Autor: Raamatupidaja.ee • 26. oktoober 2018
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Millal ja mille eest võib andmekaitse trahvida?

Euroopa andmekaitseasutuste töörühm töötab välja juhendmaterjale, et selgitada lähemalt, mida uues andmekaitsemääruses kasutatud mõisted tähendavad ja mida määrus nii avaliku sektori kui ka eraettevõtete jaoks kaasa toob. Nüüd on andmekaitsemääruse trahvide kohaldamise ja määramise juhendmaterjalid olemas ka eesti keeles.
Täitmise tagamise keskne element on trahvid
Foto: scanpix

Selleks et järgida trahvide määramisel järjepidevat lähenemisviisi, on andmekaitsenõukogu leppinud kokku, kuidas ühiselt mõista hindamiskriteeriumeid. Järelevalveasutused hakkavad kasutama neid suuniseid ühtse lähenemisviisina.

Veebiseminar Mida peab raamatupidaja teadma uuest andmekaitse seadusest? aitab seaduse nüanssides orienteeruda ja rikkumisi vältida.

Lisainfo ja registreerimine SIIN.

Ühtlustatud andmekaitsekorra keskmes on andmekaitsenormide täitmise järjepidev tagamine. Määrusega kehtestatud täitmise tagamise uue korra keskne element on trahvid, mis koos muude meetmetega moodustavad tähtsa osa järelevalveasutuste käsutuses olevatest täitmise tagamise vahenditest.

Trahvide määramise põhimõtted:

1. Määruse rikkumise tagajärjel tuleks määrata „samaväärseid karistusi“.

2. Sarnaselt kõikidele järelevalveasutuste valitud parandusmeetmetele peaksid trahvid olema „tõhusad, proportsionaalsed ja heidutavad“.

3. Pädev asutus annab hinnangu „iga juhtumi puhul eraldi“.

4. Ühtlustatud lähenemisviis andmekaitse valdkonnas määratavatele trahvidele nõuab aktiivset koostööd ja teabe vahetamist järelevalveasutuste vahel.

Juhtumi tõlgendamisel arvestatakse juhtumi individuaalseid üksikasju ja võetakse arvesse järgnevaid kriteeriume:

a) rikkumise laad, raskus ja kestus;

b) kas rikkumine pandi toime tahtlikult või hooletusest;

c) vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d) vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt kohaselt kasutusele võetud tehnilisi ja korralduslikke meetmeid;

e) vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f) järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g) rikkumisest mõjutatud isikuandmete liigid;

h) millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i) kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem kasutusele võetud meetmeid, siis nende meetmete järgimine;

j) toimimisjuhendite või sertifitseerimismehhanismide järgimine;

k) juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju

Järelevalveasutuste jaoks võib olla eriti oluline teave rikkumise tulemusel saadud kasu kohta, sest rikkumisest saadud majanduslikku kasu ei saa hüvitada meetmetega, millel puudub rahaline element. Seega võib asjaolu, et vastutav töötleja on saanud määruse rikkumise eest kasu, selgelt näidata, et määrata tuleks trahv.

Rikkumised ja trahvisummad

Trahvid on oluline vahend, mida järelevalveasutused peaksid asjakohastes olukordades kasutama. Eesmärk on mitte kasutada trahve viimase võimalusena ega hoiduda nende kehtestamisest, aga teisalt ka mitte kasutada neid sellisel viisil, mis kahandaks nende kui vahendi väärtust.

Määruses on kehtestatud trahvidele kaks erinevat maksimumsummat (10 ja 20 miljonit eurot) ja seega juba osutatud, et määruse teatavate sätete rikkumine võib olla tõsisem kui muude sätete rikkumine. Kui ainsaks parandusmeetmeks või üheks mitmest asjakohasest parandusmeetmest on valitud trahv, siis kasutatakse määrusega (artikli 83 lõigetes 4–6) kehtestatud mitmetasandilist süsteemi, et teha kindlaks maksimaalne trahv, mida saab vastavalt kõnealuse rikkumise laadile määrata.

Järelevalveasutus võib jõuda seisukohale, et juhtumi konkreetseid asjaolusid arvesse võttes ei kujuta rikkumine suurt riski asjaomaste andmesubjektide õigustele ega mõjuta kõnealuse kohustuse sisu. Sellistel juhtudel võib asendada trahvi noomitusega (kuid mitte alati). Põhjendus 148 ei sisalda järelevalveasutuste kohustust väiksema õigusrikkumise korral alati trahv noomitusega asendada („võib trahvi asemel teha noomituse“), vaid pigem on tegemist võimalusega, mida saab kasutada pärast juhtumi kõikide asjaolude konkreetset hindamist.

Samasugune võimalus asendada trahv noomitusega antakse ka juhul, kui vastutav töötleja on füüsiline isik ja tõenäoliselt määratav trahv kujutaks endast ebaproportsionaalset koormust. Lähtepunktina peab järelevalveasutus hindama, kas juhtumi asjaolusid arvesse võttes on vaja trahv määrata. Kui ta otsustab trahvi määramise poolt, peab järelevalveasutus hindama ka seda, kas määratav trahv kujutaks füüsilise isiku jaoks ebaproportsionaalset koormust. Määruses ei ole konkreetsetele rikkumistele kindlat hinda määratud, vaid seatud on üksnes ülempiir (maksimumsumma).

Tuleb tähele panna, et määruse rikkumised, mis võivad oma laadilt kuuluda artikli 83 lõikes 4 sätestatud kategooriasse „kuni 10 miljonit eurot või kuni 2 % ülemaailmsest aastasest kogukäibest“, võivad teatavatel asjaoludel lõpuks liigituda kõrgema tasandi kategooriasse (20 miljonit eurot). Selline olukord võib tõenäoliselt esineda siis, kui asjaomaseid rikkumisi on varem käsitletud. Kui ühe konkreetse juhtumi puhul on toime pandud mitu erinevat rikkumist, siis tähendab see seda, et järelevalveasutus saab kohaldada trahve tasemel, mis on tõhus, proportsionaalne ja heidutav kõige raskema rikkumise seisukohast.

Rohkem määruse (EL) 2016/679 kohaste trahvide kohaldamise ja määramise kohta saad lugeda SIIT.

Allikas: Andmekaitse Inspektsioon

Liitu Raamatupidaja uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Liitu Raamatupidaja uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Mare TimianRaamatupidaja.ee juhtTel: 6670405
Külli ReinoRaamatupidaja.ee toimetajaTel: 6670405
Cätlin PuhkanRaamatupidaja.ee turunduslahenduste müügijuhtTel: 53 315 700