Määrus laiendab võrreldes eelneva regulatsiooniga volitatud töötleja kohustusi ja vastutust, mis tähendab, et ka volitatud töötlejad peavad uue määrusega kooskõlas olema ja võivad rikkumise korral olla koos vastutava töötlejaga solidaarselt vastutavad. Oluline on tähelepanu pöörata ka trahviregulatsiooni erisustele Eestis.

Solidaarvastutus  

Varasemalt sai rikkumise korral isik minna nõudega vastutava töötleja (ingl controller) vastu. Määrusest aga tuleneb, et igal isikul, kes on kandnud määruse rikkumise tulemusel kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest. Erinevalt varasemast võib kahju nõuda mitte ainult vastutavalt vaid ka volitatud töötlejalt (ingl processor).

Seega tuleb ka volitatud töötlejatel (isik, kes töötleb isikuandmeid vastutava töötleja nimel) arvestada, et kahju saab nõuda ka neilt. Viimane tähendab seda, et kui näiteks ettevõtja A kogub kliendiandmeid ehk on vastutav töötleja, aga kasutab pilveteenust B, et neid andmeid pilves hoida, siis võib andmete lekkemise korral vastutada selle rikkumise eest ka pilveteenuse B pakkuja ehk volitatud töötleja. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

Vastutuse määrad

Kõige enam on meedias tähelepanu pälvinud asjaolu, et andmekaitsemäärus võimaldab kohaldada enneolematult suuri trahve. Määrus jagab rikkumised robustselt kaheks. Esiteks väiksemad rikkumised, mille eest võidakse määrata trahv, mille suurus on kuni 10 000 000 eurot või kuni 2 % ettevõtte eelneva majandusaasta ülemaailmsest aastasest kogukäibest.

Teiseks suuremad rikkumised, mille eest võidakse määrata trahv, mille suurus on kuni 20 000 000 eurot või kuni 4 % ettevõtte eelneva majandusaasta ülemaailmsest aastasest kogukäibest. Eelnev ei tähenda, aga kindlasti automaatselt seda, et ka Eestis maksimaalseid trahve reaalselt ja koheselt välja mõistetakse.

Eesti erand

Määruse preambuli punkt 151 sätestab, et  Eesti õigussüsteem ei võimalda määrata trahve määruses sätestatu kohaselt ja et trahve käsitlevaid eeskirju saab kohaldada selliselt, et Eestis määrab trahvi järelevalveasutus väärteomenetluse raames. Seoses sellega on Eesti isikuandmete kaitse seaduse eelnõus märgitud, et kõigepealt teeb Andmekaitse Inspektsioon ettekirjutise enne kui asi üldse trahvideni jõuab. Seega erinevalt kõigist teistest Euroopa Liidu liikmesriikidest näeb Eesti seadus määrusest tuleneva erandi tõttu ette, et rikkumisele ei järgne kunagi koheselt trahv, vaid enne tuleb Inspektsioonil teha ettekirjutis ning järgmise sammuna määrata vajadusel sunniraha. Alles seejärel võib rakendada trahvi.

 Tutvu meie uudse tööriistaga TiNT ja uuri lähemalt!

Administratiivtrahvidest
Suunised määruse (EL) 2016/679 kohaste trahvide kohaldamise ja määramise kohta(eesti keeles) – vastu võetud 03.10.2017
Inglise keeles: Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679