5. märts 2014

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Raamatupidajad ja finantsjuhid puutuvad päevast-päeva kokku delikaatsete isiku- ja finantsandmetega, riskeerides nende töötlemisnõuete rikkumisega. Kübermaailmas varitseb aga järjest enam ohtusid ning isikuandmete kaitsmisel tuleb tunda seadusi ja teha teadlikke ponnistusi. Eelmisel nädalal kirjutasime sellest, millised seadused reguleerivad andmete kaitsmist ja millised on ohud. Sel nädalal selgitavad Justiitsministeeriumi Õiguspoliitika osakonna Avaliku õiguse talituse nõunik Merili Oja ning Justiitsküsimuste nõunik EV alalises esinduses EL juures Julia Antonova meile vastutust ja karistusi, mis andmekaitseseaduse rikkumine võib kaasa tuua.

Milline on vastutus isikuandmete töötlemisnõuete rikkumise eest?

Isikuandmete töötlemisnõuete rikkumise tuvastamisel on võimalik Andmekaitse Inspektsioonil algatada haldusmenetlus ning selle raames kohustada töötlejat isikuandmete töötlemine seadusega kooskõlla viia, tehes vastavale töötlejale ettekirjutuse. Juhul kui ettekirjutust ei täideta, siis on võimalik täiendavalt määrata ka sunniraha, mille ülemmäär on 9600€.

Lisaks haldusmenetlusele on võimalik teatavate rikkumiste eest määrata ka trahve või isegi karistada vangistusega. Esiteks saab füüsilisest isikust töötlejale väärteomenetluses määrata kuni 1200€ ning juriidilisest isikust töötlejale kuni 32 000€ trahvi siis, kui vastav isik rikub ühte järgnevatest nõuetest: delikaatsete isikuandmete töötlemise registreerimiskohustust, isikuandmete kaitse turvameetmeid või isikuandmete töötlemise muid nõudeid.

Samuti on teatud eriti rasked rikkumised kvalifitseeritavad kuritegudeks, mille tuvastamisel võidakse karistada isegi vangistusega. Näiteks on võimalik määrata rahaline karistus või kuni üheaastase vangistus isikule, kes ebaseaduslikult avalikustab delikaatseid isikuandmeid, võimaldab neile juurdepääsu või edastab neid juhul kui see teostati omakasu eesmärgil või sellega tekitati oluline kahju teise isiku seadusega kaitstud õigustele või huvidele. Samuti on rahalise karistuse või kuni kolmeaastase vangistusega karistatav teise isiku identiteedi ebaseaduslik kasutamine, s.t kui edastatakse teise isiku isikuandmeid tema nõusolekuta, võimaldatakse neile juurdepääsu või kasutatakse neid, eesmärgiga varjata kuritegu või luua teise isikuna esinemise teel temast teadvalt ebaõige ettekujutus ja tekitatakse kahju teise isiku seadusega kaitstud õigustele või huvidele.

Rääkige raamatupidaja vastutusest isikuandmete kaitsmisel. Millega ja kelle ees vastutatakse?

Nagu juba varem öeldud, jaguneb vastutus isikuandmete töötlemisnõuete rikkumise eest kolmeks: haldus-, väärteo- ja kriminaalvastutus. Raamatupidaja kui ettevõtte töötaja puhul on tööandjal muidugi võimalik kohaldada ka töölepingu seadusest tulenevat vastutust lepinguliste kohustuste rikkumise eest. Isikuandmete töötlejad jagunevad kaheks - vastutavad ja volitatud töötlejad.

Ettevõte ise on üldjuhul vastutav töötleja ning just temal lasub kohustus tagada, et volitatud töötleja täidab isikuandmete töötlemise nõudeid, ning selle eest vastavalt ka vastutada. Volitatud töötleja töötleb andmeid vastutava töötleja määratud piirides ja kehtestatud nõuetest lähtuvalt. Vastutava töötleja ehk ettevõtte töötajad siiski ei ole volitatud töötlejad ning vastutava töötleja kohta käivaid reegleid kohaldatakse ettevõttele kui tervikule. Küll aga oleks raamatupidaja näiteks volitatud töötleja juhul, kui tema teenust ostetakse mistahes muu lepinguga sisse ning tegemist on eraldiseisva teenusepakkujaga.

Peamine vastutus isikuandmete töötlemisnõuete rikkumise eest on selle isiku ees, kelle andmeid töödeldakse (andmesubjekt). Andmesubjektil on võimalik esitada tema andmete väärtöötlemise korral kaebus andmekaitseinspektsioonile ning teatud juhtudel ka politseile. Samuti on andmesubjektil võimalus taotleda kahju hüvitamist.

Nagu mainitud, lasub vastutus üldjuhul vastutaval töötlejal ehk ettevõttel. Samas ei ole välistatud ka töötaja vastutus, kui töötaja on rikkunud enda töölepingust tulenevaid kohustusi. Selliseks kohustuseks võib näiteks olla kohustus lähtuda tööandja juhistest ja siinkohal on juhiseks ka näiteks tööandja kehtestatud reeglid isikuandmete töötlemise kohta.

Kuidas selgitatakse välja süülisus – kas esmalt jääb süüdi ettevõte, kes võib siis omakorda raamatupidajalt kahjude hüvitamist nõuda?

Eraisiku ees vastutab ning ka kahju hüvitab alati vastutav töötleja ehk ettevõte. Haldussundi või väärteokaristust kohaldab andmekaitseinspektsioon üldreeglina ettevõtte suhtes, sest just ettevõtja kui vastutav töötleja peaks tagama andmete töötlemise nõuetest ja seadusest kinnipidamise. Haldussund ei ole oma olemuselt karistus, vaid haldusjärelevalve meede, millega juhitakse puudujääkidele tähelepanu ning antakse võimalus need parandada.

Väärteokaristuse puhul lähtutakse väärteomenetluse seadustikus ettenähtud menetluskorrast ning süü määramisel on aluseks karistusseadustiku üldosas sätestatu. Näiteks on oluline, et erinevalt kuriteost ei ole väärteo puhul oluline tahtlus - väärteona on karistatav nii tahtlik kui ettevaatamatu tegu. Samas on neid asjaolusid muidugi võimalik arvesse võtta karistuse määramisel. Seadusandja poolt on ette antud karistuse piirid ning konkreetne karistus jääb väärteomenetleja otsustada, arvestades konkreetse juhtumi asjaolusid.

Ettevõte saab töötajalt kahju hüvitamist nõuda üksnes töölepingu seaduses ettenähtud korras ja ulatuses, töötajat ei ole võimalik näiteks panna vastutama selle eest, et ettevõte ise kehtestas puudulikud isikuandmete töötlemise reeglid ning andmekaitseinspektsioon selle eest trahvi tegi.

Mida andmete elektroonilisel töötlemisel ja edastamisel tuleb kindlasti silmas pidada?

Isikuandmete kaitse aspektist tuleb andmete elektroonilisel töötlemisel ja edastamisel tähelepanu pöörata edastamise ja töötlemise viisidele ning isikuandmeid töötleva, s.h vastuvõtva isiku usaldusväärsusele. Nimelt tuleb isikuandmete töötlemisel tagada turvalisus ning vältida tahtmatut või volitamata töötlemist, avalikuks tulekut või hävimist. Selleks on vaja rakendada piisavaid turvameetmeid (nt krüpteerimist, isikulist üleandmist vms). Samuti tuleb isikuandmete edastamisel olla täielikult kindel, et edastamine toimub sellisele isikule, kellel on reaalselt õigus andmeid töödelda.

Autor: Tiive Murdoja, Tuuli Seinberg