Andmekaitsemäärus – mis see on ja mida tähele panna?

Maarja Heinsoo, PwC Eesti IT- ja äririskide valdkonna vanemkonsultant
Märten Padu, PwC Eesti IT- ja äririskide valdkonna juht

Avaldatud Raamatupidamise Praktikus 6. septembril 2016

Tänavu kevadel võeti vastu Euroopa Liidu isikuandmete kaitse üldmäärus (ingl General Data Protection Regulation), mis toob kaasa viimase kahekümne aasta suurima muutuse isikuandmete kaitse valdkonna reguleerimises. Artiklis anname ülevaate, mida määrus endast kujutab ja millises suunas võiks määruse jõustudes mõelda.

Andmekaitsemääruse suurem eesmärk on anda kodanikele kontroll oma isikuandmete üle, ühtlustada andmekaitse taset kogu Euroopa Liidus ning tugevdada digitaalset ühisturgu. Andmekaitsemäärus kehtib kõikidele organisatsioonidele (olenemata suurusest), mis tegutsevad Euroopa Liidus või käitlevad (koguvad või töötlevad) Euroopa Liidus asuvate isikute andmeid.

Määrus on EL-i liikmesriikidele otsekohalduv ning sisaldab nõudeid, mille täitmine eeldab eri osapoolte (nt juhtkond, äriprotsesside eest vastutavad isikud) protsessi kaasamist. Andmekaitsemäärus rakendub juba 2018. aasta kevadest, seega aega sätetega kurssi viimiseks ning isikuandmeid puudutavate tööprotsesside ümberkujundamiseks napib. Andmekaitsemääruse nõuete rikkumistega, mida hakkavad tuvastama kontrolliorganid, kaasnevad trahvid, mis võivad rikkumise raskuse järgi ulatuda 4 protsendini ettevõtte aastasest kogukäibest või 20 miljoni euroni.

Tuttavaid põhimõtteid raamivad uued nõuded

Määruses esitatud nõuded lähtuvad juhtmõttest, et andmeid käideldakse põhjendatult ja kindlatel alustel (andmesubjekti kirjalik nõusolek, seadusest tulenevad põhjused või subjektiga sõlmitud leping). Rangemad nõuded puudutavad organisatsioone, mis tegelevad andmesubjektide süstemaatilise jälgimisega (siia alla võivad liigituda ka näiteks kasutajate profileerimisega tegelevad ettevõtted). Delikaatsete isikuandmete (näiteks rassi, usuliste, seksuaalsete eelistuste) käitlemine on lubatud vaid erijuhtudel. Olulisematest nõuetest saab välja tuua järgmised punktid.

  • Andmesubjektil (tuvastatud või tuvastataval füüsilisel isikul) on õigus saada informatsiooni enda kohta kogutud andmetest (andmesubjektile piiranguid selles osas seatud ei ole) ja keelduda teenuse pakkumiseks mittevajalike andmete üleandmisest. Privaatsuseeskirjad peavad andmesubjekti jaoks olema selged ja üheselt mõistetavad, st et andmesubjekt peab mõistma, milleks tema andmeid on tarvis ning mida nendega tehakse.
  • Andmesubjektil on õigus nõuda oma andmete kustutamist (ingl right to be forgotten), kui neid ei ole teenuse osutamise tarvis vaja koguda.
  • Juhul kui andmeid käideldakse andmesubjekti kirjaliku nõusoleku alusel (mitte kehtiva lepingu või seaduse alusel), tuleb arvestada, et subjektil on õigus nõusolek igal ajal tühistada. Andmesubjekti nõusoleku olemasolu tõendamise kohustus lasub täielikult andmete käitlejal.
  • Turvaintsidentidest, mis põhjustavad isikuandmetega seotud rikkumise, tuleb teavitada keskset andmekaitseorganit ning teatud juhtudel ka mõjutatud andmesubjekte. Isikuandmetega seotud rikkumine, muide, on defineeritud kui tahtmatu või õigusvastane andmete hävitamine, kadu, muutmine, loata avaldamine või neile juurdepääsu võimaldamine. Turvaintsidentidest teavitamata jätmine või teavitamisega põhjendamatult viivitamine võib kaasa tuua trahvi.
  • Andmekäitleja peab andmesubjekti teavitama, kui tema andmeid otsustatakse edastada kolmandale osapoolele. Samas on andmesubjektil õigus paluda oma andmed edastada kolmandale osapoolele, näiteks mõnele teisele teenusepakkujale (ingl data portability).
  • Isikuandmete käitlemisega seotud protsesside puhul, millega võib kaasneda suurem oht andmesubjekti õigustele, tuleb teha mõjuanalüüs. Mõjuanalüüsid aitavad tuvastada võimalikke riske ja kasutusele võtta asjakohaseid turvameetmeid. Mõjuanalüüside olemasolu ja täielikkust võib kontrollida järelevalveasutus.
  • Kui andmekäitleja puhul on tegemist avaliku sektori üksusega, ettevõttega, kus töötab vähemalt 250 inimest, või ettevõttega, kus andmekäitlemine eeldab regulaarset ja süstemaatilist andmesubjektide monitoorimist, tuleb organisatsioonis luua andmekaitseametniku roll.

Suurem osa määruses esitatud põhimõtetest on kehtivas Eesti seaduses juba olemas. Olulisematest uuendustest saabki välja tuua senisest kõrgemad trahvid, andmete kolmanda osapoolega jagamise põhimõtted, mõjuanalüüside tegemise kohustuse ja (teatud juhtudel) andmekaitseametniku rolli loomise kohustuse. Erinevalt seadusest kohaldub määrus ka juhul, kui andmeid vaid edastatakse läbi Eesti territooriumi.

Võtmeks on osapoolte kaasatus

Soovitatav on isikuandmete kaitse süsteemidesse ja protsessidesse sisse ehitada (ingl privacy by design), sest see lihtsustab määruse nõuetega vastavuse tagamise protsessi. Olulise rolli võivad saada (pea)raamatupidajad ja finantsjuhid, kes nii mõneski ettevõttes on formaalselt või sisuliselt määratud vastutama ka suuremate regulatsioonidega vastavuse tagamise eest. Olenevalt sellest, millist kompetentsi ettevõttel majasiseselt leidub, võib vajalik olla kaasata ettevõttevälist (nt juriidilist või IT-alast) abi. Osapoolte vähene kaasatus on esmane ohumärk: selle tulemuseks võib olla nõuete juurutamise tegevuskava, mis eesmärke ja andmete käitlemisega seotud riske piisavalt ei arvesta.

Keerukust lisab asjaolu, et määruses esitatud isikuandmete definitsioon (ja sellest tulenevalt määruse mõjuala) on lai: isikuandmed on kõik füüsilise isikuga seostatavad andmed. Seega puudutab määrus ka täiesti tavalisi ettevõtteid, mis spetsiaalselt oma klientide või muude isikute profileerimise või monitoorimisega ei tegele. Isikute kohta käivaid andmeid leidub ju mujalgi, näiteks raamatupidamisinfos.

Nii võib näiteks ehitusettevõtte arvete, pangatehingute ja müügireskontro alusel teha kindlaks, kellele, mida, kuhu ja mis summa eest rajati ning kes selle eest maksis. Analoogseid näiteid leiaks muidugi ka teiste valdkondade teenusepakkujate seast. Konkreetselt jaemüügis kujutavad omaette riskikohta kliendikaardid, mille abil võib olla võimalik siduda konkreetne isik tema ostuajalooga.

Infosüsteemid on tänapäeva äride lahutamatu osa. Aina suurenev süsteemide integreeritus (näiteks kliendihaldustarkvara ja finantstarkvara ühendamine) tähendab, et kitsa valdkonna töötajal on aina keerulisem omada ülevaadet andmekogumitest ja andmete liikumisest. Erinevate protsesside eest vastutavate isikute koostöös on parem kaardistada, kus isikuandmed tekivad, kuhu ja kelleni need jõuavad, ning mõista, kas nende käitlemine on määruse tingimuste valguses õigustatud.

Turbehügieen on kõigile oluline

Isikuandmete lekkimine (või ka pahaaimamatu lekitamine organisatsiooni oma töötaja poolt) on juba vana teema, küll aga tõuseb see määruse jõustudes taas esile. Andmetöötlejaile suunatud sanktsioonide (vähemalt teoreetiline) kasv võib suurendada kuritahtlikke ründeid seni vähem huvi pakkunud valdkondade ettevõtete andmete vastu. Infoturbehügieeni hoidmine ei ole ammugi enam kindla tegevusharu (nt pangandus, tervishoid) probleem. Turbehügieeni tagamisel tasub muu hulgas läbi mõelda alljärgnevad küsimused.

  • Kas ligipääs andmetele on lubatud vaid selleks ettenähtud isikutele tööülesannetega piiratud ulatuses? Kas kasutusel on individuaalsed kasutajakontod? Nt finantstarkvarade (kui ka muude arvutisüsteemide) puhul peaks kasutajaõiguste jagamisel järgima vähimate õiguste (ingl least privilege) põhimõtet, mille kohaselt antakse töötajale süsteemidesse võimalikult vähe ligipääsuõigusi. Andmete turvalisuse seisukohast võetuna on loomulik, et kõikidel tarkvara kasutajatel ei ole näiteks pearaamatupidaja õigusi. Täiendavalt ei ole mõistlik kasutada ka ühiskontosid.
  • Kas töötajatelt nõutakse tugevate paroolide kasutamist? Parooliga turvamata kasutajakonto on andmete lekitaja jaoks nagu lukustamata välisuks. Selliseid kasutajakontosid on lihtne ära kasutada, et pääseda ligi näiteks ettevõtte klientide isikuandmetele.
  • Kas ettevõtte töötajad on kursis infoturbeohtudega? Tundmatu mälupulga ühendamine arvutiga, väidetavalt tuttavalt saabunud e-kirjas sisalduva manuse avamine või mõnel veebilehel kahtlasel uudis- või reklaamlausel klikkamine võib ohtu seada terve kontori võrgu ja andmete turvalisuse.
  • Kas isikuandmeid säilitatakse muudest andmetest eraldi? Kas tundlikke andmeid hoitakse/edastatakse krüpteeritult? Juhul kui häkitakse sisse ühte andmebaasi, siis informatsiooni segregeerituna hoidmise korral ei saa häkker enda valdusse kogu andmestikku. Andmete krüpteerituna hoidmine aitab tagada, et need ei satuks kuritahtlike andmelekitajate kätte lihtsasti loetaval kujul.
  • Kas andmetest tehakse regulaarseid varukoopiaid? Kas andmete varukoopiast taastamist testitakse? Seoses sellega, et andmesubjektil on õigus igal ajal teada saada, milliseid andmeid tema kohta on kogutud, tuleks veenduda, et säärase info jagamine ei takerduks, kui põhilised andmekandjad peaksid ootamatult töötamast lakkama.

Erinevaid turbehügieeniga seotud põhimõtteid, mida uue andmekaitsemääruse valguses läbi mõelda, leidub rohkemgi.

Praeguseks ei ole veel välja kujunenud kindlaid praktikaid, kuidas saavutada seda, et isikuandmete kaitse oleks vastavuses üldmäärusega. See, milliseid nüansse arvesse võtta, sõltub paljuski ettevõtte eripärast. Vettpidava lähenemise kujundamine on kindlasti töömahukas, küll aga võiksid määrusesse sisse kirjutatud kõrgemad trahvid motiveerida regulatsioonile tähelepanu pöörama ja vajaduse korral eri valdkondade spetsialiste kaasama.