Andmekaitse tegevuste TOP 10: 8. KÄITUMINE ISIKUANDMETEGA SEOTUD RIKKUMISE KORRAL

Andmekaitse üldmäärus kehtestab isikuandmete töötlejale täpsed juhised tegutsemiseks olukorras, kui ta saab teadlikuks isikuandmetega seotud rikkumisest. „Isikuandmetega seotud rikkumine“ tähendab määruse kohaselt turvanõuete[1] rikkumist, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu“.[2] Rikkumisest teada saamisel nõutavad tegevused sõltuvad sellest, kas rikkumise avastas vastutav või volitatud töötleja ning kui suurt ohtu füüsiliste isikute õigustele ja vabadustele avastatud rikkumine endast kujutada võib. Piltlikult võib ettevõtte tegevusplaani kokku võtta järgneva joonisega[3]:

Volitatud ja vastutava töötleja tegevusplaan

Volitatud töötleja:

• teavitab vastutavat töötlejat talle teatavaks saanud rikkumisest niipea kui võimalik;
• intsidendi uurimise ajal on volitatud töötleja kohustatud abistama vajadusel ja taotlusel vastutavat töötlejat.

Vastutav töötleja:

• hindab viivitamatult talle teatavaks saanud rikkumise võimalike tagajärgede ohtlikkust füüsiliste isikute õigustele ja vabadustele;
• teavitab pädevat järelevalveasutust rikkumisest põhjendamatu viivituseta ja võimalusel 72 tunni jooksul sellest teada saamisest, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu andmesubjektide õigustele ja vabadustele;
• teavitab andmesubjekte rikkumisest põhjendamatu viivituseta juhul, kui rikkumine kujutab endast tõenäoliselt suurt ohtu nende õigustele ja vabadustele;
• dokumenteerib rikkumise asjaolud, selle mõju ja võetud parandusmeetmed.

Ohu hindamise kohustus

Kohustused hinnata rikkumisest tuleneva tõenäolise ohu suurust ning dokumenteerida rikkumisega seotud asjaolud, ohuhinnang ja võetud meetmed puudutavad kõiki vastutavale töötlejale teatavaks saanud isikuandmetega seotud rikkumisi. Teavitamis- ja dokumenteerimiskohustuste täitmatajätmisel on võimalik vastutavat töötlejat trahvida kuni 10 miljoni euro või 2% ulatuses tema globaalsest aastakäibest. Ohuhinnangust tulenevalt on võimalik kolm tegevusstsenaariumi:

• dokumenteerimine ettevõtte enda registris;
• dokumenteerimine ja Andmekaitse Inspektsiooni teavitamine;
• dokumenteerimine, Andmekaitse Inspektsiooni teavitamine ning andmesubjekti(de) teavitamine.

Kui ohuhinnangust tuleneb, et risk andmesubjekti õigustele puudub või on väga väike, piisab kui intsident dokumenteeritakse: ohuhinnang talletatakse ning intsident registreeritakse ettevõtte siseses registris.

Andmekaitse Inspektsiooni Teavitamine

Juhul kui eksisteerib tõenäoliselt oht andmesubjekti õigustele ja vabadustele, tuleb teavitada toimunust Andmekaitse Inspektsiooni. Selleks on AKI veebilehel vastav veebiteenus. Siinkohal on oluline meeles pidada, et teavitamine peab toimuma 72 tunni jooksul alates sellest kui vastutav töötleja rikkumisest teada sai. Kui pädeva järelevalveasutuse (Eestis on selleks Andmekaitse Inspektsioon) teavitamine toimub rohkem kui 72 tundi pärast rikkumisest teada saamist, tuleb teavitusega viivitamist põhjendada. Juhul, kui kogu nõutavat teavet ei ole võimalik esitada ühekorraga, võib seda edastada järk-järgult ilma põhjendamatu viivituseta. Järelevalveasutusele esitatav teade peab sisaldama vähemalt järgmist teavet:

• rikkumise laad ning võimalusel ka rikkumisest puudutatud andmesubjektide ja kirjete kategooriad ja ligikaudsed arvud;
• andmekaitseametniku või muu lisateavet andva kontaktisiku nimi ja kontaktandmed;
• rikkumise võimalikud tagajärjed;
• rikkumise lahendamiseks või selle võimaliku kahjuliku mõju leevendamiseks võetud või võtmiseks kavandatavad meetmed.

Andmesubjekti teavitamine

Andmesubjektide teavitamine on nõutav, kui oht õigustele ja vabadustele on suur. Sellisel juhul tuleb selges ja lihtsas keeles kirjeldada rikkumise laadi ning anda andmesubjektidele määruses nõutud teave. Erandina võib andmesubjekte otse mitte teavitada, kui:

• ettevõte on võtnud kas enne või pärast rikkumist tarvitusele meetmed, millega tagatakse, et suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline, või
• see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul peab vastutav töötleja tegema rikkumise kohta avaliku teadaande või muul viisil teavitama kõiki andmesubjekte võrdselt tulemuslikul viisil.

Kokkuvõte

Seega ei ole põhiküsimus mitte selles, kas sinu ettevõttes või asutuses toimub rikkumine, vaid selles, kas ja kuidas oled selliseks juhtumiks valmis. Valmisoleku tagamiseks on vaja:

• kehtestada asjakohased sisemised protseduurid ning nende rakendamist aeg-ajalt harjutada;
• teada, kuidas hinnatakse rikkumise ohutaset;
• omada registrit intsidentide registreerimiseks ning vajadusel sealt tehtavate väljavõtete kaudu AKI ja andmesubjektide teavitamiseks

 Tutvu meie uudse tööriistaga TiNT ja uuri lähemalt!  

Rikkumisteadetest Guidelines on Personal data breach notification under Regulation 2016/679 – (inglise keeles) vastu võetud 03.10.2017, kinnitatud 06.02.2018

 

[1] Määruse eestikeelses tõlkes räägitakse turvanõuete rikkumisest, kuid tegelikult on silmas peetud siiski isikuandmete turvalisuse rikkumist. [2] Infoturbe korraldamisega kokku puutunud inimestele oleks ilmselt harjumuspärasem mõiste „isikuandmetega seotud turvaintsident“, kuid määruse tõlkijad eelistasid võõrsõnade kasutust piirata. [3] Pärineb Euroopa andmekaitseasutuse vastavast juhisest, TRINITI tõlge.