Juristid annavad nõu: mida peaks ettevõtjad teadma uuest EL andmekaitsemäärusest?

Järgmise aasta maikuus jõustub Euroopa Liidu Andmekaitse Regulatsioon, mille valguses peavad ettevõtted hakkama üle vaatama isikuandmete käsitamisega seonduvaid protsesse.

Pilt: Scanpix

Juristid annavad nõu: mida peaks ettevõtjad teadma uuest EL andmekaitsemäärusest?

Järgmise aasta maikuus jõustub Euroopa Liidu Andmekaitse Regulatsioon, mille valguses peavad ettevõtted hakkama üle vaatama isikuandmete käsitamisega seonduvaid protsesse.

Järgmise aasta maikuus jõustub Euroopa Liidu Andmekaitse Regulatsioon (General Data Protection Regulation - GDPR), mille eesmärk on lõpetada põhjendamatu isikuandmete töötlemine ja talletamine. Uue määruse valguses peavad ettevõtted hakkama üle vaatama isikuandmete käsitamisega seonduvaid protsesse.

Määruse eesmärk on ajakohastada ning ühtlustada isikuandmete käsitamise nõuded kõigis liikmesriikides
Trahv määruse mittejärgimise eest on range - kuni 20 miljonit eurot või 4% käibest. Kui ettevõte on rahvusvaheline, siis trahv puudutab kogu grupi käivet
Infotehnoloogia ettevõte Squalio on valmistanud ettevõtjaile vabalt kättesaadavad juriidilised juhised, mis aitavad GDPRi nõuete täitmisel (lisatud teemat lihtsustav video ja link juhistele)
Uut EL andmekaitsemäärust kommenteerivad Squalio juhtiv jurist Elina Girne ja Elisa Eesti peajurist Allan Aedma


"Isikuandmed on defineeritud väga laialt. Põhimõtteliselt on need kõik andmed, mis puudutavad füüsilist isikut. Kui ettevõttel on kliendiandmebaas, tagasiside või soovituste ankeet, e-posti aadressid, fotod, turvakaamerate salvestised, kliendilojaalsusprogrammi andmed, CV’d ja muud sellised andmed, siis uus määrus on ettevõtte suhtes kohaldatav," selgitab Squalio juhtiv jurist Elina Girne.

Elisa Eesti peajurist Allan Aedma märgib Elina Girnele lisaks, et EL liikmesriikides jõustuv määrus on ettevõtjatele heaks põhjuseks viia läbi põhjalik üle-ettevõtteline inventuur IT-süsteemides ja andmebaasides, kohtades kus kliendiandmeid töödeldakse või säilitatakse. "Oluline on meeles pidada, et kliendiandmete töötlemine ei hõlma üksnes aktiivseid toiminguid kliendiandmetega nagu näiteks kliendiandmete korrigeerimine või muutmine, vaid andmekaitsemääruse nõuetele peab vastama ka kliendiandmete säilitamine, seda serverites kui pilves, ka nende andmete vaatamine ja kõikvõimalikud muud seonduvad toimingud."

Kuidas valmistuda uueks määruseks?

Ettevõte peab olema teadlik oma riskidest ja isikuandmete mahust. On oluline neid mitte ainult õigesti säilitada vaid ka määrata, kelle jaoks on need kättesaadavad. Elisa peajurist Allan Aedma tõdes siinjuures, et üheks ettetulevaks murekohaks on kindlasti ettevõtte infosüsteemides kõigi selliste kohtade üles leidmine, kus mingil kujul kliendiandmeid eksisteerida võib. "Paljud Eesti ettevõtted on oma ajaloo jooksul teinud läbi mitmeid ühinemisi ja omandamisi, kus liitmisele on kuulunud ka eri ettevõtete erinevatel platvormidel olevad andmebaasid. Kui eestlaslikult tahetakse sellistel puhkudel reeglina kõik vanad andmed ja andmekandjad n-ö igaks juhuks alles hoida põhimõttel – ehk läheb kunagi vaja, siis andmekaitsemääruse lähenemise kohaselt peab igasugusel kliendiandmete töötlemisel olema selge alus ja taolist igaks juhuks kliendiandmete säilitamist ei ole lubatud," selgitab Aedma lähenevat muudatust, pannes südamele, et ettevõtja peab olema igal ajal valmis tõendama, et temapoolne kliendiandmete töötlemine on õiguspärane, andmete töötlemine toimub turvalises keskkonnas ja klientidele andmekaitsemäärusega antavaid õigusi saavad kliendid ka praktikas kasutada.

 

  • Samm 1: analüüsi andmete kogumist – et oleks võimalik hallata ja kaitsta isikuandmeid, tuleb esmalt mõista, kus kohas ja mis eesmärgil neid andmeid kogutakse. Selleks otstarbeks on mitmed tarkvaratootjad rajanud aktuaalse tarkvarakategooria "eDiscovery", mis võimaldab hallata efektiivselt ja kiiresti enda käsutuses olevaid struktureeritud (andmebaasid) ja struktureerimata andmeid (PDF, Word, Excel, ja e-postid);
  • Samm 2: andmehaldus - töötada välja andmevoolu siseprotsessid ning selgelt defineerida, millistel ettevõtte töötajatel on ligipääs isikuandmetele (nt raamatupidajail);
  • Samm 3: andmekaitse - üks IT turvalisuse põhitingimustest on kõikide lõppkasutajate seadmete (sealhulgas nutiseadmete) andmete krüpteerimine kõvaketta tasemel. Mida suurem isikuandmete maht ettevõttes, seda suurem risk, et need võivad sattuda valedesse kätesse. Sellepärast tasub mõelda ka krüpteerimisvõimalustele failisüsteemi tasemel;
  • Samm 4: andmete jälgimine ja teatamine - ettevõtte IT infrastruktuuris tuleb tagada jälgimissüsteem, mis kontrollib arvutivõrgud, kasutajate ebatüüpilist autoriseerimisaktiivsust ja käitumist, et hetkel, kui toimub sissemurdmine ettevõtte infrastruktuuri, oleksid vastutavad töötajad sellest aegsasti informeeritud.

Muidugi selliste lahenduste käitamiseks on vajalik arvestatav serverite võimsus, sellepärast väikeste ja keskmiste ettevõtete jaoks on kõige kergem saavutada vajalik funktsionaalsus, kasutades andmete hoiustamisel pilveteenust, kus eDiscovery funktsionaalsus on juba sisse töötatud. Sellisteks näideteks on ka Microsoft ja Google oma pilveteenuste - Office 365 ja Google G Suite’iga.

Et lihtsustada ettevõtte tööd dokumentide korrastamisel on Squalio valmistanud ette tasuta juriidiliste dokumentide paki kasulike ja määrusele vastavate näidistega, mida saab alla laadida kodulehelt squalio.com. Sellest, mida kujutab endast uus GDPR määrus ja mida see tähendab, saab vaadata spetsiaalselt ettevalmistatud videost.  Squalio rõhutab, et järgmise aasta maikuu ei ole enam mägede taga ning selleks, et korralikult valmistuda GDPR määruse jaoks, tuleb esimesi samme astuda juba praegu.

Dokumentide pakk on allalaetav siit:  https://squalio.com/et/services/gdpr-uus-isikuandmete-kaitse-uldmaarus/

 

Laadimine...Laadimine...