19. juuni 2017
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Isikuandmete kaitse nõuded muutuvad, kuid paanika on asjatu

Foto: pixabay.com
2018. aasta mais hakkab kehtima isikuandmete kaitse üldmäärus. Praegu on viimane aeg hakata nii avaliku sektori organisatsioonidel kui ka erasektori ettevõtetel hindama, kas ja mil määral on vaja teha muudatusi isikuandmete haldamises ehk viia läbi vastavuse hindamine. Oluline osa võimalikest tegevustest on isikutelt isikuandmete töötlemise nõusolekute küsimine või uuendamine, kui seni kogutud nõusolekud ei kata uue määruse nõudeid.

Seda tuleks teha sõltumata sellest, et rakendusakte ei ole Eestis veel koostatud. Oluline osa võimalikest tegevustest on isikutelt isikuandmete töötlemise nõusolekute küsimine või uuendamine, kui seni kogutud nõusolekud ei kata uue määruse nõudeid. Oluline on meeles pidada, et määrus hakkab kehtima kõigi isikuandmete kohta, mida organisatsioon on kogunud – ka nende kohta, mis on kogutud enne 2018. aasta maikuud.

Peab arvestama, et sõltuvalt organisatsiooni suurusest võtab protsess, et aru saada, kas ja mida on vaja muuta, aega keskmiselt neli kuni kuus kuud. Ei tasu ka unustada nõuet, et läbi tuleb viia nii riskihindamine kui ka andmekaitse mõju hindamine.

Soovitame igal organisatsioonil mõelda läbi vastused järgmistele küsimustele:

1. Mis liiki andmeid te kogute (kas kõik on seadusega ette nähtud/kohustuslikud või mitte?)? Kui kogute teisi andmeid (lisaks seaduses ettenähtule, nt reklaami ja turunduse eesmärgil), siis kas nende jaoks küsitakse kliendilt eraldi nõusolekut ning kas nõusolekust on kontrolljälg?

2. Kuidas te isikuandmeid säilitate (kas andmed on süstematiseeritud, kas infosüsteemis on võimalik näha isiku nõusolekut jne)?

3. Kui kaua te andmeid säilitate?

4. Kas palute kliendil oma andmeid uuendada? Kui jah, siis mis viisil ja kui tihti?

5. Kas te jagate andmeid kolmandate osapooltega või välisriiki (või olete hoopis ise volitatud töötleja)?

6. Kas kogu protsess, sh andmete kogumine, säilitamine, kolmandate osapooltega jagamine jne, on kirjeldatud ka sisemises eeskirjas?

7. Kas töötajate seas korraldatakse andmekaitsealaseid koolitusi?

Andmekaitse määruse rakendamisega seotud teenused

Grant Thornton Baltic pakub välja kolmeastmelise tee, et ettevõtetel oleks mugav ja lihtne uue määruse nõuetele üle minna. On selge, et organisatsioonid peavad hindama, kas nende igapäevasest tegevusest tulenevalt on vaja teha muutusi sisemistes protsessides või IT-süsteemides.

Esmane ja lihtsaim samm on teha organisatsioonisisene enesehindamine. Selleks, et enesehindamine oleks võimalikult lihtne ja mugav ning teataks, milliste nõuete puhul tuleb oma sisemisi tegevusi hinnata, on välja töötanud andmekaitse üldmäärusele üleminekuks valmisoleku hindamiseks enesehindamise küsimustik, mida iga organisatsioon saab iseseisvalt kasutada.

Kui enesehindamise käigus selgub, et kõik protsessid ja tegevused ei ole üldmääruse nõuetega kooskõlas, on asjakohane teha detailsem hindamine. Seda selleks, et aru saada, milliseid isikuandmeid kogutakse, kus neid hoitakse, kuidas on nende turvaline haldamine tagatud, sh määratletud vastutus organisatsiooni sees jne. Selleks on kõige lihtsam teha vastavusaudit. Sageli tuleb auditi käigus kaardistada ka isikuandmete käitlemise kohad, sest sageli ei tea organisatsioonid, kus ja millised isikuandmed süsteemides on. Ei tasu karta, et tegemist on kuluka tegevusega. Kuna hindamine on standardne, siis on auditi tegemine kiire ja efektiivne ning seetõttu ka soodne.

Tähtis on, et auditi tegemisel ei piirdutaks vaid protsesside hindamisega, vaid antaks kliendile maksimaalset lisaväärtust. Seetõttu hinnatakse vastavusauditi käigus ka IT-süsteemide vastavust üldmääruses sätestatud andmete töötlemise nõuetega. Kui aga auditi käigus selgub, et organisatsioonil on vaja teha oma infosüsteemis arendusi, et tagada määruse nõuetele vastavus ning andmete turvaline käitlemine, tuleb koostada IT-süsteemi arenduse lähteülesanne ettevõtte infosüsteemi arendajale. IT- süsteemi arenduseks lähteülesande koostamine on aeganõudev, aga kui enne on tehtud vastavusaudit, siis on juba teada, mida ja kuidas on organisatsiooni infosüsteemi ülesehituses või funktsionaalsuses vaja muuta. Seetõttu on ka lähteülesande koostamine lihtne ja loogiline samm.

Uues üldmääruses nimetatakse ka andmekaitsealase mõjuhinnangu koostamist. Kuna kõik organisatsioonid on erinevad, tuleb ka mõjuhinnang teha igal organisatsioonil nn enda nägu – lähtudes sellest, milliseid isikuandmeid, mis eesmärgil ja kuidas kogutakse ja töödeldakse, millised on IT-süsteemide funktsionaalsused jms. Mõjuhinnangu peavad tegema kõik need andmetöötlejad, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õiguste ja vabaduste õige käsitlemise suhtes suur risk. Sellesse gruppi kuuluvad nt küpsiste, IP-aadresside ja ruumidele ligipääsude jälgimine, finantssektori teenused (investeerimine, kindlustus jms), terviseandmete töötlemine, kasutajate andmetöötlus e-poes, kliendikaardiga ostuandmete töötlemine jaekaubandusettevõtetes; andmetöötlus, kus kombineeritakse ja võrreldakse erinevatest allikatest pärinevaid isikuandmete koosseise (Big Data ehk suurandmetöötlus) jne.

Allikas: Grant Thornton Baltic

Liitu Personaliuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Liitu Personaliuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Helen RootsPersonaliuudised.ee juhtTel: 55 988 223
Cätlin PuhkanPersonaliuudised.ee turunduslahenduste müügijuhtTel: 53 315 700
Mirell SoaseppKonverentside programmijuhtTel: 55 565 456