Andmekaitse Inspektsiooni soovitused isikuandmete kaitse regulatsioonide paremaks rakendamiseks aastal 2019.
- Kehtestada selged, lihtsad ja arusaadavad andmetöötlustingimused – seda nii klientide kui oma töötajate jaoks.
- Veenduda, et ettevõtte töötajad on saanud koolitusi, selgitusi ning (kirjalikke) juhendmaterjale, mis aitavad neil ettevõtte nimel isikuandmeid õiguspäraselt töödelda.
- Teha vajalikud infovarade kaardistamised, sh ka bilansi-laadne andmetöötluse register, mis annaks ennekõike ülevaate töödeldavatest isikuandmetest ning nende töötlemise õiguslikest alustest. Kui ollakse küberturvalisuse seaduses nimetatud teenusepakkuja, siis koostada riskianalüüs turvameetmete võtmiseks.
- Enne, kui alustada ettevõtte jaoks sisuliselt uut laadi isikuandmete töötlemisega, viia läbi kirjalik andmekaitsealane mõjuhinnang. Kui see uut laadi isikuandmete töötlemine on seotud olukorraga, kus õigusaktide muudatuste tõttu toimub ettevõttele isikuandmete töötlemiseks lisaõiguste või võimaluste andmine, siis kontrollida, kas selles õigusakti eelnõu seletuskirjas on ka tehtud andmekaitsealane mõjuhinnang. Kui eelnõu seletuskirjas sellekohast analüüsi pole või see ei hõlma kõiki planeeritavaid isikuandmete töötlemise toiminguid, siis viia läbi andmekaitsealane mõjuhinnang.
- Olla valmis olukordadeks, kus andmesubjekt soovib tutvuda enda isikuandmetega, nõuab nende parandamist, kustutamist, töötlemise piiramist, soovib nende ülekandmist või soovib esitada vastuväiteid. Kui parandatakse, kustutatakse või piiratakse isikuandmete töötlemist, siis olla ka valmis nendest toimingutest teavitama vastuvõtjaid, kes on ettevõttelt isikuandmeid saanud.
- Uurida andmete edastamisel kolmandatesse riikidesse, kas selleks on olemas kohane õiguslik raamistik – näiteks on olemas Euroopa Komisjoni otsus piisava andmekaitsetaseme kohta, millal kasutatakse asjakohaseid kaitsemeetmeid, siduvaid kontsernisiseseid eeskirju või kuna edastatakse isikuandmeid erandlike tingimuste kohaselt. Arvestades hetkeolukorda, on see vajalik selgeks teha ka olukorras, kus isikuandmeid soovitakse edastada Ühendkuningriiki – eriti juhul, kui toimub leppeta-Brexit.
- Rakendada kohaseid ning vajalikke turvameetmeid isikuandmete kaitseks.
- Teha varasemalt selgeks, milliste isikuandmete töötlemise nõuete rikkumise korral peab 72 tunni jooksul teavitama Andmekaitse Inspektsiooni. Teatavates olukordades tuleb teavitada andmesubjekte ja Riigi Infosüsteemi Ametit.
- Kehtestada ning rakendada sisekontrolli mehhanisme, et avastada isikuandmete töötlemise nõuete rikkumisi ettevõtte sees.
- Valmistuda koostööks ettevõtlusvaldkonna ühenduse või erialaliiduga praktilise hea tava ehk toimimisjuhiste loomiseks. Kui ettevõtte tegevusalal on andmekaitse osas lahtisi otsi, saab ühiselt koostada praktilise hea tava toimimisjuhise. Oma valdkonda kõige paremini tundes, saab nii materjalid, millest on kõige rohkem kasu. Inspektsiooni võimalused individuaaltasandil põhjalikumalt nõustada on kasinad, kuid sektoritasandil aidatakse meeleldi.
- Teha selgeks, kas ettevõttele on määratud mingi avalik ülesanne, mis muudab ta avaliku teabe seaduse mõistes teabevaldajaks. Soovitatakse kontrollida vastavaid halduslepinguid, ettevõtte loomise algdokumente ja põhikirjasid ning muid ettevõtte loomise või võimaliku avaliku ülesande üle andmisega seotud dokumente. Sellest oleneb, mis ulatuses ettevõtte tegevusele kohalduvad ka avaliku teabe seaduse nõuded.
- Vaadata üle, kas ettevõttele on antud üle avalik ülesanne. Sel juhul peab ettevõte kui eraõigusliku teabevaldaja veebikülg vastama avaliku teabe seaduse § 32 nõuetele. Ettevõtte veebikülg tuleb viia vastavusse juurdepääsetavuste nõuetega, mis tulevad Euroopa Parlamendi ja nõukogu direktiivist nr 2016/2102 ning Euroopa Komisjoni rakendusotsusest nr 2018/1523.
- Selgitada välja, kas ettevõttel on vaja määrata endale andmekaitsespetsialist. Kui andmekaitsespetsialist on vaja määrata, siis veenduda, et tegemist on piisavalt pädeva inimesega. Samuti hoolitseda selle eest, et olemas on vajalik infoturbealane oskusteave (oma personali hulgas või väljastpoolt).
Allikas:
Andmekaitse Inspektsioon
