Mida uueks andmekaitsemääruseks valmistumise tegevuskavas silmas pidada?
*Blogikande lugemiseks kulub ca 7 minutit.
2018. aasta mais kehtima hakkav Isikuandmete kaitse üldmäärus (GDPR – General Data Protection Regulation) seab ranged isikuandmete töötlemise nõuded. Andmekaitsespetsialist peab kindlasti olema kõigil riigiasutustel. Füüsilistel isikutel on igal ajal õigus nõuda oma isikuandmete muutmist, kustutamist või üleandmist. Isikuandmete kaitse nõuete rikkumisel tuleb sellest 72 tunni jooksul teavitada Andmekaitse Inspektsiooni ja inimesi, kelle andmetega rikkumine oli seotud. Nõuete mittetäitmisel ähvardab trahv kuni 20 miljonit eurot või veelgi suurem. Kuidas sellises andestamatus keskkonnas toimetada?
GDPR ehk uus andmekaitsemäärus võeti vastu juba 2016. aasta kevadel. Kahe-aastane viiteaeg jõustumiseni annab indikatsiooni nõuete täitmiseks vajalikust tööde mahust. Kuna GDPR on otsekohaldatav, siis puudujäägid või vastuolud Eesti seadustes ei takista määruse rakendamist.
Järgnev ei ole ammendav GDPR nõuete loetelu, vaid olulisemad muudatused võrreldes senise praktikaga.
Õigus olla unustatud – füüsilise isiku nõudel peab andmetöötleja oma süsteemidest kustutama isikut puudutava personaalse info ning suutma esitada kustutamise kohta tõendid;
Andmete ülekantavus – füüsilise isiku kohta kogutud andmed peavad olema korrastatud selliselt, et neid oleks nõudmisel võimalik teisaldada ühest süsteemist teise;
Andmete kogumise reeglid – ettevõte peab suutma näidata, milliseid andmeid kogutakse õigustatud huvi ja milliseid nõusoleku alusel;
Andmekaitsespetsialist – avaliku sektori asutustel ja suurematel andmetöötlejatel on kohustus määrata andmekaitsespetsialist;
Teavitamiskohustus – isiku õigusi ja vabadusi kahjustada võivatest infotrubeintsidentidest tuleb teavitada nii isikut kui järelevalveasutust, milleks on Eestis Andmekaitse Inspektsioon;
Dokumenteerimine ja auditeerimine – isikuandmete töötlemisele tuleb kehtestada reeglid, toimingud isikuandmetega dokumenteerida ning teostada andmekaitsealane mõjuhinnang.
Praktilised andmekaitse probleemid
GDPR nõuete täitmise eeldus on tunnistada, et tegelikult töötleme isikuandmeid igal sammul. Siiski, kõigil isikuandmetel ega igal isikuandmete kogumise ja töötlemise viisil pole sama kaalu.
Isikuandmete kaitsel on organisatsioonides kolm peamist kitsaskohta:
- Liigne isikuandmete kogumine
- (info)tehnoloogia või protseduuride nõrkus
- Töötajate vähene teadlikkus
Järgnevad sammud aitavad neid kitsaskohti leevendada ning aitavad GDPR nõudeid täita.
GDPR, uus andmekaitsemäärus, GDPR tegevuskava
Samm 1: Mõjuhinnang. GDPR nõuete täitmiseks on vaja muuta nii protseduure kui tehnilisi lahendusi. Muutmisvajaduse ulatuse peab kindlasti tuvastama, sest füüsilise isiku õigus olla unustatud ja tema õigus oma andmete vabale liikumisele ei rakendu automaatselt kõigile andmetele. Enamikule ettevõtte andmetele on muudest seadustest rakendatud säilitamise ja konfidentsiaalsuse nõuded, mida GDPR kehtetuks ei muuda. Kui on selge ülevaade nõuetest ja muutmisvajadusest, saab otsustada kui palju ressursse investeerida GDPR nõuete täitmiseks ja millist osa riskist tasub aktsepteerida.
Samm 2: Juriidiline ja tehniline analüüs. Kel on ISO 9001 kvaliteedijuhtimise süsteem juba juurutatud, on lihtne võtta ette olemasolevad protseduurid ning vaadata, kus neis isikuandmeid töödeldakse. Protsessides peab üle vaatama kõik punktid, kus klientidega seotud andmeid kogutakse ning analüüsima, kuidas neid andmeid käsitletakse.
Samm 3: Protseduuride ajakohastamine. GDPR-i rakendamine nõuab privaatsuse nõuete raamistiku koostamist, andmekaitsespetsialisti tööülesannete sõnastamist, andmevoogude kaardistamist, nõusolekulepingute uuendamist, intsidentide käsitlemise süsteemi ja võimekust andmekaitseauditi läbimiseks. Protseduuride ajakohastamisel tasub uurida Andmekaitse Inspektsiooni koostatud soovitusi avalikule sektorile andmekaitse üldmääruseks valmistumiseks.
Protseduuride ajakohastamine ongi tõenäoliselt kõige keerulisem samm, kuna tavaliselt ei ole keerukus mitte tehnilistes lahendustes, vaid sisemiste protsesside ümber kujundamises. See aga ulatuslikku tööd – protsesside analüüsi, uute protsesside kehtestamist ning töötajate koolitamist.
Samm 4: Auditeerimine ja raporteerimine. Kui auditit saab läbi viia omas tempos, siis intsidendi toimumise korral on vaja rakendusvalmis tegevuskava diagnostikaks, kommunikatsiooniks ja Andmekaitse Inspektsioonile raporteerimiseks. Kolm ööpäeva intsidendi raporteerimiseks on ülilühike tähtaeg ning tegevusplaani puudumine tähendab praktikas kogu äri seisakut kuni tegevusplaani tekkimiseni.
Samm 5: Keep it going. Tõsised intsidendid isikuandmete kaitsel ei juhtu tõenäoliselt uute protseduuride kehtestamisel, vaid kui need on muutunud rutiiniks. Regulaarne koolitamine ja juhendamine aitavad ennetada tõsiste intsidentide tekkimist
Millist muutust nõuab GDPR kliendilepingutes?
Paljud organisatsioonid koguvad isikuandmeid eristamata, milliseid andmeid on neil vaja otseselt lepingu täitmiseks ning millised on „taustainfo klientide paremaks teenindamiseks“. Näiteks kliendi esindaja rekvisiidid lepingus ja/või arvetel on vajalikud lepingu täitmiseks ja nende kustutamist ei saa esindaja nõuda. Lisaks on vaja lepingud kindlasti säilitada vähemalt 3 aastat juriidiliste vaidluste lahendamiseks ja arved seitse aastat, et Maksuamet rahul oleks. Kuid kliendi esindaja perekondlik seis ja lapsed ei ole enam lepingu täitmiseks otseselt vajalik info, kuigi taoline info võimaldab osutada kvaliteetsemat teenust. Kui taoline lisainfo kirja on pandud, peab selle isiku nõudmisel kustutama.
Lepingu täitmiseks vajalik õigustatud huvi ja parema teenuse osutamiseks vajalik nõusolek on edaspidi vaja tuua eraldi lepingutesse, et vältida nõusoleku tagasivõtmisega automaatset lepingu lõpetamist.
Mida on vaja IT lahendustes muuta?
Uuendamine tööle. Loomulikult tuleb kõikide süsteemide tarkvara hoida ajakohasena, et vältida tehnilistest puudustest tulenevaid andmekaitse riske. Kaasaaegsete tarkvarade ajakohasena hoidmine tähendab nende uuendamist vähemalt kord kuus.
Hoia isikuandmeid ühekordselt. Andmekaitsemäärus sätestab, et isikuandmeid võib töödelda vaid eesmärgi täitmiseks: „isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse“. Paljud ettevõtted segmendivad oma kliente nende ostukäitumise järgi. GDPR ei nõua, et ettevõte peaks kogu info kustutama (see muudaks profiilid valeks), vaid kliendi nõudmisel ei tohi saada tema kohta kogutud profiiliandmeid temaga seostada.
Mida teeb IT partner uue andmekaitsemääruse nõuete täitmiseks? On oluline, et teie IT partner veenduks ettevõtte süsteemide võimekuses GDPR nõuetega toime tulla. Vajadusel tuleb süsteemid ümber vahetada, et vastavus tagada. See on aga keeruline ja ajamahukas protsess, millega peaks juba praegu aktiivselt tegelema. Microsoft on üks väheseid tehnoloogia-ettevõtteid, kes on juba varakult hakanud GDPR nõuete täitmiseks oma tarkvara täiendama. Office 365 teenustes on tehtud lihtsaks andmete klassifitseerimine ning andmelekete vältimise reeglite seadmine. Lisaks teostab Microsoft regulaarselt privaatsuse auditeid.
Hea uudis on, et GDPR nõuetega viivad ennast tasapisi kurssi ka Eesti tarkvara ettevõtted, kuid on kõrge risk, et paljud kohalikud tarkvarad ei võimalda andmekaitsemääruse nõuandeid täita.
Kokkuvõte
GDPR ei ole midagi hirmsat. Uus andmekaitsemäärus on ellu kutsutud, et tagada eraisikutele teave nende kohta kogutud andmetest. Ettevõtetelt nõuab uus andmekaitsemäärus küll hulganisti tööd, kuid jälgides lihtsalt ja konkreetset tegevuskava ning omades häid IT ja õiguspartnereid, on võimalik edukalt õigeks ajaks kooskõlla jõuda.
Kui teil tekkis GDPR-i alaseid küsimusi, võtke meiega ühendust: Toomas Mõttus toomas.mottus@primend.com või lugege lisa meie kodulehelt.
Käesolev artikkel on esmakordselt avaldatud ajakirjas ÄRI ja IT.