Sa oled siin

Soovitused ettevõtetele

10.07.2019
Andmekaitse Inspektsiooni soovitused isikuandmete kaitse regulatsioonide paremaks rakendamiseks aastal 2019
  • Kehtesta selged, lihtsad ja arusaadavad andmetöötlustingimused – seda nii klientide kui oma töötajate jaoks.
  • Veendu, et ettevõtte töötajad on saanud koolitusi, selgitusi ning (kirjalikke) juhendmaterjale, mis aitavad neil ettevõtte nimel isikuandmeid õiguspäraselt töödelda.
  • Tee vajalikud infovarade kaardistamised, sh ka bilansi-laadne andmetöötluse register, mis annaks ennekõike ülevaate töödeldavatest isikuandmetest ning nende töötlemise õiguslikest alustest. Kui oled küberturvalisuse seaduses nimetatud teenusepakkuja, siis koosta riskianalüüs turvameetmete võtmiseks.
  • Enne, kui alustad ettevõtte jaoks sisuliselt uut laadi isikuandmete töötlemisega, vii läbi kirjalik andmekaitsealane mõjuhinnang. Kui see uut laadi isikuandmete töötlemine on seotud olukorraga, kus õigusaktide muudatuste tõttu toimub ettevõttele isikuandmete töötlemiseks lisaõiguste või võimaluste andmine, siis kontrolli, kas selles õigusakti eelnõu seletuskirjas on ka tehtud andmekaitsealane mõjuhinnang. Kui eelnõu seletuskirjas sellekohast analüüsi pole või see ei hõlma kõiki planeeritavaid isikuandmete töötlemise toiminguid, siis vii läbi andmekaitsealane mõjuhinnang.
  • Ole valmis olukordadeks, kus andmesubjekt soovib tutvuda enda isikuandmetega, nõuab nende parandamist, kustutamist, töötlemise piiramist, soovib nende ülekandmist või soovib esitada vastuväiteid. Kui sa parandad, kustutad või piirad isikuandmete töötlemist, siis ole ka valmis nendest toimingutest teavitama vastuvõtjaid, kes on ettevõttelt isikuandmeid saanud.
  • Uuri andmete edastamisel kolmandatesse riikidesse, kas selleks on olemas kohane õiguslik raamistik – nt on olemas Euroopa Komisjoni otsus piisava andmekaitsetaseme kohta, millal kasutatakse asjakohaseid kaitsemeetmeid, siduvaid kontsernisiseseid eeskirju või kuna edastatakse isikuandmeid erandlike tingimuste kohaselt. Arvestades hetkeolukorda, on see vajalik selgeks teha ka olukorras, kus isikuandmeid soovitakse edastada Ühendkuningriiki – eriti juhul, kui toimub leppeta-Brexit.
  • Rakenda kohaseid ning vajalikke turvameetmeid isikuandmete kaitseks.
  • Tee varasemalt selgeks, milliste isikuandmete töötlemise nõuete rikkumise korral pead 72 tunni jooksul teavitama Andmekaitse Inspektsiooni. Teatavates olukordades tuleb teavitada andmesubjekte ja Riigi Infosüsteemi Ametit.
  • Kehtesta ning rakenda sisekontrolli mehhanisme, et avastada isikuandmete töötlemise nõuete rikkumisi oma ettevõtte sees.
  • Valmistu koostööks ettevõtlusvaldkonna ühenduse või erialaliiduga praktilise hea tava ehk toimimisjuhiste loomiseks. Kui ettevõtte tegevusalal on andmekaitse osas lahtisi otsi, saab ühiselt koostada praktilise hea tava toimimisjuhise. Oma valdkonda kõige paremini tundes, saab nii materjalid, millest on kõige rohkem kasu. Inspektsiooni võimalused individuaaltasandil põhjalikumalt nõustada on kasinad, kuid sektoritasandil aitame meeleldi.
  • Tee selgeks, kas ettevõttele on määratud mingi avalik ülesanne, mis muudab ta avaliku teabe seaduse mõistes teabevaldajaks. Selleks soovitame kontrollida vastavaid halduslepinguid, ettevõtte loomise algdokumente ja põhikirjasid ning muid ettevõtte loomise või võimaliku avaliku ülesande üle andmisega seotud dokumente. Sellest oleneb, mis ulatuses ettevõtte tegevusele kohalduvad ka avaliku teabe seaduse nõuded.
  • Vaata üle, kas ettevõttele on antud üle avalik ülesanne. Sel juhul peab ettevõte kui eraõigusliku teabevaldaja veebikülg vastama avaliku teabe seaduse § 32 nõuetele. Ettevõtte veebikülg tuleb viia vastavusse juurdepääsetavuste nõuetega, mis tulevad Euroopa Parlamendi ja nõukogu direktiivist nr 2016/2102 ning Euroopa Komisjoni rakendusmäärusest nr 2018/1523.
  • Selgita välja, kas ettevõttele on vaja määrata endale andmekaitsespetsialist. Kui andmekaitsespetsialist on vaja määrata, siis veendu, et tegemist on piisavalt pädeva inimesega. Samuti hoolitse selle eest, et olemas on vajalik infoturbealane oskusteave (oma personali hulgas või väljastpoolt).