Andmetöötlejate suur koormus

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

GDPR keskendub sidusrühmade vastutusele. Erinevalt 1995. aasta direktiivist (esimene suurem Euroopa andmekaitsealane tekst) ei nõua see eelnevat luba ega deklareerimist. See on selle loojate poolt nutikas käik: eelneva kontrolli puudumine aitab muuta uute eeskirjade järgimiseks vajalikud jõupingutused vastuvõetavaks.

Nagu oleme näinud, määrab isikuandmete kaitse üldmäärus igas struktuuris kindlaks „andmetöötleja“, kes peab vastutama nõutava vastavuse tagamise ja seejärel andmetöötluse nõuetekohase toimimise eest. Selle vastutava töötleja ülesanded on koormavad: nad peavad mitte ainult rakendama asjakohaseid meetmeid, vaid ka suutma „tõendada“, et töötlemine toimub vastavalt määrusele (artikkel 24-1). See ei ole kohustus, kuid viide järelevalveasutuste toetatavale käitumisjuhendile (artikkel 40) või sertifitseerimisele (artikkel 42) võib nõutavat tõendamist hõlbustada.

Vastutava töötleja juhtpõhimõte on lihtne: kasutada isikuandmeid nii vähe kui võimalik. Artikkel 25 soovitab seega juba eespool mainitud „pseudonüümimist“ ja „minimeerimist“. See lisab vaikimisi andmekaitse põhimõtte: „Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks, et vaikimisi töödeldakse ainult neid isikuandmeid, mis on vajalikud iga konkreetse töötlemise eesmärgi saavutamiseks“ (art 25-2). Erinevalt praegustest tavadest, kus „võetakse“ kõik, kui ei ole sõnaselgelt teisiti sätestatud, tuleb nüüd kasutada ainult seda, mis on rangelt vajalik nimetatud eesmärgi saavutamiseks. Vaikimisi kaitse näib töötlemise ajal teatud mõttes täiendavat andmete minimeerimist kogumise ajal.

Kaks spetsialisti võivad töötlemise eest ühiselt vastutada; sellisel juhul on kummagi roll täpselt määratletud ja andmesubjekti teavitatud (artikkel 26). Kui andmetöötleja(d) ei ole asutatud Euroopa Liidus, määravad nad ühes liikmesriigis asutatud esindaja, kellel on volitused olla andmesubjekti ja järelevalveasutuste kontaktisikuks (artikkel 27). Alltöövõtja teenuste kasutamine on võimalik, tingimusel et viimane esitab piisavad tagatised, et töötlemine toimub kooskõlas isikuandmete kaitse üldmäärusega (artikkel 28-1).

Töötlemistoimingute registri pidamine on kohustuslik (artikkel 30). See peab sisaldama vastutava töötleja kontaktandmeid, töötlemise eesmärke, isikute, andmete ja vastuvõtjate kategooriaid, edastamist kolmandasse riiki, kustutamise tähtaegu ja turvameetmete üldist kirjeldust. See register tuleb järelevalveasutusele taotluse korral kättesaadavaks teha. See ei ole kohustuslik ettevõtetele või organisatsioonidele, kus on vähem kui 250 töötajat, "välja arvatud juhul, kui nende teostatav töötlemine võib kujutada endast ohtu andmesubjektide õigustele ja vabadustele või kui see ei ole juhuslik..." (artikkel 30-5). Seetõttu olge ettevaatlikud: ettevõtte suurus üksi ei ole registrist vabastamise piisav kriteerium. Kui töötlete andmeid sageli või kui teie tegevust saab mingil moel seostada "üksikisikute õiguste ja vabadustega", olete kohustatud pidama teostatud tegevuste registrit.

Määrus ei ole tehniline käsiraamat. Töötlemise turvalisusele pühendatud artikkel 32 tuletab siiski meelde mõningaid põhialuseid: pseudonümiseerimine ja krüpteerimine, konfidentsiaalsuse ja terviklikkuse tagamise vahendid, andmete kättesaadavuse ja neile juurdepääsu taastamine intsidendi korral. Teksti koostajad ei jäta tähelepanuta häkkimise ohtu: „Sobiva turvalisuse taseme hindamisel tuleb eriti arvesse võtta töötlemisega kaasnevaid riske, mis tulenevad eelkõige edastatud, salvestatud või muul viisil töödeldud isikuandmete juhuslikust või ebaseaduslikust hävitamisest, kadumisest, muutmisest, loata avalikustamisest või loata juurdepääsust sellistele andmetele“ (artikkel 32-2). Teisisõnu, töötlemissüsteemi peetakse nõuetele vastavaks ainult siis, kui see pakub vajalikke, vähemalt maksimaalseid tagatisi andmekaitse ja turvalisuse osas. Mäletame pahameelt, mille põhjustas Põhja-Ameerika abielupaaride tutvumissaidi liikmesandmebaasi häkkimine, kui internetti avaldati kümneid tuhandeid konfidentsiaalseid profiile.

Kui hoolimata võetud ettevaatusabinõudest avastatakse isikuandmetega seotud rikkumine, peab vastutav töötleja järelevalveasutust 72 tunni jooksul teavitama, „välja arvatud juhul, kui kõnealune rikkumine tõenäoliselt ei kujuta endast ohtu füüsiliste isikute õigustele ja vabadustele” (art 33-1). See erand annab teatava manööverdamisvabaduse, isegi kui kogu tekst viitab sellele, et seda ei tohiks probleemi varjamiseks kuritarvitada. Aruandes tuleb märkida rikkumise laad, ligikaudne asjaomaste isikute arv, rikkumise tõenäolised tagajärjed ning probleemi lahendamiseks või selle tagajärgede piiramiseks võetud või kavandatud meetmed.

Andmetöötleja peab rikkumisest ohvrit võimalikult kiiresti teavitama (artikkel 34). See teavitamine ei ole vajalik, kui varastatud andmed on „arusaamatud“, näiteks krüpteerimise tõttu, või kui võetud meetmed tähendavad, et andmesubjekti õigustele ja vabadustele ei ole ohtu, või kui selline teavitamine „nõuaks ebaproportsionaalselt suuri pingutusi. Sellistel juhtudel tuleb selle asemel teha avalik teavitamine või sarnane meede, mis võimaldab andmesubjekte sama tõhusalt teavitada“ (artikli 34 lõike 3 punkt c). See lõik on suunatud massihäkkimisele ja vabastab andmetöötlejad kohustusest saata igale oma toimikus olevale isikule isikupärastatud e-kiri.

Lõpetuseks selgitagem, et GDPR-i vaim on ühemõtteline: tütarettevõtetega korraldatud ettevõttes on viimaste kohustused samad, mis emaettevõttel.