Autor: Metsamajandusuudised.ee • 28. mai 2019

Aastaga on kasvanud kontroll isikuandmete kasutamise üle

Mullu 25. mail euroliidus jõustunud isikuandmete kaitse üldmäärus (GDPR) on kaasa toonud tugevama isiku privaatsuskaitse, ent ka tuhandeid küsimusi ja üle saja rikkumisteate. Kõige enam küsimusi on tekitanud andmekaitse töösuhetes, andmete avalikustamises ning andmekaitsespetsialisti tööle määramises.

<strong >25. mail 2018 jõustus isikuandmete kaitse üldmäärus (GDPR).</strong>
Autor: Pixabay

Ainuüksi möödunud aastal kasvas märkimisväärselt andmekaitse inspektsioonile esitatud pöördumiste arv. Näiteks helistati inspektsiooni infotelefonile möödunud aastal 2556 korral, mida on 35% rohkem kui tunamullu. Sealjuures puudutas 82% kõnedest isikuandmete kaitse seadust või üldmäärust.

„Rikkumisteadete esitajad on astunud olulise sammu usaldusväärsuse suunal, sest andmekaitsealase rikkumise sisuline hindamine tähendabki ennekõike klassikalist riskihaldust,“ on Andmekaitse Inspektsiooni tehnoloogiadirektor Urmo Parm veendunud. Inspektsioon tunnustab kõiki andmetöötlejaid, kes on oma kohustust täitnud.

Sel aastal oli aprillikuu seisuga esitatud inspektsioonile 37 rikkumisteadet. Möödunud aastal esitati isikuaandmete kaitse üldmääruse kehtima hakkamisest, 25. maist, kuni 31. detsembrini kokku 64 rikkumisteadet. Kaebuste põhjuseks on olnud nii inimlikku eksimust, hooletust, teadmatust kui puudulikku andmeturvet.

„Andmekaitselisi rikkumisi juhtus 2018. aastal näiteks pahatahtlike rünnete tagajärjel infosüsteemidele, kuid juhtumite hulgast leiab ka teadlikult vääriti käitumist, mil töötaja on teinud uudishimupäringuid või edastanud andmeid valele isikule,“ kõneles tehnoloogiadirektor Urmo Parm. Esines ka olukordi, kus ühe inimese andmed kuvati infosüsteemis valele inimesele või kui ametnik ei olnud piisavalt hoolas kaitsemeetmete rakendamisel piiratud juurdepääsuga teabele. Osad intsidendid olid põhjustatud lappimata turvaaukudest või tegemata jäänud tarkvara uuendusest. Samuti põhjustas rikkumisi vigane versiooniuuendus.

Tehnoloogiadirektor Urmo Parm resümeeris, et rikkumisteated andsid möödunud aastal aluse väärteomenetluse algatamiseks kolmel korral ja haldusjärelevalve menetluseks ühel korral. Valdkondlikult toimus rikkumisi nii avalikus kui erasektoris. Intsidente registreeriti veebiteenuste, tervishoiuteenuste, pangandus/finantsteenuste ja transporditeenuste pakkujate hulgast. Samuti side-, tootmise - ja haridusvaldkonna andmetöötlejatelt.

„Isikuandmetega toimunud rikkumistest tuli hakata Andmekaitse Inspektsiooni teavitama 2018. aasta 25. maist,“ meenutas tehnoloogiadirektor, kes lisas, et siiski ei ole igast rikkumisest teavitamine kohustuslik. Inspektsiooni peab teavitama juhtudel, kui rikkumise tagajärjel võib olla tõenäoline oht inimese õigustele ja vabadustele või sünnib reaalne kahju. Inspektsiooni peab teavitama hiljemalt 72 tunni jooksul. Kui aga teavitust tegema ei pea, tuleb juhtum oma organisatsiooni jaoks registreerida.

Rikkumiseks loetakse olukordi, kui on toimunud näiteks andmete lubamatu hävimine, kaotsiminek, muutmine, lubamatu avalikustamine või juurdepääsu võimaldamine. „Oluline on veel märkida, et kui rikkumisjuhtum toimub, on teavitamise kohustus andmetöötlejal, mitte inimesel, kelle andmeid intsident mõjutab,“ selgitas tehnoloogiadirektor.

"Üldmääruse vaieldamatult kõige olulisemaks eesmärgiks oli anda inimestele kontroll oma andmete kasutamise üle. Inimesed saavad igal ajal nõuda teavitamist, kuidas tema andmeid kasutatakse ja mis eesmärgil ning kellele edastatakse," märkis justiitsministeeriumi õiguspoliitika asekantsler Kai Härmand.

"Seetõttu on hea meel, et mitte ainult asutused ei pöördu pärast üldmääruse jõustumist oma küsimustega andmekaitse ekspertide poole, vaid ka inimesed ise. Olgu siis küsimusteks otseturunduspakkumiste puhul nõusoleku küsimine või töösuhete teemad," lisas ta.

Jaga lugu
Metsamajandusuudised.ee toetajad:
Toomas KeltMetsamajandusuudised.ee toimetajaTel: 50 72 816
Erkki VilippReklaamimüügi projektijuhtTel: 51 77 736