Rubriik: GDPR

Helsingi Ringkonnakohus mõistis määras psühhoteraapia keskuse Vastaamo endise juhi  Ville Tapio süüdi isikuandmete kaitse kohustuste rikkumises ning määras talle 3 kuulise tingimisi vanglakaristuse. Rikkumiseks luges kohus  isikuandmete kaitsmiseks vajalike turvameetmete (pseudonüümimine ja krüpteerimine) rakendamata jätmist. Ebapiisavate turvameetmete tõttu õnnestus häkkeritel varastada keskusest tuhandete patsientide isikuandmed. Vastaamo pakkus psühhoteraapiat enam kui 30 000 tuhandele patsiendile, muuhulgas… Loe lähemalt »

ChatGPT on USA ettevõtte OpenAI (https://openai.com) poolt pakutav tehisintellekti teenus, mida on võrreldud nt tööstuslikus tootmises revolutsioonilise pöörde toonud aurumasina leiutamisega James Watt’i poolt 1784.a. Itaalia andmekaitse järelevalveasutus Garante alustas ChatGPT suhtes äsja menetluse ning seadis keelu selle abil isikuandmete töötlemisele. Järelevalveasutuse menetlus keskendub järgmisele: Esiteks ei anna OpenAI vastutava (andme)töötlejana piisavalt teavet andmesubjektidele, kelle… Loe lähemalt »

Soome andmekaitse järelevalveasutus Tietosuojavaltuutetun toimisto tuvastas isikuandmetega seotud rikkumise, mis võimaldas häkkeritele ebaseadusliku juurdepääsu 165 000 isiku andmetele – vastutav töötleja oli eiranud nii andmete minimaalse säilitamise põhimõtet kui ka jätnud kasutusele võtmata asjakohased turvameetmed, mis võinuks rünnakut takistada. Häkkerid tungisid ööbimisteenuse pakkuja Forenom  (https://www.forenom.com/about/) infosüsteemidesse ning said seeläbi juurdepääsu klientide andmetele. Järelevalveasutus sekkus andmesubjektide… Loe lähemalt »

2021.a. sügisel määras Iirimaa andmekaitse järelevalveasutus 225 miljoni euro suuruse trahvi WhatsApp Ireland Limited’le sõnumirakenduse WhatsApp privaatsusteate GDPR – i nõuetele mittevastavuse eest. Järelevalveasutus tugines Euroopa Andmekaitsenõukogu (EDPB) suunistele ning jättis tähelepanuta ettevõtte väite, et nende privaatsusteade on siiski kooskõlas (tollal) laialt levinud praktikaga. Milliseid järeldusi saab sellest trahviotsusest teha? GDPR artikkel 12 (1) sätestab,… Loe lähemalt »

Euroopa Liidu Kohus otsustas asjas C‑154/21 (RW versus Österreichische Post AG), et isikuandmete vastutav töötleja on kohustatud andma inimesele teada ka tema isikuandmete vastuvõtjate nimed. Tegu on EL Kohtu äsjase, 12.01.2023 antud tõlgendusega GDPR artikli 15 lõike 1 punktile c. Kõnealune säte annab andmesubjektile õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid… Loe lähemalt »

Sageli tekib küsimus, kellele panna asutuses või ettevõttes andmekaitsespetsialisti (AKS) ülesanded? EL isikuandmete kaitse üldmääruse (GDPR) artiklid 37-39 sisaldavad reegleid, millistel juhtudel AKS määrata, milline on tema ametiseisund ning ülesanded. Siiski ei määra GDPR üheselt, kas AKS peaks olema keegi töötajatest või tuleks selle ülesande täitmine osta hoopis välise teenusepakkuja käest. Organisatsioon võib palgata AKS-i… Loe lähemalt »

Ühendkuningriigi andmekaitse järelevalveasutus ICO määras 24.10.2022 töötajate andmete kaitseta jätmise eest trahvi 5,1 miljonit eurot ehitusfirmale Interserv Group Ltd., kuivõrd ettevõte jättis rakendamata  tehnilised ja organisatoorsed meetmed, mis lihtsustas küberrünnaku läbiviimist. Rikkumine sai alguse sellest, et ehitusfirma töötaja avas pahavara sisaldava õngitsuskirja. Ettevõtte poolt kasutatud viirusetõrjeprogramm tõrjus küll osa pahavara, kuid häkker pääses siiski töötaja… Loe lähemalt »

Läti andmekaitse järelevalveasutus (Datu valsts inspekcija) otsustas 9.09.2022 trahvida telekommunikatsiooniettevõtet SIA „Tet“ 1,2 miljoni euroga GDPR art. 5(1) (a); (d) ja (f) rikkumise eest. Kõnealused sätted kohustavad isikuandmete vastutavat töötlejat mh tagama, et: töötlemine on seaduslik, õiglane ja läbipaistev; isikuandmed on õiged (kontrollitud) ja ebaõiged andmed kustutatakse viivitamata; andmete töötlemisel kasutatakse asjakohaseid tehnilisi ja korralduslikke… Loe lähemalt »

Poola andmekaitse järelevalveasutus (UODO – Prezes Urzędu Ochrony Danych Osobowych) määras 3,000 eurot haldustrahvi sihtasutusele, kes ei teavitanud järelevalveasutust ega andmesubjekte isikuandmetega seotud rikkumisest. Tegu on sihtasutusega, mis tegeleb õigusabi andmise, psühholoogilise nõustamise, kuriteoohvrite ja nende perede toetamise ning avaliku võimu kandjate, riikliku meditsiinisüsteemi ja kindlustusfirmade poolt halvasti koheldud isikute õiguste kaitsega. Järelevalveasutus sai teate võimaliku GDPR-st tulenevate kohustuste… Loe lähemalt »

EL isikuandmete kaitse üldmäärus GDPR (General Data Protection Regulation), kohaldub ainult füüsiliste isikute andmetele. Füüsilised isikud võivad olla nt kliendid, töötajad, partnerid, koolitatavad, patsiendid, mittetulundusühingu liikmed, naabrid – ehk inimesed. Isikuandmete töötlemine tähendab kõikvõimalikke tegevusi, mida isikuandmetega teha saab – näiteks nende kogumine, säilitamine, muutmine, vaatamine, kasutamine, kustutamine, jne Isikuandmed ei ole ainult nimi või… Loe lähemalt »

Poola andmekaitse järelevalveasutus (UODO – Prezes Urzędu Ochrony Danych Osobowych) määras 7.09.2022. a trahvi kultuurikeskusele, kes ei olnud sõlminud raamatupidamisfirmaga GDPR artiklis 28 nõutud andmetöötluslepingut. Mais 2020 sai järelevalveasutus Sułkowice’ Kultuurikeskuselt (vastutav töötleja) teatise isikuandmetega seotud rikkumise kohta. Rikkumine puudutas kokku 30 inimest, sh ka keskuse enda töötajaid. Järelevalveasutus avastas, et kultuurikeskus oli kaasanud raamatupidamisfirma, kuid… Loe lähemalt »

Taani isikuandmete kaitse järelevalveasutus Datatilsynet on andnud välja juhendmaterjali nn. pilveteenuste (SaaS, IaaS, jne) kasutajale. Ennekõike on juhend mõeldud neile, kes valmistuvad pilveteenuseid kasutusele võtma. Samas on üsna laialt levinud nö standardiseeritud (tüüp)lahendused, kus kliendi (reeglina isikuandmete vastutav töötleja) võimalused teenust enda vajadustele ja nõudmistele vastavaks kujundada on küllaltki piiratud või olematud. Seetõttu on juhend… Loe lähemalt »