Uudisvoog:

Tagasi

Isikuandmete kaitse tegevuskava (GDPR)

Autor: Toomas Mõttus

2018 aasta mais kehtima hakkav Isikuandmete kaitse üldmäärus (GDPR)[1] seab ranged isikuandmete töötlemise nõuded. Organisatsioonid, kus on üle 250 töötaja või kes töötlevad isikuandmeid regulaarselt, peavad määrama andmekaitsespetsialisti. Andmekaitsespetsialist peab kindlasti olema kõigil riigiasutustel. Füüsilistel isikutel on igal ajal õigus nõuda oma isikuandmete muutmist, kustutamist või üleandmist. Isikuandmete kaitse nõuete rikkumisel tuleb sellest 72 tunni jooksul teavitada Andmekaitseinspektsiooni ja inimesi, kelle andmetega rikkumine oli seotud.

Nõuete mittetäitmisel ähvardab trahv suurusjärgus 20 miljonit eurot.

Kuidas sellises andestamatus keskkonnas toimetada? GDPR võeti vastu juba 2016. aasta kevadel ning kahe-aastane viiteaeg jõustumiseni annab indikatsiooni nõuete täitmiseks vajalikust tööde mahust. Kuna GDPR on otsekohaldatav, siis puudujäägid või vastuolud Eesti seadustes ei takista määruse rakendamist. Järgnev ei ole ammendav GDPR nõuete loetelu, vaid olulisemad muudatused võrreldes senise praktikaga.

Õigus olla unustatud – füüsilise isiku nõudel peab andmetöötleja oma süsteemidest kustutama isikut puudutava personaalse info ning suutma esitada kustutamise kohta tõendid;

Andmete ülekantavus – füüsilise isiku kohta kogutud andmed peavad olema korrastatud selliselt, et neid oleks nõudmisel võimalik teisaldada ühest süsteemist teise;

Andmete kogumise reeglid – peab suutma näidata, milliseid andmeid kogutakse õigustatud huvi ja milliseid nõusoleku alusel;

Andmekaitsespetsialist – avaliku sektori asutustel ja suurematel andmetöötlejatel on kohustus määrata andmekaitsespetsialist;

Teavitamiskohustus – isiku õiguseid ja vabadusi kahjustada võivatest infotrubeintsidentidest tuleb teavitada nii isikut kui järelevalveasutust;

Dokumenteerimine ja auditeerimine – isikuandmete töötlemisele tuleb kehtestada reeglid, toimingud isikuandmetega dokumenteerida ning teostada andmekaitsealane mõjuhinnang.

Praktilised andmekaitse probleemid

GDPR nõuete täitmise eeldus on tunnistada, et tegelikult töötleme isikuandmeid igal sammul. Siiski, kõigil isikuandmetel ega igal isikuandmete kogumise ja töötlemise viisil pole sama kaalu.

Isikuandmete kaitsel on organisatsioonides kolm peamist kitsaskohta:

  • Liigne isikuandmete kogumine;
  • (info)tehnoloogia või protseduuride nõrkus;
  • Töötajate vähene teadlikkus.

Järgnevad sammud aitavad neid kitsaskohti leevendada ning aitavad GDPR nõudeid täita.

Samm 1: Mõjuhinnang. GDPR nõuete täitmiseks on vaja muuta nii protseduure kui tehnilisi lahendusi. Muutmisvajaduse ulatuse peab kindlasti tuvastama, sest füüsilise isiku õigus olla unustatud ja tema õigus oma andmete vabale liikumisele ei rakendu automaatselt kõigile andmetele. Enamikule ettevõtte andmetele on muudest seadustest rakendatud säilitamise ja konfidentsiaalsuse nõuded, mida GDPR kehtetuks ei muuda. Kui on selge ülevaade nõuetest ja muutmisvajadusest, saab otsustada kui palju ressursse investeerida GDPR nõuete täitmiseks ja millist osa riskist tasub aktsepteerida.

Samm 2: Juriidiline ja tehniline analüüs. Kel on ISO 9001 kvaliteedijuhtimise süsteem juba juurutatud, on lihtne võtta ette olemasolevad protseduurid ning vaadata, kus neis isikuandmeid töödeldakse. Protsessides peab üle vaatama kõik punktid, kus klientidega seotud andmeid kogutakse ning analüüsima, kuidas neid andmeid käsitletakse.

Samm 3: Protseduuride ajakohastamine. GDPRi rakendamine nõuab privaatsuse nõuete raamistiku koostamist, andmekaitsespetsialisti tööülesannete sõnastamist, andmevoogude kaardistamist, nõusolekulepingute uuendamist, intsidentide käsitlemise süsteemi ja võimekust andmekaitseaudit läbimiseks. Protseduuride ajakohastamisel tasub uurida Andmekaitseinspektsioon on koostanud soovitusi avalikule sektorile andmekaitse üldmääruseks valmistumiseks.

Protseduuride ajakohastamine ongi tõenäoliselt kõige keerulisem samm, kuna tavaliselt ei ole keerukus mitte tehnilistes lahendustes, vaid sisemiste protsesside ümber kujundamises, mis nõuab protsesside analüüsi, uute protsesside kehtestamist ning töötajate koolitamist.

Samm 4. Auditeerimine ja raporteerimine. Kui auditit saab läbi viia omas tempos, siis intsidendi toimumise korral on vaja valmis plaani diagnostikaks, kommunikatsiooniks ja Andmekaitseinspektsioonile raporteerimiseks. Kolm ööpäeva intsidendi raporteerimiseks on ülilühike tähtaeg ja tegevusplaani puudumine tähendab praktikas kogu äri seisakut kuni tegevusplaani tekkimiseni.

Samm 5. Keep it going. Tõsised intsidendid isikuandmete kaitsel ei juhtu tõenäoliselt uute protseduuride kehtestamisel, vaid kui see on muutunud rutiiniks. Regulaarne koolitamine ja juhendamine aitavad ennetada tõsiste intsidentide tekkimist

Mida on vaja kliendilepingutes muuta?

Paljud organisatsioonid koguvad isikuandmeid eristamata, milliseid andmeid on neil vaja otseselt lepingu täitmiseks ning millised on „taustainfo klientide paremaks teenindamiseks“. Näiteks kliendi esindaja rekvisiidid lepingus ja/või arvetel on vajalikud lepingu täitmiseks ja nende kustutamist ei saa esindaja nõuda. Lisaks on vaja lepingud kindlasti säilitada vähemalt 3 aastat juriidiliste vaidluste lahendamiseks ja arved seitse aastat, et Maksuamet rahul oleks. Kuid kliendi esindaja perekondlik seis ja lapsed ei ole enam lepingu täitmiseks otseselt vajalik info, kuigi taoline info võimaldab osutada kvaliteetsemat teenust. Kui taoline lisainfo kirja on pandud, peab selle isiku nõudmisel kustutama.

Lepingu täitmiseks vajalik õigustatud huvi ja parema teenuse osutamiseks vajalik nõusolek on edaspidi vaja tuua eraldi lepingutesse, et vältida nõusoleku tagasivõtmisega automaatset lepingu lõpetamist.

Mida on vaja IT lahendustes muuta?

Uuendamine tööle. Loomulikult tuleb kõikide süsteemide tarkvara hoida ajakohasena, et vältida tehnilistest puudustest tulenevaid andmekaitse riske. Kaasaaegsete tarkvarade ajakohasena hoidmine tähendab nende uuendamist vähemalt kord kuus.

Hoia isikuandmeid ühekordselt. Andmekaitsemäärus sätestab, et isikuandmeid võib töödelda vaid eesmärgi täitmiseks: „isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse“. Paljud ettevõtted segmendivad oma kliente nende ostukäitumise järgi. GDPR ei nõua, et ettevõte peaks kogu info kustutama (see muudaks profiilid valeks), vaid kliendi nõudmisel ei tohi saada tema kohta kogutud profiiliandmeid temaga seostada.

Mida teeb IT partner GDPR nõuete täitmiseks? Microsoft on väheseid tehnoloogia-ettevõtteid, kes on juba varakult hakanud GDPR nõuete täitmiseks oma tarkvara täiendama. Office 365 teenustes on tehtud lihtsaks andmete klassifitseerimine ning andmelekete vältimise reeglite seadmine. Lisaks teostab Microsoft regulaarselt privaatsuse auditeid.

GDPR nõuetega viivad ennast tasapisi kurssi ka Eesti ettevõtted, kuid on kõrge risk, et paljud kohalikud tarkvarad ei võimalda andmekaitsemääruse nõudeid täita.

[1] General Data Protection Regulation. http://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32016R0679

Määratlemata

NAV365 – „NAV365 – pilvelahendus kasvavale ja arenevale ettevõttele

Eelmine uudis

järgmine uudis

Juhtimine Tehnoloogia

Aku Sorainen: tehisintellekt – kirves advokaatide pea kohal?

VÕTA ÜHENDUST