Hedmani andmekaitse advokaadid aitavad IT, B2B jaemüügi, e-kaubanduse, tervisetehnoloogia, turunduse, fin-tech ja teisi ettevõtteid andmekaitse (sealhulgas andmekaitse üldmääruse GDPR ja e-privaatsuse) nõuete rakendamisel. Pakume paindlikke andmekaitseametniku ehk andmekaitsespetsialisti koolitusi ja teenuseid vastavalt kliendi eripäradele.
Uute toodete või teenuste andmetöötluse kaardistamine
- Abistamine isikuandmete kaardistamisel organisatsioonis;
- Jätkusuutliku kaardistuse loomine, mida on võimalik lihtsasti vastavalt tegevuste muutustele täiendada. Selleks pakume ka SaaS (tarkvara) lahendust, mida saab kasutada ka dokumentide turvaliseks edastamiseks;
- Ülevaate koostamine vajalikest tegevustest ja prioriteetidest võimalike puuduste kõrvaldamiseks.
Andmekaitsealane mõjuhinnang
- Olemasolevate lahenduste mõju hindamine;
- Andmetöötluse GDPR-i nõuetele vastavuse hindamine;
- Ettevõtte tarkvaralahenduste ja andmebaaside GDPR-i tehnilistele ja juriidilistele nõuetele vastavuse hindamine;
- GDPR-i nõuetele vastava mõjuhinnangu dokumentatsiooni koostamine.
Andmekaitsealane dokumentatsioon
- Isikuandmete töötlemisülevaate ja privaatsustingimuste koostamine, küpsiste (cookie) teavituste koostamine;
- Nõusolekuvormide koostamine ja ärimudelisse sobitamine;
- Sise-eeskirjade, sealhulgas seotud protsesside, koostamine;
- Andmekaitsega seotud töösuhete dokumentatsiooni koostamine;
- Andmetöötluslepingute (kontsernisisesed ja ettevõtte välised), vastutava töötleja ja volitatud töötleja lepingute ning tehniliste ja korralduslike meetmete koostamine (s.h andmete piiriülene edastamine).
Andmekaitsespetsialisti (DPO) teenus
- GDPR-i ja muude asjakohaste õigusaktide nõuetele vastavuse tagamiseks on võimalik sisse osta DPO täisteenus või majasisese DPO nõustamise teenus;
- Andmekaitseametnik juhendab organisatsiooni ja selle töötajaid ning nõustab neid GDPR-ist tulenevate andmekaitsekohustuste osas;
- Andmekaitseametnik teostab seiret organisatsiooni GDPR-i ja andmekaitse sise-eeskirjadele ja protsessidele vastavuse osas;
- Andmekaitseametnik on andmekaitseasutuste kontaktpunktiks kõigis andmekaitseküsimustes, sealhulgas isikuandmetega seotud rikkumisest teatamisel.
Riskihaldus ja andmeturve
- Teadus- ja arendustegevuse meeskondade nõustamine arendusprotsessis;
- Riskijuhtimine ja andmeturve;
- Tehnilised ja korralduslikud meetmed;
- Tarkvaralahenduste soovitamine (anonümiseerimine, krüpteerimine, töötlustoimingute registreerimine, nõusolekute haldamine, küpsised jne);
- Isikuandmetega seotud rikkumisjuhtumite haldamine (nt aruandlus andmekaitseasutustele);
- Isikuandmetega seotud rikkumisjuhtumitele reageerimine.
Andmekaitsespetsialisti (DPO) koolitus
- Kliendi profiilil põhineva spetsiaalse DPO koolituse pakkumine;
- Ettevõttele kohalduvate GDPR-i nõuete selgitamine DPO-le;
- Organisatsiooni eripärasid arvestavad koolitused töötajatele. Valdkondlikud koolitused tagavad asjakohasema info (klienditeenindus, müügiosakond, turundusanalüütika, IT arendus, finants jne).
Esindamine isikuandmeid puudutavates vaidlustes
- Andmetöötleja esindamine ja nõustamine andmekaitseõigust puudutavates järelevalve- ja kohtumenetlustes.
Korduma kippuvad küsimused
Millised on põhivead, mida andmete kasutamise ehk töötlemisega seoses tehakse?
Sageli alustatakse andmetöötluse korrastamisega valest otsast ehk kirjutatakse valmis privaatsusteade jms avalikud dokumendid, kui tegelikult oleks õige alustada andmetöötluse kaardistusest ning töötlustoimingute ülevaate koostamisest. Alles seejärel on võimalik koostada klientidele suunatud tekstid tegeliku andmetöötluse detailide kohta.
Ka andmete kustutamisega esineb sageli probleeme. Põhiliselt just selliselt, et andmete kustutamise reeglid puuduvad kas osaliselt või täielikult. See tekitab aga hilisemaid probleeme andmekvaliteedis ning riskide halduses kuna nö vanu andmeid koguneb palju, kuid eesmärki nende hoidmiseks enam ei ole.
Kuivõrd kasutavad Eesti ettevõtted andmeanalüütikat, nt turunduses ja müügis?
Andmeanalüütika kasutus on kasvutrendis ning ettevõtted ja riigiasutused näevad selles aina enam kasu ja efektiivsuse tõstmise võimalusi. Tõenäoliselt jätkub see kasv ja pigem kiireneb. Samal ajal on aga oluline kasvatada ka andmekaitse teadlikkust ja andmekaitse protsesside juurutamist organisatsioonis, et säiliks tasakaal efektiivsuse ja privaatsuse kaitse vahel.
Miks pole Eestist veel teada suuri trahve GDPRi rikkumiste eest nagu mõnes muus ELi riigis? Kas see praktika peaks ka Eestis muutuma?
Eestil on GDPR-i rakendumisest alates olnud probleem trahvide määramisega ning see tuleneb meie kohalikust seadusandlusest. Nimelt puudus meie õiguskorras haldustrahvi instrument ning seetõttu ei ole võimalik määrata trahve otse GDPR alusel. Kohaldada tuleb väärteomenetlust ning see tekitab omakorda mitmeid probleeme. Justiitsministeerium tegeleb selle probleemi lahendamisega ja lähitulevikus on oodata olukorra muutumist.
Eesti Andmekaitse Inspektsioon pigem ei ole trahvimisele orienteeritud asutus. Pooldame seda lähtekohta, sest trahv peaks olema vahend selleks, et karistada pahatahtlikku või korduvat hoolimatut käitumist inimeste andmete kasutamisel. Kui aga eesmärk on korrigeerida, parandada või harida, siis on selleks olemas mitmeid tõhusamaid vahendeid.
Kui ettevõte on siiralt palju vaeva näinud andmekaitse tagamisega ning siiski juhtub inimlik või tehniline eksimus, mille parandamisega asutakse koheselt tegelema, siis ei pea tingimata järgnema rahalist karistust, eriti kui võtta arvesse, et ettevõte võib intsidendi tagajärjel juba nagunii kannatada suurt käibenumbrite langust.
Samal ajal peab aga selline mõjutusvahend nagu toimiv trahvimise õigus olemas olema, et ükskõiksust ja hoolimatust vähendada.
