Raamatupidajad töötlevad igapäevaselt tundlikku ja konfidentsiaalset teavet, sealhulgas klientide isikuandmeid, finantsaruandeid ja maksudeklaratsioone. Seetõttu on andmekaitsenõuete järgimine äärmiselt oluline nii seadusandlikust, kui ka professionaalsest aspektist. Euroopa Liidus reguleerib isikuandmete töötlemist eelkõige isikuandmete kaitse üldmäärus (IKÜM), mis kehtib ka Eestis. Lisaks tuleb arvestada Eesti raamatupidamisseaduse ning teiste rahapesu ja maksuseadustega, mis mõjutavad raamatupidajate andmekaitsekohustusi.
Raamatupidajad töötlevad andmeid, mis on seotud füüsiliste ja juriidiliste isikute rahaliste kohustuste ning varadega. Kui need andmed satuvad valedesse kätesse, võib see kaasa tuua identiteedivarguse, pettuse või finantskahju. Seetõttu on vajalik tagada isikuandmete turvalisus, et vältida andmete volitamata kasutamist, lekkimist või kaotsiminekut.
Lisaks teiste isikute kaitsele aitab andmekaitsealaste nõuete täitmine kaitsta ka raamatupidajat ennast, hoides ära võimalikud trahvid ning maine kahjustumise klientide ees, aitades seega säilitada usaldust ja professionaalsust. Õigusaktidele vastavus – järgida kehtivaid andmekaitsenõudeid, et vältida trahve ja õiguslikke sanktsioone.
IKÜM ja raamatupidajate kohustused
Andmetöötluse õiguspärasus. Raamatupidajad võivad töödelda isikuandmeid ainult juhul, kui selleks on seaduslik alus. Peamised alused on:
- Lepingu täitmine – näiteks raamatupidamisteenuse osutamiseks.
- Õiguslik kohustus – näiteks maksuaruannete ja töötasude deklareerimiseks.
- Nõusolek – kui andmeid töödeldakse turunduslikel või muudel vabatahtlikel eesmärkidel.
Minimaalne andmete kogumine ja säilitamine. IKÜM põhimõtte kohaselt ei tohi koguda rohkem andmeid, kui on vajalik. Näiteks ei tohiks säilitada klientide isikukoode või pangakontoandmeid kauem, kui see on seadusest tulenevalt nõutav.
Isikuandmete turvalisus. Raamatupidajad peavad rakendama tehnilisi ja organisatsioonilisi meetmeid andmete kaitsmiseks, rakendatavateks meetmeteks võiksid olla näiteks:
- tugevad paroolid ja kaheastmeline autentimine;
- krüpteeritud andmeedastus ja -hoidmine;
- ligipääsuõiguste piiramine – ainult volitatud töötajad tohivad andmetele ligi pääseda;
- regulaarsed varukoopiad ja turvaauditid.
Andmete jagamine ja kolmandad osapooled. Raamatupidajad jagavad tihti andmeid maksuameti, äripartnerite ja teiste teenusepakkujatega. Enne andmete edastamist tuleb veenduda, et andmeid jagatakse ainult seaduslikel alustel ning kolmandad osapooled järgivad andmekaitsenõudeid (nt sõlmitakse vastutust reguleeriv leping).
Andmesubjekti õigused. Raamatupidajad peavad arvestama, et klientidel on IKÜM alusel mitmeid õigusi, näiteks: õigus tutvuda oma andmetega, õigus andmete parandamisele, õigus andmete kustutamisele (kui see ei ole vastuolus seaduslike kohustustega).
Kuidas tagada andmekaitsenõuete järgimine?
Sisemised protseduurid ja koolitused. Ettevõtte raamatupidamisosakond peaks kehtestama selged reeglid ja protseduurid andmekaitse tagamiseks ning töötajaid nende järgimisel koolitama.
Andmetöötluse dokumenteerimine. Soovitatav on pidada ülevaadet töödeldavatest isikuandmetest ning nende säilitamise ja töötlemise aluste kohta. Isikuandmete töötlemisülevaate koostamine on kohustuslik juhul, kui ettevõttes on rohkem kui 250 töötajat. Olenemata töötajate arvust on töötlemisülevaate koostamine kohustuslik ka juhul, kui isikuandmete töötlemine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele. Lisaks ka siis, kui isikuandmete töötlemine ei ole juhtumipõhine või töödeldakse eriliiki isikuandmeid.
Andmekaitsealase dokumentatsiooni koostamine. Raamatupidajad peaksid looma isikuandmete töötlemise tingimused, millega saavad nii kliendid, kui ka raamatupidamisettevõtte töötajad tutvuda. Töötlemistingimuste eesmärgiks on täita IKÜM-is suurt põhimõtet, milleks on läbipaistvus ning andmesubjektidele isikuandmete töötlemise aluste selgitamine.
Turvaline tarkvara ja pilveteenused. Raamatupidamistarkvara ja pilvepõhised lahendused peavad vastama turvastandarditele ning olema IKÜM-iga kooskõlas.
Isikuandmete kustutamise ja arhiveerimise poliitika. Kindlaks tuleb määrata, kui kaua ja millistel tingimustel andmeid säilitatakse. Pärast seadusest tuleneva säilitamisaja möödumist tuleb andmed turvaliselt kustutada ja paberkandjal isikuandmed hävitada.
Andmerikkumised ja vastutus
Kui juhtub andmerikkumine (nt andmeleke või loata juurdepääs), peab raamatupidaja tegema järgmist:
- rikkumine ja selle asjaolud tuleb dokumenteerida;
- kui rikkumine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele, tuleb rikkumisest teavitada Andmekaitse Inspektsiooni viivitamatult rikkumisest teada saamisest, kuid mitte hiljem, kui 72 tunni jooksul;
- hindama rikkumise mõju ja võtma kasutusele meetmeid selle vältimiseks tulevikus;
- teavitama andmesubjekte, kui rikkumine võib põhjustada neile kahju.
Andmerikkumised võivad kaasa tuua IKÜM-i alusel trahve kuni 20 miljoni euro või 4% ettevõtte aastakäibest, mistõttu tuleb rikkumisi võtta tõsiselt.
Kokkuvõte
Andmekaitse ei ole raamatupidajate jaoks pelgalt formaalsus, vaid oluline osa professionaalsest ja usaldusväärsest teenusest. IKÜM ja muud õigusaktid panevad paika selged nõuded isikuandmete töötlemiseks, mida tuleb järgida, et tagada klientide andmete turvalisus ja ettevõtte maine. Regulaarne koolitus, selged protseduurid ning turvalised tehnoloogilised lahendused aitavad vältida võimalikke rikkumisi ja karistusi.
Artikli autor: Kristina Sööt
Artikkel avaldatud: RUP.ee