Global menu

Our global pages

Close

Telefon pannakse su järgi nuhkima? Euroopa juba kaitseb sind, soolased trahvid muudkui tulevad

  • Estonia

    13-09-2019

    Üleeuroopaline isikuandmete kaitse üldmäärus, laiemalt tuntud lühendi GDPR (General Data Protection Regulation) kaudu, on käesolevaks hetkeks kehtinud veidi enam kui aasta.

    Määrus on tekitanud palju kõneainet nii isikuandmete töötlemise nõuete mõningase karmistumise kui ka nõuete mittetäitmisele järgneda võivate varasemast oluliselt kopsakamate trahvide tõttu. Kuigi Eestis ei ole käesoleva ajani ühtegi trahvi üldmääruse rikkumise eest määratud, on see võimalus jätkuvalt reaalne. Trahviriskiga peavad arvestama kõik ettevõtjad ja asutused, kes puutuvad kokku isikuandmetega.

    Selles kontekstis on huvitav vaadata, millised on olnud üldmääruse kohaldamise trendid mujal Euroopas ja milliste rikkumiste eest on andmekaitsealased järelevalveasutused trahve määranud.

    Mõnesajast eurost sadade miljoniteni

    Üldmääruse kohaselt on rahatrahvi maksimumsummaks 20 miljonit eurot või kuni 4% juriidilise isiku eelneva majandusaasta ülemaailmsest aastasest kogukäibest (olenevalt sellest, kumb summa on suurem). Suurtele ülemaailmsetele korporatsioonidele võib see tähendada sadadesse miljonitesse eurodesse ulatuvaid trahve.

    Hetkel suurim avalikustatud trahvinõue on esitatud UK lennuoperaatori British Airways vastu, kellelt nõutakse 183,4 miljoni naela ehk enam kui 205 miljoni euro tasumist ebapiisavate turvaabinõude rakendamise eest, mis võimaldas häkkeritel suunata lennufirma ametliku veebilehe liiklus pettursaidile, kust häkkerid omandasid enam kui 500 000 inimese isikuandmed, sh isikute nimed, aadressid ja pangakonto andmed.

    Trahvi toovad ka aastatetagused probleemid

    Ka suuruselt teine trahvinõue on esitatud Suurbritannias ebapiisavate turvameetmete rakendamise eest. Nimelt sai hotellikett Marriott 99,2 miljoni naela ehk enam kui 111 miljoni euro suuruse trahvinõude IT-turvalisusprobleemide tõttu aset eest andmelekete eest, mille tagajärjel lekkisid hinnanguliselt 339 miljoni hotellikülastaja andmed.

    Kurioosseks teeb antud trahvi aga asjaolu, et algne turvaprobleem esines hoopis ühe teise hotelliketi süsteemis ja seda juba aastast 2014. Marriott omandas antud hotelliketi 2016. aastal, ent ebapiisavate taustauuringute tõttu turvaprobleemi omandamise hetkel ei tuvastatud. Kui probleem oleks tuvastatud 2016. aastal, oleks hotellikett võinud trahvist ka pääseda. Probleemile jõuti jälile aga alles 2018. aasta novembris, mil üldmäärus oli juba jõustunud. Tagajärjeks oli kopsakas trahv.

    Enamus üldmäärusega seotud rikkumisjuhtumeid on seotud vähemoluliste rikkumistega, nagu näiteks õigusliku aluseta (sh eelneva nõusolekuta) otseturunduspostituste saatmine ning loata turvakaameraga filmimine. Sellistel juhtudel jäävad trahvisummasid enamasti mõnesaja või mõnetuhande euro piiresse.

    Nimede kustutamine ei pruugi aidata

    Taani andmekaitseinspektsioon karistas Taani taksofirmat Taxa 4x35, kes talletas oma mobiiliäpi vahendusel kasutajate poolt teostatud reiside (ligi 9 miljoni reisi) andmeid, sooviga kasutada neid andmeid taksoteenuse arendamiseks. Kuna üldmäärus ei kohaldu anonüümse teabe suhtes, eemaldas taksofirma andmete seast kõikide reisijate nimed ning eeldas, et selle tagajärjel on tegemist anonüümsete andmetega, mille talletamise osas piirangud ei kehti. Taani andmekaitseinspektsioon aga leidis, et kuna taksofirma hoidis alles isikute telefoninumbreid, on taksoteenuse osutamise raames saadud info (sh sõidu alguse ja lõppsihtkoha aadressid) endiselt omistatav kindlatele füüsilistele isikutele ja seega pole tegemist anonüümse teabega.

    Trahvid õpilaste näotuvastuse kasutamise eest

    Ka Eestis meediakünnise ületanud delikaatsete isikuandmete lubamatu töötlemine leidis aset Rootsis asuvas Skellefteå munitsipaalkoolis, kellele määrati Rootsi andmekaitseinspektsiooni poolt 19 000 euro suurune trahv selle eest, et kool kasutas õpilaste kohalolekukontrolliks videokaameraid ja näotuvastust. Rootsi andmekaitseinspektsiooni teatel loetakse näotuvastuseks kasutatavaid biomeetrilisi andmeid delikaatseteks isikuandmeteks, mille töötlemiseks peavad olema kaalukad põhjused. Pelgalt õpilaste kohaloleku kontrollimist ei pidanud Rootsi andmekaitseinspektsioon piisavaks põhjuseks, mis õigustaks biomeetriliste andmete kasutamist. Kuigi kooli nõukogu kinnitusel oli kooli juhatusel õpilaste nõusolek näotuvastustehnoloogia kasutamiseks kohaoleku kontrollimiseks olemas, leidis andmekaitseinspektsioon, et antud nõusolek ei kehti, kuna õpilased on kooli juhatusest sõltuvusseisundis.

    Ebapiisava teavitamise ning nõusoleku küsimise eest sa trahvi ka Hispaania jalgpalli kõrgliiga La Liga, kes aktiveeris enda poolt pakutava äpi kaudu perioodiliselt kasutajate mikrofone. Mikrofonide kasutamise eesmärgiks oli äpi sisse ehitatud Shazami-laadset muusikatuvastustehnoloogiat kasutades tuvastada ebaseaduslikult jalgpalliülekandeid näitavaid avalikke asutusi.

    Luuras ebaseaduslikult

    Äpp aktiveeris teatud ajavahemiku järel automaatselt kasutaja telefoni mikrofoni ja üritas seadme ümbert kostuvate taustahelide abil tuvastada, kas seadme omanik vaatas parasjagu jalgpallimatši. Juhul, kui äpp tuvastas, et ümbruses kajastatakse jalgpallimängu, selgitas äpp kasutaja GPS-andmete abil välja seadme asukoha ning andis äpi omanikule märku, kui vutimatši näitaval asutusel puudusid mängu näitamiseks vajalikud load. Hispaania andmekaitseinspektsioon leidis, et La Liga ei olnud äpi kasutajaid mikrofoni kasutamisest piisavalt informeeritud ja määras jalgpalligigantide FC Barcelona ning Real Madridi koduliigale 250 000 euro suuruse trahvi.

    Kokkuvõtvalt on näha, et vastuolusid üldmäärusega võib ette tulla nii väikeettevõtetel, suurkorporatsioonidel kui ka avaliku sektori asutustel. Trahvisummad võivad ulatuda mõnesajast eurost sadadesse miljonitesse eurodesse. Andmekaitsereeglite järgimisel ning korrektselt koostatud privaatsuspoliitika olemasolul on võimalik aga potentsiaalseid rikkumisi ja nendega kaasnevaid trahve vältida. Seetõttu veendu kindlasti, et sinu asutuse ja ettevõtte toimingud isikuandmetega on üldmääruse ja teiste isikuandmeid puudutavate regulatsioonidega kooskõlas.

    Tambet Toomela, Partner

    This information is for guidance purposes only and should not be regarded as a substitute for taking legal advice. Please refer to the full terms and conditions on our website.

    < Go back

    Print Friendly and PDF

    © Eversheds Sutherland 2023. All rights reserved. Eversheds Sutherland is a global provider of legal and other services operating through various separate and distinct legal entities.

    Eversheds Sutherland is the name and brand under which the members of Eversheds Sutherland Limited (Eversheds Sutherland (International) LLP and Eversheds Sutherland (US) LLP) and their respective controlled, managed and affiliated firms and the members of Eversheds Sutherland (Europe) Limited (each an "Eversheds Sutherland Entity" and together the "Eversheds Sutherland Entities") provide legal or other services to clients around the world. Eversheds Sutherland Entities are constituted and regulated in accordance with relevant local regulatory and legal requirements and operate in accordance with their locally registered names. The use of the name Eversheds Sutherland, is for description purposes only and does not imply that the Eversheds Sutherland Entities are in a partnership or are part of a global LLP. The responsibility for the provision of services to the client is defined in the terms of engagement between the instructed firm and the client.