Mõnede reeglite, mille nimed on GDPR ja UK Data Protection Act, kehtima hakkamisest on möödas üle kolme aasta ning kõikvõimalikud ettevõtted peaksid neid reegleid mõistma ja järgima. Ühendkuningriigi andmeregulaator karistas British Airwaysi ja Marriotti hotelliketti inimeste teabe nõuetekohase kaitsmata jätmise eest. Selle tulemusena pidid nad maksma palju raha trahvi näol. British Airways pidi maksma 183 miljonit naela ja Marriott 99 miljonit naela.
Kuigi kõige rohkem on karistatud suurettevõtteid, peavad ka väikeettevõtted reegleid järgima, sest ka nemad võivad hätta jääda. Kuigi väikeettevõtteid ei pruugita nii palju trahvida kui suurettevõtteid, mõjutab see neid siiski palju. Kas sa pead järgima GDPR-i reegleid? Jah, sa pead. Inimesed Internetis annavad mõnikord vale teavet, eriti Ühendkuningriigi ja EL-i kohta. Isegi pärast Ühendkuningriigi lahkumist Euroopa Liidust kehtivad endiselt GDPR-i reeglid. Ühendkuningriik on juba koostanud oma seadused, mis põhinevad GDPR-il, ja nad lisavad ka EL-i andmeseadused oma seadustesse. See tähendab, et Ühendkuningriigi spetsiaalne büroo nimega Information Commissioner’s Office hakkab kasutama kahte reeglite komplekti, et käsitleda olukordi, kus inimesed kasutavad teavet valel viisil. Eestis täidab sarnast andmeregulaatori rolli Andmekaitse Inspektsioon (https://www.aki.ee/et)
GDPR on reeglite kogum, mida ettevõtted peavad järgima, et kaitsta inimeste isikuandmeid. Need reeglid kehtivad ka suurettevõtetele ja väikeettevõtetele. Väikeettevõtetele kehtivad siiski mõned erireeglid. Kui väikeettevõttes on vähem kui 250 töötajat, ei pea nad pidama arvestust selle kohta, kuidas nad isikuandmeid kasutavad, välja arvatud juhul, kui see võib kahjustada inimeste õigusi või kui nad ei kasuta isikuandmeid palju. Väikeettevõtetel on ka vähem raha ja ressursse kui suurtel ettevõtetel, nii et inimesed, kes reeglite järgimise eest hoolitsevad, mõistavad, et see võib olla neile raskem. Väikeettevõtted peavad siiski järgima enamikku samu reegleid nagu suurettevõtted. Kui väikeettevõte teeb koostööd suurettevõttega, peavad nad järgima samu õigusreegleid.
Andmekaitse spetsialisti vajadus – millal teda vajan?
Jah, võib-olla vajate andmekaitseametnikku. See sõltub teie kogutavast teabest ja sellest, kui palju kogute klientide isikuandmeid, mitte teie ettevõtte suurusest. Kui kogute palju teavet inimeste isikliku elu kohta, näiteks nende rassi, usutunnistuse või tervise kohta, peab teil olema andmekaitseametnik. Isegi kui olete organisatsioonide rühm, saate jagada ühte andmekaitseametnikku, kui ta on iga organisatsiooni abistamiseks saadaval. Kui isikuandmeid tegelikult lekitatakse või loata jagatakse, võib trahv olla veelgi suurem. See võib olla kuni 4% ettevõtte igal aastal teenitavast rahast või 20 miljonit eurot, olenevalt sellest, kumb on suurem. Andmekaitseametnik on nagu abimees, kes ütleb inimestele, kuidas andmeid õigesti koguda ja järgida reegleid. Nad räägivad ka inimestega, kes hoolitsevad reeglite järgimise eest. Eestis on abistavaks organisatsiooniks Andmekaitse Inspektsioon, kes on koostanud ka palju juhendeid ning loob juhendeid pidevalt juurde. Kui tehakse viga, peavad organisatsioonid maksma trahvi. Trahv võib olla kuni 2% nende igal aastal teenitud rahast või 10 miljonit eurot, olenevalt sellest, kumb on suurem. Seda reeglite mittejärgimise või andmete kogumise ebapiisava hoolikuse eest.
Mida toob kaasa andmete leke ja reeglite rikkumine?
“Kumb on kõrgem” on lööklause väikestele ja keskmise suurusega ettevõtetele, kes võivad andmete lekkimise tõttu saada rahalise hävingu osaliseks, mis tähendab, et panused on sama suured – kui mitte suuremad – kui rahvusvahelised ettevõtted võivad järgmises eelarvekvartalis trahvi summa välja maksta, siis aktsia hinda see liiga palju ei mõjuta. Kuid need trahvid peavad olema ka “proportsionaalsed” (peamine asjaolu, mida andmekaitseteenuseid pakkuvad müüjad sageli ei maini). Kui suudate (laiaulatusliku arvestuse ja DPO abil) tõestada, et teie eeskirjad ja juhtimisraamistik on loodud GDPR-i järgimiseks, kuid rikkumine sellegipoolest toimub, siis võib Andmekaitse Inspektsioon (AKI) nõuda teilt väiksemat trahvi. Kui te aga ei suuda tõestada, et olete GDPR-i järgimiseks mingeid jõupingutusi teinud, ja näib, et te ei tunne seadusi, määrab AKI tõenäoliselt suurema trahvi. Kas ma pean nüüd 100% GDPR-iga ühilduma? Kuigi isikuandmete kaitse üldmäärus (GDPR) on mitu aastat jõus olnud, ei ole enamik ettevõtteid isikuandmete kaitse üldmäärust (GDPR) täielikult järginud. Kui näitate üles valmisolekut uusi määrusi järgida, on vähem tõenäoline, et teid külastab AKI ametnik. Siiski on mõned selged sammud, mida tuleb astuda, et viia oma sisemised protsessid ja praktikad vastavusse andmekaitsereeglitega. Parim koht alustamiseks on vaadata AKI kodulehel olevaid juhendeid.
Toimingud, mida VKE peab tegema
Mõned VKE-de vajalikud toimingud on järgmised: viige läbi andmekaitsemõju hindamine (DPIA) – üks GDPR-i põhikohustusi. Kõik ettevõtted peavad hindama ohtu, mida nende andmetöötlus võib andmesubjektide õigustele ja vabadustele kaasa tuua. Kui suudate näidata, et olete ette mõelnud ja hoolikalt kaalunud, kuidas teie käitumine võib kliente mõjutada, näitab see tugevalt teie pühendumust uuele seadusele. Dokumenteerige, milliseid isikuandmeid te hoiate – saate aru, milliseid isikuandmeid te hoiate, kust need pärinevad, kellega neid jagatakse, millistel eesmärkidel neid koguti ning kas need on endiselt asjakohased ja vajalikud eesmärkidel, milleks te neid kogute. Veenduge, et saaksite täita kodanike andmenõudeid – GDPR-i kohaselt saavad ELi kodanikud paluda teil oma andmed kustutada, muuta või teisele organisatsioonile üle kanda. Teie protsessid ja tehnoloogia peavad võimaldama nende taotluste (loe “nõuded”) täitmist ühe kuu jooksul. Looge andmetöötluseks õiguslik alus – GDPR-i kohaselt ei ole loobumiskast „linnukese“ märkimisega enam piisavalt hea. Selle asemel tuleb luua õiguslik alus kodanike andmete töötlemiseks. Nõusoleku andmisel tuleb hankida luba ja kodanikel on lubatud oma andmeid töödelda kitsalt määratletud eesmärkidel vaid piiratud aja jooksul. Nõusolekut saab ka tagasi võtta, seega on mõistlik kaaluda muid seaduslikke aluseid, mille alusel andmeid töödelda. Valmistuge andmetega seotud rikkumiseks – veenduge, et teie protsessid võimaldavad teil andmekaitseasutusele andmerikkumisest teada anda 72 tunni jooksul alates sellest teadasaamisest. Andmekaitseametniku määramine – nagu eespool mainitud, on suuri andmemahtusid töötlevate ettevõtete jaoks andmekaitseametnik GDPR-i oluline osa. Kui teie ettevõte on seadusega kohustatud ametikoha määrama, tehke seda varem või hiljem.
Brexiti mõju Euroopa Liidu kodanike isikuandmetele
Brexit on protsess, mille raames Ühendkuningriik lahkus Euroopa Liidust. See võib väikeettevõtetele probleeme tekitada. Üks probleem on see, et nad ei pruugi olla võimelised andmeid EL-ist Ühendkuningriiki edastama. See võib olla suur probleem Ühendkuningriigi väikeettevõtetele, kes hoiavad andmeid Euroopas, kuna see võib põhjustada häireid ja maksta palju raha. See probleem tekkis seetõttu, et EL-il ja Ühendkuningriigil ei olnud teabe jagamise kokkulepet. See leping on oluline teabe edastamiseks EL-i ja EL-i mittekuuluva riigi, näiteks Ühendkuningriigi, vahel. Kuna leping ei olnud Ühendkuningriigi EL-ist lahkumise lepingus, pidi EL kontrollima, kas Ühendkuningriigi seadused on tema omadega piisavalt sarnased. Kui ettevõtetel pole piisavuse lepingut, peaksid nad kasutama kas tüüplepingu klausleid või siduvaid ettevõtte eeskirju. Need valikud võivad olla kulukad ja vajada palju juristide abi. See oleks olnud väikeettevõtetele raske. Samuti pidi kohus otsustama, kas lepingu tüüptingimused on endiselt kehtivad. Nad ütlesid, et kuigi Privacy Shield enam Ühendkuningriigi ja USA vahel andmete edastamiseks ei töötanud, töötasid tüüplepingu klauslid endiselt. Ühendkuningriik pidi mõnda aega ootama, kuid lõpuks said nad ajutise kokkuleppe. See leping tähendab, et Euroopa Liit kontrollib iga nelja aasta tagant, kas Ühendkuningriik järgib inimeste teabe kaitsmisel samu reegleid. Kuid siiski võib esineda probleeme, mis tuleb kohtus lahendada.
Kasutatud allikas:
https://www.itpro.com/data-protection/29123/gdpr-for-small-businesses-what-it-means-for-you