data breach gdpr

Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Vastavalt Isikuandmete kaitse üldmäärusele (GDPR) ja Isukuandmete Kaitse Seadusele tuleb Andmekaitseinspektsiooni (AKI) viivitamatult teavitada isikuandmetega seotud rikkumisest. Aga mida ja kuidas täpselt tuleb teha?

Isikuandmetega seotud rikkumine tähendab isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist, loata avalikustamist või juurdepääsu sellele. Isikuandmete rikkumised võivad hõlmata järgmist:

  • volitamata kolmanda isiku juurdepääs;
  • kontrollija või töötleja poolt põhjustatud tahtlik või tahtmatu tegevus (või tegevusetus);
  • isikuandmete saatmine valele adressaadile;
  • isikuandmeid sisaldavad andmekandjad, mis on kadunud või varastatud;
  • isikuandmete muutmine loata; ja
  • isikuandmete kättesaadavuse kaotamine.

AKI teavitamine isikuandmetega seotud rikkumisest

GDPRi kohaselt tuleks turvaintsidendi puhul kindlaks teha, kas isikuandmete rikkumine on toimunud. Kui jah, siis võtke viivitamatult meetmeid selle lahendamiseks, sealhulgas vajadusel teavitage sellest Andmekaitseinspektsiooni. Sellisel juhul peate tuvastama inimeste õiguste ja vabaduste ohtu seadmise tõenäosust ja riskide tõsiduse taset. Kui on tõenäoline, et on oht, siis peate sellest Andmekaitseinspektsiooni teavitama (AKI – Rikkumisteate edastamine). Kui risk on ebatõenäoline, ei pea te sellest teatama. GDPR näeb ette, et registreerite kõik rikkumised, sõltumata sellest, kas neid tuleb AKI-le teatada.

Teatamiskohustusliku rikkumise puhul tuleb AKI-t teavitada põhjendamatu viivituseta ja hiljemalt 72 tundi pärast isikuandmetega seotud rikkumisest teada saamist. Kui teatamine toimub hiljem, peate viivituse põhjused selgitama. Rikkumise teatamisel ütleb GDPR, et peate esitama:

  • isikuandmete rikkumise sisu kirjeldus, sealhulgas, võimaluse korral:
  • ohustatud isikute kategooriad ja ligikaudne arv; ja
  • ohustatud isikuandmekirjete kategooriad ja ligikaudne arv;
  • andmekaitseametniku nimi ja kontaktandmed;
  • isikuandmetega seotud rikkumise tõenäoliste tagajärgede kirjeldus; ja
  • isikuandmetega seotud rikkumisega tegelemiseks võetud või kavandatavate meetmete kirjeldus. Samuti, sealhulgas vajaduse korral meetmed võimalike kahjulike mõjude leevendamiseks.

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

Mõned rikkumised toovad tõenäoliselt kaasa suure ohu eraikisikute õigustele ja vabadustele. Sel juhul peab ettevõte neid isikuid otseselt ja põhjendamatu viivituseta teavitama sellest. Üks peamisi eraisikute teavitamise põhjuseid on võimaldada neil ette võtta meetmeid enda kaitsmseks rikkumisega seotud tagajärgede eest. Te peate selgelt ja arusaadavalt kirjeldama isikuandmete rikkumise sisu ja esitama vähemalt järneva informatsiooni:

  • teie andmekaitseametniku nime ja kontaktandmeid;
  • isikuandmetega seotud rikkumise tõenäoliste tagajärgede kirjeldus; ja
  • isikuandmete rikkumisega tegelemiseks võetud või kavandatavate meetmete kirjeldus ja vajaduse korral võimalike kahjulike mõjude leevendamiseks võetud meetmete kirjeldus.

Andmetöötleja teavitamiskohustus

Kui teie organisatsioon kasutab andmetöötlusteenust ja töötleja juures on toimunud isikuandemega seotud rikkumine, peab ta sellest viivitamata teatama niipea, kui on rikkumisest teatavaks saanud. Rikkumisest teatamise nõuded peaksid olema Teie ja Teie töötleja vahelises lepingus selgelt defineeritud.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Korraldage oma vastavus asjakohaste GDPR-i tööriistadega.
Registreeru demole ja 14-päevasele prooviversioonile juurdepääsu saamiseks.

Säästa aega ja ole kindel tulemuses

Latest Posts
Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks? Euroopa Komisjon jõudis järeldusele, et Ameerika Ühendriigid...
Isikuandmete töötlemisülevaade

Isikuandmete töötlemisülevaade

Mis on isikuandmete töötlemisülevaade? Isikuandmete kaitse üldmääruse (GDPR) artikkel 30 nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate (andmetöötlustoimingute registri),...
Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks finants-, konkurentsi- ja andmekaitseõiguse rikkumistele edaspidi tõhusamalt reageerida. Kontseptsiooniga kavandatakse Eesti õiguskorda uus...
Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Maikuu lõpus möödus aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud...
Millal võib riik koguda isikuandmeid?

Millal võib riik koguda isikuandmeid?

Riik võib isikuandmeid töödelda vaid seadusega ette nähtud piirides. Isikuandmete töötlemine võib olla mõnes õigusaktis otse reguleeritud või tuletatud sellise...
GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

Võib öelda, et uue isikuandmete kaitse üldmäärusega (IKÜM) kaasnenud paradigma muutusega algas uus ajastu andmekaitse ja privaatsuse mõtestamisel digitaalmaailmas. Selge on see,...
DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

9. mail 2019 tutvustati andmekaitsespetsialistidele ja IT-juhtidele tarkvaralahendusi, mida saab kasutada GDPR nõuete täitmiseks. TAMO koolitusmoodul – SAAS lahendus ettevõtete...
Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Vastavalt Isikuandmete kaitse üldmäärusele (GDPR) ja Isukuandmete Kaitse Seadusele tuleb Andmekaitseinspektsiooni (AKI) viivitamatult teavitada isikuandmetega seotud rikkumisest. Aga mida ja kuidas...
IP-aadressi anonümiseerimine Google Analytics-is

IP-aadressi anonümiseerimine Google Analytics-is

Paljud ettevõtted kasutavad Google Analytics-it abivahendina kogumaks väärtuslikku teavet klientide käitumise kohta oma veebisaitidel või mobiilirakendustes. Vaikimisi kasutab Analytics veebisaidi...
Isikuandmete edastamine kolmandatesse riikidesse

Isikuandmete edastamine kolmandatesse riikidesse

Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation - GDPR) on kehtestanud ranged reeglid andmete edastamisel kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse....