capital-cash-cent-210679

Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Maikuu lõpus möödus aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud juba üle 90 trahvi. 

Eriti aktiivsetena paistavad silma Rumeenia, Suurbritannia, Prantsusmaa ja Saksamaa andmekaitseasutused. Seega Eesti ettevõtted, kes oma äritegevust nendesse riikidesse suunavad, peaksid sellele tähelepanu pöörama.

Trahvimäärad mõnes tuhandest kümnete miljoniteni 

Viimase aastaga on tehtud üle 90 trahvi, väljastatud trahvimäärad ulatuvad sadadesse tuhandetesse eurodesse. Suur osa trahve on määratud andmete ebapiisava turvalisuse, ebaseadusliku otseturunduse või isikute teavitamata jätmise eest

Järgnevalt mõned näited erinevate riikide praktikast.

  • Portugali haiglat trahviti 400 000 euroga, kui töötajad said valekontosid kasutades loata ligipääsu patsientide andmetele.
  • Austrias trahviti 4800 euroga ettevõtet avaliku ruumi filmimise eest, sellest inimesi eelnevalt teavitamata.
  • Saksamaa sotsiaalmeediateenust osutavat ettevõtet trahviti 20 000 euroga, kuna kasutajate salasõnasid hoiustati tavalises tekstivormingus. Trahv on pigem väike, kuna ettevõte andis rikkumisest andmekaitseasutusele ja klientidele koheselt teada ning oli koostööaldis.
  • Prantsuse andmekaitseasutus trahvis Google’it 50 miljoni euroga. See on senimaani suurim GDPR trahv. Trahv mõisteti välja, kuna ettevõte ei suutnud anda kasutajatele piisavalt teavet oma andmete nõusolekupoliitika kohta ega andnud neile piisavalt teavet selle kohta, kuidas isikuandmeid kasutatakse.
  • Norra andmekaitseasutus hoiatas väikelinna kooli 1,6 miljoni norra krooni suuruse trahviga, kuna ligipääs 35 000 õpilase ja töötaja kasutajanimedele ja salasõnadele polnud piisavalt turvaline.
  • Poolas trahviti digitaalturundusega tegelevat ettevõtet Bisnode 220 000 euro suuruse trahviga, kuna inimestele ei edastatud teavet isikuandmete töötlemise kohta.
  • Taanis määrati 160 000 euro suurune trahv taksofirmale, kes ei kustutanud klientide telefoninumbreid. Kuigi klientide nimed kustutati kahe aasta jooksul, polnud see piisav. Telefoninumber eraldiseisvalt loetakse samuti isikuandmeteks, mis tuleb vajadusel kustutada.

Arvestades, et mitmed trahvid on määratud ebapiisava turvalisuse tõttu, soovitame lisaks üldiste infoturbe standardite kohaldamisele ka isikuandmed pseudonümiseerida või krüpteerida. Seda näeb ette ka GDPR, kuid vajalik tehniline tase jääb ettevõtete määrata.

Üldiselt võetakse trahvide määramisel arvesse rikkumisest puudutatud isikute arvu, töötlemise eesmärgipärasust, rikkumisest tulenevat kahju isikutele ja rikkumise kestust. Senise praktika alusel määrab trahvide suuruse ka ettevõtte koostöövalmidus ning initsiatiiv kahju heastada.

Originaalallikas: https://raha.geenius.ee/blogi/ari-ja-oigus/esimesed-gdpr-trahvid-on-siin-miljonid-eurod-ebapiisava-selgituse-eest/

Korraldage oma vastavus asjakohaste GDPR-i tööriistadega.
Registreeru demole ja 14-päevasele prooviversioonile juurdepääsu saamiseks.

Säästa aega ja ole kindel tulemuses

Latest Posts
Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks? Euroopa Komisjon jõudis järeldusele, et Ameerika Ühendriigid...
Isikuandmete töötlemisülevaade

Isikuandmete töötlemisülevaade

Mis on isikuandmete töötlemisülevaade? Isikuandmete kaitse üldmääruse (GDPR) artikkel 30 nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate (andmetöötlustoimingute registri),...
Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks finants-, konkurentsi- ja andmekaitseõiguse rikkumistele edaspidi tõhusamalt reageerida. Kontseptsiooniga kavandatakse Eesti õiguskorda uus...
Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Maikuu lõpus möödus aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud...
Millal võib riik koguda isikuandmeid?

Millal võib riik koguda isikuandmeid?

Riik võib isikuandmeid töödelda vaid seadusega ette nähtud piirides. Isikuandmete töötlemine võib olla mõnes õigusaktis otse reguleeritud või tuletatud sellise...
GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

Võib öelda, et uue isikuandmete kaitse üldmäärusega (IKÜM) kaasnenud paradigma muutusega algas uus ajastu andmekaitse ja privaatsuse mõtestamisel digitaalmaailmas. Selge on see,...
DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

9. mail 2019 tutvustati andmekaitsespetsialistidele ja IT-juhtidele tarkvaralahendusi, mida saab kasutada GDPR nõuete täitmiseks. TAMO koolitusmoodul – SAAS lahendus ettevõtete...
Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Vastavalt Isikuandmete kaitse üldmäärusele (GDPR) ja Isukuandmete Kaitse Seadusele tuleb Andmekaitseinspektsiooni (AKI) viivitamatult teavitada isikuandmetega seotud rikkumisest. Aga mida ja kuidas...
IP-aadressi anonümiseerimine Google Analytics-is

IP-aadressi anonümiseerimine Google Analytics-is

Paljud ettevõtted kasutavad Google Analytics-it abivahendina kogumaks väärtuslikku teavet klientide käitumise kohta oma veebisaitidel või mobiilirakendustes. Vaikimisi kasutab Analytics veebisaidi...
Isikuandmete edastamine kolmandatesse riikidesse

Isikuandmete edastamine kolmandatesse riikidesse

Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation - GDPR) on kehtestanud ranged reeglid andmete edastamisel kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse....