Mida teha isikuandmete rikkumise korral?

Isikuandmete kaitse on iga organisatsiooni jaoks kriitilise tähtsusega. Ometi tuleb praktikas ette olukordi, kus isikuandmetega seotud rikkumine leiab aset. Näiteks lekivad kliendiandmed, e-kiri saadetakse valele adressaadile või töötaja kaotab sülearvuti, mis sisaldab tundlikku infot.

Sellistes olukordades on oluline tegutseda kiirelt, läbimõeldult ja kooskõlas õigusaktidega. Allpool selgitame lihtsas keeles, mida teha isikuandmete rikkumise korral, millised on organisatsiooni kohustused ning mis juhtub siis, kui rikkumist ei käsitleta korrektselt.

Mis on isikuandmete rikkumine?

Isikuandmete rikkumine tähendab turvaintsidenti, mille tagajärjel isikuandmed muuhulgas:

• hävivad või lähevad kaotsi;

• satuvad volitamata isikute kätte;

• muutuvad loata kättesaadavaks;

• avaldatakse või muudetakse ebaseaduslikult.

Näited:

• kliendi andmeid sisaldav e-kiri saadetakse valele saajale;

• häkitakse ettevõtte infosüsteemi;

• töötaja kaotab dokumendid või seadme isikuandmetega;

• ligipääsuõigusi ei ole õigesti hallatud.

Mida teha kohe pärast rikkumise avastamist?

Esimene samm on rikkumise viivitamatu ohjamine:

• piira või sulge ligipääs mõjutatud süsteemidele ja kasutajakontodele;

• taasta andmed usaldusväärsetest varukoopiatest;

• kogu ja dokumenteeri teave rikkumise asjaolude kohta, sealhulgas rikkumise ulatus, mõjutatud andmed ning võimalikud andmesubjektid.

Hinda rikkumise ulatust ja riske

Organisatsioon peab hindama:

• milliseid isikuandmeid rikkumine puudutab (nt nimed, isikukoodid, tervise- või palgaandmed);

• kui palju inimesi (andmesubjekte) on mõjutatud;

• millised riskid kaasnevad andmesubjektidele (nt identiteedivargus, mainekahju).

Teavita Andmekaitse Inspektsiooni

Kui rikkumine võib kujutada ohtu füüsiliste isikute õigustele ja vabadustele, tuleb sellest teavitada Andmekaitse Inspektsiooni 72 tunni jooksul alates rikkumisest teada saamisest. Teavitamata jätmine või hilinemine on üks sagedasemaid vigu.

Teavita andmesubjekte (vajadusel)

Kui rikkumine võib kaasa tuua kõrge riski (nt tundlike andmete lekkimine), tuleb teavitada ka mõjutatud isikuid selges ja arusaadavas keeles.

Dokumenteerimiskohustus – ka siis, kui ei teavita

Isegi juhul, kui rikkumisest ei pea teavitama Andmekaitse Inspektsiooni, tuleb see sisemiselt dokumenteerida. Dokumentatsioon peab näitama:

• mis juhtus;

• miks otsustati mitte teavitada;

• milliseid meetmeid rakendati.

See on oluline hilisema järelevalve või vaidluse korral.

Mis juhtub, kui organisatsioon ei tegutse õigesti?

Kui isikuandmete rikkumist ei käsitleta nõuetekohaselt, võivad tagajärjed olla tõsised:

• haldusmenetlus ja ettekirjutused Andmekaitse Inspektsioonilt;

• rahatrahvid (GDPR-i alusel kuni 20 miljonit eurot või 4% ülemaailmsest käibest);

• kahjunõuded andmesubjektidelt;

• mainekahju, mis võib olla rahalisest trahvist valusam;

• lepingupartnerite ja klientide usalduse kaotus.

Sageli ei ole probleem mitte rikkumine ise, vaid see, et organisatsioon ei oska või ei suuda sellele õigesti reageerida.

Kuidas andmekaitseriske ennetada?

• selged andmekaitseprotseduurid ja juhendid;

• töötajate regulaarne koolitamine;

• ligipääsuõiguste korrastamine;

• andmekaitsealane riskihindamine;

• andmetöötluslepingute ja dokumentatsiooni ajakohasus.

Vajate abi? Aitame andmekaitse korda teha

Kui Teie organisatsioonis on toimunud isikuandmete rikkumine või soovite ennetada tulevasi riske, tasub kaasata kogenud andmekaitsespetsialist.

Meie õigusbüroo:

• aitab hinnata rikkumise õiguslikke tagajärgi;

• koostab või kontrollib teavitused Andmekaitse Inspektsioonile ja andmesubjektidele;

• nõustab GDPR-i küsimustes;

• aitab luua või korrastada andmekaitsesüsteemi tervikuna.

Võtke meiega ühendust, et teha oma organisatsiooni andmekaitse läbipaistvaks, vastavaks ja kindlaks enne kui probleemid muutuvad kulukaks.