Autor: Krete Paal • 23. juuli 2024

Kindlasti on täna teadlikkus suurem ja olukord inimeste andmete kaitse valdkonnas palju parem, kui veel mõned aastad tagasi, kuid sel aastal määratud trahvid näitavad ilmekalt, et arenguruumi on. Näiteks tugevad andmeturbe meetmed on täna võtmesõna ning mitmed tänavused trahvid tulenesid eelkõige ebapiisavate turvameetmete rakendamisest.

Selle aasta seni suurima trahvi sai Itaalia energiaettevõte Enel Energia SpA, mida trahviti 79,1 miljoni euroga. Nimelt eksis ettevõte andmeturbe meetmete rakendamisel, mis võimaldas volitamata juurdepääsu nende klientide isikuandmetele. Rikkumised hõlmasid soovimatuid reklaamkõnesid klientidele, kes polnud selleks nõusolekut andnud ning juurdepääsuõiguste ja -paroolide ebaturvalist jagamist töötajate endi vahel.

Ebapiisavate turvameetmete eest sai trahvitud Eestiski tuntud UniCredit, mis sai Itaalias 2,8 miljonit eurot trahvi. Nimelt ilmnes pärast andmeleket tõsiasi, et ettevõte ei olnud kohaldanud piisavaid turvameetmeid, mis piiraksid juurdepääsu isikuandmetele ning see tõi kaasa võimaluse, et inimeste andmed olid vabalt kättesaadavad kõigile.

Inimestelt nõusoleku küsimine

Teiseks suureks mureks on andmete kasutamise läbipaistvus ning inimestelt nõusoleku küsimise praktikad. Hiljutised juhtumid nagu näiteks ettevõttele Avast Software määratud 13,9 miljonit eurone trahv rõhutavad vajadust selge suhtluse järele inimese ja andmetöötleja vahel. Nimelt müüs Avast, kes on viirusetõrjetarkvara ettevõte, turundusettevõtetele oma klientide isikuandmeid tulu teenimise eesmärgil. Kui ettevõte või asutus küsib inimeselt nõusoleku andmete töötlemiseks, peab see olema nõuetekohane ja selgelt arusaadav.

Töötajate privaatsuse kaitse

Prantsusmaa järelevalve trahvis 32 miljoni euroga Amazon France'i jälgimissüsteemide kasutamise eest, mis sekkusid töötajate privaatsusesse. Nimelt jälgis ettevõte Amazoni Prantsusmaa laohoonete töötajaid nende kasutatavate skannerite ja videokaamerate kaudu, hindamaks inimeste tööjõudlust. Andmekaitseasutus alustas uurimist ning jõudis järeldusele, et Amazon ei vajanud kogutud andmeid töö planeerimiseks. Lisaks ei antud töötajatele piisavat teavet videovalve kohta, mis põhjustas inimestele liigset stressi.

Ei tohi unustada ka rikkumistest õigeaegset teatamist. Poolas sai laia kõlapinna kohaliku panga Santander Bank Polska juhtum, kui avastatud rikkumisest ei antud teada piisavalt operatiivselt sellest mõjutatud inimestele ega ametiasutustele. Eksimus tõi pangale kopsaka 326 000 eurot trahvi.

Ka Soome veebikaubamajale Verkkokauppa.com sai trahvi, kuna ettevõttel puudusid selged andmete säilitamise põhimõtted. Isikuandmete säilitamine peab olema väga hästi läbi mõeldud ja põhjendatud ning kindlasti tuleb vältida isikuandmete tarbetut säilitamist.

Viis soovitust GDPR nõuete paremaks järgimiseks ja trahvide vältimiseks

1. Rakenda terviklikke andmeturbe protokolle: Värskenda ja testi regulaarselt turvasüsteeme ja -protokolle, et kaitsta isikuandmeid volitamata juurdepääsu ja rikkumiste eest.

2. Taga läbipaistvus ja hangi kehtiv nõusolek: Vii läbi perioodilisi auditeid, et tagada nõusoleku mehhanismide vastavus GDPR nõuetele ja pakkuda selget teavet.

3. Tasakaalusta jälgimispraktikad privaatsusõigustega: Arenda ja rakenda jälgimissüsteeme, mis austavad töötajate privaatsust ja pakuvad selgeid teatisi jälgimispraktikate kohta.

4. Loo selged reageerimise plaanid andmerikkumise korral: Andmerikkumisele reageerimise plaan peaks sisaldama protseduure õigeaegseks teatamiseks ametiasutustele ja mõjutatud isikutele.

5. Määratle ja järgi andmete säilitamise põhimõtteid: Uuenda andmetöötlusregistrit ja rakenda süsteeme andmete kustutamiseks vastavalt määratletud säilituspõhimõtetele, minimeerides tarbetute isikuandmete säilitamist.

Artikkel on ilmunud teemaveebis Palgauudised.