Isikuandmete kaitse üldmäärus

Kuidas teada saada, mis isikuandmeid teie ettevõttest leiab?

Maili Torma Maili Torma

Teave on hinnaline ärivara, mille hulk maailmas kasvab Cisco analüüsi järgi peaaegu 24% aastas. Väga suure osa sellest andmehulgast moodustavad isikuandmed, mille privaatsuse ja kaitstuse tagamine seadusandluse abil on tõeline väljakutse. Euroopa Liit otsustas oma elanike paremaks kaitsmiseks ühtlustada liikmesriikide isikuandmete kaitse seadused ühtse isikuandmete kaitse üldmääruse (IKÜ) 2016/679 alla, mis hakkas kehtima 25. maist 2018.

IKÜ loomise eesmärk on anda inimestele suurem kontroll nende kohta käivate andmete üle. Näiteks on inimesel (üldmääruse keeles andmesubjektil) õigus ettevõtetele ja riigiasutustele päringuid esitada – mis andmeid, mis eesmärgiga ja millise õigusliku alusega tema kohta hoitakse ning teatavatel juhtudel ka nõuda oma isikuandmete kustutamist.  Selleks, et ettevõte või asutus oleks võimeline inimese päringule vastama, peab tal olema ülevaade, millised andmetöötluse protsessid ettevõttes olemas on. Üldmääruse nõue registreerida oma isikuandmete töötlemise tegevused ja kaardistada infovarad võib tunduda lihtsalt bürokraatliku harjutusena, mida ettevõttel tegelikult vaja pole ja mis ainult suurendab paberimäärimist. Kuid andmeregistril ja infovara kaardistamisel võib ettevõtte jaoks olla ka väga suur praktiline väärtus.

Andmeregister annab ülevaate ettevõtte infovarast

Andmekaardistus ja andmeregistri loomine tehakse firma vajadustest lähtuvalt.  Näiteks kui ettevõttel on palju kolmandate osapoolte käest kogutud isikuandmeid, või vastupidi – ettevõtte kogutud isikuandmeid töötlevad kolmandad osapooled, näiteks personalihalduse või raamatupidamise süsteemid, siis lisaks IKÜ artikkel 30 nõudmistele (mis allikatest infot kogutakse, kas, mis laadi ja mis tüüpi isikuandmed ettevõttesse jõuavad), võiks ettevõtted lisada andmeregistrisse ka info, kas kolmandate osapooltega on teabe vahetamiseks sõlmitud kehtivad ja piisavad lepingud, millal on lepingute tähtajad ning kas lepingud sisaldasid eritingimusi.

Millisel õiguslikul alusel andmeid töödeldakse?

Nagu eelnevalt märgitud, annab IKÜ inimesele õiguse esitada ettevõtetele ja asutustele päringuid enda isikuandmete kohta. Igapäevaselt kasutusel olev andmeregister on abiks ka siin, sest võimaldab saada ülevaadet, kus üldse isikuandmeid ettevõttes esineb ning millisel õiguslikul alusel neid töödeldakse – kas alus tuleneb seadusest, sõlmitud lepingust, nõusolekust või millestki muust. Isikuandmete töötlemise õiguslikku alust on oluline teada, sest isikuandmete kustutamise kohustus sõltub õiguslikust alusest. Näiteks kui ettevõttel on inimesega leping isikuandmeid sisaldavate teenuste osutamiseks, siis teenuse osutamiseks vajalikke andmeid ei saa kustutada lepingu kehtivuse ajal.

Lisaks võimaldab andmetöötluse õigusliku aluse teadmine paika panna õiged andmesäilitustähtajad vastavalt andmete minimeerimise nõudele. See tähendab, et kui ettevõte kogub e-posti aadresse näiteks klientide rahulolu küsitluse tegemiseks pärast konkreetse teenuse osutamist (nt ühekordne teenuse osutamine), siis peale küsitluse lõppemist tuleb e-posti aadressid kustutada, kuna töötlemise eesmärk on täidetud ning nende edasine säilitamine pole vajalik. Samas peab näiteks töötajaga sõlmitud töölepingut säilitama 10 aastat peale töölepingu lõppemist, kuna seda nõuab töölepingu seadus.

Kui ettevõttel on isikuandmete töötlemise protsesse, mis sõltuvad inimese nõusolekust, siis aitab andmeregister lihtsal  moel tuvastada kõik töötlemise protsessid, kus nõusoleku alusel kogutud isikuandmed asuvad. Seeläbi saab ettevõte tagada, et on loodud nõusolekute küsimise, kirjaliku tõendamise ning nõusolekust loobumise reeglid.

Seega kvaliteetse isikuandmete töötlemise registri loomine mitte ainult ei taga vastavust isikuandmete kaitse üldmäärusega, vaid annab ettevõtte käsutusse ka tööriista, mis võimaldab saada täieliku ülevaate ettevõtte infovaradest.