Parim audiitortegevuse alane uurimustöö sel sügisel lõppenud arvestusala uurimistööde konkursil: Finantsaudiitori kohustused tulenevalt isikuandmete kaitse üldmäärusest

Autor: Anette Sutt

Autori tutvustus: Olen 24-aastane ning omandanud Tallinna Tehnikaülikooli majandusteaduskonnas bakalaureuse kraadi majandusarvestus ja ettevõtluse juhtimise õppekavas, spetsialiseerudes majandusarvestusele. Tänaseks olen töötanud kahes rahvusvahelises audiitorettevõttes 2,5 aastat. Hetkel töötan vanemkonsultandina, keskendudes peamiselt finantssektori auditiklientide auditeerimisele.

Lõputöö pealkiri: Finantsaudiitori kohustused tulenevalt isikuandmete kaitse üldmäärusest

Töö lühikirjeldus:

Uus keerukas Euroopa Liidu isikuandmete kaitse üldmäärus jõustus 25. mail 2018. aastal, muutes seda, kuidas igas tööstusharus tegutsevad ettevõtted käitlevad isikuandmeid. Uue üldmääruse eesmärgiks oli ühtlustada arusaama andmekaitsest ning tagada isikutele informatsioonilise enesemääratlusõiguse. Tegemist on põhiõiguse ja -vabadusega ise valida ja otsustada, kellele ning milliseid endaga seotud andmeid isik jagab.

GDPR mõjutab ka Eestis tegutsevaid finantsaudiitoreid. Finantsaudiitorid töötlevad auditikliendi finantsaruannete kohta arvamuse kujundamisel isikuandmeid igapäevaselt. Hooletusest või teadmatusest tekkinud eksimused mõjutavad nii kliendi kui ka audiitorbüroo mainet, mis seab ohtu ettevõtluskeskkonna usaldusväärsuse ja koostöösuhted klientidega. 

Lõputöö teema valikul lähtusin uue määruse aktuaalsusest ning olulisusest finantssektori jaoks. Töö lõpptulemus on informatiivne nii audiitorettevõtjatele ning ka nende klientidele, kes soovivad teada, millisel määral vastab Eesti audiitorite pädevus uuele isikuandmete kaitse üldmäärusele, et hinnata selle põhjal nende kvaliteeditaset. Lisaks saavad audiitorettevõtjad selle põhjal hinnata, milline on auditituru valmidus uue määruse täielikuks järgimiseks ning kus on murekohad, millele oma ettevõttes tähelepanu pöörata.

Põhjalike arutelude tulemusel on Accountancy Europe, mille liige on ka Eesti Audiitorkogu, jõudnud seisukohale, et GDPR-ist tulenevalt on finantsaudiitorid vastutavad andmetöötlejad. Kohustuslikku auditit käsitlevad õigusaktid kohustavad audiitoreid olema sõltumatud ja seepärast otsustavad audiitorid, milliseid andmeid nad auditi tegemiseks vajavad ja kuidas andmeid kasutatakse. Lisaks ei määra audiitor ega klient ühiselt töötlemise eesmärke ega meetmeid. Auditi eesmärgid ja protseduurid on kindlaks määratud seaduste ja määrustega.

Selleks, et hinnata finantsaudiitorite teadlikkust uuest määrusest ja sellega kaasnevate kohustuste kohta viisin läbi kvantitatiivse uuringu. Uuringust selgus, et kõrgematel ametikohtadel töötavad audiitorid hindavad oma teadmisi määruse kohta pigem heaks ning madalama taseme töötajad rahuldavaks.

Uuringu käigus hindasin audiitorite mõistmist GDPR-i põhilistest definitsioonidest, nagu isikuandmed, andmesubjekt ja töötlemine. Tulemustest ilmnes, et audiitorid leiavad, et nii füüsiline kui ka juriidiline isik on GDPR-i mõistes andmesubjekt. Suutmata korrektselt defineerida andmesubjekti ei osanud ka audiitorid tuvastada kõiki isikuandmeid etteantud loetelust. Suurem osa valimist on teadlik, et igasugune tegevus isikuandmetega klassifitseerub töötlemisena.

Samuti on audiitorid teadlikud peamistest andmesubjekti õigustest, nagu õigus tutvuda nende töödeldavate isikuandmetega ning vajadusel on neil õigus ka piirata või esitada vastuväiteid andmete korrektsusele. Kuigi audiitorite teadlikkus andmesubjekti õigustest on pädev, ei teavita enamus audiitoreid andmesubjekte nende andmete töötlemisest. 

Mida madalama taseme ametikoha töötajaga on tegemist, seda vähem rakendatakse ka GDPR-ist tulenevaid andmetöötlemise põhimõtteid. Antud tulemust saab seostada audiitorite tõlgendusest, kas nad on GDPR-i mõistes vastutavad või volitatud töötlejad. Kõrgemate ametikohtade töötajad on teadlikud, et nad on vastutavad töötlejad, mistõttu pööravad nad ka rohkem tähelepanu andmete töötlemise protsessile. Konsultandid ning praktikandid leiavad pigem, et nemad ei otsusta, kuidas ja milliseid kliendi andmeid töödeldakse ja on GDPR-i mõistes volitatud töötlejad. 

GDPR-ist tulenevate kohustuste vähendamiseks on audiitoritel võimalus andmeid kas pseudonümiseerida või anonümiseerida. Kui audiitoritelt uuriti, kas nad antud meetodeid rakendavad, oli vastus pigem eitav. Kui üldse, siis teevad seda kõrgemate ametikohtade töötajad. 

Analüüsi tulemuste põhjal saab järeldada, et audiitoritel puudub terviklik ülevaade GDPR-i olemuses ja määrusest tulenevatest kohustustest, mis mõjutavad nende igapäevatööd. Tegemist on keeruka ning alles vähe aega tagasi jõustunud määrusega, mille mõju ei osata veel korrektselt tõlgendada. Selleks, et vältida ebapädevusest tulenevaid rikkumisi, soovitan järgmisi lahendusi:

1. Audiitorettevõtjad peaksid pöörama tähelepanu lisaks ettevõtte GDPR-i vastavusele ka töötajate kompetentsile. Audiitorid eeldavad, et vastavuse tagamine on pigem tööandja kui nende kohustus. Sellest tulenevalt ei oska audiitorid eristada töötleja kohustusi ettevõtte omadest. Tööandjad peaksid ülevaatama nende poolt koostatud juhendmaterjalid ning hindama kas need on lugejale arusaadavad ning sisaldavad kõige olulisemaid GDPR-i aspekte.
2. GDPR-i korrektse rakendamise jaoks tuleb audiitorite seas viia läbi põhjalik koolitus, et tagada piisav pädevus ja ennetada tulevikus suuremaid andmekaitse rikkumisi.
3. Audiitorid võiksid isikuandmete kaitse olulisust rõhutada ka auditiklientidele. Juhul, kui auditikliendi töötleja oskab rakendada kohustuse vähendamiseks vastavaid meetmeid, vähendab see ka audiitorile GDPR-i mittevastavusest tulenevaid riske. 

Töö analüüsi osas kaardistuvad välja peamised probleemsed kohad, mis võivad jääda audiitoritele arusaamatuks läbi vale tõlgendamise. Tõstes audiitorite teadlikkust, saavutavad ka audiitorettevõtjad kiiremini täieliku vastavuse ning tagatakse kvaliteetne audititurg. 

Kuna tegemist on siiski alles vähe aega tagasi jõustunud reformiga, saab antud tööd tulevikus edasi arendada ka võrdlusanalüüsina. Edaspidi saab hinnata finantsaudiitorite GDPR-iga seonduva pädevuse dünaamikat ja jälgida, kas praeguseks selgunud murekohad on lahendatud või kas on tekkinud uusi. 

Lõputöö terviktekst on kättesaadav: https://audiitorkogu.ee/est/2020-aasta-tood.