Uus Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR – General Data Protection Regulation) hakkas kehtima 2018. aasta mais. GDPR on Euroopa Liidu liikmesriikidele otsekohalduv ning vastuolud Eesti seadustega ei takista selle rakendamist.

Ettevõtetelt ja riigiasutustelt nõuab andmekaitsereform senisest rangemaid reegleid füüsiliste isikute andmete kaitsmiseks ning füüsilised isikud saavad suurema kontrolli oma isikuandmete üle. Kuna reeglistik ühtlustub kogu Euroopa Liidus, lihtsustab isikuandmete kaitse üldmäärus eeldatavasti liidu sisest kaubandust. Samad reeglid hakkavad kehtima ka väljaspool Euroopa Liitu asuvatele ettevõtetele, kes osutavad ühisturul teenuseid või müüvad kaupu.

Uus isikuandmete kaitse üldmäärus toob kaasa uusi nõudeid.

GDPR nõuete täitmiseks võib olla vaja muuta või täiendada andmete töötlemise protseduure, tehnilisi lahendusi ning sisedokumente ja partneritega sõlmitud lepinguid. Muutmisvajaduse ulatust ei pruugi aga olla sugugi lihtne määratleda . Isikuandmete kaitse üldmäärus kehtestab muuhulgas järgmised kohustused:

• Tagada õigus olla unustatud – füüsilise isiku nõudel peab andmetöötleja oma süsteemidest kustutama isikut puudutava personaalse info ning suutma esitada kustutamise kohta tõendeid;
• Tagada andmete ülekantavus – füüsilise isiku kohta kogutud andmed peavad olema korrastatud selliselt, et neid oleks nõudmisel võimalik teisaldada ühest süsteemist teise;
• Andmete kogumise reeglid – milliseid andmeid kogutakse õigustatud huvi ja milliseid nõusoleku alusel;
• Määrata andmekaitsespetsialist – avaliku sektori asutustel ja paljudel erasektori andmetöötlejatel on kohustus määrata andmekaitsespetsialist. Andmekaitsespetsialist ei pea olema ettevõtte töötaja, vaid võib olla sisse ostetud teenus ;
• Teavitamiskohustus – isiku õigusi ja vabadusi kahjustada võivatest infoturbeintsidentidest tuleb teavitada nii isikut kui järelevalveasutust;
• Dokumenteerimine - isikuandmete töötlemise toimingute osas tuleb pidada registrit;
• Mõjuhinnangu koostamine - paljud isikuandmete töötlejad peavad läbi viima andmekaitsealase mõjuhinnangu, mis on oma olemuselt kindlatele tingimustele vastav riskianalüüs.

Üks suurimaid muutusi on seotud karistustega andmekaitse nõuete vastu eksimisel. Trahvisumma maksimum on 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest, kumb iganes on suurem.

Isikuandmete kaitse tagamise tegevuskava

Selleks, et oma ettevõte või avaliku sektori asutus viia andmekaitsemäärusega kooskõlla, on muuhulgas soovitav:

1. Mõista – millises ulatuses GDPR ettevõttele/asutusele rakendub ning tagama töötajate andmekaitsealase koolituse
2. Kaardistada andmekaitse auditi käigus andmevood ja andmete töötlemise protsessid - kus, kelle poolt, kuidas ja milliseid isikuandmeid töödeldakse ning millises rollis (vastutav või volitatud töötleja) ja millisel alusel seda tehakse.
3. Vaadata üle koostööpartneritega sõlmitud lepingud, kui selline koostöö hõlmab isikuandmete edastamist partnerile või andmete saamist partnerilt ning kehtestada vajalikud sisereeglid.
4. Määrata isikuandmetega seotud rikkumiste tuvastamise, käsitlemise ja neist teavitamise sisereeglid.
5. Protsesside ja dokumentide kaasajastamine – Määra isikuandmete kaitse eest vastutav isik, kes jälgib protsesside ja dokumentide muutmise vajadust.

Uus isikuandmete kaitse üldmäärus toob endaga kaasa rea muutusi andmetöötleja kohustustes. Kuigi määrus mõjutab kõiki organisatsioone, siis andmekaitsespetsialisti määramise kohustus on siiski vaid avaliku sektori asutustel ning ettevõtetel, kelle põhitegevusega seondub isikuandmete ulatuslik töötlemine või tundlike andmete töötlemine. Tehniliselt ja protseduuriliselt keerukas on isikuandmete valikuline kustutamine, isikuandmete ülekandmine ja kustutamise tõestamine. Lisaks juriidilised probleemid sobiva andmete töötlemise õigusliku aluse valikul. Seda kõike on ettevõttele väga palju.
Enne tegutsema hakkamist on vaja mõista, kuidas andmekaitsemäärus mõjutab konkreetset ettevõtet. Kui leiate, et saame teile abiks olla, siis võtke meiega kindlasti ühendust.