Maikuu lõpus möödub juba aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud juba üle 90 trahvi. Eriti aktiivsetena paistavad silma Suurbritannia, Prantsusmaa ja Saksamaa andmekaitseasutused. Seega Eesti ettevõtted, kes oma äritegevust nendesse riikidesse suunavad, peaksid sellele tähelepanu pöörama.

Trahvimäärad ulatuvad sadadesse tuhandetesse eurodesse. Suur osa trahve on määratud andmete ebapiisava turvalisuse, ebaseadusliku otseturunduse või isikute teavitamata jätmise eest. Järgnevalt mõned näited erinevate riikide praktikast.

• Portugali haiglat trahviti 400 000 euroga kui töötajad said valekontosid kasutades loata ligipääsu patsientide andmetele.
• Austrias trahviti 4800 euroga ettevõtet avaliku ruumi filmimise eest sellest eelnevalt teavitamata.
• Saksamaa sotsiaalmeediateenust trahviti 20 000 euroga, kuna kasutajate salasõnasid hoiustati tavalises tekstivormingus. Trahv on pigem väike, kuna ettevõte andis rikkumisest andmekaitseasutusele ja klientidele koheselt teada ning oli koostööaldis.
• Prantsuse andmekaitseasutus trahvis Google’it 50 miljoni euroga. See on senimaani suurim GDPR trahv. Trahv mõisteti välja, kuna ettevõte ei suutnud anda kasutajatele piisavalt teavet oma andmete nõusolekupoliitika kohta ega andnud neile piisavalt teavet selle kohta, kuidas isikuandmeid kasutatakse.
• Norra andmekaitseasutus hoiatas väikelinna kooli 1,6 miljoni norra krooni suuruse trahviga, kuna ligipääs 35 000 õpilase ja töötaja kasutajanimedele ja salasõnadele polnud piisavalt turvaline.
• Poolas trahviti digitaalturundusega tegelevat ettevõtet Bisnode 220 000 euro suuruse trahviga, kuna inimestele ei edastatud teavet isikuandmete töötlemise kohta.
• Taanis määrati 160 000 euro suurune trahv taksofirmale, kes ei kustutanud klientide telefoninumbreid. Kuigi klientide nimed kustutati kahe aasta jooksul, siis polnud see piisav. Telefoninumber eraldiseisvalt loetakse samuti isikuandmeteks, mis tuleb vajadusel kustutada.

Arvestades, et mitmed trahvid on määratud ebapiisava turvalisuse tõttu, soovitame lisaks üldiste infoturbe standardite kohaldamisele ka isikuandmed pseudonümiseerida või krüpteerida. Seda näeb ette ka GDPR, kuid vajalik tehniline tase jääb ettevõtete määrata.

Üldiselt võetakse trahvide määramisel arvesse rikkumisest puudutatud isikute arvu, töötlemise eesmärgipärasust, rikkumisest tulenevat kahju isikutele ja rikkumise kestust. Senise praktika alusel määrab trahvide suuruse ka ettevõtte koostöövalmidus ning initsiatiiv kahju heastada.

Täiendavate küsimuste korral võtke ühendust jurist Silja Hundtiga e-maili silja.hundt@hedman.ee kaudu.