Rubriik: GDPR

Soome andmekaitse järelevalveasutus Tietosuojavaltuutetun toimisto tuvastas isikuandmetega seotud rikkumise, mis võimaldas häkkeritele ebaseadusliku juurdepääsu 165 000 isiku andmetele – vastutav töötleja oli eiranud nii andmete minimaalse säilitamise põhimõtet kui ka jätnud kasutusele võtmata asjakohased turvameetmed, mis võinuks rünnakut takistada. Häkkerid tungisid ööbimisteenuse pakkuja Forenom  (https://www.forenom.com/about/) infosüsteemidesse ning said seeläbi juurdepääsu klientide andmetele. Järelevalveasutus sekkus andmesubjektide… Loe lähemalt »

2021.a. sügisel määras Iirimaa andmekaitse järelevalveasutus 225 miljoni euro suuruse trahvi WhatsApp Ireland Limited’le sõnumirakenduse WhatsApp privaatsusteate GDPR – i nõuetele mittevastavuse eest. Järelevalveasutus tugines Euroopa Andmekaitsenõukogu (EDPB) suunistele ning jättis tähelepanuta ettevõtte väite, et nende privaatsusteade on siiski kooskõlas (tollal) laialt levinud praktikaga. Milliseid järeldusi saab sellest trahviotsusest teha? GDPR artikkel 12 (1) sätestab,… Loe lähemalt »

Euroopa Liidu Kohus otsustas asjas C‑154/21 (RW versus Österreichische Post AG), et isikuandmete vastutav töötleja on kohustatud andma inimesele teada ka tema isikuandmete vastuvõtjate nimed. Tegu on EL Kohtu äsjase, 12.01.2023 antud tõlgendusega GDPR artikli 15 lõike 1 punktile c. Kõnealune säte annab andmesubjektile õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid… Loe lähemalt »

Sageli tekib küsimus, kellele panna asutuses või ettevõttes andmekaitsespetsialisti (AKS) ülesanded? EL isikuandmete kaitse üldmääruse (GDPR) artiklid 37-39 sisaldavad reegleid, millistel juhtudel AKS määrata, milline on tema ametiseisund ning ülesanded. Siiski ei määra GDPR üheselt, kas AKS peaks olema keegi töötajatest või tuleks selle ülesande täitmine osta hoopis välise teenusepakkuja käest. Organisatsioon võib palgata AKS-i… Loe lähemalt »

Ühendkuningriigi andmekaitse järelevalveasutus ICO määras 24.10.2022 töötajate andmete kaitseta jätmise eest trahvi 5,1 miljonit eurot ehitusfirmale Interserv Group Ltd., kuivõrd ettevõte jättis rakendamata  tehnilised ja organisatoorsed meetmed, mis lihtsustas küberrünnaku läbiviimist. Rikkumine sai alguse sellest, et ehitusfirma töötaja avas pahavara sisaldava õngitsuskirja. Ettevõtte poolt kasutatud viirusetõrjeprogramm tõrjus küll osa pahavara, kuid häkker pääses siiski töötaja… Loe lähemalt »

Läti andmekaitse järelevalveasutus (Datu valsts inspekcija) otsustas 9.09.2022 trahvida telekommunikatsiooniettevõtet SIA „Tet“ 1,2 miljoni euroga GDPR art. 5(1) (a); (d) ja (f) rikkumise eest. Kõnealused sätted kohustavad isikuandmete vastutavat töötlejat mh tagama, et: töötlemine on seaduslik, õiglane ja läbipaistev; isikuandmed on õiged (kontrollitud) ja ebaõiged andmed kustutatakse viivitamata; andmete töötlemisel kasutatakse asjakohaseid tehnilisi ja korralduslikke… Loe lähemalt »

Poola andmekaitse järelevalveasutus (UODO – Prezes Urzędu Ochrony Danych Osobowych) määras 3,000 eurot haldustrahvi sihtasutusele, kes ei teavitanud järelevalveasutust ega andmesubjekte isikuandmetega seotud rikkumisest. Tegu on sihtasutusega, mis tegeleb õigusabi andmise, psühholoogilise nõustamise, kuriteoohvrite ja nende perede toetamise ning avaliku võimu kandjate, riikliku meditsiinisüsteemi ja kindlustusfirmade poolt halvasti koheldud isikute õiguste kaitsega. Järelevalveasutus sai teate võimaliku GDPR-st tulenevate kohustuste… Loe lähemalt »

EL isikuandmete kaitse üldmäärus GDPR (General Data Protection Regulation), kohaldub ainult füüsiliste isikute andmetele. Füüsilised isikud võivad olla nt kliendid, töötajad, partnerid, koolitatavad, patsiendid, mittetulundusühingu liikmed, naabrid – ehk inimesed. Isikuandmete töötlemine tähendab kõikvõimalikke tegevusi, mida isikuandmetega teha saab – näiteks nende kogumine, säilitamine, muutmine, vaatamine, kasutamine, kustutamine, jne Isikuandmed ei ole ainult nimi või… Loe lähemalt »

Poola andmekaitse järelevalveasutus (UODO – Prezes Urzędu Ochrony Danych Osobowych) määras 7.09.2022. a trahvi kultuurikeskusele, kes ei olnud sõlminud raamatupidamisfirmaga GDPR artiklis 28 nõutud andmetöötluslepingut. Mais 2020 sai järelevalveasutus Sułkowice’ Kultuurikeskuselt (vastutav töötleja) teatise isikuandmetega seotud rikkumise kohta. Rikkumine puudutas kokku 30 inimest, sh ka keskuse enda töötajaid. Järelevalveasutus avastas, et kultuurikeskus oli kaasanud raamatupidamisfirma, kuid… Loe lähemalt »

Taani isikuandmete kaitse järelevalveasutus Datatilsynet on andnud välja juhendmaterjali nn. pilveteenuste (SaaS, IaaS, jne) kasutajale. Ennekõike on juhend mõeldud neile, kes valmistuvad pilveteenuseid kasutusele võtma. Samas on üsna laialt levinud nö standardiseeritud (tüüp)lahendused, kus kliendi (reeglina isikuandmete vastutav töötleja) võimalused teenust enda vajadustele ja nõudmistele vastavaks kujundada on küllaltki piiratud või olematud. Seetõttu on juhend… Loe lähemalt »

30.06.2022 esitas Ravensburgi (Saksamaa) ringkonnakohus Euroopa Liidu Kohtule eelotsustamiseks küsimuse seoses mittevaralise (varasem termin – moraalne) kahju mõistega GDPR tähenduses. Nimelt sätestab GDPR artikkel 82 (1), et“ igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel varalist või mittevaralist kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“. Saksamaa kohtus arutlusel… Loe lähemalt »

Ungari andmekaitse järelevalveasutus Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) määras 25 000 euro suuruse trahvi inkassofirmale, pidades 11.02.2022 avaldatud otsuses rikkumiseks seda, et ettevõte ei arvestanud suuliselt väljendatud soovi isikuandmete kustutamiseks. Seejuures viitas järelevalveasutus GDPR artiklile 12(1), mille kohaselt võib teabe esitada suuliselt tingimusel, et andmesubjekti isikusamasus on tõendatud. Inkassofirma eesmärk oli saada 2013. a surnud isiku… Loe lähemalt »