Rubriik: GDPR

Töötaja lahkub. Kuidas lõpetada ka tema digitaalne kohalolu?

Postitatud

Kui töötaja lahkub, on oluline ta tööandjast „lahti ühendada“ mitte ainult töölepingu tähenduses ja füüsiliselt (nt uksekaardi tagastamine), vaid ka digitaalses/infoturbe mõttes. Tööandja andmete ja tööandja poolt töödeldavate isikuandmete kaitseks on oluline tagada, et lahkunud töötajal ei säiliks juurdepääsu organisatsiooni IT infrastruktuurile. Selleks tuleb astuda rida samme: Blokeerige lahkunud töötaja konto koheselt, kustutage see niipea… Loe lähemalt »

Andmekaitsespetsialist ei tohi „istuda mõlemal pool lauda“.

Postitatud

Belgia andmekaitse järelevalveasutus (APD, Autorité de protection des données, GBA, Gegevensbeschermingsautoriteit) määras ettevõttele rollikonflikti sattunud andmekaitsespetsialisti määramise eest 50 000 eurot trahvi. Uurimise ajendiks oli teavitus isikuandmetega seotud rikkumisest.  Ettevõtte andmekaitsespetsialist oli ühtlasi sellesama ettevõtte vastavuskontrolli, riskihalduse ja auditiosakonna juhataja (Head of the Compliance, Risk Management and Audit department). Järelevalveasutuse hinnangul ei ole see olukord kooskõlas… Loe lähemalt »

Suurimad GDPR – trahvid 2021. aastal. Mille eest ja kui palju?

Postitatud

  Amazon Europe: 746 miljonit eurot. Isikuandmete kaitse põhimõtete eiramine ja kliendiandmete meelevaldne kasutamine suunatud reklaami saatmisel. Luksemburgi andmekaitse järelevalveasutuse (CNPD) hinnangul peab Amazon oma äripraktika GDPR – ga kooskõlla viima.   WhatsApp Ireland: 225 miljonit eurot. GDPR artiklite 5, 12, 13 ja 14 rikkumine. Iirimaa andmekaitse järelevalveasutuse (DPC) hinnangul ei informeerinud WhatsApp oma kasutajaid… Loe lähemalt »

EL Kohtu otsused Facebooki ei kõiguta.

Postitatud

Facebook (Meta) leiab 2021. a. avalikuks tulnud sisedokumentides, et Euroopa Liidu kodanike isikuandmeid võib vabalt ka USA-sse saata, vaatamata EL kohtu tehtud vastupidistele otsustele. EL kohus on kahes kohtuasjas (2015, Safe Harbour; 2020, Privacy Shield) jõudnud järeldusele, et USA ei taga EL kodanike isikuandmetele piisavat kaitset USA julgeolekuasutuste tegevuse ja jälgimise eest. Meediahiiu juristid on… Loe lähemalt »

Uus GDPR – trahv Leedus, summas 110 000 €.

Postitatud

29.11.2021 määras Leedu andmekaitse järelevalveasutus Valstybinė duomenų apsaugos inspekcija 110 000 euro suuruse trahvi autorendiplatvormi Citybee operaatorile UAB Prime Leasing, kuivõrd ettevõte ei olnud võtnud tarvitusele piisavaid GDPR artiklis 32 ette nähtud organisatsioonilisi  ja tehnilisi meetmeid. Üks küberturbeteenuseid pakkuv ettevõte leidis CityBee 110 302 kliendi isikuandmed CSV failina saidilt RaidForums.com, sh autorenditeenuseid kasutanud isikute: nimed,… Loe lähemalt »

Lunavararünnak Norras tõi kaasa andmekao ja suure trahvi.

Postitatud

18. oktoobril 2021 määras Norra andmekaitse järelevalveasutus Datatilsynet kohalikule omavalitsusele (Østre Toten kommune) 409 768 EUR suuruse trahvi. 2021 aasta alguses toimus Østre Toten kommune’i vastu lunavararünnak, mille käigus lõigati  töötajad ära kõigist olulistest infosüsteemidest, krüpteeriti andmed ning kustutati ka varukoopiad. Kaotsi läksid elanike delikaatsed isikuandmed, mis pandi kurjategijate poolt müüki tumeveebi. Järelevalveasutus leidis, et kohalik… Loe lähemalt »

Mis on isikuandmetega seotud rikkumine ja millal sellest teatada?

Postitatud

Rikkumise definitsioon sisaldub GDPR artikli 4 punktis 12 – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu; Millal peab andmetöötleja Andmekaitse Inspektsiooni rikkumisest teavitama? Vastutav töötleja peab järelevalveasutust isikuandmetega seotud rikkumisest teavitama kui rikkumine kujutab endast tõenäoliselt ohtu füüsiliste isikute… Loe lähemalt »

“Kobarkäkk” andmekaitses päädis 500 000 € trahviga.

Postitatud

14.06.2021 määras Prantsusmaa andmekaitse järelevalveasutus Commission Nationale de l’Informatique et des Libertés (CNIL)  500 000 eurot trahvi tööriistu ning aiandus- ja käsitöökaupu müüvale internetipoele Brico Privé. Järelevalveasutus leidis kauplusest GDPR – alaseid rikkumisi suures valikus: Brico Privé ei täitnud GDPR artikli 5 lõike 1 punktist e tulenevat kohustust piirata isikuandmete säilitamise tähtaega, säilitades põhjendamatult enam kui… Loe lähemalt »

Andmetöötlusleping kui volitatud töötlemise alusdokument

Postitatud

Soome andmekaitse järelevalveasutus Tietosuojavaltuutetun toimisto tuvastas 24.06.2021 tehtud otsuses GDPR artikli 28 lõikega 3 ette nähtud lepingu puudumise kahe ettevõtte vahel, kelledest üks kasutas oma klientide andmete töötlemisel teise ettevõtte teenuseid. Juhtum sai alguse soovimatute automaatkõnede („robotkõnede“) kohta esitatud kaebuste tõttu. Ettevõte Y tegi kõnesid ettevõtte X tellimusel. Kõnede tegija on antud olukorras volitatud töötleja… Loe lähemalt »

Kas e-pood tohib säilitada klientide krediitkaartide andmeid?

Postitatud

Sageli pakuvad e-kauplused või muud teenusepakkujad oma kodulehtedel või äpis kliendile, et jätavad tulevikus ostude lihtsustamiseks meelde ehk säilitavad edaspidiseks tema krediitkaardiandmed. 19.mail 2021 välja antud ametlikus soovituses rõhutab Euroopa Andmekaitsenõukogu, et nii nagu mistahes teise isikuandmete töötlemise toimingu jaoks, peab ka krediitkaardiandmete säilitamiseks olema olemas GDPR artiklist 6 tulenev õiguslik alus, tõdedes samas ka… Loe lähemalt »

Veelkord “küpsistest” – kuidas mitte minna vastuollu isikuandmete kaitse nõuetega?

Postitatud

Prantsuse andmekaitse järelevalveasutus (Commission Nationale Informatique & Libertés – CNIL)  andis 2020.a. oktoobris välja loetelu põhimõtetest nn. küpsiste kasutamise kohta veebilehtedel ja mobiiliäppides. Need soovitused on asjakohased ka Eestis.   Põhimõte nr 1 – seda, kui kasutaja lihtsalt jätkab kodulehel navigeerimist, ei tohi käsitleda kui nõusolekut küpsiste paigaldamiseks tema seadmesse.   Põhimõte nr 2 –… Loe lähemalt »

„Koduerand“ – mis ja millal? Näiteid kohtupraktikast.

Postitatud

Vast suurim erand EL andmekaitseõiguse reeglina rangete normide kohaldamisel on nn. “koduerand”. Asjaomane legaaldefinitsioon sisaldub GDPR artikli 2 lõike 2 punktis c – üldmäärust ei kohaldata „kui isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus“. Selle sätte kohta ütleb GDPR selgituspunkt 18 : „Käesolevat määrust ei kohaldata isikuandmete töötlemise suhtes, mida füüsiline isik… Loe lähemalt »