Andmekaitse
Andmekaitse puudutab iga ettevõtet ja asutust, kes töötleb klientide, töötajate, kasutajate või koostööpartnerite isikuandmeid. Nõuded tulenevad eelkõige isikuandmete kaitse üldmäärusest (GDPR) ja Eesti isikuandmete kaitse seadusest (IKS).
Isikuandmete töötlemine peab põhinema selgel õiguslikul alusel ja olema inimesele arusaadav. Ettevõtte jaoks tähendab see muu hulgas läbimõeldud privaatsuspoliitikat, küpsiste lahendust, andmetöötluslepinguid, sisemisi reegleid ja toimivat korda andmesubjekti päringutele vastamiseks.
Andmekaitse probleemid tekivad sageli veebilehtede, e-poodide, kliendiandmebaaside, töötajate andmete, otseturunduse, kaamerate, pilveteenuste ja väliste teenusepakkujatega. Risk ei seisne ainult võimalikus trahvis. Nõuetele mittevastav andmetöötlus võib kaasa tuua järelevalvemenetluse, lepingulised vaidlused, kahjunõuded ja mainekahju.
Advokaadibüroo Namm aitab ettevõtteid ja asutusi andmekaitse nõuetega vastavusse viia ning nõustab ka inimesi, kelle õigusi on isikuandmete töötlemisel rikutud. Töötame eesti, vene ja inglise keeles.
Kuidas aitame andmekaitse valdkonnas
- Andmekaitsealane nõustamine GDPR-i ja isikuandmete kaitse seaduse küsimustes
- Privaatsuspoliitika koostamine ja ülevaatamine
- Küpsiste teabe ja nõusolekulahenduste nõustamine
- Andmetöötluslepingute ehk DPA-de koostamine ja ülevaatamine
- Andmekaitseaudit ja vastavuse hindamine
- Töötajate isikuandmete töötlemise nõustamine
- Klientide ja kasutajate isikuandmete töötlemise nõustamine
- Otseturunduse, uudiskirjade ja nõusolekute nõustamine
- Andmelekete korral tegutsemise ja teavitamiskohustuse nõustamine
- Andmesubjekti päringutele vastamise nõustamine
- Esindamine Andmekaitse Inspektsiooni menetlustes
- Rahvusvaheliste andmeedastuste nõustamine
- Sisemiste andmekaitsereeglite ja protseduuride koostamine
- Isikuandmetega seotud vaidluste lahendamine
Korduma kippuvad küsimused
Kas minu ettevõte peab üldse andmekaitse reegleid järgima?
Üldjuhul jah. Kui Teie ettevõte töötleb mis tahes isikuandmeid, näiteks klientide, töötajate või koostööpartnerite andmeid, kohalduvad andmekaitse reeglid. See ei sõltu ettevõtte suurusest. Erinevus on pigem selles, kui ulatuslikud kohustused konkreetsele ettevõttele kohalduvad, sõltuvalt töödeldavate andmete hulgast ja laadist.
Kas mul on vaja privaatsuspoliitikat ja mida see peab sisaldama?
Kui kogute inimeste andmeid, näiteks veebilehe, e-poe või teenuse kaudu, on privaatsuspoliitika praktikas vajalik. See peab inimestele arusaadavalt selgitama, milliseid andmeid kogutakse, mis eesmärgil, kui kaua neid säilitatakse ja millised õigused inimesel on. Üldsõnaline või eksitav privaatsuspoliitika ei pruugi nõudeid täita.
Kas ma tohin saata klientidele reklaami ja uudiskirju?
Otseturunduse, näiteks reklaami ja uudiskirjade saatmiseks on üldjuhul vaja kas inimese nõusolekut või muud õiguslikku alust. Olemasolevatele klientidele võib teatud tingimustel pakkuda sarnaseid tooteid või teenuseid, kuid inimesele tuleb alati anda lihtne võimalus tellimusest loobuda. Reeglite eiramine võib kaasa tuua kaebusi ja järelevalvemenetluse.
Klient nõuab oma andmete kustutamist. Kas pean seda tegema?
Inimesel on teatud juhtudel õigus nõuda enda andmete kustutamist, kuid see õigus ei ole piiramatu. Mõnel juhul on ettevõttel õigus või isegi kohustus andmeid säilitada, näiteks raamatupidamise või seadusest tulenevate nõuete tõttu. Iga päringut tuleb hinnata eraldi ning vastata mõistliku aja jooksul.
Mida teha, kui meil juhtus andmeleke?
Andmelekke korral tuleb kiiresti hinnata, millised andmed ja kui paljud inimesed on mõjutatud ning milline on risk inimeste õigustele. Sageli tekib kohustus teavitada Andmekaitse Inspektsiooni lühikese tähtaja jooksul ja vajadusel ka mõjutatud inimesi. Soovitame sellises olukorras tegutseda kiiresti ja vajadusel advokaadiga nõu pidada, sest õige reageerimine aitab kahju vähendada.
Kui suured võivad andmekaitse rikkumise tagajärjed olla?
Andmekaitse nõuete rikkumine võib kaasa tuua ettekirjutusi ja märkimisväärseid trahve, samuti kahjunõudeid ja mainekahju. Tagajärgede tõsidus sõltub rikkumise laadist, ulatusest ja sellest, kuidas ettevõte on reageerinud. Ennetav vastavuse tagamine on tavaliselt oluliselt odavam kui hilisem rikkumise lahendamine.
Kas ma pean küsima nõusolekut veebilehe küpsiste kasutamiseks?
Paljude küpsiste, eelkõige analüütika- ja turundusküpsiste kasutamiseks on üldjuhul vaja külastaja nõusolekut. Tehniliselt vajalike küpsiste puhul ei pruugi nõusolek olla nõutav. Oluline on, et küpsiste lahendus annaks inimesele tegeliku ja vaba valiku ning et nõusolekut ei peetaks automaatselt antuks.
Kas mul on vaja andmekaitsespetsialisti?
Andmekaitsespetsialisti määramine on kohustuslik ainult teatud juhtudel, näiteks kui ettevõtte põhitegevus eeldab ulatuslikku või süstemaatilist andmete jälgimist või eriliiki andmete töötlemist. Paljudele väiksematele ettevõtetele see kohustus ei laiene. Aitame hinnata, kas konkreetsel juhul on selline kohustus olemas.
Mis on andmetöötlusleping ja millal seda vaja on?
Andmetöötlusleping ehk DPA on kokkulepe, mis sõlmitakse näiteks siis, kui üks ettevõte töötleb teise ettevõtte nimel isikuandmeid, näiteks IT-, raamatupidamis- või turundusteenuse osutaja. See leping paneb paika, kuidas andmeid tohib töödelda ja kuidas neid tuleb kaitsta. Sellise lepingu olemasolu on paljudel juhtudel nõutav.
Kui kaua tohib isikuandmeid säilitada?
Isikuandmeid tohib üldjuhul säilitada nii kaua, kui see on vajalik selle eesmärgi täitmiseks, milleks need koguti, või seni, kuni seadus säilitamist nõuab. Andmete tähtajatu säilitamine igaks juhuks ei ole lubatud. Mõistlik on paika panna selged säilitustähtajad ning andmed pärast tähtaja möödumist kustutada või umbisikustada.
Kas andmete saatmine väljapoole Euroopa Liitu on lubatud?
Andmete edastamine väljapoole Euroopa majanduspiirkonda on võimalik, kuid sellele kehtivad lisatingimused, mis peavad tagama andmete piisava kaitse. Sageli kasutatakse selleks näiteks tüüptingimusi või muid ette nähtud kaitsemeetmeid. Enne selliste teenuste või partnerite kasutamist tasub kontrollida, kas edastamine on nõuetekohaselt korraldatud.
Andmekaitse Inspektsioon alustas meie suhtes menetlust. Mida teha?
Soovitame menetlusse suhtuda tõsiselt ning vastata päringutele tähtaegselt ja läbimõeldult. Oluline on mõista, mida täpselt uuritakse, ja esitada oma seisukohad ning selgitused korrektselt. Aitame menetluses inspektsiooniga suhelda, koostada vastused ja esindada Teid kogu menetluse vältel.