Andmekaitse üldmääruse (GDPR) trahvidest on räägitud palju, kuid paljud ettevõtjad ei tea, et trahvist suurema mõjuga võib olla hoopis tegevuse peatamine
Andmekaitseidu juht: Eksimus isikuandmete töötlemisel võib tuua äritegevuse keelu
Eesti iduettevõtte GDPR Registri juht Krete Paal sõnas, et andmekaitse trahvidest rääkides jäetakse tähelepanuta järelevalveasutuste muud volitused ja võimalused rikkujate korrale kutsumiseks. “Rahatrahv on hästi mõõdetav ja seetõttu ka arusaadav. Samas rahalise karistusega samaväärne või teatud juhtudel isegi tõsisem tagajärg võib olla andmete töötlemise keeld, mis võib tähendada tegevuse ajutist või halvemal juhul ka alalist peatamist,” ütles Paal.
GDPR artikkel 58 sõnastab järelevalveasutuste ehk Eesti puhul Andmekaitse Inspektsiooni volitused, mille hulka kuulub ajutise või alalise isikuandmete töötlemise piirangu või keelu kehtestamine.
“Kui ettevõtte toode või teenus sõltub isikuandmete töötlusest ning see peatatakse või keelatakse, siis võib küllalt kiiresti tekkida olukord, kus ei ole enam kliente, rahavoogusid ega investoreid. Selline olukord võib rahatrahvist märgatavalt tõsisemaks osutuda,” tõi Paal näite ning lisas, et järelevalveasutustel on muidugi ka kohustus selliste meetmete kasutamisel põhjalikult kaaluda nende proportsionaalsust ja võimalikke tagajärgi.
Sõltuvalt rikkumise raskusest ning andmete töötleja suhtumisest võidakse lisaks isikuandmete töötlemise ajutisele või alalisele keelule määrata ka trahv. Lisaks võib eksimus kaasa tuua ka kaudsed kahjud mainele, usaldusväärsusele, turupositsioonile ja konkurentsivõimele.
GDPR Registri juht möönis, et kui isikuandmete töötleja on loonud olukorra, kus tema toode või teenus on üles ehitatud ebaseaduslikele alustele, on ta enamasti selles ise süüdi. “Kui on võimalik tegevused reeglitega kooskõlla viia, siis on üldiselt võimalik tegutsemist ka jätkata. Samas võib selleks hetkeks tekkinud kahju olla märkimisväärne,” lisas ta.
Isikuandmete töötlemise keeldu loetakse parandusvolituseks ning selle kehtestamist põhjendatakse eelkõige inimeste eraelu puutumatuse tõhusa kaitsega. Järelevalveasutus peab taoliste meetmete kehtestamisel tagama, et karistus on asjakohane, vajalik ja proportsionaalne GDPR-i seisukohast ning võtab arvesse iga üksikjuhtumi asjaolusid. Samuti peab järelevalveasutus austama isiku õigust ärakuulamisele ning vältima liigseid kulusid ja ebamugavusi puudutatud osapooltele.