Andmekaitseuudised

GDPRiga seonduvad uudised, artiklid ja audio-postitused

Euroopa Komisjon sätestas andmetöötluslepingu tüüptingimused.

Postitatud

GDPR näeb ette võimaluse, et andmetöötleja võib volitada teise isiku töötlema isikuandmeid. GDPR artikkel 28 nõuab, et sel juhul peavad vastutav ja volitatud töötleja sõlmima lepingu, mis reguleerib nende vastastikuseid õigusi ja kohustusi, mh seoses töötlemise sisu ja kestuse, laadi, eesmärgi, isikuandmete liigi ja andmesubjektide kategooriatega, kasutatavate turvameetmetega jne. Seda lepingut nimetatakse ka andmetöötluslepinguks. GDPR… Loe lähemalt »

Max Schrems-i uus võitlus – seekord “küpsistebänneritega”.

Postitatud

Ülemaailmselt tuntud privaatsusõiguste aktivist, Austria jurist Max Schrems ja tema organisatsioon noyb (non of your business) on nüüd – pärast EL ja USA mõlema andmevahetuslahenduse “Safe Harbour” (2015) ja “Privacy Shield” (2020) edukat “uputamist” Euroopa Kohtus võtnud eesmärgiks lõpetada ka nö. “küpsisteterror” Euroopa veebilehtedel. mail 2021 saatis noyb.eu välja ligikaudu 500 kaebuste projekti eri ettevõtetele… Loe lähemalt »

Itaalia otsus nn.”vaktsineerimispassi” kohta on vastuolus GDPR nõuetega.

Postitatud

Itaalia andmekaitse järelevalveasutus Garante per la protezione dei dati personali (GPDP) leidis 22.04.2021.a tehtud otsuses, et Itaalia valitsuse otsus (Decreto legge), millega reguleeritakse isikute liikumisvabadust COVID-19 pandeemia ajal, on vastuolus GDPR artiklitega – 5, 6 (3)(b), 9, 13 , 14, 25 ja 32. Tegu on nn. “vaktsineerimispassiga“, mis võimaldab isikutel liikuda “oranži ja punase koodiga”… Loe lähemalt »

Isikuandmete saatmine USA-sse GDPR artikli 49 alusel – mida arvestada?

Postitatud

Mäletatavasti tegi Euroopa Liidu kohus 16. juulil 2020 pöördelise otsuse „Schrems II“ kohtuasjas (C-311/18), milles seisid vastakuti tuntud Austria päritolu privaatsusõiguse aktivist Maximilien Schrems ja Facebook Ireland Ltd. „Privacy Shield“ oli EL-USA andmekaitseraamistik (lisaks osales seal ka Šveits), mis pakkus ettevõtetele mõlemal pool Atlandi ookeani mehhanismi, et edastada isikuandmeid Euroopast USA-sse kooskõlas GDPR-ga. Pärast „Schrems… Loe lähemalt »

Turvaline koosolek veebis – kuidas?

Postitatud

Covid-19 ajal on veebikoosolekud kodukorteritest ja ka distantsõpe saanud osaks meie igapäevaelust. Seda ei jäta kasutamata ka nn. “pahalased” kogu maailmas. Nii on ka Eestis Kaitsepolitseiamet juhtinud tähelepanu võõrriikide eriteenistuste huvile meie riigiasutuste veebikoosolekutel räägitava vastu. USA Küberturbe ja Infrastruktuuri Agentuur (CISA) avaldas hiljuti nõuandeid selliste koosolekute  turvaliseks läbiviimiseks. Turvaline ühendus Tihti ei ole koduste… Loe lähemalt »

GDPR -s sätestatud pööratud tõendamiskohustus hagimenetluses ei kehti

Postitatud

Stuttgart’i kõrgem ringkonnakohus (Oberlandsgericht Stuttgart) asus 31.03.2021.a tehtud otsuses seisukohale, et GDPR artikli 5 lõike 2 põhimõttest, mille kohaselt vastutav töötleja peab tõendama isikuandmete töötlemise nõuete järgimist (nn. accountability ehk tõendamisvalmidus) ning artikli 82 lõikest 1 (õigus hüvitisele) ei tulene siiski nn. pööratud tõendamiskohustust, mis kohustaks vastutavat töötlejat tsiviilkohtumenetluses kostjana tõendama, et ta ei ole… Loe lähemalt »

Juht ei saa samaaegselt olla ka andmekaitsespetsialist.

Postitatud

GDPR art 4 punkti 7 kohaselt on isikuandmete vastutava töötleja määravaks tunnuseks töötlemise eesmärkide ja meetodite (vahendite) kindlaksmääramine. Ettevõttes või asutuses teevad selliseid otsuseid tavaliselt juhatuse esimees, finantsdirektor, turundusjuht, personalijuht või IT juht. Vastavalt GDPR artiklile 37 peavad vastutavad ja volitatud töötlejad määrama andmekaitsespetsialisti järgmistel juhtudel: isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud… Loe lähemalt »

Leedu riiklik registrikeskus sai andmekaitsetrahvi 15 000 eurot.

Postitatud

Leedu isikuandmete kaitse järelevalveasutus (Valstybinė duomenų apsaugos inspekcija (ADA)) määras 02.03.21 Leedu riigiettevõttele Registrite Keskus (Registrų centras) 15 000 eurot trahvi infotehnoloogiliste ja korralduslike turvameetmete ebapiisava rakendamise eest. Trahviotsuse kohaselt ei taganud Registrite Keskus infosüsteemide turvalisust, sh isikuandmete terviklust ja kättesaadavust ning ei täitnud oma kohustust taastada turvaintsidendi korral juurdepääs isikuandmetele seaduses ette nähtud aja… Loe lähemalt »

Globaalne andmeleke Verkada Inc. turvakaameratest.

Postitatud

USA ettevõte Verkada  (https://www.verkada.com/) pakub oma turvakaamerateenuseid üle maailma. Kasutades internetist hangitud juurdepääse nn. „Super Admin“ kontole ja pöördkonstrueerimist (reverese engineering) sai rahvusvaheliselt tegutsev häkkerite grupp ligipääsu Verkada klientide kümnetele tuhandetele kaameratele ja salvestustele üle maailma. Häkkerid pääsesid nt „vaatama“ Tesla, Equinoxi, Cloudflare’i siseruumidesse ning jälgisid ka naistekliinikutes, psühhoneuroloogiahaiglates ja isegi ka Verkada Inc. enda… Loe lähemalt »

Isikuandmete müüjale mõisteti vangistus ja ta pidi maksma 25 000 GBP riigituludesse.

Postitatud

Manchesteri Apellatsioonikohus (Manchester Crown Court) mõistis 8.01.2021. kaheksa (8) kuud vangistust autoabiga tegeleva ettevõtte töötajale Kim Doyle’le selle eest, et viimane edastas 4 750 õnnetusse sattunud kliendi andmed kahjunõuete sissenõudmisega tegelevale õigusettevõttele. Uurimise viis läbi UK isikuandmete kaitse järelevalveasutus Information Commissioner’s Office (ICO). Doyle mõisteti süüdi ebaseadusliku juurdepääsu hankimises oma tööandja arvutisüsteemile ning seal sisaldunud… Loe lähemalt »