SlideShare a Scribd company logo

Andmekaitsest lihtsalt ja lühidalt (legal booster)

Anne Veerpalu
Anne Veerpalu

Data protection in Estonia

Law
1 of 35
Download to read offline
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MARI-LIIS ORAV OKTOOBER 2013 ANDMEKAITSEST: LIHTSALT JA LÜHIDALT
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ÜLESEHITUS Miks andmekaitse ja miks just praegu? Regulatsioon Eestis ja Euroopa Liidus Ülevaade põhilistest andmekaitse elementidest Euroopa andmekaitse reformikava Kuumad teemad andmekaitses Kuidas valmistuda tulevikuks juba nüüd?
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS ANDMEKAITSE JA MIKS JUST PRAEGU?
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS ANDMEKAITSE JA MIKS JUST PRAEGU? Isikuandmed kui „uus nafta“ Big Data Tehnoloogiline areng ja vajadus (nt pilvetehnoloogia) Kaasa toonud vajaduse uuenduste järgi regulatsioonides nii Euroopas kui ka mujal maailmas: Euroopa andmekaitsereform Euroopa Nõukogu Konventsiooni nr 108 uuendamine OECD uuendatud juhised Mitmete riikide esmakordsed andmekaitseseadused (sageli põhinevad n-ö Euroopa mudelil)
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS ÜLDSE ISIKUANDMETE KAITSE TEEMAGA TEGELEDA? Kohustus seadusest Sanktsioonid Võimalik kahju mainele Konkurentsieelis?
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / KUIDAS VÕIVAD ISIKUANDMED SOOVIMATULT AVALIKUKS TULLA? Ei ole ainult IT küsimus – ettevõttes peab kaitse toimima kõigil tasandil, sh organisatsioonilisel Sageli määrav just inimlik faktor: Asjade kaotamine/vargus (mälupulgad, arvutid, telefonid) Lohakus või vastavate protseduurireeglite puudumine (isikuandmeid sisaldavate dokumentide ebapiisav hävitamine, nt Õismäe perearstikeskus) Häkkimine
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS JA EUROOPA LIIDUS
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EUROOPAS EL-i direktiiv 95/46/EÜ (andmekaitsedirektiiv) EL-i direktiiv 2002/58/EÜ (elektroonilise side direktiiv) Üldkasutatavate elektrooniliste sideteenuste osutamisel ühenduse üldkasutatavates sidevõrkudes EL-i direktiiv 2006/24/EÜ Üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamine Võrgu- ja infoturbe direktiivi (nn küberkaitsedirektiivi) eelnõu Praegu peavad ainult telekomiettevõtted andmete rikkumisest teavitama Ettepanek nimekirja laiendada (nt internetifirmad, pangandus-, energia-, tervisesektor) Teavitama peab juhtumitest, millel on märkimisväärne mõju ettevõtte peamise teenuse pakkumisele Lisaks olulisel kohal Euroopa andmekaitseinspektori (EDPS) ja andmekaitsedirektiivi artikli 29 alusel loodud töögrupi (WP29) arvamused ja juhised
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS (1) Isikuandmete kaitse seadus (IKS) Ei kohaldata, kui isikuandmeid töötleb füüsiline isik isiklikul otstarbel või kui isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma neid siin töötlemata Ei kohaldata üldiselt ka siis, kui andmesubjekt on oma isikuandmed avalikustanud ise, andnud nõusoleku nende avalikustamiseks või kui isikuandmeid avalikustatakse seaduse alusel (mh ajakirjanduses) Elektroonilise side seadus 10. ptk – andmete turvalisus ja kaitse Infoühiskonna teenuse seadus
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS (2) Andmekaitseinspektsioon (AKI): IKS, AvTS jt isikuandmete töötlemist ja üldiseks kasutamiseks mõeldud teabe avalikustamist ja juurdepääsu sätestavate õigusaktide täitmise riiklik järelevalve Delikaatsete isikuandmete töötlejate registreerimine Haldus- või väärteomenetluse korras karistamine Juhised (nt elektrooniliste kontaktandmete kasutamine otseturustuses; isikuandmete taatlemine töösuhetes; isikuandmete edastamine välisriiki, turvakaamerate kasutamine jpt) Koostöö välisriikidega
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ÜLEVAADE PÕHILISTEST ANDMEKAITSE ELEMENTIDEST
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PÕHIMÕISTED (1) Isikuandmed (1) Mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata kujust või vormist Nimi, isikukood, aadress, finantsinfo, haridusinfo, harjumused IP-aadress? Juriidiliste isikute kohta käivad andmed ei käi IKS regulatsiooni alla „Tavalised“ ja delikaatsed isikuandmed
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PÕHIMÕISTED (2) Isikuandmed (2) Delikaatsed isikuandmed on: poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta; etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed; andmed terviseseisundi või puude kohta; andmed pärilikkuse informatsiooni kohta; biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed); andmed seksuaalelu kohta; andmed ametiühingu liikmelisuse kohta; andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PÕHIMÕISTED (3) Isikuandmed (3) Delikaatsete isikuandmete töötlemine tuleb registreerida AKI-s. Registrikannetel õiguslik tähendus. Erand: kui on määratud isikuandmete kaitse eest vastutav isik (sõltumatu; kontrolliv tegevus; register) ja registreeritud AKI-s Veel erandeid: kui delikaatsed andmed satuvad kätte juhuslikult või kasutatakse neid sisemiseks töökorralduseks (näiteks peetakse tööandjana arvestust töötajate haigestumiste üle)
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PÕHIMÕISTED (4) Töötlemine Iga isikuandmetega tehtav toiming, sh kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine, päringu teostamine ja väljavõtete tegemine, kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine, hävitamine, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest Vastutav töötleja Otsustab isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseisu, töötlemise korra ja viisi ja isikuandmete kolmandatele isikutele üleandmise lubamise Kõik seadusest tulenevad kohustused on vastutaval töötlejal! Volitatud töötleja Töötleb andmeid vastutava töötleja ülesandel haldusakti või lepingu alusel (nt IT teenus, raamatupidamisteenus) Volitatud töötleja tegevuse eest vastutab lõppkokkuvõttes vastutav töötleja Üks ettevõte võib olla nii vastutav kui ka volitatud töötleja – oleneb andmetest
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ANDMEKAITSE PÕHIMÕTTED Seaduslikkus Eesmärgikohasus Minimaalsus Kasutuse piiramine Andmete kvaliteet Turvalisus Individuaalne osalus
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TÖÖTLEJA KOHUTUSED (1) Informatsiooni andmine Milliseid andmeid töötlema hakatakse? Mis eesmärgil kasutatakse? Kes kasutavad? Vastutava isiku nimi ja aadress. Kuidas saab andmetele ligi? Millal on õigus nõuda andmete töötlemise lõpetamist, parandamist, sulgemist ja kustutamist? Õigus pöörduda AKI või kohtu poole ja nõuda kahju hüvitamist Privaatsuspoliitika ei ole kohustuslik, aga soovituslik Nõusoleku küsimine Vaba tahe Kirjalikku taasesitamist võimaldavas vormis Informeeritud Vaikimine ja tegevusetus ei ole nõusolek Tõendamise kohustus töötlejal Selgelt eristatav Delikaatsete isikuandmete puhul kirjalik ja selgelt delikaatsete isikuandmete töötlemiseks andud
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TÖÖTLEJA KOHUSTUSED (2) Nõusolek ei ole vajalik kui: Töötlemine toimub seaduse alusel (nt sideettevõtja võib kliendi nõusolekuta töödelda ja säilitada andmeid, kui see on vajalik kliendile arve esitamiseks, sealhulgas sidumistasude kindlaksmääramiseks ja arvestamiseks) või seadusest tuleneva ülesande täitmiseks Üksikjuhtumil andmesubjekti elu, tervise või vabaduse kaitseks, kui isikult ei ole võimalik nõusolekut saada Andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks (v.a delikaatsed isikuandmed) (nt tööleping) Ettevõtetele soovitatav leida/kasutada muud alust kui nõusolek, sest nõusoleku võib alati tagasi võtta
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TÖÖTLEJA KOHUSTUSED (3) Füüsilised, organisatsioonilised ja infotehnilised turvameetmed Kirjalik leping volitatud töötlejaga Delikaatsete isikuandmete töötlemise registreerimine või isikuandmete kaitse eest vastutava isiku määramine Jälgida isikuandmete töötlemisel kõiki andmekaitse põhimõtteid – isikuandmeid tuleb töödelda ainult siis, kui vaja ja ainult sellises mahus nagu vajalik
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ISIKUANDMETE EDASTAMINE VÄLISRIIKI (1) Teised EL/EMÜ riigid: ei ole vaja rakendada täiendavaid garantiisid Euroopa Komisjoni poolt piisavat isikuandmete kaitse taset pakkuvateks riikideks hinnatud (Andorra, Argentiina, Austraalia, Kanada, Šveits, Fääri saared, Guernsey, Iisrael, Isle of Man, Jersey, Uus-Meremaa, Uruguay): ei ole vaja rakendada täiendavaid garantiisid Kolmandad riigid: AKI loal kui vastutav töötleja garanteerib konkreetsel juhul andmesubjekti õiguste ja eraelu puutumatuse kaitse selles riigis või konkreetsel isikuandmete edastamise juhul on selles riigis tagatud piisav andmekaitse tase: USA Safe Harbour Asjakohased lepingutingimused (tüüptingimused) (AKI näidis, Euroopa Komisjoni näidis) Binding Corporate Rules
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ISIKUANDMETE EDASTAMINE VÄLISRIIKI (2) AKI luba ei ole vaja kui Nõusolek (peab vastama seaduses toodud tingimustele) Üksikjuhtumil andmesubjekti elu jms kaitseks Kui kolmas isik taotleb teavet, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muul põhjusel kehtestatud juurdepääsupiirangut Oluline tähele panna, et teistes riikides võivad isikuandmete töötlemisele kehtida teised reeglid (nt Saksamaal kohustus määrata isikuandmete kaitse eest vastutav isik; paljudel riikides kõikehõlmav registreerimiskohustus jne)
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ANDMESUBJEKTI ÕIGUSED Saada teavet ja tema kohta käivaid isikuandmeid Nõuda ebaõigete isikuandmete parandamist Nõuda isikuandmete töötlemise lõpetamist, avalikustamist või neile juurdepääsu võimaldamise lõpetamist, kogutud isikuandmete kustutamist või sulgemist Pöörduda AKI või kohtu poole Nõuda kahju hüvitamist
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / SANKTSIOONID Kui vastutav töötleja rikub järgmisi kohustusi: delikaatsete isikuandmete töötlemise registreerimiskohustus, isikuandmete välisriiki edastamise nõuded, andmesubjekti teavitamise kohustus, isikuandmete kaitse turvameetmete nõuded, isikuandmete töötlemise nõuded, on ette nähtud trahv suuruses Kuni 300 trahviühikut Kui juriidiline isik – kuni 32 000 eurot Delikaatsete isikuandmete ebaseadusliku avalikustamise, andmetele juurdepääsu võimaldamise või andmete edastamise eest omakasu eesmärgil või kui sellega on tekitatud oluline kahju teise isiku seadusega kaitstud õigustele või huvidele – karistatakse rahalise karistuse või kuni üheaastase vangistusega (KarS) Teist isikut tuvastavate või tuvastada võimaldavate isikuandmete tema nõusolekuta edastamise, nendele juurdepääsu võimaldamise või nende kasutamise eest eesmärgiga luua teise isikuna esinemise teel temast teadvalt ebaõige ettekujutus, kui sellega on tekitatud kahju teise isiku seadusega kaitstud õigustele või huvidele, või varjata kuritegu karistatakse rahalise karistuse või kuni kolmeaastase vangistusega (KarS)
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / EUROOPA ANDMEKAITSE REFORMIKAVA (SEISUGA OKTOOBER 2013)
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / TAUST Euroopa andmekaitsedirektiiv pärineb aastast 1995 – vahepeal toimunud kiire tehnoloogiline areng tinginud vajaduse uuenduste järele Eesmärgiks suurendada andmesubjektide kaitset ja õigusi ning soodustada siseturu toimimist Rohkem õigusselgust ettevõtetele (nn one-stop-shop) Vähendada halduskoormust Üleüldine toetus direktiivi uuendamisele, erimeelsus ulatuse ning vormi osas Euroopa Komisjon teeb väga suuri jõupingutusi eelnõu läbi surumiseks Eesti Euroopa Komisjoni eelnõu suhtes väga kriitiline (ülereguleerimine, keerukam eri väärtuste kaalumine, mõjuanalüüsi puudumine jms)
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / HETKESEIS Euroopa Komisjoni eelnõu (jaanuar 2012): Euroopa isikuandmete kaitse üldmääruse eelnõu Kriminaal- ja politseivaldkonna isikuandmete kaitse direktiivi eelnõu Laiaulatuslikud arutelud, arvamused, debatid, suurfirmade ja USA lobi Seadusandlik tavamenetlus: Euroopa Parlament ja EL Nõukogu Euroopa Parlamendi juhtkomitee aruande projekt (jaanuar 2013) Üle 4000 (!) parandusettepaneku Euroopa Parlamendi juhtkomitee aruanne (oktoober 2013) EL Nõukogu on pidanud mitmeid arutelusid, aga ei ole ühise arvamuseni jõudnud – paljudel liikmesriikidel reserveeringud Oluline tähtaeg: aprill 2014 Nõukogu ei pruugi jõuda  mis edasi?
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (1) Ekstraterritoriaalne mõju – määrus kehtib ka töötlejatele väljaspool EL-i, kui nad pakuvad teenuseid EL-is elavatele inimestele või kui nad jälgivad EL-is elavaid inimesi (profileerimine) Pseudonüümsed ja krüpteeritud andmed kuuluvad isikuandmete definitsiooni alla, ent nende puhul kehtivad mõned erandid Küpsised ja IP-aadressid kui isikuandmed „Peamine tegevuskoht“ – piiriülestele firmadele lihtsustatud kontseptsioon, kus nad peavad tegemist tegema ainult ühe andmekaitseasutusega, kes koordineerib tööd kõigi teiste riikide omadega, kus firma tegutseb Isikuandmete välisriikidesse edastamine Euroopa Komisjoni pädevusotsused ja Safe Harbouri režiim jääb kehtima 5 aastaks pärast määruse jõustumist Lepingu tüüptingimused tuleb üle vaadata ja uuesti registreerida 2 aasta jooksul pärast määruse jõustumist Binding Corporate Rules „Euroopa Andmekaitse Pitsat“ kui uus alus
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (2) Selgesõnaline (explicit) nõusolek Firmade õigustatud huvi kui üks töötlemise alus, ent piiratud Ikoonide kasutamine privaatsuseeskirjades Õigus olla unustatud/õigus andmete kustutamisele Vastutava töötleja vastutuskohustus kui eraldi kontseptsioon (accountability) – peab vastu võtma vastavad eeskirjad ja juhised ning olema suuteline demonstreerima nende efektiivsust Iga kahe aasta tagune privaatsuseeskirjade ja –protseduuride kohustuslik üle vaatamine
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (3) Privacy by Design, Privacy by Default Andmete rikkumisest tuleb teavitada võimalikult kiiresti (AKI ja andmesubjekt) Vastutaval ja volitatud töötlejal suurenenud kohustused: Dokumenteerimiskohustus Mõjuanalüüsid Kohustuslik isikuandmete kaitse eest vastutava isiku määramine, kui tegemist avaliku sektoriga, kui töötleja töötleb aasta jooksul rohkem kui 5000 andmesubjekti andmeid, kui töötleja töötleb delikaatseid isikuandmeid või kui töötlemine, oma olemuselt, sisaldab isikute jälgimist Eelnev konsultatsioon ja luba AKI-lt Detailsem turvameetmete kirjeldus Väga kõrged sanktsioonid: 100 mln eurot või 5% ettevõtte ülemaailmsest käibest, kumb iganes on suurem
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / KUUMAD TEEMAD
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / KUUMAD TEEMAD ANDMEKAITSES TÄNA Mobiilirakendused Hollandi andmekaitseinspektsiooni WhatsAppi juhtum; Jay-Z Palju juhiseid Pilvetöötlus Küpsised BYOD (Bring Your Own Device) Andmete säilitamine raskete kuritegude uurimiseks (data retention)
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIDA TEHA JUBA TÄNA?
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / Viia tegevus kooskõlla kehtiva IKS-iga: Registreerida delikaatsete andmete töötlemine või nimetada isikuandmete kaitse eest vastutav isik Veenduda, et andmeid ei töödelda rohkem kui vaja ning et iga töötlemise jaoks oleks olemas alus Veenduda, et oleksid paigas asjakohased lepingud volitatud töötlejatega Veenduda, et kõik isikuandmete edastamised välisriikidesse oleksid asjakohasel alusel ja asjakohaste tagatistega Veenduda, et andmete turvalisus oleks igati tagatud (nii tehnoloogiliselt kui ka organisatsiooniliselt) See eeldab arusaama oma ettevõtte isikuandmete töötlemisest (inventuur), võimalike ohtude teadvustamist ning oma töötajate koolitamist Vt ka AKI „Eneseabi küsimustik“
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / Valmistuda tulevikuks ja Euroopa isikuandmete kaitse üldmääruseks (tuleb mingil – kehtivast IKS-st rangemal kujul – ühel hetkel niikuinii): Selgitustöö! Palju kontseptsioone, mis Eesti ettevõtetele võõrad Inventuur Protseduurid, juhised, põhimõtted, koolitused
2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / AITÄH!

Recommended

It juura
It juuraIt juura
It juura
Hillar Põldmaa
 
Marc s. friedman slides for legalbooster
Marc s. friedman slides for legalboosterMarc s. friedman slides for legalbooster
Marc s. friedman slides for legalbooster
Anne Veerpalu
 
Presentation on termsheet at EstBAN and LatBAN Summer Camp 2014 by Anne Veerpalu
Presentation on termsheet at EstBAN and LatBAN Summer Camp 2014 by Anne VeerpaluPresentation on termsheet at EstBAN and LatBAN Summer Camp 2014 by Anne Veerpalu
Presentation on termsheet at EstBAN and LatBAN Summer Camp 2014 by Anne Veerpalu
Anne Veerpalu
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 

Recommended

It juura
It juuraIt juura
It juura
Hillar Põldmaa
 
Marc s. friedman slides for legalbooster
Marc s. friedman slides for legalboosterMarc s. friedman slides for legalbooster
Marc s. friedman slides for legalbooster
Anne Veerpalu
 
Presentation on termsheet at EstBAN and LatBAN Summer Camp 2014 by Anne Veerpalu
Presentation on termsheet at EstBAN and LatBAN Summer Camp 2014 by Anne VeerpaluPresentation on termsheet at EstBAN and LatBAN Summer Camp 2014 by Anne Veerpalu
Presentation on termsheet at EstBAN and LatBAN Summer Camp 2014 by Anne Veerpalu
Anne Veerpalu
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
Alireza Esmikhani
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Project for Public Spaces & National Center for Biking and Walking
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
DevGAMM Conference
 

More Related Content

Featured

Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 

Featured (20)

Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
 

Andmekaitsest lihtsalt ja lühidalt (legal booster)

  • 1. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MARI-LIIS ORAV OKTOOBER 2013 ANDMEKAITSEST: LIHTSALT JA LÜHIDALT
  • 2. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ÜLESEHITUS Miks andmekaitse ja miks just praegu? Regulatsioon Eestis ja Euroopa Liidus Ülevaade põhilistest andmekaitse elementidest Euroopa andmekaitse reformikava Kuumad teemad andmekaitses Kuidas valmistuda tulevikuks juba nüüd?
  • 3. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS ANDMEKAITSE JA MIKS JUST PRAEGU?
  • 4. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS ANDMEKAITSE JA MIKS JUST PRAEGU? Isikuandmed kui „uus nafta“ Big Data Tehnoloogiline areng ja vajadus (nt pilvetehnoloogia) Kaasa toonud vajaduse uuenduste järgi regulatsioonides nii Euroopas kui ka mujal maailmas: Euroopa andmekaitsereform Euroopa Nõukogu Konventsiooni nr 108 uuendamine OECD uuendatud juhised Mitmete riikide esmakordsed andmekaitseseadused (sageli põhinevad n-ö Euroopa mudelil)
  • 5. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS ÜLDSE ISIKUANDMETE KAITSE TEEMAGA TEGELEDA? Kohustus seadusest Sanktsioonid Võimalik kahju mainele Konkurentsieelis?
  • 6. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / KUIDAS VÕIVAD ISIKUANDMED SOOVIMATULT AVALIKUKS TULLA? Ei ole ainult IT küsimus – ettevõttes peab kaitse toimima kõigil tasandil, sh organisatsioonilisel Sageli määrav just inimlik faktor: Asjade kaotamine/vargus (mälupulgad, arvutid, telefonid) Lohakus või vastavate protseduurireeglite puudumine (isikuandmeid sisaldavate dokumentide ebapiisav hävitamine, nt Õismäe perearstikeskus) Häkkimine
  • 7. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS JA EUROOPA LIIDUS
  • 8. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EUROOPAS EL-i direktiiv 95/46/EÜ (andmekaitsedirektiiv) EL-i direktiiv 2002/58/EÜ (elektroonilise side direktiiv) Üldkasutatavate elektrooniliste sideteenuste osutamisel ühenduse üldkasutatavates sidevõrkudes EL-i direktiiv 2006/24/EÜ Üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamine Võrgu- ja infoturbe direktiivi (nn küberkaitsedirektiivi) eelnõu Praegu peavad ainult telekomiettevõtted andmete rikkumisest teavitama Ettepanek nimekirja laiendada (nt internetifirmad, pangandus-, energia-, tervisesektor) Teavitama peab juhtumitest, millel on märkimisväärne mõju ettevõtte peamise teenuse pakkumisele Lisaks olulisel kohal Euroopa andmekaitseinspektori (EDPS) ja andmekaitsedirektiivi artikli 29 alusel loodud töögrupi (WP29) arvamused ja juhised
  • 9. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS (1) Isikuandmete kaitse seadus (IKS) Ei kohaldata, kui isikuandmeid töötleb füüsiline isik isiklikul otstarbel või kui isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma neid siin töötlemata Ei kohaldata üldiselt ka siis, kui andmesubjekt on oma isikuandmed avalikustanud ise, andnud nõusoleku nende avalikustamiseks või kui isikuandmeid avalikustatakse seaduse alusel (mh ajakirjanduses) Elektroonilise side seadus 10. ptk – andmete turvalisus ja kaitse Infoühiskonna teenuse seadus
  • 10. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS (2) Andmekaitseinspektsioon (AKI): IKS, AvTS jt isikuandmete töötlemist ja üldiseks kasutamiseks mõeldud teabe avalikustamist ja juurdepääsu sätestavate õigusaktide täitmise riiklik järelevalve Delikaatsete isikuandmete töötlejate registreerimine Haldus- või väärteomenetluse korras karistamine Juhised (nt elektrooniliste kontaktandmete kasutamine otseturustuses; isikuandmete taatlemine töösuhetes; isikuandmete edastamine välisriiki, turvakaamerate kasutamine jpt) Koostöö välisriikidega
  • 11. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ÜLEVAADE PÕHILISTEST ANDMEKAITSE ELEMENTIDEST
  • 12. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PÕHIMÕISTED (1) Isikuandmed (1) Mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata kujust või vormist Nimi, isikukood, aadress, finantsinfo, haridusinfo, harjumused IP-aadress? Juriidiliste isikute kohta käivad andmed ei käi IKS regulatsiooni alla „Tavalised“ ja delikaatsed isikuandmed
  • 13. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PÕHIMÕISTED (2) Isikuandmed (2) Delikaatsed isikuandmed on: poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta; etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed; andmed terviseseisundi või puude kohta; andmed pärilikkuse informatsiooni kohta; biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed); andmed seksuaalelu kohta; andmed ametiühingu liikmelisuse kohta; andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.
  • 14. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PÕHIMÕISTED (3) Isikuandmed (3) Delikaatsete isikuandmete töötlemine tuleb registreerida AKI-s. Registrikannetel õiguslik tähendus. Erand: kui on määratud isikuandmete kaitse eest vastutav isik (sõltumatu; kontrolliv tegevus; register) ja registreeritud AKI-s Veel erandeid: kui delikaatsed andmed satuvad kätte juhuslikult või kasutatakse neid sisemiseks töökorralduseks (näiteks peetakse tööandjana arvestust töötajate haigestumiste üle)
  • 15. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PÕHIMÕISTED (4) Töötlemine Iga isikuandmetega tehtav toiming, sh kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine, päringu teostamine ja väljavõtete tegemine, kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine, hävitamine, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest Vastutav töötleja Otsustab isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseisu, töötlemise korra ja viisi ja isikuandmete kolmandatele isikutele üleandmise lubamise Kõik seadusest tulenevad kohustused on vastutaval töötlejal! Volitatud töötleja Töötleb andmeid vastutava töötleja ülesandel haldusakti või lepingu alusel (nt IT teenus, raamatupidamisteenus) Volitatud töötleja tegevuse eest vastutab lõppkokkuvõttes vastutav töötleja Üks ettevõte võib olla nii vastutav kui ka volitatud töötleja – oleneb andmetest
  • 16. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ANDMEKAITSE PÕHIMÕTTED Seaduslikkus Eesmärgikohasus Minimaalsus Kasutuse piiramine Andmete kvaliteet Turvalisus Individuaalne osalus
  • 17. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TÖÖTLEJA KOHUTUSED (1) Informatsiooni andmine Milliseid andmeid töötlema hakatakse? Mis eesmärgil kasutatakse? Kes kasutavad? Vastutava isiku nimi ja aadress. Kuidas saab andmetele ligi? Millal on õigus nõuda andmete töötlemise lõpetamist, parandamist, sulgemist ja kustutamist? Õigus pöörduda AKI või kohtu poole ja nõuda kahju hüvitamist Privaatsuspoliitika ei ole kohustuslik, aga soovituslik Nõusoleku küsimine Vaba tahe Kirjalikku taasesitamist võimaldavas vormis Informeeritud Vaikimine ja tegevusetus ei ole nõusolek Tõendamise kohustus töötlejal Selgelt eristatav Delikaatsete isikuandmete puhul kirjalik ja selgelt delikaatsete isikuandmete töötlemiseks andud
  • 18. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TÖÖTLEJA KOHUSTUSED (2) Nõusolek ei ole vajalik kui: Töötlemine toimub seaduse alusel (nt sideettevõtja võib kliendi nõusolekuta töödelda ja säilitada andmeid, kui see on vajalik kliendile arve esitamiseks, sealhulgas sidumistasude kindlaksmääramiseks ja arvestamiseks) või seadusest tuleneva ülesande täitmiseks Üksikjuhtumil andmesubjekti elu, tervise või vabaduse kaitseks, kui isikult ei ole võimalik nõusolekut saada Andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks (v.a delikaatsed isikuandmed) (nt tööleping) Ettevõtetele soovitatav leida/kasutada muud alust kui nõusolek, sest nõusoleku võib alati tagasi võtta
  • 19. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TÖÖTLEJA KOHUSTUSED (3) Füüsilised, organisatsioonilised ja infotehnilised turvameetmed Kirjalik leping volitatud töötlejaga Delikaatsete isikuandmete töötlemise registreerimine või isikuandmete kaitse eest vastutava isiku määramine Jälgida isikuandmete töötlemisel kõiki andmekaitse põhimõtteid – isikuandmeid tuleb töödelda ainult siis, kui vaja ja ainult sellises mahus nagu vajalik
  • 20. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ISIKUANDMETE EDASTAMINE VÄLISRIIKI (1) Teised EL/EMÜ riigid: ei ole vaja rakendada täiendavaid garantiisid Euroopa Komisjoni poolt piisavat isikuandmete kaitse taset pakkuvateks riikideks hinnatud (Andorra, Argentiina, Austraalia, Kanada, Šveits, Fääri saared, Guernsey, Iisrael, Isle of Man, Jersey, Uus-Meremaa, Uruguay): ei ole vaja rakendada täiendavaid garantiisid Kolmandad riigid: AKI loal kui vastutav töötleja garanteerib konkreetsel juhul andmesubjekti õiguste ja eraelu puutumatuse kaitse selles riigis või konkreetsel isikuandmete edastamise juhul on selles riigis tagatud piisav andmekaitse tase: USA Safe Harbour Asjakohased lepingutingimused (tüüptingimused) (AKI näidis, Euroopa Komisjoni näidis) Binding Corporate Rules
  • 21. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ISIKUANDMETE EDASTAMINE VÄLISRIIKI (2) AKI luba ei ole vaja kui Nõusolek (peab vastama seaduses toodud tingimustele) Üksikjuhtumil andmesubjekti elu jms kaitseks Kui kolmas isik taotleb teavet, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muul põhjusel kehtestatud juurdepääsupiirangut Oluline tähele panna, et teistes riikides võivad isikuandmete töötlemisele kehtida teised reeglid (nt Saksamaal kohustus määrata isikuandmete kaitse eest vastutav isik; paljudel riikides kõikehõlmav registreerimiskohustus jne)
  • 22. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ANDMESUBJEKTI ÕIGUSED Saada teavet ja tema kohta käivaid isikuandmeid Nõuda ebaõigete isikuandmete parandamist Nõuda isikuandmete töötlemise lõpetamist, avalikustamist või neile juurdepääsu võimaldamise lõpetamist, kogutud isikuandmete kustutamist või sulgemist Pöörduda AKI või kohtu poole Nõuda kahju hüvitamist
  • 23. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / SANKTSIOONID Kui vastutav töötleja rikub järgmisi kohustusi: delikaatsete isikuandmete töötlemise registreerimiskohustus, isikuandmete välisriiki edastamise nõuded, andmesubjekti teavitamise kohustus, isikuandmete kaitse turvameetmete nõuded, isikuandmete töötlemise nõuded, on ette nähtud trahv suuruses Kuni 300 trahviühikut Kui juriidiline isik – kuni 32 000 eurot Delikaatsete isikuandmete ebaseadusliku avalikustamise, andmetele juurdepääsu võimaldamise või andmete edastamise eest omakasu eesmärgil või kui sellega on tekitatud oluline kahju teise isiku seadusega kaitstud õigustele või huvidele – karistatakse rahalise karistuse või kuni üheaastase vangistusega (KarS) Teist isikut tuvastavate või tuvastada võimaldavate isikuandmete tema nõusolekuta edastamise, nendele juurdepääsu võimaldamise või nende kasutamise eest eesmärgiga luua teise isikuna esinemise teel temast teadvalt ebaõige ettekujutus, kui sellega on tekitatud kahju teise isiku seadusega kaitstud õigustele või huvidele, või varjata kuritegu karistatakse rahalise karistuse või kuni kolmeaastase vangistusega (KarS)
  • 24. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / EUROOPA ANDMEKAITSE REFORMIKAVA (SEISUGA OKTOOBER 2013)
  • 25. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / TAUST Euroopa andmekaitsedirektiiv pärineb aastast 1995 – vahepeal toimunud kiire tehnoloogiline areng tinginud vajaduse uuenduste järele Eesmärgiks suurendada andmesubjektide kaitset ja õigusi ning soodustada siseturu toimimist Rohkem õigusselgust ettevõtetele (nn one-stop-shop) Vähendada halduskoormust Üleüldine toetus direktiivi uuendamisele, erimeelsus ulatuse ning vormi osas Euroopa Komisjon teeb väga suuri jõupingutusi eelnõu läbi surumiseks Eesti Euroopa Komisjoni eelnõu suhtes väga kriitiline (ülereguleerimine, keerukam eri väärtuste kaalumine, mõjuanalüüsi puudumine jms)
  • 26. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / HETKESEIS Euroopa Komisjoni eelnõu (jaanuar 2012): Euroopa isikuandmete kaitse üldmääruse eelnõu Kriminaal- ja politseivaldkonna isikuandmete kaitse direktiivi eelnõu Laiaulatuslikud arutelud, arvamused, debatid, suurfirmade ja USA lobi Seadusandlik tavamenetlus: Euroopa Parlament ja EL Nõukogu Euroopa Parlamendi juhtkomitee aruande projekt (jaanuar 2013) Üle 4000 (!) parandusettepaneku Euroopa Parlamendi juhtkomitee aruanne (oktoober 2013) EL Nõukogu on pidanud mitmeid arutelusid, aga ei ole ühise arvamuseni jõudnud – paljudel liikmesriikidel reserveeringud Oluline tähtaeg: aprill 2014 Nõukogu ei pruugi jõuda  mis edasi?
  • 27. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (1) Ekstraterritoriaalne mõju – määrus kehtib ka töötlejatele väljaspool EL-i, kui nad pakuvad teenuseid EL-is elavatele inimestele või kui nad jälgivad EL-is elavaid inimesi (profileerimine) Pseudonüümsed ja krüpteeritud andmed kuuluvad isikuandmete definitsiooni alla, ent nende puhul kehtivad mõned erandid Küpsised ja IP-aadressid kui isikuandmed „Peamine tegevuskoht“ – piiriülestele firmadele lihtsustatud kontseptsioon, kus nad peavad tegemist tegema ainult ühe andmekaitseasutusega, kes koordineerib tööd kõigi teiste riikide omadega, kus firma tegutseb Isikuandmete välisriikidesse edastamine Euroopa Komisjoni pädevusotsused ja Safe Harbouri režiim jääb kehtima 5 aastaks pärast määruse jõustumist Lepingu tüüptingimused tuleb üle vaadata ja uuesti registreerida 2 aasta jooksul pärast määruse jõustumist Binding Corporate Rules „Euroopa Andmekaitse Pitsat“ kui uus alus
  • 28. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (2) Selgesõnaline (explicit) nõusolek Firmade õigustatud huvi kui üks töötlemise alus, ent piiratud Ikoonide kasutamine privaatsuseeskirjades Õigus olla unustatud/õigus andmete kustutamisele Vastutava töötleja vastutuskohustus kui eraldi kontseptsioon (accountability) – peab vastu võtma vastavad eeskirjad ja juhised ning olema suuteline demonstreerima nende efektiivsust Iga kahe aasta tagune privaatsuseeskirjade ja –protseduuride kohustuslik üle vaatamine
  • 29. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (3) Privacy by Design, Privacy by Default Andmete rikkumisest tuleb teavitada võimalikult kiiresti (AKI ja andmesubjekt) Vastutaval ja volitatud töötlejal suurenenud kohustused: Dokumenteerimiskohustus Mõjuanalüüsid Kohustuslik isikuandmete kaitse eest vastutava isiku määramine, kui tegemist avaliku sektoriga, kui töötleja töötleb aasta jooksul rohkem kui 5000 andmesubjekti andmeid, kui töötleja töötleb delikaatseid isikuandmeid või kui töötlemine, oma olemuselt, sisaldab isikute jälgimist Eelnev konsultatsioon ja luba AKI-lt Detailsem turvameetmete kirjeldus Väga kõrged sanktsioonid: 100 mln eurot või 5% ettevõtte ülemaailmsest käibest, kumb iganes on suurem
  • 30. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / KUUMAD TEEMAD
  • 31. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / KUUMAD TEEMAD ANDMEKAITSES TÄNA Mobiilirakendused Hollandi andmekaitseinspektsiooni WhatsAppi juhtum; Jay-Z Palju juhiseid Pilvetöötlus Küpsised BYOD (Bring Your Own Device) Andmete säilitamine raskete kuritegude uurimiseks (data retention)
  • 32. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIDA TEHA JUBA TÄNA?
  • 33. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / Viia tegevus kooskõlla kehtiva IKS-iga: Registreerida delikaatsete andmete töötlemine või nimetada isikuandmete kaitse eest vastutav isik Veenduda, et andmeid ei töödelda rohkem kui vaja ning et iga töötlemise jaoks oleks olemas alus Veenduda, et oleksid paigas asjakohased lepingud volitatud töötlejatega Veenduda, et kõik isikuandmete edastamised välisriikidesse oleksid asjakohasel alusel ja asjakohaste tagatistega Veenduda, et andmete turvalisus oleks igati tagatud (nii tehnoloogiliselt kui ka organisatsiooniliselt) See eeldab arusaama oma ettevõtte isikuandmete töötlemisest (inventuur), võimalike ohtude teadvustamist ning oma töötajate koolitamist Vt ka AKI „Eneseabi küsimustik“
  • 34. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / Valmistuda tulevikuks ja Euroopa isikuandmete kaitse üldmääruseks (tuleb mingil – kehtivast IKS-st rangemal kujul – ühel hetkel niikuinii): Selgitustöö! Palju kontseptsioone, mis Eesti ettevõtetele võõrad Inventuur Protseduurid, juhised, põhimõtted, koolitused
  • 35. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / AITÄH!