislik andmetöötlus on juba tavaliselt lepingulise suhte realiseerimine ja lepingulisse suhtesse astumisega on klient andnud loa oma andmeid töödelda. Tegelikult ei ole eraldi luba isikuandmete töötlemiseks vaja, kui selleks on olemas mingi muu õiguslik alus, nt tööleping või kliendileping või muu seadusest tulenev alus. Küll aga on nõusolek vajalik nt ettevõtte siseturunduslikel eesmärkidel (sotsiaalmeedia, üritused, laste jõulupeod jms).

Kui andmed antakse edasitöötlemiseks ühelt juriidiliselt isikult teisele, peab andmete saaja veenduma, et andmed on kogutud õigetel alustel ning et on olemas nõusolek nende andmete töötlemiseks ja edasiandmiseks. Seda tuleb kontrollida ja ärisuhetes on mõistlik see lepinguga fikseerida. Sellega kinnitavad osapooled, et nad on isikuandmeid kogudes ja edastades järginud kõiki määruse nõudeid. Näiteks võime tuua personaliotsingufirma, kes teeb sihtotsingut ja kelle kaudu saabuvad CV-d. Tuleb veenduda, et need andmed on kogutud õigetel alustel ning et on olemas nõusolek andmete töötlemiseks ja edasiandmiseks.

Üks paljudest nõuetest on see, et isikuandmeid tohib töödelda ainult nii kaua, kuni töötlemise eesmärk saab täidetud. Näiteks tuleb pärast värbamisprotsessi ettevõttes kinnitatud protseduurireeglite kohaselt hävitada mõistliku aja jooksul nende kandidaatide andmed, kes valituks ei osutunud.

Eelduslikku nõusolekut ei ole

Kui isikuandmete töötlemise eesmärk muutub ja sellest muutusest ei ole protsessi käigus andmesubjektile teatatud, siis tuleb seda teha ja vajadusel täiendav nõusolek hankida. Näiteks kui soovitakse samalaadse värbamise jaoks CV-sid säilitada pikemat aega, tuleb andmesubjektilt luba hankida kas juba töökuulutuses või küsida hiljem täiendavat nõusolekut. Kui päringule vastust ei tule, siis nõusolekut ei saadud ja andmed tuleb hävitada. Tuleb meeles pidada, et eelduslikku nõusolekut ei ole uue andmekaitsemääruse kontekstis olemas, sest see ei ole tõendatav.Oluline on, et inimene teaks, milline on andmete töötlemise kavatsus, ja tal oleks vabadus valida, kas ta soovib antud tingimustel kandideerida või mitte. Inimene peab saama enne nõusoleku andmist isikundmete töötlemise tingimustega tutvuda.

Tundlikud andmed nõuavad erilist tähelepanu

Personalihalduses töödeldakse iga päev töötajate tundlikke andmeid. Siin tuleb vaadata, kui tundlikuks muutuvad isikuandmed mitmesuguste seostamiste tõttu. Näiteks on arsti nime järgi võimalik tuletada tervisehäda valdkonda. Kuigi täpset diagnoosi teada ei saa, on võimalik tuletada, millise terviseprobleemiga inimene haiguslehel oli.

Töötajate alla 16-aastaste laste andmed on samuti tundlikud andmed, mille töötlemiseks on vaja lapsevanema luba. Personalitöötajal on laste andmeid vaja selleks, et töötajad saaksid realiseerida oma vanemlikke õiguseid – võtta vastavaid puhkuseid, vabu päevi jms. Nende andmete töötlemine on eraldi eesmärk eraldi õiguslikul alusel, mis ei tähenda, et neid andmeid võib automaatselt kasutada ka näiteks lastele pidude korraldamiseks või kingituste tegemiseks. Kui töötaja tuleb tööle, peab talle selgitama, millised lisaeesmärgid teil nende andmetega seoses on, ja sellele asjaolule tuleb võtta nõusolek. Andmed võib ka iga kord kokku korjata ja load küsida. Kui andmete kogumise eesmärk saab täidetud – pidu peetud ja kingitused jagatud – tuleb kogutud andmed hävitada. Enne järgmist sarnast üritust tuleb andmete kogumiseks taas nõusolek küsida.

Paljudes ettevõtetes on traditsioon töötajaid sünnipäeva puhul õnnitleda ning sotsiaalmeedias või tööruumide meediapindadel toimunud sündmuste pilte avaldada. On inimesi, kellele see ei sobi ja kes tunnevad ennast tähelepanu keskmes halvasti. See tähendab, et personalitöötajad peavad värbamisel inimestele ütlema, millised traditsioonid ettevõttes on. Kui inimesele kollektiivne tähelepanu ei sobi, peab tal olema vabadus ja õigus tähelepanust keelduda. Ka värbamisel toimuv tutvustus peab olema kõikehõlmav ja põhjalikult läbi mõeldud.

Jälgimisel on eri reeglid

Üks tundlike andmete eri liik on videojälgimine, mis paljudes ettevõtetes toimub turvalisuse eesmärgil. Sellega seoses tuleb üle vaadata, millised töötajad, mil määral ja mis eesmärgil satuvad videovalve vaatevälja. Neid tuleb sellest informeerida. Kui töötajale jälgimine ei sobi, tuleb kasutusele võtta privaatsust tagavad meetmed. Näiteks kui töötaja töökoht on püsivalt kaamera vaateväljas, ent eesmärk ei ole konkreetselt tema jälgimine, vaid tegemist on üldise ruumiturbega, tuleks selle töötaja töökoht maskeerida.

Paljud ettevõtted teevad järelevalvet infosüsteemide ja võrguturbe huvides: arvutites on antiviirused, jälgitakse võrguliiklust ja infosüsteemidesse logitud kasutajate tegevust. Ka on teatud tingimustel võimalik tutvuda töötaja kirjakasti sisuga. See kõik tähendab jälgimist ning töötajale peab juba tööle võtmisel kõikidest jälgimistest ja nende eesmärkidest teada andma ning ta peab nendest ka aru saama. Kui töötajale selline jälgimine ei sobi, peab tal olema vabadus mitte tööle tulla.

Jälgimises ei ole midagi halba ja on olukordi, kus töötajaid jälgitakse nende tegevuse kontrollimiseks. Samas peab eesmärk olema väga selge ja töötajatel peab olema kindlustunne, et jälgimisel ei ole mingit muud, peidetud eesmärki.

Andmete töötlemist esineb arvatust rohkem

Olukordi, kus ettevõtetes isikuandmeid töödeldakse, on väga palju. Paraku ei ole kõik need tegevused alati läbipaistvalt ja arusaadavalt selgitatud. Andmekaitsemääruse vastavuse analüüs näitab, et reaalelus on väga palju olukordi, kus tegelikult andmeid töödeldakse, ja on olemas eesmärgid, ent tegevused on tutvustamata ja nõusolekud küsimata. Kindlasti tuleb personali vaatevinklist läbi mõelda, millised on elulised juhtumid, kus andmeid töödeldakse, ja kas kõik on ikka töötajatele selgeks tehtud.

Andmesubjektil on rohkem õigusi

Võrreldes praeguse regulatsiooniga laiendatakse andmekaitsemäärusest tulenevaid andmesubjekti õigusi. Selle näiteks on nn õigus olla unustatud printsiip, mis tähendab, et igaüks võib nõuda oma andmete kustutamist. Samas ei ole see õigus ülimuslik: kui muudel õiguslikel alustel kehtivad andmetele säilitustähtajad, siis neid kustutada ei saa enne säilitustähtaja lõppu. Nõue tuleb siiski menetleda, dokumenteerida ja kustutamisest keeldumine põhjendada. Kõik need tegevused peavad olema hiljem tõendatavad.

Mida ette võtta ja tähele panna:

- Võtke määruse nõuded ette ja kaardistage ettevõtte tegelik praktika. Vaadake, millised nõuded on kaetud ja millised katmata.

- Kaetud nõuded dokumenteerige ja vormistage protseduurid. Olemasoleva hea tava kohta koostage protokollid ja kinnitage need juhatuse otsusega. Sellega on vastavus tõendatud.

- Katmata nõuete osas tehke selgeks, mida täpselt on vastavuse saavutamiseks vaja teha. Tihti on tarvis lihtsalt andmesubjektidega rohkem suhelda. Pange kirja, milliseid andmeid ja mis eesmärgil kogute, kui kaua neid hoiate ja töötlete. Tehke see teave andmesubjektile kättesaadavaks ja küsige nõusolekut, kui muud alused puuduvad.

- Kõik isikuandmete töötlemise toimingud peavad olema dokumenteeritud ja tõendatavad.

Osale arutelus

  • Mihkel Lauk, PwC IT valdkonna juhtivkonsultant

Toetajad:

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi Raamatupidajat sotsiaalmeedias

RSS
Palgakalkulaator
Maksuvabastus (kuu)
Maksuvabastus (aasta)

Toetajad:

Tarkvara

Majandustarkvara RAPID

Tarkvaraga RAPID saate korraldada keskmise või väikese ettevõtte raamatupidamise ja majandusarvestuse - laoarvestus, palgaarvestus, teenindus, üüriarvestus, jm. RAPIDi tasuta versiooniga saab töö tehtud üksikettevõtja, alustav ettevõte või mittetulundusühing.

Parima juhtimisaruandluse ja automatiseeritud raamatupidamisega majandustarkvara Suno365

Columbus Eesti on toonud turule uue täisfunktsionaalse majandustarkvara Suno365. Tegu on pilvepõhise ja kuutasulise majandustarkvaraga (ERP) ettevõtetele, kes hindavad kaasaegseid lahendusi taskukohaste kuludega.

Valdkonna tööpakkumised

KAARLI HAMBAPOLIKLIINIK otsib PEARAAMATUPIDAJAT

Tripod Grupp OÜ

30. november 2018

MAXIMA EESTI OÜ ootab oma meeskonda PALGAARVESTAJAT

Maxima Eesti OÜ

19. november 2018

Uudised

Tööriistad