Euroopa Liidu andmekaitse üldmäärus (GDPR) kehtestab reeglid isikuandmete töötlemise ja kaitse kohta. See on isikuandmete kaitse standard, mis kehtib kogu Euroopa Liidus, sealhulgas Eestis. GDPR-i eesmärk on tagada inimeste õigused nende isikuandmete suhtes ning reguleerida, kuidas ettevõtted ja organisatsioonid isikuandmeid koguvad, töötlevad ja säilitavad.

Isikuandmete töötlemisega seonduvad riskid hõlmavad privaatsuse rikkumist, andmete lekkeid või volitamata juurdepääsu, mainekahju ning õiguslikke tagajärgi. Näiteks võib andmete ebaõige käsitlemine viia trahvideni GDPR-i rikkumiste eest või kaasa tuua usalduskriisi klientide ja partnerite seas.

GDPR-i nõuete järgimise tagamiseks peavad ettevõtted rakendama sobivaid tehnilisi ja korralduslikke meetmeid. See hõlmab isikuandmete töötlemise protsesside läbipaistvust, turvalisi andmete säilitamise ja edastamise meetodeid ning töötajate koolitust andmekaitseküsimustes. Lisaks võib ettevõte palgata andmekaitsespetsialisti (DPO), kes aitab järgida GDPR-i nõudeid ja tagada isikuandmete kaitse.

Üks peamisi väljakutseid GDPR-i järgimisel on isikuandmete töötlemise põhimõtete keerukus ja nõuete täpsus. Ettevõtetel võib olla keeruline mõista, millised on nende kohustused GDPR-i alusel ning kuidas neid täita. Lisaks võib andmete kaitsega seotud tehnoloogiate ja protsesside pidev muutumine ja täiustamine olla väljakutseks ettevõtetele, eriti väiksematele organisatsioonidele.

Isikuandmetega seotud rikkumiste korral peab ettevõte reageerima kiiresti ja tõhusalt. Esimene samm on olukorra hindamine ja rikkumise ulatuse kindlakstegemine. Seejärel tuleb teavitada asjakohaseid isikuid ja vajadusel ka asjakohaseid järelevalveasutusi. Ettevõte peab võtma kasutusele meetmeid, et kõrvaldada rikkumise põhjused ja vältida sarnaste rikkumiste kordumist tulevikus.

Andmekaitse spetsialisti (DPO) palkamine sõltub ettevõtte isikuandmete töötlemise ulatusest ja keerukusest. GDPR nõuab DPO määramist teatud tingimustel, näiteks kui ettevõtte põhitegevus hõlmab ulatuslikku isikuandmete süstemaatilist jälgimist või suures mahus tundliku isikuandmete töötlemist. Lisaks võib DPO olla kasulik ettevõttele, kes soovib tõhustada oma isikuandmete kaitse protsesse ja tagada GDPR-i nõuete järgimise.

Sageli alustatakse andmetöötluse korrastamisega valest otsast ehk kirjutatakse valmis privaatsusteade jms avalikud dokumendid, kui tegelikult oleks õige alustada andmetöötluse kaardistusest ning töötlustoimingute ülevaate koostamisest. Alles seejärel on võimalik koostada klientidele suunatud tekstid tegeliku andmetöötluse detailide kohta.

Ka andmete kustutamisega esineb sageli probleeme. Põhiliselt just selliselt, et andmete kustutamise reeglid puuduvad kas osaliselt või täielikult. See tekitab aga hilisemaid probleeme andmekvaliteedis ning riskide halduses kuna nö vanu andmeid koguneb palju, kuid eesmärki nende hoidmiseks enam ei ole.

Andmeanalüütika kasutus on kasvutrendis ning ettevõtted ja riigiasutused näevad selles aina enam kasu ja efektiivsuse tõstmise võimalusi. Tõenäoliselt jätkub see kasv ja pigem kiireneb. Samal ajal on aga oluline kasvatada ka andmekaitse teadlikkust ja andmekaitse protsesside juurutamist organisatsioonis, et säiliks tasakaal efektiivsuse ja privaatsuse kaitse vahel.

Eestil on GDPR-i rakendumisest alates olnud probleem trahvide määramisega ning see tuleneb meie kohalikust seadusandlusest. Nimelt puudus meie õiguskorras haldustrahvi instrument ning seetõttu ei ole võimalik määrata trahve otse GDPR alusel. Kohaldada tuleb väärteomenetlust ning see tekitab omakorda mitmeid probleeme. Justiitsministeerium tegeleb selle probleemi lahendamisega ja lähitulevikus on oodata olukorra muutumist.

Eesti Andmekaitse Inspektsioon pigem ei ole trahvimisele orienteeritud asutus. Pooldame seda lähtekohta, sest trahv peaks olema vahend selleks, et karistada pahatahtlikku või korduvat hoolimatut käitumist inimeste andmete kasutamisel. Kui aga eesmärk on korrigeerida, parandada või harida, siis on selleks olemas mitmeid tõhusamaid vahendeid.

Kui ettevõte on siiralt palju vaeva näinud andmekaitse tagamisega ning siiski juhtub inimlik või tehniline eksimus, mille parandamisega asutakse koheselt tegelema, siis ei pea tingimata järgnema rahalist karistust, eriti kui võtta arvesse, et ettevõte võib intsidendi tagajärjel juba nagunii kannatada suurt käibenumbrite langust.

Samal ajal peab aga selline mõjutusvahend nagu toimiv trahvimise õigus olemas olema, et ükskõiksust ja hoolimatust vähendada.

Andmekaitsespetsialist on isik, kes vastutab isikuandmete kaitse üldmääruse (GDPR) ja muude isikuandmete kaitsega seotud õigusaktide järgimise eest ettevõttes või asutuses. Kohustus määrata AKS kehtib nii avaliku sektori asutustele kui ka eraettevõtetele, kes tegelevad ulatuslikult isikuandmete töötlemisega või jälgivad isikuid süstemaatiliselt suures ulatuses.

Andmekaitsespetsialisti ülesanded hõlmavad organisatsiooni teavitamist ja nõustamist isikuandmete kaitse üldmääruse ja muude seotud õigusaktide osas, isikuandmete töötlemise protsesside jälgimist, riskianalüüsi ja riskijuhtimise strateegiate väljatöötamist ning organisatsiooni esindamist ja koostööd andmekaitse järelevalveasutustega.

Andmekaitsealane mõjuhinnang on protsess, mille käigus hinnatakse isikuandmete töötlemisega seotud toimingute mõju isikute privaatsusele. See on vajalik, eriti kui uus tehnoloogia kasutuselevõtt või töötlemisviis võib kaasa tuua suure riski isikuandmete kaitsele. Andmekaitsespetsialist aitab välja töötada mõjuhinnangu läbiviimise raamistikke ning meetodeid, tagades, et kõik protsessid vastavad GDPR nõuetele.

Avaliku sektori asutustes tagab andmekaitsespetsialist, et kõik isikuandmete töötlemise toimingud on kooskõlas GDPR-i ja muude isikuandmete kaitse seadustega. Ta teavitab ja nõustab asutust parimatest praktikatest, viib läbi riskianalüüse, jälgib andmekaitsealaste mõjuhinnangute läbiviimist ja teeb koostööd järelevalveasutustega, tagades seeläbi isikuandmete kaitse kõrge taseme.

Andmekaitsespetsialist on keskne tegelane ettevõtte andmekaitse strateegia väljatöötamisel ja rakendamisel. Ta mitte ainult ei teavita ja nõusta ettevõtet GDPR-i ja teiste isikuandmete kaitse seaduste osas, vaid aitab ka välja töötada ja juurutada protsesse ja poliitikaid. Lisaks jälgib andmekaitsespetsialist nende protsesside toimimist, teeb koostööd järelevalveasutustega ja tagab, et ettevõte suudab kiiresti reageerida andmekaitsega seotud probleemidele.