Andmekaitseuudised

GDPRiga seonduvad uudised, artiklid ja audio-postitused

ChatGPT andmekaitsepeeglis

Postitatud

ChatGPT on USA ettevõtte OpenAI (https://openai.com) poolt pakutav tehisintellekti teenus, mida on võrreldud nt tööstuslikus tootmises revolutsioonilise pöörde toonud aurumasina leiutamisega James Watt’i poolt 1784.a. Itaalia andmekaitse järelevalveasutus Garante alustas ChatGPT suhtes äsja menetluse ning seadis keelu selle abil isikuandmete töötlemisele. Järelevalveasutuse menetlus keskendub järgmisele: Esiteks ei anna OpenAI vastutava (andme)töötlejana piisavalt teavet andmesubjektidele, kelle… Loe lähemalt »

GDPR nõuete rikkumine Soomes

Postitatud

Soome andmekaitse järelevalveasutus Tietosuojavaltuutetun toimisto tuvastas isikuandmetega seotud rikkumise, mis võimaldas häkkeritele ebaseadusliku juurdepääsu 165 000 isiku andmetele – vastutav töötleja oli eiranud nii andmete minimaalse säilitamise põhimõtet kui ka jätnud kasutusele võtmata asjakohased turvameetmed, mis võinuks rünnakut takistada. Häkkerid tungisid ööbimisteenuse pakkuja Forenom  (https://www.forenom.com/about/) infosüsteemidesse ning said seeläbi juurdepääsu klientide andmetele. Järelevalveasutus sekkus andmesubjektide… Loe lähemalt »

Milline peab olema korralik privaatsusteade?

Postitatud

2021.a. sügisel määras Iirimaa andmekaitse järelevalveasutus 225 miljoni euro suuruse trahvi WhatsApp Ireland Limited’le sõnumirakenduse WhatsApp privaatsusteate GDPR – i nõuetele mittevastavuse eest. Järelevalveasutus tugines Euroopa Andmekaitsenõukogu (EDPB) suunistele ning jättis tähelepanuta ettevõtte väite, et nende privaatsusteade on siiski kooskõlas (tollal) laialt levinud praktikaga. Milliseid järeldusi saab sellest trahviotsusest teha? GDPR artikkel 12 (1) sätestab,… Loe lähemalt »

Inimesel on õigus teada, kellega tema andmeid on jagatud.

Postitatud

Euroopa Liidu Kohus otsustas asjas C‑154/21 (RW versus Österreichische Post AG), et isikuandmete vastutav töötleja on kohustatud andma inimesele teada ka tema isikuandmete vastuvõtjate nimed. Tegu on EL Kohtu äsjase, 12.01.2023 antud tõlgendusega GDPR artikli 15 lõike 1 punktile c. Kõnealune säte annab andmesubjektile õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid… Loe lähemalt »

Kes võib olla andmekaitsespetsialistiks?

Postitatud

Sageli tekib küsimus, kellele panna asutuses või ettevõttes andmekaitsespetsialisti (AKS) ülesanded? EL isikuandmete kaitse üldmääruse (GDPR) artiklid 37-39 sisaldavad reegleid, millistel juhtudel AKS määrata, milline on tema ametiseisund ning ülesanded. Siiski ei määra GDPR üheselt, kas AKS peaks olema keegi töötajatest või tuleks selle ülesande täitmine osta hoopis välise teenusepakkuja käest. Organisatsioon võib palgata AKS-i… Loe lähemalt »

Tööandja puudulik infoturve tõi trahvi 5 100 000 €.

Postitatud

Ühendkuningriigi andmekaitse järelevalveasutus ICO määras 24.10.2022 töötajate andmete kaitseta jätmise eest trahvi 5,1 miljonit eurot ehitusfirmale Interserv Group Ltd., kuivõrd ettevõte jättis rakendamata  tehnilised ja organisatoorsed meetmed, mis lihtsustas küberrünnaku läbiviimist. Rikkumine sai alguse sellest, et ehitusfirma töötaja avas pahavara sisaldava õngitsuskirja. Ettevõtte poolt kasutatud viirusetõrjeprogramm tõrjus küll osa pahavara, kuid häkker pääses siiski töötaja… Loe lähemalt »

Trahv lapse isikuandmete väärkäitlemise eest – 1 200 000 €.

Postitatud

Läti andmekaitse järelevalveasutus (Datu valsts inspekcija) otsustas 9.09.2022 trahvida telekommunikatsiooniettevõtet SIA „Tet“ 1,2 miljoni euroga GDPR art. 5(1) (a); (d) ja (f) rikkumise eest. Kõnealused sätted kohustavad isikuandmete vastutavat töötlejat mh tagama, et: töötlemine on seaduslik, õiglane ja läbipaistev; isikuandmed on õiged (kontrollitud) ja ebaõiged andmed kustutatakse viivitamata; andmete töötlemisel kasutatakse asjakohaseid tehnilisi ja korralduslikke… Loe lähemalt »

Rikkumise varjamine tõi kaasa haldustrahvi.

Postitatud

Poola andmekaitse järelevalveasutus (UODO – Prezes Urzędu Ochrony Danych Osobowych) määras 3,000 eurot haldustrahvi sihtasutusele, kes ei teavitanud järelevalveasutust ega andmesubjekte isikuandmetega seotud rikkumisest. Tegu on sihtasutusega, mis tegeleb õigusabi andmise, psühholoogilise nõustamise, kuriteoohvrite ja nende perede toetamise ning avaliku võimu kandjate, riikliku meditsiinisüsteemi ja kindlustusfirmade poolt halvasti koheldud isikute õiguste kaitsega. Järelevalveasutus sai teate võimaliku GDPR-st tulenevate kohustuste… Loe lähemalt »

Isikuandmed B2B

Postitatud

EL isikuandmete kaitse üldmäärus GDPR (General Data Protection Regulation), kohaldub ainult füüsiliste isikute andmetele. Füüsilised isikud võivad olla nt kliendid, töötajad, partnerid, koolitatavad, patsiendid, mittetulundusühingu liikmed, naabrid – ehk inimesed. Isikuandmete töötlemine tähendab kõikvõimalikke tegevusi, mida isikuandmetega teha saab – näiteks nende kogumine, säilitamine, muutmine, vaatamine, kasutamine, kustutamine, jne Isikuandmed ei ole ainult nimi või… Loe lähemalt »

Raamatupidamisfirma kasutamiseks on vaja sõlmida andmetöötlusleping.

Postitatud

Poola andmekaitse järelevalveasutus (UODO – Prezes Urzędu Ochrony Danych Osobowych) määras 7.09.2022. a trahvi kultuurikeskusele, kes ei olnud sõlminud raamatupidamisfirmaga GDPR artiklis 28 nõutud andmetöötluslepingut. Mais 2020 sai järelevalveasutus Sułkowice’ Kultuurikeskuselt (vastutav töötleja) teatise isikuandmetega seotud rikkumise kohta. Rikkumine puudutas kokku 30 inimest, sh ka keskuse enda töötajaid. Järelevalveasutus avastas, et kultuurikeskus oli kaasanud raamatupidamisfirma, kuid… Loe lähemalt »