Hedmani andmekaitse advokaadid aitavad IT, B2B jaemüügi, e-kaubanduse, tervisetehnoloogia, turunduse, fin-tech ja teisi ettevõtteid andmekaitse (sealhulgas andmekaitse üldmääruse GDPR ja e-privaatsuse) nõuete rakendamisel. Pakume paindlikke andmekaitseametniku ehk andmekaitsespetsialisti koolitusi ja teenuseid vastavalt kliendi eripäradele.
Uute toodete või teenuste andmetöötluse kaardistamine
- Abistamine isikuandmete kaardistamisel organisatsioonis;
- Jätkusuutliku kaardistuse loomine, mida on võimalik lihtsasti vastavalt tegevuste muutustele täiendada. Selleks pakume ka SaaS (tarkvara) lahendust, mida saab kasutada ka dokumentide turvaliseks edastamiseks;
- Ülevaate koostamine vajalikest tegevustest ja prioriteetidest võimalike puuduste kõrvaldamiseks.
Andmekaitsealane mõjuhinnang
- Olemasolevate lahenduste mõju hindamine;
- Andmetöötluse GDPR-i nõuetele vastavuse hindamine;
- Ettevõtte tarkvaralahenduste ja andmebaaside GDPR-i tehnilistele ja juriidilistele nõuetele vastavuse hindamine;
- GDPR-i nõuetele vastava mõjuhinnangu dokumentatsiooni koostamine.
Andmekaitsealane dokumentatsioon
- Isikuandmete töötlemisülevaate ja privaatsustingimuste koostamine, küpsiste (cookie) teavituste koostamine;
- Nõusolekuvormide koostamine ja ärimudelisse sobitamine;
- Sise-eeskirjade, sealhulgas seotud protsesside, koostamine;
- Andmekaitsega seotud töösuhete dokumentatsiooni koostamine;
- Andmetöötluslepingute (kontsernisisesed ja ettevõtte välised), vastutava töötleja ja volitatud töötleja lepingute ning tehniliste ja korralduslike meetmete koostamine (s.h andmete piiriülene edastamine).
Andmekaitsespetsialisti (DPO) teenus
- GDPR-i ja muude asjakohaste õigusaktide nõuetele vastavuse tagamiseks on võimalik sisse osta DPO täisteenus või majasisese DPO nõustamise teenus;
- Andmekaitseametnik juhendab organisatsiooni ja selle töötajaid ning nõustab neid GDPR-ist tulenevate andmekaitsekohustuste osas;
- Andmekaitseametnik teostab seiret organisatsiooni GDPR-i ja andmekaitse sise-eeskirjadele ja protsessidele vastavuse osas;
- Andmekaitseametnik on andmekaitseasutuste kontaktpunktiks kõigis andmekaitseküsimustes, sealhulgas isikuandmetega seotud rikkumisest teatamisel.
Riskihaldus ja andmeturve
- Teadus- ja arendustegevuse meeskondade nõustamine arendusprotsessis;
- Riskijuhtimine ja andmeturve;
- Tehnilised ja korralduslikud meetmed;
- Tarkvaralahenduste soovitamine (anonümiseerimine, krüpteerimine, töötlustoimingute registreerimine, nõusolekute haldamine, küpsised jne);
- Isikuandmetega seotud rikkumisjuhtumite haldamine (nt aruandlus andmekaitseasutustele);
- Isikuandmetega seotud rikkumisjuhtumitele reageerimine.
Andmekaitsespetsialisti (DPO) koolitus
- Kliendi profiilil põhineva spetsiaalse DPO koolituse pakkumine;
- Ettevõttele kohalduvate GDPR-i nõuete selgitamine DPO-le;
- Organisatsiooni eripärasid arvestavad koolitused töötajatele. Valdkondlikud koolitused tagavad asjakohasema info (klienditeenindus, müügiosakond, turundusanalüütika, IT arendus, finants jne).
Esindamine isikuandmeid puudutavates vaidlustes
- Andmetöötleja esindamine ja nõustamine andmekaitseõigust puudutavates järelevalve- ja kohtumenetlustes.
Korduma kippuvad küsimused
Millised on põhivead, mida andmete kasutamise ehk töötlemisega seoses tehakse?
Sageli alustatakse andmetöötluse korrastamisega valest otsast ehk kirjutatakse valmis privaatsusteade jms avalikud dokumendid, kui tegelikult oleks õige alustada andmetöötluse kaardistusest ning töötlustoimingute ülevaate koostamisest. Alles seejärel on võimalik koostada klientidele suunatud tekstid tegeliku andmetöötluse detailide kohta.
Ka andmete kustutamisega esineb sageli probleeme. Põhiliselt just selliselt, et andmete kustutamise reeglid puuduvad kas osaliselt või täielikult. See tekitab aga hilisemaid probleeme andmekvaliteedis ning riskide halduses kuna nö vanu andmeid koguneb palju, kuid eesmärki nende hoidmiseks enam ei ole.
Kuivõrd kasutavad Eesti ettevõtted andmeanalüütikat, nt turunduses ja müügis?
Andmeanalüütika kasutus on kasvutrendis ning ettevõtted ja riigiasutused näevad selles aina enam kasu ja efektiivsuse tõstmise võimalusi. Tõenäoliselt jätkub see kasv ja pigem kiireneb. Samal ajal on aga oluline kasvatada ka andmekaitse teadlikkust ja andmekaitse protsesside juurutamist organisatsioonis, et säiliks tasakaal efektiivsuse ja privaatsuse kaitse vahel.
Miks pole Eestist veel teada suuri trahve GDPRi rikkumiste eest nagu mõnes muus ELi riigis? Kas see praktika peaks ka Eestis muutuma?
Eestil on GDPR-i rakendumisest alates olnud probleem trahvide määramisega ning see tuleneb meie kohalikust seadusandlusest. Nimelt puudus meie õiguskorras haldustrahvi instrument ning seetõttu ei ole võimalik määrata trahve otse GDPR alusel. Kohaldada tuleb väärteomenetlust ning see tekitab omakorda mitmeid probleeme. Justiitsministeerium tegeleb selle probleemi lahendamisega ja lähitulevikus on oodata olukorra muutumist.
Eesti Andmekaitse Inspektsioon pigem ei ole trahvimisele orienteeritud asutus. Pooldame seda lähtekohta, sest trahv peaks olema vahend selleks, et karistada pahatahtlikku või korduvat hoolimatut käitumist inimeste andmete kasutamisel. Kui aga eesmärk on korrigeerida, parandada või harida, siis on selleks olemas mitmeid tõhusamaid vahendeid.
Kui ettevõte on siiralt palju vaeva näinud andmekaitse tagamisega ning siiski juhtub inimlik või tehniline eksimus, mille parandamisega asutakse koheselt tegelema, siis ei pea tingimata järgnema rahalist karistust, eriti kui võtta arvesse, et ettevõte võib intsidendi tagajärjel juba nagunii kannatada suurt käibenumbrite langust.
Samal ajal peab aga selline mõjutusvahend nagu toimiv trahvimise õigus olemas olema, et ükskõiksust ja hoolimatust vähendada.
Kes on andmekaitsespetsialist ja millal on ettevõttel kohustus määrata AKS?
Andmekaitsespetsialist on isik, kes vastutab isikuandmete kaitse üldmääruse (GDPR) ja muude isikuandmete kaitsega seotud õigusaktide järgimise eest ettevõttes või asutuses. Kohustus määrata AKS kehtib nii avaliku sektori asutustele kui ka eraettevõtetele, kes tegelevad ulatuslikult isikuandmete töötlemisega või jälgivad isikuid süstemaatiliselt suures ulatuses.
Millised on andmekaitsespetsialisti peamised ülesanded?
Andmekaitsespetsialisti ülesanded hõlmavad organisatsiooni teavitamist ja nõustamist isikuandmete kaitse üldmääruse ja muude seotud õigusaktide osas, isikuandmete töötlemise protsesside jälgimist, riskianalüüsi ja riskijuhtimise strateegiate väljatöötamist ning organisatsiooni esindamist ja koostööd andmekaitse järelevalveasutustega.
Mis on andmekaitsealane mõjuhinnang ja millal seda läbi viia?
Andmekaitsealane mõjuhinnang on protsess, mille käigus hinnatakse isikuandmete töötlemisega seotud toimingute mõju isikute privaatsusele. See on vajalik, eriti kui uus tehnoloogia kasutuselevõtt või töötlemisviis võib kaasa tuua suure riski isikuandmete kaitsele. Andmekaitsespetsialist aitab välja töötada mõjuhinnangu läbiviimise raamistikke ning meetodeid, tagades, et kõik protsessid vastavad GDPR nõuetele.
Kuidas andmekaitsespetsialist aitab tagada isikuandmete kaitse avaliku sektori asutustes?
Avaliku sektori asutustes tagab andmekaitsespetsialist, et kõik isikuandmete töötlemise toimingud on kooskõlas GDPR-i ja muude isikuandmete kaitse seadustega. Ta teavitab ja nõustab asutust parimatest praktikatest, viib läbi riskianalüüse, jälgib andmekaitsealaste mõjuhinnangute läbiviimist ja teeb koostööd järelevalveasutustega, tagades seeläbi isikuandmete kaitse kõrge taseme.
Millist rolli mängib andmekaitsespetsialist ettevõtte andmekaitse strateegias?
Andmekaitsespetsialist on keskne tegelane ettevõtte andmekaitse strateegia väljatöötamisel ja rakendamisel. Ta mitte ainult ei teavita ja nõusta ettevõtet GDPR-i ja teiste isikuandmete kaitse seaduste osas, vaid aitab ka välja töötada ja juurutada protsesse ja poliitikaid. Lisaks jälgib andmekaitsespetsialist nende protsesside toimimist, teeb koostööd järelevalveasutustega ja tagab, et ettevõte suudab kiiresti reageerida andmekaitsega seotud probleemidele.
