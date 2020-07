"Muidugi võib andmete liigutamisel tekkida probleeme. Saadetakse andmed valesse kohta ja ongi need juba lekkinud. Võimalusi on palju, kuidas andmed võivad lekkida, aga kõige rohkem on võimalik midagi valesti teha inimesel endal ehk inimfaktori roll on suur," sõnas Eenmaa.

Koroonapiirangute ajal tegid paljud ettevõtted endale kiiruga veebipoe, kuna füüsiline pood suleti. Kuna arendus tehti kiirustades, ei pööratud tähelepanu isikuandmete kaitsele ning mindi seadusega vastuollu. Justiitsministeerium on saatnud kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks Andmekaitse Inspektsioonil lihtsamini trahvida andmekaitseõiguse rikkumiste eest.

Uibo meenutas, et isikuandmete Kaitse Üldmäärus jõustus juba 2018. aasta mais ja sellest ajast saadik peavad kõik ettevõtted ja asutused viima oma isikuandmete töötluse üldmäärusega vastavusse. "Eestis on hetkel rikkumised sätestatud süütegudena, mida menetletakse väärteomemenetluses, mille trahvid on madalalamad kui sätestatud Isikuandmete Kaitse Üldmääruses. Nende menetlemine on ebaproportsionaalselt keeruline ja aeganõudev protseduur," sõnas ta. Nüüd jõustuva uue trahviliigi abil peaks see protsess olema oluliselt lihtsustatud. See tähendab, et tuvastatud rikkumise puhul on trahvi saamise võimalus suurem.

Koroonakriisi ajal kiiruga tehtud veebipoodi tuleks Uibo sõnul isikuandmete kaitse seisukohalt hoolikalt analüüsida. "Soovitaksin alustada kaardistusest - kirjeldada isikuandmete töötlemise toimingud, määrata neile seaduslik alus, kontrollida turvameetmeid ja teha kindlaks, kes on andmete vastuvõtjad," sõnas ta. Uibo rõhutas, et ettevõte peab omama selget ülevaadet sellest, kust andmed tulevad, kus neid töödeldakse ning kus ja kui kaua säilitatakse. Sellist dokumenti nimetatakse andmetöötlustoimingute registriks ja see annab olulise ja struktureeritud ülevaate ettevõttes toimuvate andmetöötlusprotsesside kohta. "Kui pilt on selge ja vead leitud, võib asuda parandama," märkis ta. Uibo osutas, et kui protsess tundub keeruline, võiks kaasata spetsialisti.

Veebipoodidest lekivad isikuandmed netipahalaste kätte

Uibo sõnul on Eestis veebipoodides olnud suuremaid ja väiksemaid andmelekkeid, kuid iga andmeleke on unikaalne ja seda peab analüüsima eraldi. Väga tähtis on, et ettevõtted oleksid valmis rikkumisega tegelema kohe kui nad saavad sellest teada. Uibo viitas Isikuandmete Kaitse Üldmäärusele, mille järgi peab vastutav töötleja teavitama isikuandmetega seotud rikkumisest Andmekaitse Inspektsiooni põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Isegi kui ettevõte rikkumise analüüsist ei tulene vajadust informeerida Andmekaitse Inspektsiooni, peab iga rikkumine olema dokumenteeritud ja koostatud rikkumiste register.

"Kui veebikauplust pidav ettevõte ei pööra tähelepanu isikuandmete kaitsele, on oht trahvi saada kindlasti suur. Paljud ettevõtted pöörduvad meie poole abi saamiseks ja tunnistavad, et asjad ei olegi veel korda tehtud. Selliseid on palju," sõnas ta. Tema sõnul on ainuõige samm tegeleda probleemiga, lahendada see ja jälgida oma vastavust, et vältida aasta või paari pärast suuremat ümbertegemist. Tema sõnul võib alati tulla tasuta konsultatsioonile, et aru saada, mida peaks ette võtma, et asjad korda saaks. "Siis on trahvi tõenäosus oluliselt madalam," ütles ta.

Uibo jätkas, et trahv ei ole ainuke tegur, mis peaks panema ettevõtteid väärtustama isikuandmeid. "Siin on ka klientide ja koostööpartnerite usaldus. Mõni veebipood ei pruugi peale suuremat andmeleket enam oma kliente tagasi saada ja panebki uksed kinni. Austage oma kliente," pani andmekaitse spetsialist ettevõtjatele südamele.

Justiitsministeeriumi nõunik Kertu Laadoga meenutas, et veebipoodide pidajate jaoks jõustusid olulised muudatused 2018. aastal, mil jõustus EL andmekaitse üldmäärus. Selle rikkumise eest kehtestati väärteokaristused, mis hakkasid kehtima 2019. aasta alguses isikuandmete kaitse seaduse jõustumisel. "Seega tuleb veebipoe pidamisel tagada, et isikuandmed sealt ei lekiks, juba praegu," märkis ta.

Hetkel töös oleva haldustrahvimenetluse seaduse eelnõu alusel muutuks juriidilisele isikule trahvi määramine tänasega võrreldes tulevikus mõnevõrra lihtsamaks. "Siiski ei tehta trahvi kergekäeliselt pelgalt rikkumise korral, vaid juhul, kui see on karistamist väärt - kui võib aimata, et rikkumine kordub või ei esine kergendavaid asjaolusid," ütles Laadoga.

Andmed lekivad inimese eksimuse tõttu

Veebihai tegevjuht Indrek Eenmaa ütles, et enamus andmeid on juba veebimajutuse teenuse pakkuja poolt krüpteeritud ja suhteliselt kaitstud. "Muidugi võib andmete liigutamisel tekkida probleeme. Saadetakse andmed valesse kohta ja ongi need juba lekkinud. Võimalusi on palju, kuidas andmed võivad lekkida, aga kõige rohkem on võimalik midagi valesti teha inimesel endal ehk inimfaktori roll on suur," sõnas Eenmaa.

Tema sõnul on põhiküsimus selles, miks neid andmeid vaja on? "Isegi Apple, maailma kõige väärtuslikum firma, ei ole suutnud andmeid 100 protsenti kaitstuna hoida, seda vähem suudab seda väikekaupmees. Küsimus on alati, miks neid andmeid vaja on? Kui seda tahab keegi, kellel neid andmeid väga vaja on ja leiab selleks ressurssi, siis saab andmed ka NSA või NASA serverist kätte. Isegi Valge maja arvutitesse on sisse saadud," ütles ta.

Eenmaa ütles, et alati saab trahvi vältimiseks tingimustesse sisse kirjutada klausli, mis kehtib justkui "force majore" punkt lepingutes, et kõike ei saa välistada. "Andmed ei saa kunagi olla tegelikult 100 protsenti kaitstud," sõnas ta.