Mida teha, et hoida ära kliendiandmebaaside kopeerimist ja mittesihipärast kasutamist?

PrintPDF Jaga

Kõik tööandjad, kelle tegevuse üheks vundamendikiviks on kliendiandmebaas ning kes tahavad olla kindlad klientide isikuandmete sihipärases kasutamises, peavad täitma andmekaitse - ja turvanõudeid. Esmalt tuleb töötajad informeerida, kuidas ja milleks võib kliendiandmeid kasutada. Selleks on vaja kehtestada isikuandmete töötlemise reeglid ehk andmekaitsetingimused. Teiseks peab tööandja võtma kasutusele infoturbe meetmed, mis muuhulgas tuvastavad ka andmete liikumise. Teisisõnu, tööandja peab hoolitsema selle eest, et igast toimingust jääb maha logi, mis vajadusel aitab saada ülevaadet andmete liikumisest.

Kui tööandja on loetlenud toimingud, mida kliendiandmebaasiga tohib teha, on töötajal kohustus nendest kinni pidada. See tähendab, et kui töötaja kasutab kliendiandmebaasi omavoliliselt (nt oma eraeluliste probleemide lahendamiseks või  eraldioleva äritegevuse raames), siis selliseks tegevuseks puudub õiguslik alus.

Süüteo osas võib kliendiandmebaasi ebaseaduslik saamine, kasutamine või avaldamine kvalifitseeruda karistusseadustiku* alusel  kuriteoks. Olenevalt olukorrast võib olla tegemist ka väärteoga isikuandmete kaitse seaduse järgi.

Kriminaalasja saab algatada siis, kui kliendiandmebaasi kui ärisaladust on kasutatud ärilisel eesmärgil või kahju tekitamise eesmärgil. Selleks peab olema tööandjal ehk isikuandmete töötlejal eelnevalt ja väga selgelt ära fikseeritud, et kliendiandmebaas on tema jaoks käsitletav ärisaladusena. Lisaks sellele on oluline, et tööandja on teinud kõik endast oleneva ärisaladuse kaitsmiseks (paika pannud meetmed ärisaladuse kaitseks).

Väärteomenetluse algatamiseks ei pea olema tekitatud kahju. Tegevus ei pruugi otsest kahju tekitada, kui näiteks töötaja on kasutanud kliendiandmebaasi n-ö omavoliliselt ja eiranud kehtestatud andmekaitsereegleid (nt kasutab oma tööalast juurdepääsu mingile infosüsteemile eraprobleemide lahendamiseks) või võtab selle hoopis peale töösuhte lõpetamist endaga kaasa. Kuid inimestel, kes on usaldanud oma andmed ettevõtte kliendiandmebaasi kindlateks toiminguteks, kaob teadmine ja ülevaade, mida isikuandmetega tehakse. See omakorda tähendab riski ja ohtu isikuandmete väärtöötluseks.

Uurimise algatamiseks ja võimaliku väärteo tuvastamise hõlbustamiseks peavad olema täitetud andmekaitse- ja turvanõuded. Kui selles osas esineb puudujääke, on võimalus väärteomenetluse algatamiseks ka tööandja enda tegevusetuse suhtes. Iga isikuandmeid töötlev tööandja saab reegleid täites end kaitsta väärteomenetluse eest. Samuti on reeglite täitmine oluline, et tõendada andmete liikumist ning võimalikku väärkasutamist.

Kui on juhtunud intsident?

Isikuandmete töötlemise nõuete rikkumise korral on vastutaval töötlejal (nt tööandjal) kohustus esitada Andmekaitse Inspektsioonile rikkumisteade, kui intsidendi tagajärjeks võib olla oht füüsilise isiku õigustele ja vabadustele. Kahju korral saab tsiviilkohtus nõuda rikkunud isikult kahju hüvitamist ja andmete hävitamist.

*v.t karistusseadustik (KarS) § 377 lg 1.

 


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner