Ilmselt olete juba kursis, et jooksva aasta 25. mail jõustub Euroopas uus isikuandmete kaitse üldmäärus (inglise keeles General Data Protection Regulation ehk GDPR). Tegelikkuses laieneb see seadus kõikidele maailma riikidele ja asutustele, kes tegelevad Euroopa Liidu füüsiliste isikute andmete töötlemisega.
Tegemist on Euroopa Liidu tasemel välja töötatud eelnõuga, mille seadusega vastavuses olemise kontroll usaldatakse igale riigile endile. Eestis hakkab asutuste ustele koputama Andmekaitse Inspektsioon (AKI), kelle ülesanne on kiirelt välja selgitada, kas ettevõtted on seadusega kooskõlas või sellele vastasel juhul esitatakse rahaline trahv.
Seadus on võetud vastu eesmärgiga kaitsta kõiki Euroopa Liidu füüsiliste isikute andmeid ning tagada neile oma isikuandmete omandiõigus, kuid paratamatult soodustab see ka küberkurjategijate tegevust. GDPR-i seadust mitte jälgides, võib trahv asutusele olla 4% asutuse aastasest globaalsest käibest või kuni 20 miljonit eurot, mis automaatselt suurendab küberpäti lunaraha numbrit, kui ta varastatud isikuandmed ebaseaduslikult rahaks tahab vahetada. Seega tekib reaalne vajadus teha kõik vajalikud sammud isikuandmete kaitseks tulevikus - olgu siis tegu erinevate reeglitega, mida andmete töötlemisel ettevõtte siseselt arvestatakse, konfidentsiaalsuslepingud töötajate/partneritega või andmete otsene kaitsmine nende röövimise eest.
Selleks, et suuremaid probleeme vältida ning tulevased kontrollvisiidid edukalt läbida, tuleks arvestada edasiste toimingutega.
Kõigepealt peaksite aru saama, kas tegelete füüsiliste isikute andmete töötlemisega (töötlemise all on silmas peetud kõiki tegevusi alustades kogumisest kuni hävitamiseni). Oluline on märkida, et füüsiliste isikute sekka kuuluvad sisuliselt kõik EU kodanikud olenemata tema rollist (töötaja, klient, partner jne).
Isikuandmeteks klassifitseeruvad järgmised nimetajad:
- Ees- ja perekonnanimi (v.a pseudonümiseerimine)
- Kodune aadress
- E-maili aadress
- Isikukood
- Passinumber
- IP aadress / MAC aadress
- Autonumber
- Biomeetriline informatsioon
- Kasutajanimi, hüüdnimi
- Juhiloa number
- Nägu, sõrmejälg, käekiri
- Krediitkaardi number
- Digitaalne identiteet
- Sünniaeg
- Sünnikoht
- Geneetiline informatsioon
- Telefoninumber
Järgmisena oleks soovitav korraldada audit, mille tulemusena saate hea ülevaate hetkeolukorrast ja aluse edasiste sammude planeerimisel. Kontrollima peaks järgnevat:
- Andmete töötlemisega seotud protseduure ning nende vajadusi;
- Andmete töötlemise õigusi;
- Isikuandmete kättesaadavust ettevõttesiseselt;
- Isikuandmete kättesaadavust väljastpoolt ettevõtet (partnerid, kliendid jm);
- Andmete ülekantavuse kontroll;
- Lepinguid partneritega;
- Andmete hoiustamise turvalisust;
- Andmete liigutamise turvalisust;
- Vastavalt eripärale täiendavad tegevused.
Seega on puhtalt selleks, kas ettevõte on seadusega vastuolus või mitte, tarvis teostada hulganisti tegevusi, mis vajavad tugevaid tehnilisi kui ka juriidilisi teadmisi. Andmekaitseeksperti võib osta sisse teenusena või palgata omale majja üks spetsialist.
Auditi tulemuste alusel saate info, et kokku panna andmete töötlemiseks vajalikud meetmed, mille põhjal vaadatakse üle kõikide isikuandmete töötlemise vajadused. Andmete töötlemine, millel ärilist vajadust ei ole lõpetatakse või viiakse vastavusse GDPR nõuetega.
Viimases ja kestvas etapis teostatakse kogu andmetöötlusprotsessile järjepidavat kontrolli, et vältida võimalikke kõrvalekaldeid loodud protsessidest, tagada isikuandmete turvalisus, andmete võimalik leke mistahes pahavara või inimese poolt ning vältida järgnevaid kontrollvisiite Andmekaitse Inspektsioonist.
Datafoxil on olemas tehnilised teadmised, juriidilised partnerid ning vajalikud riistvaralised ja tarkvaralised seadmed, mis võimaldavad kontrolli teostada väiksema ajakuluga, et uus seadus saabuks stressivabalt. Tutvu ka GDPRi täisteenusega:
www.datafox.ee/GDPR
Küsi lisa:
Raido Vahi
See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.
+372 581 62 450