Andmekaitse üldmäärus on endiselt peavaluks paljudele ettevõtjatele! Mida teha?
Andmekaitse üldmäärus ehk GDPR on endiselt peavaluks paljudele ettevõtjatele, kuna reeglite paljusus ja nõuete pidev muutumine tekitavad segadust. Samas võivad eksimused viia kopsaka trahvi ning halvimal juhul ka ettevõtte tegevuse peatamiseni, tunnistab advokaadibüroo Hedman isikuandmete kaitse ekspert Andres Ojaver.
Klientide ja töötajate isikuandmed ning nendega seotud kohustused on saanud paljude ettevõtete igapäevaseks reaalsuseks, kuid endiselt jäädakse hätta seadusest tulenevate nõuete täitmisega. “Ajakirjandusest loeme aina enam andmekaitsega seonduvatest reeglitest ja eksimuste tõsidusest ning aina sagedamini tekib ettevõtjal ka õigustatud küsimus, kas meil on kõik enam-vähem korras ja kuidas seda kontrollida,” viitas Andres Ojaver ettevõtjate ebakindlusele andmekaitse valdkonnas.
Ajakirjandusest loeme aina enam andmekaitsega seonduvatest reeglitest ja eksimuste tõsidusest ning aina sagedamini tekib ettevõtjal ka õigustatud küsimus, kas meil on kõik enam-vähem korras ja kuidas seda kontrollida.
Isikuandmete kaitse ekspert pani kokku viis sammu, mis aitavad igal ettevõttel sõltumata suurusest ja tegevusvaldkonnast tugevdada andmekaitset, vältides trahvi või muid sanktsioone.
1. Koosta ülevaade kõikidest ettevõttes kasutatavatest isikuandmetest
Kasutatavate isikuandmete ülevaade tuleb koostada nii klientide kui ka töötajate puhul ning igas ettevõttes peab olema selge, kust ja kuidas isikuandmed tekivad, milleks neid kogutakse, kas neid tehakse kättesaadavaks mõnele teisele ettevõttele. Samuti on oluline omada ülevaadet, millal isikuandmed kustutatakse või anonüümseks muudetakse ning kas selline tähtaeg tuleneb mõnest seadusest või tuleb see ettevõttel määrata.
2. Selgita välja, kas ettevõte teeb tegevusi, mille puhul peab inimeselt küsima nõusoleku
Kui vastus on “jah”, tuleb koostada nõusoleku tekst, millele inimene saab vastata jaatavalt või ka eitavalt, märkida „linnukese“ või jätta see märkimata. Hedmani isikuandmete kaitse ekspert tuletas meelde, et nõusolekut peab inimene hiljem saama ka tagasi võtta. “Eelkõige on see oluline turundustegevuste puhul ning tundlike ehk eriliigiliste andmete kasutamise korral,” selgitas Ojaver.
3. Andmete eest vastutab nende algne koguja
Paljud ettevõtted kasutavad koostööpartnereid sellistes töölõikudes nagu näiteks raamatupidamine, personaliotsing, andmeanalüütika, IT teenused, turundus jne. “Sellisel juhul tuleb meeles pidada, et kliendi ja töötaja ees vastutab igal juhul andmete algne koguja. Ettevõte vastutab ka siis, kui reeglite vastu eksib tema lepinguline partner või teenusepakkuja,” rõhutas Hedmani ekspert.
Isikuandmete kaitse kohustused ja vastutused peavad olema reguleeritud näiteks vastava lepinguga ning isikuandmeid kasutav teenusepakkuja peab olema valmis lepingutingimusi täitma. “Soovitan panna lepingusse konkreetsed kohustused infoturbe, andmete kasutamise piirangute, andmete kustutamise ja andmete edastamise piirangute kohta,” ütles Ojaver.
4. Krüpteerimine ja anonüümimine on andmekaitse parimad sõbrad
Isikuandmete kaitse ei ole mõeldav infoturbe meetmete rakendamiseta ning majasisesed reeglid on selles osas seetõttu vältimatud. Erilist tähelepanu tuleb pöörata ka töötajatele, seadmete kasutamisele ja intsidentidele reageerimisele. Kui andmetega siiski midagi juhtub, peab tõsiste rikkumiste korral ettevõte Andmekaitse Inspektsiooni teavitama 72 tunni jooksul.
5. Privaatsusteade olgu lihtne, aus ja läbipaistev
Isikuandmete kaitse ekspert soovitas veenduda, et ettevõtte veebilehel olev privaatsusteade oleks lihtsasti leitav ning kirjeldaks andmekaitsealaseid tegevusi läbipaistvalt ja ausalt, informeerides inimest tema õigustest seoses oma andmetega ja sellest, kuidas ta oma õigusi teostada saab. “Tihti unustatakse, et peaks olema ka kontakt, kuhu andmekaitse küsimustes saab lisaküsimuste korral pöörduda ning ettevõttel on kohustus vastata 30 päeva jooksul,” tuletas Andres Ojaver meelde.