GDPR Register | Records of processing activities

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Aleksander Uibo — Wed, 06 May 2020 11:37:17 +0000

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks finants-, konkurentsi- ja andmekaitseõiguse rikkumistele edaspidi tõhusamalt reageerida.

Kontseptsiooniga kavandatakse Eesti õiguskorda uus haldussanktsiooni liik Euroopa Liidu õiguses ettenähtud rahaliste karistuste ülevõtmiseks – haldustrahv. Haldustrahvi võib määrata haldusorgan seaduses ettenähtud juhul haldusõigusrikkumise eest.

Näiteks, Isikuandmete kaitse üldmääruse (GDPR) järgi on maksimaalne trahvi suurus, mida võib ettevõttele rikkumise eest määrata, on kuni 20 miljonit eurot või kuni 4 % ettevõtte eelneva majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem. Trahvi suurus, mida võib määrata näiteks isikuandmete ebatäpse töötlemise ülevaate eest või rikkumistest teatamata jätmise eest, on kuni 10 miljonit eurot või kuni 2 % ettevõtte eelneva majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem. Trahvimääradest loe täpsemalt GDPR Registri artiklist.

Ministeeriumi hinnangul ebaproportsionaalselt madalate trahvimäärade kõrval on seni olnud kitsaskohaks ka menetluste paljususega kaasnevad probleemid ja süüteomenetlustest tulenevad nõuded, mistõttu on olnud probleeme muuhulgas ka juriidiliste isikute vastutusele võtmisega.

Kontseptsioonikohase eelnõuga luuakse haldustrahvimenetluse üldosaks olev haldustrahvi seadus ning sätestatakse osades asjassepuutuvates eriseadustes haldustrahvikoosseisud ja valdkondlikud haldustrahvimenetluse erinormid.

Eelnõu eeldatav kooskõlastamiseks ja arvamuse avaldamiseks saatmise aeg on suvi 2020 ning eeldatav jõustumisaeg on 2021. aasta esimeses kvartalis.

Loe lisaks ERR portaalist

Haldustrahviõiguse kontseptsiooniga saab tutvuda siin.

The post Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni appeared first on GDPR Register | Records of processing activities.

Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Sarune Zybartaite — Tue, 11 Jun 2019 10:59:46 +0000

Maikuu lõpus möödus aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud juba üle 90 trahvi.

Eriti aktiivsetena paistavad silma Rumeenia, Suurbritannia, Prantsusmaa ja Saksamaa andmekaitseasutused. Seega Eesti ettevõtted, kes oma äritegevust nendesse riikidesse suunavad, peaksid sellele tähelepanu pöörama.

Trahvimäärad mõnes tuhandest kümnete miljoniteni

Viimase aastaga on tehtud üle 90 trahvi, väljastatud trahvimäärad ulatuvad sadadesse tuhandetesse eurodesse. Suur osa trahve on määratud andmete ebapiisava turvalisuse, ebaseadusliku otseturunduse või isikute teavitamata jätmise eest.

Järgnevalt mõned näited erinevate riikide praktikast.

Portugali haiglat trahviti 400 000 euroga, kui töötajad said valekontosid kasutades loata ligipääsu patsientide andmetele.
Austrias trahviti 4800 euroga ettevõtet avaliku ruumi filmimise eest, sellest inimesi eelnevalt teavitamata.
Saksamaa sotsiaalmeediateenust osutavat ettevõtet trahviti 20 000 euroga, kuna kasutajate salasõnasid hoiustati tavalises tekstivormingus. Trahv on pigem väike, kuna ettevõte andis rikkumisest andmekaitseasutusele ja klientidele koheselt teada ning oli koostööaldis.
Prantsuse andmekaitseasutus trahvis Google’it 50 miljoni euroga. See on senimaani suurim GDPR trahv. Trahv mõisteti välja, kuna ettevõte ei suutnud anda kasutajatele piisavalt teavet oma andmete nõusolekupoliitika kohta ega andnud neile piisavalt teavet selle kohta, kuidas isikuandmeid kasutatakse.
Norra andmekaitseasutus hoiatas väikelinna kooli 1,6 miljoni norra krooni suuruse trahviga, kuna ligipääs 35 000 õpilase ja töötaja kasutajanimedele ja salasõnadele polnud piisavalt turvaline.
Poolas trahviti digitaalturundusega tegelevat ettevõtet Bisnode 220 000 euro suuruse trahviga, kuna inimestele ei edastatud teavet isikuandmete töötlemise kohta.
Taanis määrati 160 000 euro suurune trahv taksofirmale, kes ei kustutanud klientide telefoninumbreid. Kuigi klientide nimed kustutati kahe aasta jooksul, polnud see piisav. Telefoninumber eraldiseisvalt loetakse samuti isikuandmeteks, mis tuleb vajadusel kustutada.

Arvestades, et mitmed trahvid on määratud ebapiisava turvalisuse tõttu, soovitame lisaks üldiste infoturbe standardite kohaldamisele ka isikuandmed pseudonümiseerida või krüpteerida. Seda näeb ette ka GDPR, kuid vajalik tehniline tase jääb ettevõtete määrata.

Üldiselt võetakse trahvide määramisel arvesse rikkumisest puudutatud isikute arvu, töötlemise eesmärgipärasust, rikkumisest tulenevat kahju isikutele ja rikkumise kestust. Senise praktika alusel määrab trahvide suuruse ka ettevõtte koostöövalmidus ning initsiatiiv kahju heastada.

Originaalallikas: https://raha.geenius.ee/blogi/ari-ja-oigus/esimesed-gdpr-trahvid-on-siin-miljonid-eurod-ebapiisava-selgituse-eest/

The post Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest appeared first on GDPR Register | Records of processing activities.

Millal võib riik koguda isikuandmeid?

Sarune Zybartaite — Tue, 11 Jun 2019 10:52:26 +0000

Riik võib isikuandmeid töödelda vaid seadusega ette nähtud piirides.

Isikuandmete töötlemine võib olla mõnes õigusaktis otse reguleeritud või tuletatud sellise akti täitmise vajadusest.

Seadus peab lisaks töötlemiseks volituse andmisele reguleerima ka seda, milliseid andmeid töödeldakse, kaua neid võib säilitada ning milliseid kaitsemeetmeid tuleb kasutada.

Kas inimesel on õigus teada, milliseid isikuandmeid riik on tema kohta kogunud?

Inimesele on õigus:

1. nõuda riigilt teavet selle kohta, mis andmeid ja milleks tema kohta kogutakse ja kasutatakse ning

2. õigusvastase isikuandmete kogumise, kasutamise ja avaldamise lõpetamist.

Selline õigus on nii isikuandmete kaitse üldmääruse (GDPR) alusel kui ka eriseadustes. Näiteks tervishoiuteenuste korraldamise seaduse kohaselt peab patsiendil olema juurdepääs oma isikuandmetele tervise infosüsteemis.

Eestis on enamus isikuandmeid digitaalsed ning inimene tutvuda ametiasutuste kogutud isikuandmetega läbi www.eesti.ee veebiportaali.

Kuidas nõuet esitada?

Kui Eesti.ee portaali kaudu ei saa inimene juurdepääsu tema isikuandmetele ning puuduvad ka eriseadused, siis saab inimene nõude esitada vabas vormis taotlusena ametiasutusele. Taotluse võiks digiallkirjastada, et ametiasutus saaks veenduda nõude esitaja isikusamasuses.

Seejärel võite oodata vastust mitte hiljem kui ühe kuu jooksul – vastamise aega võib pikendada kahe kuu võrra vaid siis, kui taotlus on väga keerukas ja mahukas. Kuid ka vastamise aja pikendamisest tuleb kuu jooksul teada anda.

Isikuandmete töötlemise õiguste osas nõuete esitamine on üldiselt tasuta. Kui pöördumine on aga selgelt põhjendamatu või korduv, siis võib riik küsida mõistlikku tasu või keelduda meetmete võtmisest, kuid seda alati konkreetselt põhjendades.

Vastutav töötleja võib esitada teabe hiljem, piirata selle esitamist või keelduda selle väljastamisest, kui see võib:

1) takistada või kahjustada süüteo tõkestamist, avastamist või menetlemist või karistuse täideviimist;

2) kahjustada teise isiku õigusi ja vabadusi;

3) ohustada riigi julgeolekut;

4) ohustada avaliku korra kaitset;

5) takistada ametlikku uurimist või menetlust.

Kas ametiasutusi saab karistada isikuandmete rikkumise eest?

Isikuandmete kaitse määruse alusel on mõned riigiasutused juba saanud karistada isikuandmete töötlemise rikkumise tõttu.

Näiteks trahviti Norra linna omavalitsust 170 000 euro suuruse trahviga, kuna omavalitsuse kooli töötajate ja õpilaste isikuandmed ei olnud piisavalt turvatud ning neile oli ebaseaduslik ligipääs.

Maltal trahviti Maa-ametit 5000 euroga, kuna ebapiisava turvalisuse taseme tõttu oli saanud kõigile kättesaadavaks üle 10 GB tundlikke isikuandmeid.

Väiksema trahvi summas 3200 eurot sai Ungari Kecskemét linnapea büroo, kuna nad olid ebaseaduslikult avaldanud isiku andmed, kes oli oma tööandja peale kaevanud ning seepeale töölt lahti lastud.

Originaalallikas: https://raha.geenius.ee/blogi/ari-ja-oigus/millal-voib-riik-koguda-isikuandmeid/

The post Millal võib riik koguda isikuandmeid? appeared first on GDPR Register | Records of processing activities.

GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

Sarune Zybartaite — Tue, 11 Jun 2019 10:43:07 +0000

Võib öelda, et uue isikuandmete kaitse üldmäärusega (IKÜM) kaasnenud paradigma muutusega algas uus ajastu andmekaitse ja privaatsuse mõtestamisel digitaalmaailmas. Selge on see, et esimene üleminekuaasta on olnud eelkõige õppimiseks.

Kohandumine GDPR-iga

Andmekaitsereeglitega kohandumiseks on organisatsioonid pidanud kõigepealt selgeks tegema:

1. millised andmed nende omanduses on ning

2. mida nendega täpselt tehakse.

Innovatiivsemad on taibanud, et selle läbi loovad nad organisatsioonis uut väärtust, kuna korralik andmehaldus ning terviklik pilt annavad võimaluse teha otsuseid ja juhtida protsesse palju efektiivsemalt. Korrastatud ja analüüsitud andmed annavad tõuke kasvuks ja innovatsiooniks.

Ühine globaalne arusaam privaatsusest

Samuti võib öelda, et IKÜM-ist on saanud andmekaitsestandard, kuna mitmed riigid väljaspool Euroopa Liitu on juba rakendanud või on välja töötamas regulatsioone, mis peegeldavad IKÜM-i põhimõtteid.

Nende seas on aktiivsed olnud näiteks Brasiilia, Hiina, India, Jaapan, Lõuna-Korea ning California osariik. Piirideta digitaalajastul on see tendents vägagi tervitatav saavutamaks ühine globaalne arusaam privaatsusest.

Vajadus andmekaitse ja privaatsuse ekspertide järele

Lisaks on IKÜM oluliselt suurendanud vajadust andmekaitse ja privaatsuse ekspertide järele, kusjuures Euroopa Liidus on määratud juba pool miljonit andmekaitsespetsialisti.

Teema puudutab mitte ainult tehnoloogiainimesi või juriste, vaid ka turundajaid, õpetajaid, riigiametnikke, sekretäre – tegelikult võib öelda, et tänapäeval on raske leida ametit, kus andmekaitse- ja infoturbereeglitega tuttav ei peaks olema.

Muutus tekib aga ärikultuuris ning peab saama alguse juhtimistasandilt. Sellest hetkest kui andmekaitsemure väljub IT toast, algab ka muutus. Ideaalis võiks kliendi privaatsuse kaitse olla algpunktiks kõigile äriprotsessidele – seda toetab ka IKÜM-is ette nähtud nn privacy by design kohustus.

Trahvid ja hoiatused

Kui rääkida numbritest, siis on aasta jooksul Euroopa Majanduspiirkonnas tegeletud üle 200 000 juhtumiga, millest enamus olid isikute kaebused ning väiksem osa rikkumisteated.

Kokku on trahve määratud ligi 56 miljoni euro eest 91-le ettevõttele, millest küll 50 miljonit moodustab Prantsusmaa andmekaitseasutuse määratud trahv Google’le. Ei saa öelda, et need numbrid oleksid suured või väikesed, kuid saab öelda, et on antud aega atra seada.

Juhiste ja kohtulahendite ootuses

Aasta möödudes oleme ennast sisse seadnud ning suure pildi ette loonud – nüüd jääb üle oodata rohkem juhendeid, uusi kohtulahendeid ning sealhulgas ka trahve, mis aitaksid määruse halle alasid selgitada.

Mitte kaugel pole ka e-privaatsuse määruse jõustumine, mis reguleerib isikuandmete kaitset elektroonilise side valdkonnas ning loob sealhulgas ka uued reeglid küpsiste kasutamisele.

Kuigi regulatsioon antud valdkonnas on kindlasti hädavajalik, võiks ideaalis laiemalt levida arusaam, et IKÜM-i põhimõtted ja kaasnevad kohustused ei ole vaid koormaks.

Selle taga peitub palju laiemalt võti kultuurimuutusele, mis tagaks turvalisuse digimaailmas, suurema usalduse kliendiga ning vahendid innovatsiooniks.

Originaalallikas: https://raha.geenius.ee/blogi/ari-ja-oigus/akki-pealkirjaks-gdpri-esimene-aasta-palju-oppimist-ja-56-miljoni-euro-eest-trahve/

The post GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve appeared first on GDPR Register | Records of processing activities.

DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

Sarune Zybartaite — Mon, 20 May 2019 12:24:10 +0000

9. mail 2019 tutvustati andmekaitsespetsialistidele ja IT-juhtidele tarkvaralahendusi, mida saab kasutada GDPR nõuete täitmiseks.

TAMO koolitusmoodul – SAAS lahendus ettevõtete töötajate GDPR teemal koolitamiseks (art 39 1 b)
GDPR Register – andmetöötlustoimingute haldus (art 30)
Rvoke – rakendus, mille abil saavad inimesed esitada ettevõtetele andmetöötluspäringuid (art 15-21)
IBM StoredIQ for Legal – isikuandmete elutsükli haldus (art 5)
Cryptshare – krüpteerimislahendus isikuandmete turvaliseks edastamiseks (art 32).

Täname osavõtu eest ning loodame, et näeme teid tulevikus jälle. Tootetutvustuste slaidid:

TAMO koolitusmoodul ja Rvoke andmetöötluspäringud

GDPR Register – tööriist andmekaitsespetsialistile

IBM StoredIQ ja Cryptashare – IT lahendused andmekaitseks

IBM StoredID toetatud serveriplatvormid ja protokollid.

The post DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele appeared first on GDPR Register | Records of processing activities.

Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Sarune Zybartaite — Wed, 06 Mar 2019 06:38:05 +0000

Vastavalt Isikuandmete kaitse üldmäärusele (GDPR) ja Isukuandmete Kaitse Seadusele tuleb Andmekaitseinspektsiooni (AKI) viivitamatult teavitada isikuandmetega seotud rikkumisest. Aga mida ja kuidas täpselt tuleb teha?

Isikuandmetega seotud rikkumine tähendab isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist, loata avalikustamist või juurdepääsu sellele. Isikuandmete rikkumised võivad hõlmata järgmist:

volitamata kolmanda isiku juurdepääs;
kontrollija või töötleja poolt põhjustatud tahtlik või tahtmatu tegevus (või tegevusetus);
isikuandmete saatmine valele adressaadile;
isikuandmeid sisaldavad andmekandjad, mis on kadunud või varastatud;
isikuandmete muutmine loata; ja
isikuandmete kättesaadavuse kaotamine.

AKI teavitamine isikuandmetega seotud rikkumisest

GDPRi kohaselt tuleks turvaintsidendi puhul kindlaks teha, kas isikuandmete rikkumine on toimunud. Kui jah, siis võtke viivitamatult meetmeid selle lahendamiseks, sealhulgas vajadusel teavitage sellest Andmekaitseinspektsiooni. Sellisel juhul peate tuvastama inimeste õiguste ja vabaduste ohtu seadmise tõenäosust ja riskide tõsiduse taset. Kui on tõenäoline, et on oht, siis peate sellest Andmekaitseinspektsiooni teavitama (AKI – Rikkumisteate edastamine). Kui risk on ebatõenäoline, ei pea te sellest teatama. GDPR näeb ette, et registreerite kõik rikkumised, sõltumata sellest, kas neid tuleb AKI-le teatada.

Teatamiskohustusliku rikkumise puhul tuleb AKI-t teavitada põhjendamatu viivituseta ja hiljemalt 72 tundi pärast isikuandmetega seotud rikkumisest teada saamist. Kui teatamine toimub hiljem, peate viivituse põhjused selgitama. Rikkumise teatamisel ütleb GDPR, et peate esitama:

isikuandmete rikkumise sisu kirjeldus, sealhulgas, võimaluse korral:
ohustatud isikute kategooriad ja ligikaudne arv; ja
ohustatud isikuandmekirjete kategooriad ja ligikaudne arv;
andmekaitseametniku nimi ja kontaktandmed;
isikuandmetega seotud rikkumise tõenäoliste tagajärgede kirjeldus; ja
isikuandmetega seotud rikkumisega tegelemiseks võetud või kavandatavate meetmete kirjeldus. Samuti, sealhulgas vajaduse korral meetmed võimalike kahjulike mõjude leevendamiseks.

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

Mõned rikkumised toovad tõenäoliselt kaasa suure ohu eraikisikute õigustele ja vabadustele. Sel juhul peab ettevõte neid isikuid otseselt ja põhjendamatu viivituseta teavitama sellest. Üks peamisi eraisikute teavitamise põhjuseid on võimaldada neil ette võtta meetmeid enda kaitsmseks rikkumisega seotud tagajärgede eest. Te peate selgelt ja arusaadavalt kirjeldama isikuandmete rikkumise sisu ja esitama vähemalt järneva informatsiooni:

teie andmekaitseametniku nime ja kontaktandmeid;
isikuandmetega seotud rikkumise tõenäoliste tagajärgede kirjeldus; ja
isikuandmete rikkumisega tegelemiseks võetud või kavandatavate meetmete kirjeldus ja vajaduse korral võimalike kahjulike mõjude leevendamiseks võetud meetmete kirjeldus.

Andmetöötleja teavitamiskohustus

Kui teie organisatsioon kasutab andmetöötlusteenust ja töötleja juures on toimunud isikuandemega seotud rikkumine, peab ta sellest viivitamata teatama niipea, kui on rikkumisest teatavaks saanud. Rikkumisest teatamise nõuded peaksid olema Teie ja Teie töötleja vahelises lepingus selgelt defineeritud.

The post Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest appeared first on GDPR Register | Records of processing activities.

IP-aadressi anonümiseerimine Google Analytics-is

Sarune Zybartaite — Mon, 19 Nov 2018 13:34:27 +0000

Paljud ettevõtted kasutavad Google Analytics-it abivahendina kogumaks väärtuslikku teavet klientide käitumise kohta oma veebisaitidel või mobiilirakendustes. Vaikimisi kasutab Analytics veebisaidi kasutajate IP-aadresse, pakkumaks üldist geograafilist aruandlust, mis kuvab ka kasutajate keele, brauseri, operatsioonisüsteemi, teenusepakkuja ning resolutsiooni.

Milleks on vaja IP-aadressi anonümiseerimist?

Isikuandmete kaitse üldmääruse (IKÜM) järgi kuulub IP-aadress isikuandmete hulka. Kuigi IP-aadresse Analytics-i aruannetes otseselt ei kuvata, kasutab Google seda asukohaandmete pakkumiseks.

Google IP-aadressi anonüümiseerimise funktsioon annab veebisaitide omanikele aga võimaluse nõuda, et kõik nende kasutajate IP-aadressid oleksid Google Analytics-is anonümiseeritud. Antud funktsioon on kavandatud abistamaks veebilehe omanikke oma isikuandmete töötlemise tingimuste ning muu andmekaitsealase regulatsiooni (mis üldjuhul ei luba sellist IP-aadressi töötlemist) järgimisel.

Kuidas anonümiseerida kasutajate IP-aadress?

Google Analytics-i IP-aadressi anonüümsuse funktsioon ei ole vaikimisi lubatud. Seega peab ettevõte antud funktsiooni võimaldama ning vaid sellisel juhul anonümiseeritakse IP-aadressid esimesel tehnilisel võimalusel kogumisvõrgu esimeses võimalikus etapis. Sellisel juhul ei pea Google Analytics-i küpsiseid kasutades nõusolekut küsima.

IP-aadresse on võimalik anonümiseerida muutes veebi/rakenduse koodi või lisades Google Tag Manager-i uus muutuja. Selleks:

logige sisse oma Google Tag Manager-i kontosse ning ava märgis, mida kasutatakse Google Analytics-i installeerimiseks
kerige alla, kuni leiate „Fields to Set“ sektsiooni ning valige menüüst „anonymizelp“
sisestage väärtuse välja tekst „true“

salvestage see märgis
vaadake muudatused üle ning avaldage konteiner

IP-aadressi anonümiseerimine võib mõjutada geolokatsiooni jälgimise andmeid linna tasandil, kuid mandri või riigi tasemel ei ole märgatavat täpsuse erinevust.

The post IP-aadressi anonümiseerimine Google Analytics-is appeared first on GDPR Register | Records of processing activities.

Isikuandmete edastamine kolmandatesse riikidesse

admin — Tue, 17 Jul 2018 13:05:30 +0000

Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation – GDPR) on kehtestanud ranged reeglid andmete edastamisel kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse.

Millised on kolmandad riigid?

Kolmandateks riikideks GDPR kontekstis on riigid väljaspool Euroopa Liitu, Euroopa Majanduspiirkonda, ja USA-d (mis on omakorda piiratud Privacy Shield raamistikuga). Samuti ei loeta kolmandateks riikideks järgmisi riike: Andorra, Argentina, Kanada (kaubandusorganisatsioonid), Fääri saared, Guernesey, Iisrael, Mani saar, Jersey, Uus-Meremaa, Šveits ja Uruguay. Jaapani ja Lõuna-Koreaga läbirääkimised käivad.

Kolmandatesse riikidesse isikuandmete edastamise tingimused

Kui ettevõtted edastavad isikuandmeid kolmandatesse riikidesse, peavad olema täidetud järgmised tingimused:

GDPR artikkel 46 lg 2 lubab ettevõtetel edastada isikuandmeid kolmandatele riikidele, kui ettevõtted on rakendanud asjakohaseid kaitsemeetmeid, näiteks siduvad kontsernisisesed eeskirjad, standardsed andmekaitseklauslid, heakskiidetud toimimisjuhendid ja sertifitseerimismehhanismid. Ettevõtetele sobiv kaitsemeede on Euroopa Komisjoni poolt vastu võetud standardsete andmekaitseklauslitega tüüplepingud. Vastavad lepingud reguleerivad andmeedastust vastutava töötleja ja volitatud töötleja vahel. Näiteks, kui ettevõte soovib kasutada väljaspool Euroopa Liitu asuvaid pilvteenuseid, saab isikuandmete edastamist ja töötlemist reguleerida standardseid andmekaitseklausleid sisaldava lepinguga (Data Processing Agreement – DPA).

Isikuandmete kolmandatesse riikidesse edastamise vajadus

GDPR artikkel 49 lg 1 sätestab, et kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumisel võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult teatud tingimustel:

andmesubjekti selgesõnaline nõusolek, sealjuures peab ettevõte teatama andmesubjektile kõikidest riskidest, mis võivad tekkida andmete edastamisel;
andmete edastamine on vajalik lepingu täitmiseks;
õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

GDPR artikkel 49 alusel on isikuandmete edastamine lubatud üksnes juhul, kui see on juhuslik ja vajalik. See tähendab, et ettevõte peab hindama, kui tihti isikuandmeid edastatakse ja kas isikuandmete kolmandasse riiki saatmine on möödapäästmatu vajadus või on võimalik saavutada sama tulemus Euroopa Liidus sees. Lepingu täitmist saab kasutada õigusliku alusena näiteks reisifirmade puhul, kes edastavad klientide isikuandmeid hotellidele või teistele teenusepakkujatele, kes korraldavad klientide välismaal viibimist.

Ettevõtted on kohustatud dokumenteerima andmete edastamist kolmandatesse riikidesse või rahvusvahelistele organisatsioonidele vastavalt artiklile 30 (isikuandmete töötlemisülevaated).

The post Isikuandmete edastamine kolmandatesse riikidesse appeared first on GDPR Register | Records of processing activities.

Isikuandmete töötlemisülevaade

admin — Thu, 28 Jun 2018 09:11:08 +0000

Mis on töötlemisülevaade?

25 mail jõustus isikuandmete kaitse üldmäärus (GDPR), millega kehtestati uued kohustused ja reeglid, kuidas andmeid tuleb kaitsta, kuidas tagada isikuandmete töötlemise läbipaistvus jms. Igasugusele isikuandmete töötlemisega seotud teabele ja teabevahetusele peab olema võimalik hõlpsasti ligi pääseda ning isikuandmete töötlemine peab olema selgelt arusaadav. GDPR nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate, mis sisaldab kõiki andmetöötlustoiminguid, mida ettevõte teostab. Need dokumendid aitavad ettevõtetel mõista, millised on andmed, mida nad koguvad, kust need pärinevad ja kuidas neid andmeid töödeldakse. Lisaks võivad andmekaitse järelevalveasutused nõuda juurdepääsu dokumentidele, kui nad kahtlustavad, et ettevõte on rikkunud andmekaitse-eeskirju.

Kes peab koostama töötlemisülevaate?

Isikuandmete töötlemisülevaate peavad koostama kõik ettevõtted, kes vastavad ühele järgnevatest tingimustest:

Ettevõttes töötab rohkem kui 250 töötajat
Isikuandmeid töödeldakse süstemaatiliselt (mitte juhuslikult)
Töödeldakse tundlikke ja isiklikke andmeid (sh tervise, seksuaalse sättumuse, rassilise või etnilise päritolu, poliitiliste vaadete, usuliste või filosoofiliste veendumuste, karistusregistrite vms kohta)

Või kui töödeldakse isikuandmeid seoses järgnevate tegevustega:

Töötajate tööülesannete täitmise hindamine
Isiku käitumise, asukoha ja/või liikumise jälgimine
Kindlustus-, investeerimis- ja finantsteenuste pakkumine eraisikutele
Klientidele lojaalsusprogrammis osalemise (nt kliendikaart) pakkumine
Kliendi andmete registreerimine/kogumine
Klientide turundusprofiilide koostamine
Töölevõtmise või personali renditeenuste pakkumine
Isiku hasartmängudega seotud andmete kogumine
Andmete kogumine laste, vanurite ja vaimse puudega isikute kohta
Erinevatest allikatest pärinevate isikuandmete võrdlemine ja ühendamine

Kuidas koostada töötlemisülevaadet?

Isikuandmeid tuleb säilitada elektroonilises vormis ja neid tuleb korrapäraselt ajakohastada. Kui ettevõttel on kohustus määrata andmekaitsespetsialist (DPO), on töötlemisülevaate kaardistamise pidamise kohustus andmekaitseametniku ülesanne. Kui ettevõttel ei ole määratud andmekaitsespetsialisti, võib isikuandmete töötlemise ülevaate kaardistamist pidada ka äriühingu töötaja, kes on teadlik GDPR-i nõuetest.

Veebist võib leida mitmeid näidiseid selle kohta, kuidas tuleks isikuandmete töötlemisülevaateid koostada. GDPR register (https://www.gdprregister.eu) sisaldab selgitusi töötlemisülevaate koostamise kohta, töötlustoimingute malle ning raporteid, mida saab edastada andmekaitseasutustele.

Üks SaaS-i teenuse näide, mis vastab GDPR nõuetele, on GDPR Register (https://www.gdprregister.eu), mis sisaldab kõige tavalisemate andmetöötlustoimingute eelmääratud malle koos selgitustega, võimaldades automaatselt edastada dokumentide väljavõtteid järelevalveasutusele, kui nad vastavaid dokumente nõuavad.

The post Isikuandmete töötlemisülevaade appeared first on GDPR Register | Records of processing activities.

Millised on GDPR-i rikkumisel määratavad trahvid?

admin — Thu, 28 Jun 2018 08:35:02 +0000

Mitmetasandiline lähenemine GDPR-i trahvidele ja karistustele

Isikuandmete kaitse üldmäärus (GDPR) esitab mitmetasandilise lähenemise karistuste määramisel, mis tähendab, et rikkumise laad, raskus ja kestus määrab karistuse suuruse. GDPR-i raames võib ettevõttele karistuse määrata kahel viisil:

Andmesubjekti (st inimese) kaebuse põhjal algatatud uurimise tulemusel;
Andmekaitse järelevalveasutuse algatatud uurimise tulemusel;

Igal inimesel, kellel on tekkinud kahju seoses GDPR-i nõuete rikkumisega, on õigus tekkinud kahjude hüvitamisele vastutava või volitatud töötleja poolt (tsiviilõiguslikud nõuded).

Igal inimesel on õigus pöörduda andmekaitse järelevalveasutuse poole ning esitada kaebus ettevõtte vastu, kui inimene leiab, et tema isikuandmeid on kasutatud viisil, mis on vastuolus GDPR-ist tulenevate nõuetega või kui ettevõte eirab inimese nõudmisi oma andmete osas (nt õigus olla unustatud).

Kaebuse põhjal on järelevalveasutusel kohustus alustada väidetava rikkumise toime pannud ettevõtte suhtes uurimist ning juhul, kui tuvastatakse GDPR-i nõuete rikkumine, on järelevalveasutusel õigus ettevõtet karistada. Eesti Andmekaitse Inspektsioon on öelnud, et arvestades rikkumise raskust ja ettevõtte tegevust, esitavad nad kõigepealt ettevõttele ametliku hoiatuse ning juhul, kui ettevõte ei muuda seepeale oma isikuandmete töötlemise praktikat, määravad talle rahatrahvi. Loomulikult, kui rikkumine on ulatuslik ning raske, määratakse karistus viivitamatult ning vajadusel rakendatakse ettevõtte suhtes täiendavaid piiranguid (nt töötlemiskeeld).

Lisaks võivad järelevalveasutused määrata ettevõttele trahvi selle eest, kui ettevõte ei järgi GDPR-ist tulenevaid nõudeid.

GDPRi trahvide suurus

Maksimaalne trahvi suurus, mida võib ettevõttele rikkumise eest määrata, on kuni 20 miljonit eurot või kuni 4 % ettevõtte eelneva majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem:.
Trahvi suurus, mida võib määrata näiteks isikuandmete ebatäpse töötlemise ülevaate eest või rikkumistest teatamata jätmise eest, on kuni 10 miljonit eurot või kuni 2 % ettevõtte eelneva majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem.

Riigisiseste seadustega pannakse paika trahvimäärad ettevõtetele, kellel puudub ülemaailmne käive.

GDPR Register on lahendus, mis aitab ettevõtetel kaardistada isikuandmete toimingud ning koostada isikuandmete töötlemisülevaade kooskõlas GDPR-i artikli 30 nõuetega.

Vt GDPR artiklit 83 kirjeldust siit.

Andmetöötluse keelamine

GDPR-ist tulenevalt on järelevalveasutustel volitus kehtestada ettevõtetele ajutine või alaline töötlemispiirang, sh töötlemiskeeld. Teisisõnu, kui järelevalveasutus leiab, et ettevõtte andmetöötlus ei järgi GDPR-i nõudeid, võivad nad seada ettevõttele töötlemispiirangud, ning juhul, kui ettevõte oma andmetöötlustoiminguid muuta ei kavatse või nende tegevus ei vasta olulises osas GDPR-i nõuetele, võib järelevalveasutus kehtestada ettevõttele töötlemiskeelu. Töötlemispiirangute või töötlemiskeelu kehtestamine ei välista trahvide määramist.

The post Millised on GDPR-i rikkumisel määratavad trahvid? appeared first on GDPR Register | Records of processing activities.