Andmekaitseuudised

GDPRiga seonduvad uudised, artiklid ja audio-postitused

Meiliaadresside nõusolekuta jagamine rikub isikute privaatsust.

Postitatud

Ülevaade kahest sarnasest rikkumisjuhtumist Austrias ja Belgias. I Üürnik esitas kaebuse Austria isikuandmete kaitse järelevalveasutusele (Österreichische Datenschutzbehörde) selle kohta, et kinnisvarahaldur avaldas tema andmed üürileandjale ilma tema nõusoleku või muu GDPR-s sätestatud õigusliku aluseta. Probleem algas sellest, kui üürnik saatis kinnisvarahaldurile küsimuse oma eluruumis asuva mööbli kohta. Kinnisvarahaldur võttis ühendust üürileandjaga ja saatis talle edasi… Loe lähemalt »

Lätis tõi töötaja diagnoosi kolleegidele avaldamine kaasa trahvi.

Postitatud

Läti isikuandmete kaitse järelevalveasutus „Datu Valsts Inspekcija“ määras tööandjale 6 250 eurot trahvi töötaja terviseandmete ebaseadusliku avaldamise eest. Järelevalveasutusele laekus kaebus selle kohta, et tööandja informeeris töötaja tervislikust seisundist tema kolleege e-kirjaga, mis sisaldas selle töötaja ees- ja perekonnanime ning terviseseisundit, täpsemalt nakkushaiguse diagnoosi. Juhtumit uurides jõudis järelevalveasutus järeldusele, et tööandja rikkus selliselt toimides isikuandmete… Loe lähemalt »

Rikkumised terviseandmete töötlemisel tõid kaasa trahvid 30 miljonit SEK.

Postitatud

Rootsi andmekaitse järelevalveasutus Datainspektionen auditeeris äsja 8 tervishoiuteenuse pakkujat, et selgitada välja, kuidas on määratud juurdepääsuõigused patsientide digitaalsetele terviseandmetele. Seitsmel juhul kaheksast määrati ka haldustrahvid, kokku 30 miljonit rootsi krooni. Järelevalveasutuse audit keskendus küsimusele – kas tervishoiuteenuste pakkujad on koostanud juurdepääsuvajaduste ja riskide analüüsi ning teinud terviseandmetele juurdepääsuõiguste andmise otsused sellele analüüsile tuginedes. Tervishoiuteenuste pakkujad… Loe lähemalt »

GDPR nõuete rikkumine tõi kaasa hiigeltrahvi

Postitatud

Prantsusmaa andmekaitse järelevalveasutus Commission Nationale de l’Informatique et des Libertés  (CNIL) trahvis kaubandusketti Carrefour  2 350 000 euro ja Carrefour Banque’ (Carrefour’i keti pank) 800 000 euro suuruse trahviga. Menetlus sai alguse klientide kaebustest ning selle käigus leiti väga erinevaid puudujääke: Teavitamiskohustuse rikkumine (GDPR artikkel 13) Veebilehtedel carrefour.fr ja carrefour-banque.fr avaldatud teave kasutajatele ning kliendiprogrammiga Pass card liituda soovijatele… Loe lähemalt »

Euroopa Andmekaitsenõukogu (EDBP) nõuanded andmeedastuseks „Schrems II“ kohtuotsuse järgses maailmas

Postitatud

novembril 2020 avalikustas Euroopa Andmekaitsenõukogu kaks olulist dokumenti seoses EL- st väljapoole liikuvate isikuandmetega: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf ja Recommendations 02/2020 on the European Essential Guarantees for surveillance measures Adopted on 10 November 2020 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf Need dokumendid selgitavad,… Loe lähemalt »

Nõusolekuta pulmapilt ettevõtte reklaamis tõi kaasa trahvi.

Postitatud

Hispaania ettevõte CALLESGARCIA S.C kasutas oma reklaamikampaania jaoks pruutpaari fotot, kuid pildil olnute nõusolekut selleks ei küsinud. Pruutpaar pöördus oma õiguste tagamiseks andmekaitse järelevalveasutuse poole, kes tegi ettevõttele selle eest 4 000 EUR trahvi. https://www.aepd.es/es/documento/ps-00028-2020.pdf Hispaania isikuandmete kaitse järelevalveasutus tugines olukorra hindamisel GDPR artiklile 6 ja siseriiklikele regulatsioonidele. Antud juhtumile kohaldub  järelevalveasutuse hinnangul GDPR artikli 6… Loe lähemalt »

Enneolematu küberrünne Soome psühhoteraapiakeskuse vastu ja sellele järgnenud väljapressimised

Postitatud

Eelmisel kolmapäeval, 21.oktoobril teatas Soome psühhoteraapiakeskus Vastaamo suurest andmelekkest. Küberkurjategijate kätte olid sattunud patsientide nimed, aadressid, sotsiaalkindlustuse koodid, diagnoosid, teraapiasessioonidel räägitu ja muud kõikvõimalikku tundlikku infot, mida patsient teraapiasessioonide vältel ainult oma terapeudile usaldab. Vastaamo jättes algses pressiteates täpsustamata, millises mahus andmeid lekkinud olid ja millal nende infosüsteemidesse sissemurdmine toimus. Teatati vaid, et pärast novembrit… Loe lähemalt »

Mis on andmekaitse mõjuhinnang ja kuidas seda teha?

Postitatud

Andmekaitse mõjuhinnangu (Data Protection Impact Assessment, DPIA) kohustuse sätestab GDPR artikkel 35, mis ütleb, et kui andmetöötluse tulemusel võib tõenäoliselt tekkida suur oht isikute õigustele ja vabadustele, siis peab andmetöötleja eelnevalt hindama oma sellise tegevuse mõju. Ohu suuruse hindamiseks tuleb arvesse võtta isikuandmete töötlemise ulatust, konteksti ja eesmärke. Artikkel 35 kohaselt peab andmetöötleja seejuures konsulteerima… Loe lähemalt »

Andmete kogumine töötajate eraelu kohta läks H&M-le maksma 35 miljonit eurot

Postitatud

Hamburgi (Saksamaa) andmekaitse järelevalveasutus HmbBfDI määras 35 258 707,95 suuruse trahvi tuntud rõivafirmale H&M, täpsema nimetusega Hennes & Mauritz Online Shop A.B. & Co KG. Ettevõte oli alates 2014 aastast ebaseaduslikult kogunud ja säilitanud töötajate eraelulisi andmeid. Näiteks viisid H&M meeskonnajuhid pärast töötajate töölt puudumisi läbi nn „tere-tulemast-tagasi“ – tüüpi vestlusi, mille käigus koguti mh andmeid puudunud… Loe lähemalt »

Õigustatud huvi ehk kas huvi isikuandmete töötlemiseks on alati õigustatav?

Postitatud

“Õigustatud huvi” on üks võimalikke aluseid, mis annab õiguse isikuandmeid töödelda. GDPR artikkel 6 (1) f sätestab, et isikuandmete töötlemine on seaduslik kui on täidetud tingimus, et isikuandmete töötlemine on: vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul kui sellise huvi kaaluvad üles inimese huvid või põhiõigused ja – vabadused. Siit… Loe lähemalt »