Isikuandmete kaitse üldmäärus: üks reegel juhib neid – seaduslikult

Määrus hakkab peagi kehtima, kuid millised on selle õiguslikud tagajärjed ettevõtjatele.

J.R.R Tolkieni „Sõrmuste isanda“ triloogial ja homme, 25. mail 2018 jõustuval isikuandmete kaitse üldmäärusel on teatavaid sarnasusi. Nii imelik kui see ka poleks, pannakse määrusega paika kaanonid, mis on identsed Võimusõrmuse omadega – isikuandmete kaitse üldmääruse eesmärk on valitseda andmekaitse valdkonda samamoodi nagu Võimusõrmus valitses teiste sõrmuste üle.

Päris elus võib seda otseselt seostada kõigi Euroopa Liidu (EL) riikide andmekaitset käsitlevate õigusaktide erinevate tasandite ühtlustamisega. Kuid praegusel juhul on Võimusõrmuse asemel kogu ELis kehtivad andmekaitseeskirjad. Seega on määruse eesmärk kaitsta igasugust teavet, mis on seotud „tuvastatud või tuvastatava isikuga“. Nii käsitletakse ka isikuandmete eksporti Euroopast välja.

WeLiveSecurity vestles ESETi andmekaitseametniku Tomáš Mičoga selgitamaks, kuidas määrus ettevõtjaid kõige enam mõjutab. „Slovakkias, kus küberjulgeoleku ettevõte ESET asub, oli seadusega juba olemas võimalus määrata andmekaitseametnik, seega ei tohiks isikuandmete kaitse üldmääruse kohaldamine ettevõtjatele olulisi takistusi kaasa tuua riikides, kus kehtivad sarnased õigusaktid,“ sõnas ta.

Mičo sõnul on ettevõtted juba märkimisväärselt aega ja energiat  panustanud kõigi protsesside kaardistamisse ja kõigi lepingute läbivaatamisse, nagu andmekaitsespetsialistid soovitavad. „Pealegi, kuna isikuandmete kaitse üldmäärusel on nn järelmõju, siis peavad ettevõtted kohaldama samu põhimõtteid kõikidele oma kokkulepetele, sealhulgas kolmandatest isikutest töötlejate ja alltöövõtjatega sõlmitud kokkuepetele,“ selgitas Mičo.

Uue määruse põhieesmärk on vähendada tarbetut isikuandmete kogumist, sealhulgas sammud, mis takistavad selliste andmete säilitamist, mida ei ole vaja salvestada, ning isikuandmete teekonna kindlustamine kogu ettevõttes. Kuid ettevõtete suurimad väljakutsed seisnevad siiski lõimprivaatsuses, privaatsuse vaikesätetes, õiguses andmete kustutamisele, õiguses olla unustatud ja lekkest teatamises.

Arvutiturbe ettevõtted kogu maailmas kasutavad õigustatult seda võimalust, pakkudes lahendusi eeskirjadega seotud peamiste riskide leevendamiseks – krüptimise müümine, kaheteguriline autentimine ja muud lahendused, et sulgeda küberkurjategijate võimalused saada isikuandmeid, mida tuleb isikuandmete kaitse üldmääruse alusel kaitsta.

See pole veel kõik. Kuigi ettevõtted kasutavad edukalt küberjulgeoleku lahendusi selleks, et tagada isikuandmete nõuetekohane töötlemine ja kaitse ettevõttes, on ka teisi juriidilisi kohustusi, mida tuleb täita. Üks neist on hõlpsasti arusaadavate selgituste pakkumine andmetöötluse kohta, et kliente saaks uuest määrusest tulenevatest õigustest läbipaistvalt teavitada.

„Ettevõtted peavad tagama, et neil on kõikide oma lõppkasutajate kõigi määrusega kaitstud isikuandmete töötlemise nõusolek, leping või muu õiguslik alus. Keskmise suurusega ettevõtte jaoks võib see tähendada lugematute tundide kulutamist kõigi nendega ühendust võtmiseks, kui õiguslik alus ei ole üldmäärusega kooskõlas, sh lõppkadutajad, kellega on äri tehtud kolmandate isikute või alltöövõtjate kaudu,“ lisas Mičo.

Lisaks sellele on üksikisikutel ka õigus nõuda kõigi oma selliste isikuandmete üksikasjalikku loetelu, mida töödeldakse, ja taotleda seda mis tahes edasimüüjalt, kes töötavad ELis asuvate klientide isikuandmetega, isegi kui ettevõte ei asu füüsiliselt ELis. See on eriti keeruline kõigile e-kaubanduse ettevõtetele ja ettevõtetele, kes töötavad pilveteenustega. Ja see on põhjus, miks enamik viimase paari nädala uudiskirju algavad sõndega „oleme ajakohastanud oma privaatsuspoliitikat“.

Lisaks peavad ettevõtjale igal ajal inimese kohased andmed kättesaadavad olema ja nad peavad neid krüptituna hoidma, et täita isikueandmete kaitse üldmäärust. „Sel moel on isikuandmed kaitstud ka siis, kui ettevõtesse sisse murtakse või häkitakse,“ sõnas Mičo. Vahest tähtsaim kohustus on lekkest teatamise nõue, mis kohustab ettevõtteid sätestama protsessid, mis tagavad, et andmelekke kohane teave jõuab asjakohasele andmekaitseasutusele 72 tunni jooksul pärast selle avastamist.

Kui mitte midagi muud, siis on karistused mittevastavuse eest üsna krõbedad: 2-4% ettevõtte ülemaailmsest aastakäibest, mis on kulu, mida ükski ettevõte ei saa endale kergelt lubada. IDC hiljuti läbi viidud uuring näitab siiski, et mittevastavuse korral „keskenduvad reguleerijad tõenäolisemalt eesmärkide saavutamisele, mitte ei karista neid, kes ei täida üldmääruse nõudeid“.

Aja jooksul näeme, kas kuulus üks reegel, mis neid juhib, leiab nad üles ja toob kokku, nagu seadusandjad on ennustanud, või kas kõik kohtuvad täitmata isikuandmete kaitse üldmääruse Mordoris.

Isikuandmete kaitse üldmääruse kohta lisateabe saamiseks on ESETil spetsiaalne leht tagamaks, et teil on kogu teave üldmäärusega toime tulemiseks. Sarnaste artiklite lugemiseks minge veebilehele WeLiveSecurity.