Tänases episoodis on meil külas TKM Grupp AS-i vastavuskontrolli- ja andmekaitsespetsialist Liis Miller. TKM Grupp on Eesti üks suurimaid börsiettevõtteid, mis koondab enda alla 17 eri ettevõtet, mis tegutsevad lisaks ka Lätis ja Leedus. Grupp annab tööd kokku umbes 4000 inimesele. Kõige suurem andmetöötlus toimub läbi jaekaubanduse: jaekaubandust koondavas püsikliendiprogrammis (Partnerkaart) on neil üle 740 000 liikme.
Tänase saate põhifookus on andmekaitsetingimustel, kuid üheskoos arutletakse ka näiteks läbipaistvuse teemal.
Mis need andmekaitsetingimused õigupoolest on?
Lihtsasti öeldes on need põhimõtted, mis kirjeldavad, kuidas ettevõte andmesubjektide, st oma klientide või töötajate andmeid kasutab: mis põhjusel ja eesmärgil neid kogub, kuidas neid hoiab ja kui kaua neid säilitab.
Oluline on silmas pidada, et andmekaitsetingimused on n-ö jäämäe tipp, millele eelneb tegelikult veel suurem töö andmete kaardistamisel: andmetöötlustoimingute ülevaade, mõjuhinnang, juhendid, eri sisemised käitumisreeglistikud. Oluline osa on ka osakondadevahelisel koostööl, sest kui ei ole teada, milliseid andmeid üldse vaja on, miks ja kui kaua neid organisatsioonil vaja on, kellel need andmed on, siis ei olegi tingimuste koostamine võimalik.
Andmekaitsetingimuste dokumenti ei tohiks kindlasti pelgalt inspektsiooni silmis nn linnukese kättesaamise eesmärgil koostada – see on andmesubjekti ehk inimese õigus teada, mida tema andmetega tehakse. Kohustus tuleb tõepoolest isikuandmete kaitse üldmääruse artiklitest 12 ja 14, mis kätkeb endas nii klientide kui tegelikult ka ettevõtte enda töötajate andmeid. See tähendab, et tegelikult peaksid tingimused olema koostatud nii väljapoole suunatult klientidele kui ka sisemiselt oma töötajatele, sest et ka nemad on ettevõtte vaates andmesubjektid, kellel on õigus teada, kuidas tööandja nende andmeid kasutab.
Andmekaitsetingimuste koostamisel peab ka silmas pidama, kelle andmeid töödeldakse. Kui ettevõte töötleb nt laste isikuandmeid, siis nende kirjeldamisel peaks lähtuma hoopis teistmoodi lähenemisest, et oleks lihtsam aru saada, nt pildikeeles.
NB! Kas teadsid, et andmesubjektina on sul õigus ettevõttelt oma andmeid välja küsida ja uurida, mida sinu andmetega tehakse?
Mis andmeid andmekaitsetingimused kajastama peavad?
- Kontaktandmed – kes töötleb andmeid, kuhu pöörduda, kui on lisaküsimusi
- Milliseid andmeid kogutakse, millisel eesmärgil ja õiguslikul alusel
- Milliseid rolle andmete töötlemisel puudutatakse (vastutav töötleja, volitatud töötleja)
- Millistel juhtudel edastatakse andmeid teistele asutustele või ettevõtetele
- Milliseid turvameetmeid kasutatakse
- Säilitustähtajad ehk kui kaua mingeid andmeid hoitakse
- Kelle poole saab andmesubjekt oma andmetega tutvumiseks pöörduda
- Viited Andmekaitse Inspektsioonile kui järelevalveasutusele (juhul kui midagi on juhtunud)
- Kuidas ja millistel juhtudel teavitatakse inimesi andmekaitsetingimuste eri muudatustest, nt kui muutub andmete kogumise eesmärk, säilitustähtajad vms
Olulised punktid, mida meeles pidada
- Kaardista, milleks andmeid vajad, mida koguma hakkad.
- Milline on eesmärk.
- Ole läbipaistev: mida selgem ja arusaadavam on info nii ettevõtte oma töötajatele kui klientidele, seda vähem tekitab see lisaküsimusi.
- Andmekaitsetingimused on dünaamiline dokument, mis pidevalt muutub iga organisatsioonis tehtud muudatuse mõjul.
- Andmekaitsetingimused olgu kirjutatud võimalikult lihtsalt, et ka inimene, kel pole õigusteadmisi, saaks neist selgelt ja ühemõtteliselt aru.
- Andmekaitsetingimused tuleb luua kohalikus keeles.
- Andmed on suur väärtus, mis annab ka ettevõttele palju võimalusi tegutsemiseks. Siinkohal olgu kindel teadmine, kus andmeid hoitakse, miks me neid hoiame, mida me nendega teeme ja kes nendega toimetavad.
- Mõistlik on teha oma ettevõtte sees vajadusel riskianalüüs, mis aitab vältida eri vigu andmete väärkasutamisel.
- Läbipaistvus – kui toimub mingi ühekordne üritus, tuleb inimesi teavitada selle tarbeks kogutud andmetest, info selle kohta
Episood valmis Euroopa Liidu CERV programmi rahastuse toel. Mõnusat kuulamist!
