Uus isikuandmete kaitse üldmäärus (IKÜ) jõustus tänavu mai lõpus. Ühelt poolt andis see tavakodanikule ehk üldmääruse mõistes andmesubjektile suuremad õigused enda kohta käiva teabe haldamiseks. Kuid teisalt muutis IKÜ oma mõjualasse jäävate ettevõtete isikuandmete töötlemise tavasid.
Rahvusvaheline andmekaitse ning küberprivaatsuse professionaale ühendav organisatsioon IAPP (International Association of Privacy Professionals) tegi oma ligi 500 liikme hulgas üle maailma küsitluse, et välja selgitada ettevõtete arvamus oma valmisolekust uuele isikuandmete kaitse üldmäärusele üleminekuks.
Palju uusi kohustusi
Üldmääruse järgi on isikuandmete töötlejad kohustatud hindama andmete töötlemise riski (st tegema mõjuhinnangu). Samuti peavad nad looma andmeregistri, mis toob välja, miks, milleks ja kuidas isikuandmeid hoitakse. Paljudel ettevõtetel tekib ka kohustus määrata andmekaitsespetsialist (AkS). Lisaks soovitab üldmäärus andmete minimeerimist. See tähendab soovitust mitte hoida rohkem andmeid, kui töötlemise eesmärgina on kirja pandud ning äritegevuseks vaja. IKÜ artikkel 25 ütleb, et vaikimisi andmekaitse põhimõte (privacy by design) kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, säilitamise aja ja kättesaadavuse suhtes.
IAPP-i tehtud küsitluses osalenutest arvas 25% Euroopa Liidu (EL) ettevõtetest, et 25. maiks, mil IKÜ kehtima hakkas, nad nõuete täitmiseks veel valmis ei ole. Ettevõtted tõid suurimate riskikohtadena välja suutmatust ette valmistada sisereegleid isikuandmete lekete vältimiseks ning lekke puhul oluliste asjaosaliste teavitamiseks. Teise võimaliku probleemina nimetati hätta jäämist andmeinventuuride ning andmete kaardistamisega ning kolmandaks tuli välja, et ei olda valmis nõusolekute küsimiseks andmesubjektidelt.
Liiga keerulised nõuded
Põhjustena, miks ettevõtted ei jõua oma tegevust uue määruse nõuetega õigeks ajaks vastavusse viia, tõi veerand vastanutest välja IKÜ keerukuse ning ebapiisava rahastuse. 18% küsitletutest mainis kvalifitseeritud tööjõu puudust ning enam-vähem sama palju vastanutest arvas, et aega hakkab väheks jääma.
Üle 90% vastanud ettevõtetest leidis, et töötajate andmekaitsealane koolitamine on peamine riski vähendamise meede, teisena toodi ära tehnoloogia rakendamine ning üsna paljud vastanutest ei kavatsenud midagi muuta.
Selge on see, et muutuste juurutamiseks on vaja koolitada asjasse puutuvaid töötajaid, kuid IKÜ puhul teeb selle keeruliseks asjaolu, et nõudmised andmekaitsespetsialisti töö tegijale on üsna ranged. Samuti nõuab üldmäärus, et andmekaitsespetsialist oleks sõltumatu ning ta saaks vahetult suhelda ettevõtte juhatusega. Lisaks on asjalikke koolitusi vähe ning neile on raske vabu kohti leida. Isikuandmete töötlemise registrid ning mõjuhinnangud tuleb siiski teha, samuti tuleb andmete töötlemise turvalisuse tagamiseks kehtestada sisereeglid. Peale sisereeglite loomist on vaja koolitada inimesed neid sisereegleid järgima. Kuid isegi isikuandmete kaitse koolituse läbi teinud ja andmete haldamise ning küberturvalisuse teemaga hästi kursis olevale inimesele tähendab see väga palju tööd. Igal juhul on ettevõtte andmekaitsespetsialistil vaja abi nii juristilt kui ka IT-spetsialistilt.
Grant Thornton Balticul on Eestis, Lätis ja Leedus kogemusi nii mõjuhinnangute tegemisel kui ka isikuandmete töötlemise registrite ja sisereeglite loomisel. Samuti on meil teadmised isikuandmete kaitse juriidiliste aspektide kohta. Lisaks teeme isikuandmete kaitse alal koostööd Grant Thorntoni kolleegidega mujal Euroopas, mis tähendab, et me leiame lahenduse ka kõige keerulisematele andmekaitsealastele probleemidele.
