5 õppetundi isikuandmete kaitse üldmäärusega seotud trahvidest

04.02.2020 5 õppetundi isikuandmete kaitse üldmäärusega seotud trahvidest

Kuigi isikuandmete kaitse üldmääruse kohaldamise esimene aasta sai ametlikult läbi mullu mais, on ka praegu hea aeg, et vaadata tagasi ja teha kokkuvõte sellest, mida poolteist aastat isikuandmete kaitse üldmäärust ja sellega seotud trahve Euroopa Majanduspiirkonnas on meile õpetanud. Ülevaate koostas advokaadibüroo TGS Baltic vandeadvokaat Mari-Liis Orav.

1. Isikuandmete töötlemise põhimõtted on olulised

Isikuandmete kaitse üldmääruse (ingliskeelse lühendiga GDPR - toim) artikkel 5 loetleb seitse isikuandmete töötlemise põhimõtet, mis moodustavad nii isikuandmete kaitse üldmääruse kui ka üldisemalt kogu andmekaitseõiguse tuuma. Artikli 5 kohaselt tuleb isikuandmete töötlemisel tagada, et:

* töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev (seaduslikkuse, õigluse ja läbipaistvuse põhimõte);

* isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus (eesmärgi piirangu põhimõte);

* isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt (võimalikult väheste andmete kogumise põhimõte);

* isikuandmed on õiged ja vajaduse korral ajakohastatud (õigsuse põhimõte)

* isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse (säilitamise piirangu põhimõte);

* isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse (usaldusväärsuse ja konfidentsiaalsuse põhimõte);

* eelneva täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja (vastutuse põhimõte).

Üldmääruseks valmistudes keskendusid ettevõtted sageli konkreetsetele, käegakatsutavatele tulemustele, mis peavad üldmääruse kohaselt olemas olema, nt isikuandmete töötlemise toimingute registri koostamine (artikkel 30), vastutava ja volitatud töötleja vaheliste andmetöötluslepingute sõlmimine (artikkel 28), privaatsusteadete koostamine (artiklid 13-14), jne.

Kuigi kõik need dokumendid peaksid peegeldama ka isikuandmete töötlemise põhimõtteid, jäi sageli puudu põhjalikust analüüsist, kas ettevõtte isikuandmete töötlemine vastab ka sisuliselt isikuandmete töötlemise põhimõtetele, eelkõige määral, mis võimaldaks tõendada põhimõtete täitmist nii nagu seda nõuab vastutuse põhimõte.

Siiani määratud trahvid näitavad aga selgelt, et järelevalveasutused peavad nimetatud põhimõtteid äärmiselt oluliseks ega pelga määrata trahvi, kui kellegi isikuandmete töötlemise toimingud seaduslikkuse, õigluse ja läbipaistvuse, eesmärgi piirangu, võimalikult väheste andmete kogumise, õigsuse, säilitamise piirangu, usaldusväärsuse ja konfidentsiaalsuse või isegi vastutuse põhimõtet rikuvad.

Leedu järelevalveasutus määras makseteenuse pakkujale MisterTango UAB trahvi summas 61 500 eurot lisaks teistele rikkumistele ka üldmääruse artikli 5 rikkumise eest. Leiti, et MisterTango töötles rohkem isikuandmeid kui makse tegemiseks vajalik. Järelevalveasutus leidis, et vastavalt võimalikult väheste andmete kogumise põhimõttele tuleks koguda vaid selliseid andmeid, nagu nimi, perekonnanimi ja, kui maksja seda soovib, tema identifitseerimiskood, arveldusarve number, valuuta ja saldo, makse eesmärk/makse tegemiseks vajalik maksekood.

Lisaks eelmainitud andmetele kogus MisterTango aga ka näiteks järgmisi andmeid: läbi vaatamata e-arvete esitamise kuupäevad, saatjate nimed ja summad; laenude otstarve, liigid, summad; pensionifondide nimed, kogunenud osakud, nende väärtus, kogunenud summad; krediidi liigid (nt hüpoteeklaen), tasumisele kuuluvad jääksummad, teiste maksete summad ja kuupäevad; väljastatud maksekaartide numbrid ja nendel maksekaartidel olevad summad.

Lisaks leiti, et äriühing säilitas andmeid kauem, kui ta ise oli eelnevalt kindlaks määranud ja vajalikuks pidanud – 10 minuti asemel 216 päeva – rikkudes sellega säilitamise piirangu põhimõtet. Ühtlasi ei esitanud äriühing uurimise ajal piisavalt tõendeid selle kohta, et ta täidab isikuandmete töötlemise põhimõtteid, rikkudes sellega vastutuse põhimõtet.

Taani järelevalveasutus on teinud ettepaneku 1,5 miljoni Taani krooni (umbes 200 000 euro) suuruse trahvi määramiseks mööblifirmale IDdesign A/S, kuna viimane on jätnud kustutamata ligi 385 000 kliendi andmed. Mõned äriühingu mööblikauplused kasutasid vanemat IT-süsteemi, millest ei oldud isikuandmeid (nimesid, aadresse, telefoninumbreid, e-posti aadresse ja ostuajalugu) kunagi kustutatud. Seda loeti säilitamise piirangu põhimõtte rikkumiseks.

Poola järelevalveasutus määras 40 000 Poola zloti (umbes 9000 euro) suuruse trahvi selle eest, et isikuandmete edastamiseks oli jäetud sõlmimata andmetöötluslepingud, mistõttu rikuti isikuandmete töötlemise seaduslikkuse ning usaldusväärsuse ja konfidentsiaalsuse põhimõtteid. Ühtlasi leiti, et puudus sisemine kord avaliku teabe bülletäänis (Public Information Bulletin (BIP)) kättesaadavate materjalide säilitamistähtaja määramiseks, mis tõi kaasa selle, et varadeklaratsioonid olid kättesaadavad ka pärast nende õigusaktidest tuleneva säilitamistähtaja möödumist.

Järelevalveasutus otsustas, et vastutav töötleja rikkus säilitamise piirangu põhimõtet. Lisaks tuvastati, et linnavolikogu koosolekute salvestised olid BIP-is kättesaadavad vaid lingina spetsiaalsele YouTube’i kanalile ning varukoopiad puudusid. Kuna materjalide avaldamisele üksnes YouTube’is ei eelnenud riskianalüüsi, rikuti järelevalveasutuse hinnangul usaldusväärsuse ja konfidentsiaalsuse põhimõtet ning vastutuse põhimõtet. Vastutuse põhimõtet rikuti ka seoses sellega, et isikuandmete töötlemise toimingute registris esinesid puudused, kuna seal ei sisaldunud kõik isikuandmete vastuvõtjad ega säilitamistähtajad.

Berliini järelevalveasutus määras ligi 14,5 miljoni euro suuruse trahvi kinnisvarafirmale Deutsche Wohnen SE üldmääruse artiklite 5 ja 25 struktuurse rikkumise eest. Äriühing kasutas üürnike isikuandmete säilitamiseks arhiivisüsteemi, mis ei võimaldanud selliste andmete eemaldamist, mida enam vaja ei olnud ning üürnike isikuandmeid (nt palgatõendeid, enda kohta teabe avaldamise vorme, töö- ja koolituslepingute väljavõtteid, maksuandmeid, sotsiaal- ja ravikindlustuse andmeid ning kontoväljavõtteid) säilitati ilma, et oleks kontrollitud, kas säilitamine on lubatud või vajalik. Järelevalveasutus leidis, et äriühing rikkus nii säilitamise piirangu põhimõtet kui ka lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid (artikkel 25). Lisaks struktuurse rikkumise eest karistamisele määras järelevalveasutus 15 konkreetse juhtumi puhul ka trahvid vahemikus 6000 ja 17 000 eurot üürnike isikuandmete lubamatu säilitamise eest.

2. Suurus ei ole oluline

Võiks eeldada, et suured äriühingud, millel on tuhandeid või isegi miljoneid füüsilisest isikust kliente, on need, mis on järelevalveasutuste tähelepanu all ja millele trahve tehakse. On ju hästi teada, et üks esimesi üldmäärusega seotud trahve määrati Prantsuse järelevalveasutuse poolt Google’ile summas 50 miljonit eurot. Praktika näitab siiski, et oluline on rikkumise olemus, mitte sellega seotud äriühingu suurus.

Prantsuse järelevalveasutus tegi 20 000 euro suuruse trahvi üheksa töötajaga tõlkebüroole Uniontrad Company selle eest, et töökohas kasutati kaameraid nii, et töötajaid filmiti pidevalt ja neile ei antud kaamerate olemasolu kohta nõuetekohast teavet.

3. Piisab ühest

Rikkumine ei pea puudutama tuhandeid isikuid selleks, et järelevalveasutus seda menetleks. Ka ühe isiku kaebus võib tuua kaasa järelevalvemenetluse.

Soome järelevalveasutus menetles Svea Ekonomit puudutavat juhtumit pärast ühe andmesubjekti poolt esitatud kaebust. Juhtum puudutas krediidivõimelisuse hindamiseks kasutatud isikuandmeid ning andmesubjektide õigust saada nende kohta käivaid andmeid.

4. „Koormav“ ei ole vabandus

Kuigi vanad harjumused ja süsteemid võivad olla mugavad ning uute ja kallite investeeringute tegemine ei ole kellegi esimene valik, ei rahulda järelevalveasutusi väide, et mingi olemasoleva süsteemi kontekstis on üldmääruse täitmine koormav:

Taani järelevalveasutus teatas, et teeb ettepaneku teha taksofirmale Taxa 4x35 kokku 1,2 miljoni Taani krooni (umbes 160 000 euro) suurune trahv klientide andmete kustutamata jätmise eest. Taxa 4x35 sõnul kustutavad nad pärast kahe aasta möödumist küll kliendi nime, kuid ei kustuta kliendi telefoninumbrit ega teavet kliendi sõidu kohta (sh aadressi) enne viie aasta möödumist, kuna telefoninumber on süsteemi andmebaasis võtmetähtsusega ja vajalik nende toodete ja äritegevuse arendamiseks. Järelevalveasutuse kinnitusel ei ole vastuvõetav, et isikuandmeid säilitatakse kolm aastat kauem kui on vaja vaid seetõttu, et äriühingu poolt kasutatav süsteem muudab üldmääruse täitmise koormavaks.

5. Avalik sektor ei ole kaitstud

Olgugi, et on teada, et üldmäärust kohaldatakse ka avaliku sektori isikuandmete töötlemise toimingutele, tuleb seda siiski aeg-ajalt üle korrata. Järelevalveasutused ei ole ka peljanud määrata trahve, kui avalik sektori asutus on oma isikuandmete töötlemise kohustusi rikkunud.

Norra järelevalveasutus teatas, et on määranud 1,6 miljoni Norra krooni (umbes 160 000 euro) suuruse trahvi Bergeni omavalitsusüksusele suutmatuse eest võtta asjakohaseid meetmeid, et kaitsta arvuti failisüsteemis olevaid isikuandmeid.

Rootsi järelevalveasutus on teinud 200 000 Rootsi krooni (umbes 20 000 euro) suuruse trahvi omavalitsusüksusele selle eest, et viimane kasutas õpilaste koolis käimise jälgimiseks näotuvastuse tehnoloogiat. Kool töötles biomeetrilisi isikuandmeid nõusoleku alusel, mida järelevalveasutus pidas ebaseaduslikuks tulenevalt selgelt ebavõrdsest suhtest andmesubjekti ja vastutava töötleja vahel, ei viinud läbi asjakohast mõjuhinnangut ega konsulteerinud eelnevalt Rootsi järelevalveasutusega.

Norra järelevalveasutus on määranud umbes 49 300 euro suuruse trahvi Oslo linnale selle eest, et viimane säilitas vahemikus 2007-2018 linna hooldekodudes/tervishoiukeskustes patsientide andmeid väljaspool digitaalset tervise infosüsteemi.

Esimene poolteist aastat isikuandmete kaitse üldmäärust on näidanud, et üldmääruse täitmine ei saa olla midagi vähemat kui pidev protsess – midagi, mida kõik isikuandmete töötlejad peaksid 2020. aastal meeles pidama.

------------------

Artikkel ilmus algselt jaanuari alguses EuroCloud’i ja Cloud Privacy Check’i veebilehtedel.