GDPR amps! Privaatsusteated

Räägime privaatsusteadetest, st kuidas antud dokument võib viidata puudustele nõuete täitmisel. Dokumenti tuntakse ka kui “Andmekaitsetingimused”, “Isikuandmete töötlemise põhimõtted”, “Privaatsuspoliitika”.

Kui ettevõte töötleb inimese isikuandmeid, on inimesel õigus teada, kuidas ja mis eesmärgil teenusepakkuja, e-pood vm tema isikuandmeid kogub ja kaua säilitab. Või kui ettevõte värbab uut töötajat, tuleks kandidaadile sellekohane info avaldada juba enne CV saatmist. Vastav info tuuaksegi välja privaatsusteadetes ning dokument peab olema inimesele kättesaadav, milleks enamasti kasutatakse just ettevõtte kodulehte. Tasub meeles pidada, et ka ettevõtte töötajal on samad õigused, kuid sellisel juhul tuleks anda töötajale dokument tutvumiseks enne töölepingu sõlmimist.

Kontrollküsimus! Kui Sa ise oleksid enda ettevõtte klient, kas Sa saaksid aru, kuidas andmeid tegelikult töödeldakse?

Mõned märgid privaatsusteadetes, et minu ettevõte ei pruugi täita andmekaitsenõudeid:

• Dokumenti pole olemas või see pole inimesele kättesaadav.
• Info on raskesti loetav, mööda dokumenti laiali ja puudulik. Midagi on, aga kõike pole, nt sisaldades loeteludes sõnu “jne”, “vms”, “näiteks”.
• Isikuandmeid säilitatakse lõpmatuseni või kuni inimene soovib ise kustutamist. Tähtajatu säilitamine on keelatud!

Tee kiire ja lihtne audit ja kontrolli oma läbipaistvust:

• Dokument ise on puudu ehk kodulehel avaldamata (kas on avaldatud mujal?)
• Dokumendis esinevad puudused ehk puudub info, mida seadus nõuab:
  • Vastutava töötleja kontaktandmed puudu. Nt võib kohata olukordi, kus suurkorporatsioonidel on toodud juriidilise nime asemel lihtsalt brändi nimi ja on raske aru saada, kes siis tegelikult ja mis riigis minu andmeid töötleb.
  • Õiguslikud alused puudulikud. Iga ettevõttes tehtav äritegevus, kus töödeldakse isikuandmeid, saab toimuda vaid konkreetsel ja korrektsel seaduslikul alusel.
    Näide: Häälsalvestusega valvekaamerate kasutamine on üldjuhul keelatud ja seaduslikku alust ei ole ehk tegevuse põhjendamine keeruline.
  • Kõiki isikuandmete liike pole välja toodud ehk loetelud pole lõplikud, sisaldades sõnu nagu “nt/näiteks”, “jne”, “jms”, “vms”.
    Näide: “töödeldakse isikuandmete liike nt nagu nimi, isikukood jne”
  • Allikad ehk kust on isikuandmed saadud, kas inimeselt ehk andmesubjektilt endalt, mõnest süsteemist, koostööpartnerilt või avalikust allikast. Kui allikaks on andmesubjekt ise, kas on olemas ka info “andmete esitamise alus” (nt annab vabatahtlikult) ja “esitamata jätmise tagajärg” (nt kui oma andmeid ei anna, siis teenust ei saa) kohta.
  • Profiilianalüüs ja/või automaatsed otsused. Levinud võtted nt värbamisel või laenuotsuse tegemisel. Seadus nõuab, et isegi kui seda ei tehta, siis ka see on info, mis tuleb avaldada.
  • Koostööpartnerid, sh andmete edastamine kolmandates riikides asuvatele partneritele.
  • Säilitamistähtajad puudu või on see tähtajatu/nii kaua kui eesmärkide saavutamiseks vaja —> seaduse järgi on keelatud tähtajatu säilitamine.
    Näide: “Me hoiame kasutaja andmeid lõpmatuseni või kuni klient soovib andmete kustutamist.”
• Üleüldiselt raskesti loetav dokument, st ei suuda kokku viia tegevust, eesmärki, õiguslikku alust, mis liigid ja kaua säilitatakse.
• Puudub dokumendi uuendamise kuupäev või pole aastaid uuendatud —> vihje, kas andmekaitsega tegeletakse ettevõttes sisuliselt ja regulaarselt