Uus isikuandmete kaitse üldmäärus sätestab ettevõtetele täiendavaid kohustusi

Alates 2018. aasta 25. maist jõustub uus Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR). See kohustab ettevõtjaid, kes töötlevad Euroopa kodanike isikuandmeid, muutma isikuandmete töötluse võimalikult turvaliseks, viima töötluse minimaalseks ja sätestama andmetöötlusele kindlad eesmärgid.

Alates 2018. aasta 25. maist jõustub uus Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR). See kohustab ettevõtjaid, kes töötlevad Euroopa kodanike isikuandmeid, muutma isikuandmete töötluse võimalikult turvaliseks, viima töötluse minimaalseks ja sätestama andmetöötlusele kindlad eesmärgid.

Advokaadibüroo Hedman Partners vandeadvokaat Toomas Seppeli sõnul võib ettevõtjatele kohalduvad reeglid tinglikult jagada kaheks: õiguslikud ja tehnoloogilised.

Kohustused

  • Kõrge riskiga andmetöötlustoimingu korral tuleb koostada andmekaitsealane mõjuhinnang. See kohaldub sealhulgas ettevõtjale, kes tegeleb finantsteenuste ja -toodete osutamise või vahendamisega füüsilisele isikule. Samuti füüsiliste isikute finants- või krediidivõimelisuse hindamisega. Kohustuslik on see andmetoimingute suhtes, mida alustatakse pärast 25. maid 2018.
  • Eelnev konsulteerimine Andmekaitse Inspektsiooniga, kui ettevõtja ei suuda leida mõjuhinnangu käigus tuvastatud riskide leevendamiseks sobivaid meetmeid.
  • Isikuandmete töötlemise toimingute registreerimine. Ettevõtja peab dokumenteerima ja säilitama elektroonilises vormis andmed oma vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta.
  • Andmekaitseametnik on vaja määrata ettevõtjatel, kelle majandustegevus hõlmab inimeste ulatuslikku, korrapärast ja süstemaatilist jälgimist, näiteks kliendiandmete töötlemine pangas.
  • Järelevalveasutuse teavitamine 72 tunni jooksul isikuandmetega seotud olulistest rikkumistest. Samuti peab ettevõtja teavitama kliente, kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu inimeste õigustele ja vabadustele.

Tehnoloogia

  • Inimesel on õigus nõuda ettevõtjalt tema kohta kogutud andmete parandamist ja kustutamist. Ettevõtja peab päringule vastama 30 päeva jooksul. Ettevõtja võib kustutamise asemel muuta isikuandmed anonüümseks.
  • Lõimitud andmekaitse ja vaikimisi andmekaitse. Ettevõtjad peavad kohaldama asjakohaseid tehnilisi ja korralduslikke meetmeid ning andmetöötlus peab toimuma konkreetse eesmärgi saavutamiseks. Kohaldub nii vastutavale töötlejale kui ka infotehnoloogiateenuste pakkujatele.
  • Andmete ülekandmise õigus. Inimesel on õigus saada teda puudutavaid isikuandmeid, mida ta on ettevõtjale esitanud. Ettevõtja peab inimesele edastama teda puudutavaid isikuandmeid struktureeritult, üldkasutatavas vormingus ja masinloetaval kujul (näiteks CSV formaadis) ning inimesel on õigus edastada andmed teisele ettevõtjale, näiteks konkureerivale teenusepakkujale.