Ükski hambaravikliinik ei saa tegutseda ilma isikuandmeid töötlemata. Igapäevaselt töödeldakse nii patsientide kui ka töötajate andmeid. Hambaravikliinikud kasutavad muuhulgas ka suures mahus inimeste tervisega seotud andmeid, mida nimetatakse isikuandmete kaitse üldmääruse kohaselt eriliiki isikuandmeteks ja mille töötlemisel tuleb pöörata erilist tähelepanu turvameetmetele.
Hambakliiniku andmekaitse to-do list.
Selleks, et hambakliiniku tegevus vastaks andmekaitse nõuetele, tuleb
- Viia läbi audit, et luua ülevaade ettevõttes toimuvast andmetöötlusest ja selgitada välja võimalikud ohukohad.
- Koostada töötlemistoimingute ülevaade. Kõikidel isikuandmete töötlejatel, sealhulgas hambakliinikutel on kohustus registreerida kõik toimingud, mille käigus isikuandmeid töödeldakse.
- Koostada ja avalikustada andmekaitsetingimused / privaatsuspoliitika. Avalikult kättesaadavad tingimused aitavad patsientidel, aga ka töötajatel ja kodulehe külastajatel mõista, milliseid andmeid te nende kohta kogute ja miks. Sellise teabe kättesaadavaks tegemise kohustus tuleb seadusest ja näitab, et peate oma inimestest lugu.
- Koostada rikkumiste register. Kõik isikuandmetega seotud rikkumised tuleb kanda rikkumiste registrisse. Sõltuvalt rikkumise iseloomust, tuleb rikkumisest 72 tunni jooksul teavitada ka Andmekaitse Inspektsiooni.
Millal tuleb kaasata andmekaitsespetsialisti?
Andmekaitsespetsialist nõustab ettevõtet andmekaitse teemadel. Soovitan spetsialisti kaasata koheselt, kui ettevõtte juhtidel tekib arusaam, et teemaga ei soovita ise tegeleda. Andmekaitse nõuded kehtivad kõikidele hambaravikliinikutele, sõltumata nende kliendibaasist, töötajate arvust või käibest. Andmekaitse spetsialistilt tasub küsida nõu kasvõi üldiste põhimõtete paremaks mõistmiseks või esmaseks riskide hindamiseks.
Eraldi teema on andmekaitse spetsialisti määramise kohustus äriregistris. Andmekaitse Inspektsiooni range soovitus on, et andmekaitsespetsialisti peavad äriregistris määrama kõik hambakliinikud, kus on rohkem kui 5000 patsienti, kuid isikuandmete kaitse nõuded kehtivad kõikidele hambakliinikutele, sõltumata patsientide arvust. Seega, kui te ei ole varasemalt andmekaitsele tähelepanu pööranud ega tunne selle teema vastu erilist entusiasmi, siis soovitan esimesel võimalusel spetsialistiga nõu pidada.
Andmekaitsespetsialist – osta sisse või palgata?
Andmekaitsespetsialist teeb tihedat koostöö ettevõtte tegevjuhtkonnaga, kuid huvide konflikti vältimiseks, ei tohiks ta ise juhtkonda kuuluda. Andmekaitsespetsialist võib olla koosseisuline töötaja, kuid seda teenust võib osta ka sisse teiselt ettevõttelt.
Andmekaitsespetsialisti palkamisele tuleks arvestada, et tegu on kõrge kvalifikatsiooniga töötajaga, kelle palgasoov võib olla vastav.
Olemasoleva töötaja nimetamisel andmekaitsespetsialistiks tuleb arvestada, et andmekaitsenõuetele vastavuse tagamine võib olla väga ajamahukas ning töötaja vajab selleks eelnevalt põhjalikku koolitust.
Andmekaitsespetsialistiteenuse sisse ostmisel, tuleb olla teenusepakkujaga aus. Isikuandmete kaitsmiseks ja rikkumiste ning trahvide vältimiseks on oluline sisuline andmekaitsepõhimõtete järgimine, mitte näiline korrektsus.
Kui tunned, et vajad täiendavat nõu, siis võta ühendust aadressil info@medata.ee.
Hanna Kriiska
Andmekaitseekspert
Kui soovid saada kasulikke näpunäiteid andmekaitsenõuete rakendamiseks, siis liitu Medata uudiskirja saajatega.