Üleeuroopaline isikuandmete kaitse üldmäärus, laiemalt tuntud lühendi GDPR (General Data Protection Regulation) kaudu, on kehtinud veidi enam kui aasta.

Määrus on tekitanud palju kõneainet nii isikuandmete töötlemise nõuete mõningase karmistumise kui ka nõuete mittetäitmisele järgneda võivate varasemast oluliselt kopsakamate trahvide tõttu. Kuigi Eestis ei ole seni ühtegi trahvi üldmääruse rikkumise eest määratud, on see võimalus jätkuvalt reaalne. Trahviriskiga peavad arvestama kõik ettevõtjad ja asutused, kes puutuvad kokku isikuandmetega.

Selles kontekstis on huvitav vaadata, millised on olnud üldmääruse kohaldamise trendid mujal Euroopas ja milliste rikkumiste eest on andmekaitsealased järelevalveasutused trahve määranud.

Mõnesajast eurost sadade miljoniteni

Üldmääruse kohaselt on rahatrahvi maksimumsummaks 20 miljonit eurot või kuni 4% juriidilise isiku eelneva majandusaasta ülemaailmsest aastasest kogukäibest (olenevalt sellest, kumb summa on suurem). Suurtele ülemaailmsetele korporatsioonidele võib see tähendada sadadesse miljonitesse eurodesse ulatuvaid trahve.

Hetkel suurim avalikustatud trahvinõue on esitatud UK lennuoperaatori British Airways vastu, kellelt nõutakse 183,4 miljoni naela ehk enam kui 205 miljoni euro tasumist ebapiisavate turvaabinõude rakendamise eest, mis võimaldas häkkeritel suunata lennufirma ametliku veebilehe liiklus pettursaidile, kust häkkerid omandasid enam kui 500 000 inimese isikuandmed, sh isikute nimed, aadressid ja pangakonto andmed.

Trahvi toovad ka aastatetagused probleemid

Ka suuruselt teine trahvinõue on esitatud Suurbritannias ebapiisavate turvameetmete rakendamise eest. Nimelt sai hotellikett Marriott 99,2 miljoni naela ehk enam kui 111 miljoni euro suuruse trahvinõude IT-turvalisusprobleemide tõttu aset leidnud andmelekete eest, mille tagajärjel lekkisid hinnanguliselt 339 miljoni hotellikülastaja andmed.

Kurioosseks teeb antud trahvi aga asjaolu, et algne turvaprobleem esines hoopis ühe teise hotelliketi süsteemis ja seda juba aastast 2014. Marriott omandas antud hotelliketi 2016. aastal, ent ebapiisavate taustauuringute tõttu turvaprobleemi omandamise hetkel ei tuvastatud. Kui probleem oleks tuvastatud 2016. aastal, oleks hotellikett võinud trahvist ka pääseda. Probleemile jõuti jälile aga alles 2018. aasta novembris, mil üldmäärus oli juba jõustunud. Tagajärjeks oli kopsakas trahv.

Enamus üldmäärusega seotud rikkumisjuhtumeid on seotud vähemoluliste rikkumistega, nagu näiteks õigusliku aluseta (sh eelneva nõusolekuta) otseturunduspostituste saatmine ning loata turvakaameraga filmimine. Sellistel juhtudel jäävad trahvisummad enamasti mõnesaja või mõnetuhande euro piiresse.

Nimede kustutamine ei pruugi aidata

Taani andmekaitseinspektsioon karistas Taani taksofirmat Taxa 4×35, kes talletas oma mobiiliäpi vahendusel kasutajate poolt teostatud reiside (ligi 9 miljoni reisi) andmeid, sooviga kasutada neid andmeid taksoteenuse arendamiseks. Kuna üldmäärus ei kohaldu anonüümse teabe suhtes, eemaldas taksofirma andmete seast kõikide reisijate nimed ning eeldas, et selle tagajärjel on tegemist anonüümsete andmetega, mille talletamise osas piirangud ei kehti. Taani andmekaitseinspektsioon aga leidis, et kuna taksofirma hoidis alles isikute telefoninumbreid, on taksoteenuse osutamise raames saadud info (sh sõidu alguse ja lõppsihtkoha aadressid) endiselt omistatav kindlatele füüsilistele isikutele ja seega pole tegemist anonüümse teabega.

Trahvid õpilaste näotuvastuse kasutamise eest

Ka Eestis meediakünnise ületanud delikaatsete isikuandmete lubamatu töötlemine leidis aset Rootsis asuvas Skellefteå munitsipaalkoolis, kellele määrati Rootsi andmekaitseinspektsiooni poolt 19 000 euro suurune trahv selle eest, et kool kasutas õpilaste kohalolekukontrolliks videokaameraid ja näotuvastust. Rootsi andmekaitseinspektsiooni teatel loetakse näotuvastuseks kasutatavaid biomeetrilisi andmeid delikaatseteks isikuandmeteks, mille töötlemiseks peavad olema kaalukad põhjused. Pelgalt õpilaste kohaloleku kontrollimist ei pidanud Rootsi andmekaitseinspektsioon piisavaks põhjuseks, mis õigustaks biomeetriliste andmete kasutamist. Kuigi kooli nõukogu kinnitusel oli kooli juhatusel õpilaste nõusolek näotuvastustehnoloogia kasutamiseks kohaoleku kontrollimiseks olemas, leidis andmekaitseinspektsioon, et antud nõusolek ei kehti, kuna õpilased on kooli juhatusest sõltuvusseisundis.

Ebapiisava teavitamise ning nõusoleku küsimise eest sai trahvi ka Hispaania jalgpalli kõrgliiga La Liga, kes aktiveeris enda poolt pakutava äpi kaudu perioodiliselt kasutajate mikrofone. Mikrofonide kasutamise eesmärgiks oli äpi sisse ehitatud Shazami-laadset muusikatuvastustehnoloogiat kasutades tuvastada ebaseaduslikult jalgpalliülekandeid näitavaid avalikke asutusi.

Luuras ebaseaduslikult

Äpp aktiveeris teatud ajavahemiku järel automaatselt kasutaja telefoni mikrofoni ja üritas seadme ümbert kostuvate taustahelide abil tuvastada, kas seadme omanik vaatas parasjagu jalgpallimatši. Juhul, kui äpp tuvastas, et ümbruses kajastatakse jalgpallimängu, selgitas äpp kasutaja GPS-andmete abil välja seadme asukoha ning andis äpi omanikule märku, kui vutimatši näitaval asutusel puudusid mängu näitamiseks vajalikud load. Hispaania andmekaitseinspektsioon leidis, et La Liga ei olnud äpi kasutajaid mikrofoni kasutamisest piisavalt informeeritud ja määras jalgpalligigantide FC Barcelona ning Real Madridi koduliigale 250 000 euro suuruse trahvi.

Kokkuvõtvalt on näha, et vastuolusid üldmäärusega võib ette tulla nii väikeettevõtetel, suurkorporatsioonidel kui ka avaliku sektori asutustel. Trahvisummad võivad ulatuda mõnesajast eurost sadadesse miljonitesse eurodesse. Andmekaitsereeglite järgimisel ning korrektselt koostatud privaatsuspoliitika olemasolul on võimalik aga potentsiaalseid rikkumisi ja nendega kaasnevaid trahve vältida. Seetõttu veendu kindlasti, et asutuse ja ettevõtte toimingud isikuandmetega on üldmääruse ja teiste isikuandmeid puudutavate regulatsioonidega kooskõlas.