Rubriik: GDPR

Mäletatavasti tegi Euroopa Liidu kohus 16. juulil 2020 pöördelise otsuse „Schrems II“ kohtuasjas (C-311/18), milles seisid vastakuti tuntud Austria päritolu privaatsusõiguse aktivist Maximilien Schrems ja Facebook Ireland Ltd. „Privacy Shield“ oli EL-USA andmekaitseraamistik (lisaks osales seal ka Šveits), mis pakkus ettevõtetele mõlemal pool Atlandi ookeani mehhanismi, et edastada isikuandmeid Euroopast USA-sse kooskõlas GDPR-ga. Pärast „Schrems… Loe lähemalt »

Covid-19 ajal on veebikoosolekud kodukorteritest ja ka distantsõpe saanud osaks meie igapäevaelust. Seda ei jäta kasutamata ka nn. “pahalased” kogu maailmas. Nii on ka Eestis Kaitsepolitseiamet juhtinud tähelepanu võõrriikide eriteenistuste huvile meie riigiasutuste veebikoosolekutel räägitava vastu. USA Küberturbe ja Infrastruktuuri Agentuur (CISA) avaldas hiljuti nõuandeid selliste koosolekute  turvaliseks läbiviimiseks. Turvaline ühendus Tihti ei ole koduste… Loe lähemalt »

GDPR art 4 punkti 7 kohaselt on isikuandmete vastutava töötleja määravaks tunnuseks töötlemise eesmärkide ja meetodite (vahendite) kindlaksmääramine. Ettevõttes või asutuses teevad selliseid otsuseid tavaliselt juhatuse esimees, finantsdirektor, turundusjuht, personalijuht või IT juht. Vastavalt GDPR artiklile 37 peavad vastutavad ja volitatud töötlejad määrama andmekaitsespetsialisti järgmistel juhtudel: isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud… Loe lähemalt »

Leedu isikuandmete kaitse järelevalveasutus (Valstybinė duomenų apsaugos inspekcija (ADA)) määras 02.03.21 Leedu riigiettevõttele Registrite Keskus (Registrų centras) 15 000 eurot trahvi infotehnoloogiliste ja korralduslike turvameetmete ebapiisava rakendamise eest. Trahviotsuse kohaselt ei taganud Registrite Keskus infosüsteemide turvalisust, sh isikuandmete terviklust ja kättesaadavust ning ei täitnud oma kohustust taastada turvaintsidendi korral juurdepääs isikuandmetele seaduses ette nähtud aja… Loe lähemalt »

USA ettevõte Verkada  (https://www.verkada.com/) pakub oma turvakaamerateenuseid üle maailma. Kasutades internetist hangitud juurdepääse nn. „Super Admin“ kontole ja pöördkonstrueerimist (reverese engineering) sai rahvusvaheliselt tegutsev häkkerite grupp ligipääsu Verkada klientide kümnetele tuhandetele kaameratele ja salvestustele üle maailma. Häkkerid pääsesid nt „vaatama“ Tesla, Equinoxi, Cloudflare’i siseruumidesse ning jälgisid ka naistekliinikutes, psühhoneuroloogiahaiglates ja isegi ka Verkada Inc. enda… Loe lähemalt »

Manchesteri Apellatsioonikohus (Manchester Crown Court) mõistis 8.01.2021. kaheksa (8) kuud vangistust autoabiga tegeleva ettevõtte töötajale Kim Doyle’le selle eest, et viimane edastas 4 750 õnnetusse sattunud kliendi andmed kahjunõuete sissenõudmisega tegelevale õigusettevõttele. Uurimise viis läbi UK isikuandmete kaitse järelevalveasutus Information Commissioner’s Office (ICO). Doyle mõisteti süüdi ebaseadusliku juurdepääsu hankimises oma tööandja arvutisüsteemile ning seal sisaldunud… Loe lähemalt »

23.02.2021.a. määras Läti isikuandmete kaitse järelevalveasutus Datu valsts inspekcija 65 000 EUR haldustrahvi firmale SIA “Lursoft IT”. Otsuse kohaselt rikkus see Läti ettevõte GDPR järgmisi aluspõhimõtteid: artikli 5 lõike 1 punkti a – seaduslikkus, õiglus ja läbipaistvus; artikli 5 lõike 1 punkti b – eesmärgi piirang; artikli 5 lõike 1 punkti c – võimalikult väheste andmete… Loe lähemalt »

Prantsusmaa isikuandmete järelevalveasutus CNIL (Commission nationale de l’informatique et des libertés) määras 27.01.2021.a GDPR nõuete rikkumise eest 150 000 eurot trahvi e-kauplusele kui vastutavale töötlejale ja 75 000 eurot trahvi nende veebilehe teenusepakkujale kui volitatud töötlejale. (https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant). CNIL, kes seni on keskendunud pigem ainult vastutavate töötlejate sanktsioneerimisele, asus sel korral seisukohale, et ka asjasse puutuvaid volitatud töötlejaid… Loe lähemalt »

Belgia andmekaitseamet määras 50 000 eurot trahvi parkimist korraldanud ettevõttele ja 15 000 eurot kohtutäiturile GDPR-i erinevate põhimõtete, näiteks seaduslikkuse, andmete minimeerimise ja vastutuse põhimõtete rikkumise eest. Lugu sai alguse sellest, et Belgia eraettevõte, kelle ülesandeks on tagada linnatänavatel parkimisnõuete järgimine, asetas ühe auto „kojamehe“ vahele parkimistrahvi nõude. Rikkuja tuvastamiseks ja trahvi väljaandmiseks hankis ettevõte… Loe lähemalt »

GDPR, mh selle art. 5 lg 1(f) ja art 32 kohustavad kasutama asjakohaseid tehnilisi ja korralduslikke meetmeid isikuandmete kaitseks. Üheks suuremaks ohuks andmetele on nn. „õngitsemine“ (phishing), millest on saanud alguse paljud väga ulatuslikud küberründed nii asutuste kui eraõiguslike isikute infosüsteemidele. „Õngitsemise“ abil saadud „sissepääs“  infosüsteemidesse võib tuua kaasa tagajärjed – andmevargus, isiku- või muude… Loe lähemalt »

Läti isikuandmete kaitse järelevalveasutus „Datu Valsts Inspekcija“ määras tööandjale 6 250 eurot trahvi töötaja terviseandmete ebaseadusliku avaldamise eest. Järelevalveasutusele laekus kaebus selle kohta, et tööandja informeeris töötaja tervislikust seisundist tema kolleege e-kirjaga, mis sisaldas selle töötaja ees- ja perekonnanime ning terviseseisundit, täpsemalt nakkushaiguse diagnoosi. Juhtumit uurides jõudis järelevalveasutus järeldusele, et tööandja rikkus selliselt toimides isikuandmete… Loe lähemalt »

Rootsi andmekaitse järelevalveasutus Datainspektionen auditeeris äsja 8 tervishoiuteenuse pakkujat, et selgitada välja, kuidas on määratud juurdepääsuõigused patsientide digitaalsetele terviseandmetele. Seitsmel juhul kaheksast määrati ka haldustrahvid, kokku 30 miljonit rootsi krooni. Järelevalveasutuse audit keskendus küsimusele – kas tervishoiuteenuste pakkujad on koostanud juurdepääsuvajaduste ja riskide analüüsi ning teinud terviseandmetele juurdepääsuõiguste andmise otsused sellele analüüsile tuginedes. Tervishoiuteenuste pakkujad… Loe lähemalt »