Isikuandmete kaitse üldmääruse head ja vead

Ajakirjanik Kairi Oja käsitleb jõustunud andmekaitsemääruse teemat
Ajakirjanik Kairi Oja käsitleb jõustunud andmekaitsemääruse teemat

25. mail 2018 jõustunud isikuandmete kaitse üldmäärus on tekitanud emotsioone nii siin- kui sealpool Nuustakut. Nagu selgub, tuleb määruse reaalseks jõustumiseks veel pingutada nii ettevõtjail kui ka seadusandjail.

25. mail 2018 jõustus isikuandmete kaitse üldmäärus, mis sätestab, milliseid andmeid ja mil viisil tuleb kaitsta. Määruse peamine eesmärk on anda nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul kodanikele parem kontroll oma andmete üle. Suurem osa ettevõtjaid, sealhulgas raamatupidamisteenuse osutajad, üritas tähtaegselt oma tegemised määrusega kooskõlla viia.

IT-teemalised juhised on suurim defitsiit

Ettevõtte DStream Accounting OÜ aastatepikkuse finantstaustaga juhatuse liige Krista Teearu on lisaks raamatupidamisele ja finantsanalüüsile pidanud raha- ja investeerimisteemalist blogi ning andnud hulganisti finantskonsultatsioone.

„Andmekaitsemäärusest on räägitud päris palju nii ajakirjanduses kui ka mitmesugustel koolitustel. Ilmselt on enamik ettevõtjaid nüüdseks vähemalt teemast teadlikud,” ütleb Teearu. „Meil on plaan olemas ja suur osa tööst praeguseks ka tehtud. Oleme üle vaadanud oma andmete struktuuri, kasutatavad programmid, arvutite seaded, lepingud. Suurt lisakulu pole olnud, raamatupidajatel on niigi ranged nõuded. Aega on siiski päris palju kulunud,” kõneleb Teearu.

Teearu ütleb, et lõviosa infost on tulnud ajakirjandusest ja koolitustelt. „Juristidele meeldib rääkida nõuetest ja vastutusest, aga nad ei kipu eriti andma konkreetseid juhiseid. Eriti on puudus selgetest IT-teemalistest juhistest,” leiab ta. „Kui sa kasutad pilveprogramme, kuidas sa hindad, kas see sobib või mitte? Samuti seda, millistele nõuetele peavad vastama su sülearvuti ja nutitelefon, mille kaudu sa neid programme kasutad.”

Raamatupidajad on Teearu ütlust mööda oma andmeid alati hoolikalt hoidnud, mistõttu ei muutu näiteks tema ettevõtte töös suurt midagi. „Tore oleks, kui telefonimüüjad edaspidi aktsepteeriksid nõudmist telefoninumber oma andmebaasist kustutada ja meili teel müüjate unsubscribe-link ka reaalselt töötaks. Sellest poolest on veidi vähe räägitud,” näeb ta vajakajäämisi.

Mis puudutab hirmu võimalike trahvide ees, on Teearu arvates määrusega sama lugu nagu muude sarnaste aktsioonidega. Korralikumad ettevõtjad – ja kindlasti ka valdav osa raamatupidajatest – püüavad olla ülihoolsad. Mingi osa ettevõtjaid aga lihtsalt ignoreerib uut määrust.

Riigilt ootab Teearu konkreetseid, selgeid, lihtsaid ja inimkeelseid juhendeid ning näidiseid. „Eri tegevusalade lõikes koostatud kontrollnimekirjad oleksid kindlasti abiks,” lausub ta.

Lisakulu ulatust on veel vara hinnata

Raamatupidamisbüroo Vesiir juhatuse liige Enno Lepvalts on arvamusel, et ehkki teoorias peaks enamikul ettevõtjatel olema ettevalmistused määruse rakendamiseks tehtud, ei ole see kindlasti kõikide puhul nii. „Tavaettevõtte jaoks on ju kõik üsna lihtne. Raamatupidamisettevõttena töötleme aga finantsinfot ja siin on vaja vaadata, milline osa infost kuulub andmekaitse alla ja milline mitte,” räägib Lepvalts. „Näiteks kellegi palgaandmete edastamine kolmandatele isikutele ei ole juba a priori mõistlik ja seda ei tee meie kunagi,” lausub ta.

Piiri on Lepvaltsi hinnangul raske tunnetada. „Näiteks ei ole kogu töötajaid puudutav info isegi mitte sedavõrd delikaatne, kuivõrd kuulub ärisaladuse alla, sest varem on ju vaikimisi kokku lepitud, et lepingu andmed ei kuulu avaldamisele,” arutleb ta.

Lepvalts ütleb, et neid kui raamatupidamisettevõtet painavad sootuks teised probleemid. „Meil ei ole füüsilisi isikuid ega ka tarbijaid, kelle jaoks see määrus peamiselt tehtud on. Juriidilised andmed on ju avalikud. Tõenäoliselt jääb aga püsima küsimus, kuidas me neid andmeid siis ikkagi lõplikult töötleme, rõhu asetaksin siinkohal teadlikult sõnale lõplikult,” räägib ta.

Lepvalts on seisukohal, et ennekõike tasub selgeks teha, kuidas ja kus info liigub – kas hoiame seda enda juures või väljaspool ning kas ja kes selle eest vastutab?

Lisakulutusi määruse jõustumiseks valmistumisel Lepvalts ja tema ettevõte veel teinud ei ole. „Ega mingeid täpsemaid hinnanguid praegu ju anda ei saa. Võib-olla on see tuhandetes eurodes, me ei tea seda praegu, kuid kindlasti kulub teatud aeg, et selgeks teha, millega tegu on, ja sellele vastavalt toimetada,” arvab ta.

Suurima tõrkena toob Lepvalts välja infopuuduse – tavalistele kaupmeestele on kõik ilmselt arusaadav, kuid neile, kes veidigi teistsugusemat infot omavad, on tema sõnul väga palju lahtist ja udust. „Kui meie käes on tehingu info, siis kas see kuulub üleandmisele või mitte?” arutleb Lepvalts edasi. „Tööandjana on meil vaja läbi mõelda, missuguseid andmeid meil töötajate kohta on vaja koguda, ja leida põhjendused, miks meil just seda infot vaja on. Mõni võib esitada küsimuse, milleks meile näiteks isikukood, kui nimi juba on, või siis, et milleks meile töötaja kontaktaadress. Üsna tülikas ja suur töö on hakata põhjendama iga andmevälja vajalikkust kirjalikult koos viidetega, ent see on vaja ära teha. Lisaks on vaja andmete juurde märkida, kas seda infot on lubatud kolmandale isikule väljastada. Kaupleja näiteks seisab dilemma ees, kas ja missuguses ulatuses ta peab üle andma tehinguinfo isiku ostude kohta – on ju ka need isikuandmed. Kas ja millist osa tohib üldse kustutada?”

Lepvalts toob näiteks veel olukorra, mil raamatupidamisregistrit kontrollides võib olla keerukas tõendada, et mingi tehing on toimunud just mingis konkreetses summas.

Lepvalts leiab, et koolitusi jõustunud määruse teemal on tehtud üksjagu, aga need on suuresti olnud üldised ega arvesta ettevõtte spetsiifikat. „Ent kuna igaüks tahab ju ennekõike enda tegevuse tasandilt infot kuulda, pole üldisest infost kuigivõrd kasu,” märgib ta.

Rahapesuseadus keelab andmete edastuse, aga samas ka kustutamise

Lisaks andmekaitsemäärusele mõjutab Lepvaltsi sõnul andmete käitlemist rahapesu ja terrorismi rahastamise tõkestamise seadus. „See seab ikka väga ranged piirangud. Kui mõne kahtlase või riiklikele instantsidele huvipakkuva tehingu andmed ära kustutame, võib halvimal juhul tagajärjeks olla vangis istumine,” märgib ta. „Peame ju kliendi ja temaga seotud füüsiliste isikute kohta koguma päris palju infot. Seega on teatav vastuolu kõigesse sellesse juba ette sisse programmeeritud – ühtepidi tuleks andmed säilitada, teisalt aga ei tohiks neid meie valduses olla enam kui tehinguks hädapärast vaja,” selgitab ta.

Mõnevõrra paradoksaalne näib Lepvaltsile ka asjaolu, et ühtepidi ei tohi isikuandmeid kolmandatele isikutele edastada, teisalt aga ei või neid mainitud rahapesu tõkestamise seadusest tulenevalt ka kustutada. „Olen osalenud uurimisel, istudes „rahapesu-ametnikega” üle laua, et uurida kliendi esindaja kutseala. Tundub kahtlemata jabur, kuid jaburusele vaatamata tuleb seda kliendi esindajalt küsida, ja kui ei küsi ega saa vajalikku infot kätte, siis võidakse sind selle eest karistada. See tähendab, et lisaks elukohainfole on kriitilise kaaluga ka inimese kutseala,” jätkab Lepvalts. „Kui ma selle kohta andmeid ei kogu, siis võin mina karistada saada,” sõnab ta.

Lisaks tuleb Lepvaltsi sõnutsi oma kliendi tegemisi seaduse aspektist jälgida ja kogutud infot säilitada. „Seda infot ei tohi kustutada, see on mõeldud säilitamiseks. Edastada tohib andmeid vaid siis, kui küsitakse; ka kodanikule endale ei tohi me seda mainida, et tema kohta selliseid andmeid kogume,” toob ta veelgi paradoksaalseid näiteid. Ka siis, kui teeme rahapesu kohta ametile avalduse, ei tohi me kõnealusele isikule sellekohast infot jagada. Kui inimesega sel teemal nõu peame või teda teavitame, tõlgendatakse seda uurimisorganite töö takistamisena,” avab Lepvalts, kes ei ole enda sõnul kuigi motiveeritud määruse täitmiseks suuri pingutusi tegema.

Mingit trahvilaviini Lepvalts lähemas perspektiivis ei näe, pigemini usub, et kui kedagi inspekteerima hakatakse, siis on need ennekõike suuremad ettevõtted. „Eks igasugu trahvidega on ju ikka nii, et ennekõike rünnatakse neid, kellelt midagi võtta on, ent samas on ettevõtjate alalhoidlikkus ilmselt sedavõrd suur, et seadusandja ei looda väga sellele võimalusele,” möönab ta muigamisi.

Lepvaltsi sõnul peaks ettevõtetel olema selge vastus võimalikule küsimusele, miks mingit infot korjatakse ja kuidas seda hoitakse, ent ka selle kohta, miks seda ei saa kustutada või edastada. „Kohe kui tuleb mängu raha, on kohustus info säilitada. Oluline on vaid küsimus, kas ja millised andmed on asjakohased ning mis ei ole.”

Veel toob Lepvalts ilmeka näite laenuandja kohta, kel võib olla huvi koguda laenutaotleja kohta küllaltki suures mahus infot. „Võtame näiteks tarbimiskrediidi – kui laenuvõtja jääb keerulisse olukorda, hakatakse tõenäoliselt uurima, miks talle ülepea anti laenu olukorras, mil ta ei ole võimeline laenu tagasi maksma. Siis peab ju suutma asjaolusid tõendada ja end kaitsta. Selleks on vajalik info, et mõista, millele krediidiandja oma otsuse tegemisel tugines.”

Tundub, et mõtlemiskohti on veel palju.

Määruse kallal töötati mitu aastat

Isikuandmete kaitse üldmääruse ettevalmistamisega hakkas Andmekaitse Inspektsioon ulatuslikumalt tegelema 2016. aasta lõpus. „Oleme koostanud juhendmaterjale üldmäärusest tulenevate kohustuste täitmiseks, valmimas on ka andmetöötlejate üldjuhend üldmääruse rakendamiseks. Kuna üldmäärus näeb ette, et andmekaitsespetsialisti määramisest tuleb inspektsiooni teavitada, on selleks loodud elektrooniline võimalus äriregistri ettevõtjaportaalis,” ütleb Andmekaitse Inspektsiooni peadirektor Viljar Peep, kelle sõnul on iseäranis suurt huvi tekitanud suuremate ülikoolide andmekaitsespetsialistide täienduskoolituskursused, mille koolituskavade koostamisse oli kaasatud ka inspektsioon. „Samuti ei saa mainimata jätta, et teeme tihedat koostööd erialaliitudega, aidates kaasa üldmääruse näidisdokumentatsiooni ja sektoripõhiste juhiste koostamisele,” sõnab ta.

Kõikides Euroopa Liidu liikmesriikides otsekohalduv isikuandmete kaitse üldmäärus võeti vastu aprillis 2016 ja määruse vastuvõtmisel anti kaheaastane üleminekuaeg, mis tähendab, et käesoleva aasta 25. maist tuleb üldmäärust rakendada. „Üldmääruse juurde kuulub ka riigisisene isikuandmete kaitse seadus ja rakendusseaduste pakett, mis täpsustavad andmekaitsega seotud nüansse riigis. Hetkeseisuga on uus isikuandmete kaitse seadus alles Riigikogus lugemisel ja rakendusseaduste pakett ootab oma järge,” avaldab Peep.

Ettevalmistuse tase ettevõtetes erinev

„Kuna üldmäärus toob täiesti uusi kohustusi juurde vähe (pigem täpsustatakse ja täiendatakse olemasolevaid), siis sõltub valmisolek paljuski sellest, kui palju on ettevõte varem andmekaitse ja andmeturbe teemadega tegelenud,” põhjendab Peep ning lisab, et samas on tal äärmiselt hea meel tõdeda, et teemat arutatakse palju, andmetöötlejad kaardistavad oma tegevusi ja analüüsivad protsesse. „Võib öelda, et üldmääruse tulek on kaasa toonud teadlikkuse kasvu, tegevuste korrastamise ja läbimõeldumad turvameetmed,” lausub ta.

Peep lisab, et andmekaitse laiemalt on viimasel ajal leidnud avalikkuses üpris palju kajastust. „Andmetöötlejad on hakanud rohkem teadvustama, et klientide usaldus on osa nende imagost. Klientide usaldust saab aga võita andmete korrektse kogumise ja kasutamisega,” usub ta.

Inspektsioon soovib keskenduda ennekõike ennetavale ja nõustavale järelevalvele

Kuigi üldmäärusega kaasnevad oluliselt suuremad trahvimäärad (seni oli maksimaalne trahv 32 000 eurot, nüüd tõuseb see 20 miljoni euro või 4 protsendini ettevõtte aastakäibest), ei plaani inspektsioon oma trahvipoliitikat muuta. „Meie eesmärk ei ole igale avastatud õiguserikkumisele raske trahviga lajatada. Inspektsioon ei ole oma töös keskendunud üksikrikkumiste avastamisele ja karistamisele, vaid terveid sektoreid katvale ennetavale ja nõustavale järelevalvele ning selgitustööle,” kinnitab Peep ja lisab, et üksnes nii on võimalik kõige tõhusamalt mõjutada infoturvet ja inimeste õiguste kaitset ettevõtetes ja asutustes. „Rikkumisest teavitamise kohustus on teatud juhtudel ka andmetöötlejal endal. Nimelt tuleb andmete vastutaval töötlejal andmetöötlemise rikkumisest teavitada inspektsiooni mistahes juhul, kui see kujutab ohtu isiku õigustele ja vabadustele,” ütleb ta.

Peep jätkab, et määruse ettevalmistamine on pikk protsess ja eraldi meediakampaaniat planeeritud ei ole. „Küll aga tegeleme iga päev teavitustööga erinevate meediakanalite kaudu. Veel teeme koostööd erialaliitudega, mille kaudu levitatav teave on suunatud juba konkreetsematele sihtrühmadele,” räägib Peep.

Ettevõttel, kes alles nüüd hakkab mõtlema isikuandmete kaitse üldmääruse rakendamisele, soovitab Peep tutvuda inspektsiooni kodulehel www.aki.ee oleva andmekaitsereformi rubriigiga, et saada ülevaade oma kohustustest. „Alustama peaks andmetöötluse kaardistamisega ja andmekaitsespetsialisti määramise kohustuse välja selgitamisega,” soovitab Peep.

Püüavad esiti oma peaga mõelda

Rebecca-Liis Armus juhib Rakveres oma raamatupidamisfirmat ja ta valiti mullu aasta raamatupidajaks. Ka tema on seisukohal, et küsitavusi on määrusega seoses veel palju. „Vaatamata sellele, et määruse jõustumisest on räägitud juba üsna pikalt, ei ole tegelikult veel üheselt selge, mismoodi see praktikas päriselt välja peaks nägema. Meie oma ettevõttes oleme osalenud vastavatel koolitustel, kuid ka sealsed lektorid ei oma veel selget ettekujutust praktikast,” tõdeb ta. „Seetõttu teeme oma peaga seda, mis tundub vajalik, ja vaatame, mis pärast määruse jõustumist tegelikult juhtuma hakkab, ning sellele vastavalt kohaldame vajaduse korral oma tegevust,” jätkab Armus. „Ma arvan, et meie ettevõte on määruse rakendamiseks rohkem valmis kui paljud teised, aga oma kliente peame selles osas veel kõvasti järele aitama.”

Koolitusi uue määruse teemal on palju, ent need on tihtipeale üldsõnalised

Armuse sõnul on nende ettevõttes hakatud kindlasti natuke rohkem teadvustama seda, kui palju isikuandmeid majas liigub ja kuidas neid töödelda tuleks. „Oleme enda kaitseks teinud mõned ümberkorraldused, koostanud materjale ja muutnud mõningaid dokumente,” ütleb ta. Mingeid lisakulusid peale enda ajakulu pole määruse tulek Armuse sõnul ettevõttele kaasa toonud.

Info, mis seoses määrusega liigub, ei ole Armuse sõnul väga konkreetne ja palju on niisama mulli. „Seetõttu on enda jaoks olulist infot välja selekteerida keeruline. Vaatamata määruse üllale eesmärgile on selle tegelik mõju selline, et see osutub väikeettevõtetele koormavaks ning kujuneb olukord, kus paljud mikroettevõtted, kellel pole palgal kontoriinimest, ei ole määruse jõustumisega väga kursis. Selliste ettevõtete puhul jääb kogu teavitus- ja selgituskohustus meile kui raamatupidamisbüroole,” räägib Armus.

Määruse vajalikkuses Armus põhjust kahelda ei näe. „Leian, et see on vajalik juba seetõttu, et inimestel näib internetis igasugune privaatsus kadunud olevat. „Osalt on see isiku enda vaba valik, teisalt liigub ringi igasugust muud infot, mille kohta inimesel endal sõnaõigust ei ole.

Armus avaldab lootust, et võimalikele trahvimistele eelneb ikka enne n-ö hoiatuste periood ning tegelike trahvideni jõutakse alles pärast korralikku teavituskampaaniat ja siis, kui on selged juhised ja juhendid välja töötatud. „Ma ei ole veel kohanud inimesi, kes tunneksid reaalset hirmu selles osas, ilmselt inimesed ei teadvusta endale veel asja tegelikku sisu,” märgib ta.

Andmekaitse Inspektsioonilt ootab Armus selgeid juhendeid. „Näidismaterjali ja muud sellist, et mikroettevõtted ei peaks uue määruse rakendumisel koormama end liigse rahakuluga ja raiskama aega,” täpsustab Armus.

Lisainfo andmekaitse määruse kohta:

• detailne info andmekaitsespetsialisti registreerimise kohta on leitav SIIT

• üldmääruse juhendmaterjalid, kontrollküsimustikud ja näidised leiad SIIT

Osale arutelus

  • Kairi Oja, vabakutseline ajakirjanik

Toetajad:

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi Raamatupidajat sotsiaalmeedias

RSS
Palgakalkulaator
Maksuvabastus (kuu)
Maksuvabastus (aasta)

Toetajad:

Tarkvara

Vabaned rutiinsest paberitööst ja saad pühendada oma aja inimestele!

Me usume, et tarkvara peab kiirendama ja lihtsustama tööd ning vältima inimlikke vigu. Et seda saavutada palgaarvestuses, on mõistlik teha arvestus samas programmis, kus on selle aluseks olevad andmed – palk, koormus, puhkused, haiguslehed, lisatasud, töögraafikud jne.

Paindlik NOOM pakub erilahendusi

Üks korralik majandustarkvara on kohaldatav Teie ettevõtte soovide ja vajadustega. Astro Balticsi loodud majandustarkvaraga NOOM saate kindlad olla, et tarkvara suudab kaasas käia kõikide erisoovidega, mis Teie ettevõtte arenedes võivad tekkida.

Valdkonna tööpakkumised

MAXIMA EESTI OÜ otsib PEARAAMATUPIDAJAT

Fontes PMP OÜ

22. oktoober 2018

Uudised

Tööriistad