Isikuandmete kaitsest finantsteenuste sektoris

Kuigi paljud ettevõtted on alustanud ettevalmistusi 2018. aasta mais jõustuva Euroopa Liidu isikuandmete kaitse üldmäärusega (määrus) vastavuse saavutamiseks, valitseb siiski palju ebaselgust kohustuste ulatuses ja üksikasjades, tõdeti 1. novembril toimunud FinanceEstonia ja advokaadibüroo Derling andmekaitsehommikul.

Kuigi paljud ettevõtted on alustanud ettevalmistusi 2018. aasta mais jõustuva Euroopa Liidu isikuandmete kaitse üldmäärusega (määrus) vastavuse saavutamiseks, valitseb siiski palju ebaselgust kohustuste ulatuses ja üksikasjades, tõdeti 1. novembril toimunud FinanceEstonia ja advokaadibüroo Derling andmekaitsehommikul.

Finantssektor on seoses suuremahulise eraisikute andmete töötlemisega kahtlemata üks sellistest, mida isikuandmete töötlemise reeglite muudatused suurel määral puudutavad. Samas on seminari avaettekande teinud Derlingi vandeadvokaat Ave Piik’i sõnul kahetsusväärne, et meedias on teemat käsitletud peaasjalikult üüratute trahvidega hirmutamise taktikat kasutades.

Piik julgustas ettevõtjaid säilitama rahulikku meelt ning selgitas, et Andmekaitse Inspektsioon on ka omalt poolt andnud sõnumi, et järelevalvepraktikat maikuust üleöö märkimisväärselt karmistada ei kavatseta. Advokaadi sõnul on põhjust seda uskuda kuna ka klientide senist suhtlust järelevalvega iseloomustab pigem koostöö kui soov keelata ja karistada. Sellegi poolest tuleb arvestada, et määruse eesmärk on rakenduspraktika ühtlustamine Euroopa Liidus, mistõttu ei ole selge, millises ulatuses täna erinevates riikides kohati väga suurel määral erinev menetluspraktika saab jätkuda.

Piik selgitas oma ettekandes, et kuigi määrus toob kaasa terve rea uusi ja täiendatud isikuandmete töötlejate kohustusi, ei muudeta sellega siiski hetkel kehtivaid isikuandmete töötlemise aluspõhimõtteid. Ettevõtted, kelle majapidamine on andmetöötlemise osas seni korras olnud, ei peaks kaotama und hirmus, et alates maikuust tuleb hakata midagi tegema täiesti teistmoodi. Samas möönis ta, et kuna isikuandmete kaitse ei ole seni üldiselt olnud Eesti ettevõtjate jaoks prioriteetne valdkond, ei ole selles osas korras majapidamisega ettevõtteid just liiga palju, seda eriti väike- ja keskmise suurusega ettevõtete hulgas.

Piik, kes nõustab isikuandmete kaitse alal igapäevaselt muuhulgas ka paljusid finantsteenuste sektori ettevõtteid, rõhutas, et määruse jõustumiseks ettevalmistamisel on ettevõttes oluline valdkondade ülene koostöö, eeskätt IT-, õigus- ja ärifunktsiooni esindajate vahel. Ta tõi näite, et sageli pöörduvad ettevõtted advokaadi poole sooviga koostada määrusega nõutavad sisedokumendid. Vastuseks on reeglina, et dokumentide koostamine peaks olema projekti viimaseid samme. Sisekorrad ja teised juhised peaksid kajastama ettevõtte tegelikke andmevoogusid ja andmetöötluse protsesse. Seega tuleks esmalt alustada selliste protsesside kaardistamisest ning hindamisest, kas need vastavad määrusega kehtestatud nõuetele. Kui vastavust tagada ei suudeta, tuleb protsesse kohandada (näiteks muuta kliendilt küsitavat andmestikku või selle küsimise viisi, hinnata andmete edastamise põhjendatust, andmetele ligipääsu ja nende kustutamise võimaldamist infosüsteemides vmt).

Kuna protsessides muudatuste tegemine puudutab sageli ettevõtte tegevust suuremas plaanis, on oluline kaasata otsuste kaalumisel ja tegemisel ettevõtte juhtkonda. Üldjuhul puudutavad muudatused rohkemal või vähemal määral ka ettevõtte infosüsteeme. Seetõttu on oluline tagada, et ettevõttes IT-funktsiooni täitvad isikud oleksid määrusega ning vastavusprojektiga hästi kursis. Alles siis, kui protsessid on nõuetekohaseks kujundatud, on otstarbekas panna need kirja ettevõtte sisekorda või dokumenti, mis on käitumisjuhiseks töötajatele isikuandmete töötlemisel. Iga ettevõte peaks ise või nõustajate kaasabil leidma just temale sobiva metoodika vastavusprojekti läbiviimisel.

Valdkondadeülesust rõhutas ka seminari paneeldiskussioon, milles osalesid lisaks peaettekande teinud Piik’ile veel Ove Kreison finantssektorile IT-lahendusi pakkuvast Icefire’ist, Kadri Erm Placet Group’ist turuosalise juhina ning paneeli moderaator Derlingi juhtivpartner ning Eesti Advokatuuri esimees Hannes Vallikivi.

Paneelis käsitleti nii üldisi andmetöötleja kohustustesse puutuvaid küsimusi kui finantssektorit spetsiifiliselt puudutavaid teemasid. Selgus, et nii esinejate kui publiku jaoks on praktikas küsimusi tekitanud peamiselt andmete säilitamise, kustutamise ning ülekandmisega seonduv. Samuti on sektori ettevõtjate seisukohast oluline teema klientide profileerimist ning automaatseid otsuseid (krediidiskooringu mudelid jmt) puudutav. Kõik need teemad on tugevalt seotud IT-ga ning finantssektorile IT-lahendusi pakkuvate tarnijate jaoks lahenduste arendamisel üliolulised.

Esinejate ja osalejate üksmeeles tõdeti, et tänases olukorras, kus Eesti ei ole vastu võtnud määruse rakendusseadust ning samuti ei saa mõistagi veel rääkida määruse rakendamispraktikast, on lõplikke ettevalmistusi teha keeruline. Ettevõtjad peavad tuvastama, millised on nende ettevõtte tegevuse seisukohast kõige kriitilisemad protsessid ning süsteemid ning alustama nende vastavuse hindamisest. Kuna aga vastavuse saavutamiseks on sageli vaja suuremamahulisi IT-arendusi või protsesside muutmist, ei ole neid otstarbekas teha enne, kui on selge, kas ja kuidas Eesti kasutab oma õigust teatud küsimusi reguleerida määruses toodust erinevalt. Muuhulgas võib Eesti seadusandja erinorme kehtestada sellistes sektori jaoks olulistes küsimustes nagu profiilianalüüsi tegemine ning maksehäireandmete töötlemine.

Tõdeti ka, et turuosalised ootaksid mitmetes küsimustes täpsemaid suuniseid Andmekaitse Inspektsioonilt. Tänaseks antud juhised on peaasjalikult määruse refereerimised või väga üldsõnalised selgitused. Ka Euroopa Andmekaitseasutuste töörühma soovitused on pigem üldised ning konkreetseid praktilisi olukordi lahendada ei aita.

Kuna määrus näeb ette võimaluse erialaliidu tasemel kehtestada ärisektori eripära arvestavaid juhendeid, arutleti ka selle üle, kas FinanceEstonia võiks siinkohal võtta initsiatiivi.