25. mail jõustunud Euroopa Liidu uus isikuandmete kaitse üldmäärus (GDPR) on toonud postkastidesse e-kirjade tulva, kus ettevõtted küsivad nõusolekut isikuandmete edasiseks töötlemiseks. Kõige selle juures on aga sageli jäänud tähelepanuta, et juriidilise töö kõrval vajab GDPRi täitmine ka hulgaliselt IT-lahendusi ja töökorralduslikke meetmeid.
GDPRi paragrahv 32 ütleb, et andmetöötleja peab rakendama ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, mis muuhulgas hõlmavad isikuandmete pseudonümiseerimist ja krüpteerimist, süsteemide ja teenuste konfidentsiaalsust, terviklikkust ning kättesaadavust, andmete ja neile juurdepääsu õigeaegset taastamist rikete või turvaintsidentide korral ning kõigi meetmete korrapärast testimist. Määruse kohaselt võetakse vajaliku turvalisustaseme hindamisel arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige nende hävitamist, kaotsiminekut, muutmist, loata avalikustamist või neile juurdepääsu.
Ilma IT-lahenduste ja tööprotsesside ülevaatamiseta ei saa neid nõudeid täita vaatamata GDPRiga kooskõlla viidud juriidikale ning klientidelt nõusolekute küsimisele. Meie praktika ettevõtete konsulteerimisel on näidanud, et üpris sageli on kaitsmata erinevad nutiseadmed, kuhu samuti töö käigus isikuandmed satuvad, samuti võidakse neid talletada mälupulkadele või kasutada töötajate isiklikke kontosid pilvelahendustes. Samuti on esinenud selgeid vajakajäämisi andmete krüpteerimise ja varundamise ning keskse autentimise osas.
Ka kohustus väljastada inimesele tema kohta kogutud andmed ja suutlikkus need tahteavalduse korral kõigist süsteemidest kustutada eeldab järeleproovitud IT-lahendust ning tööprotsessi. Eraldi arutelu väärib teema, kas andmete varundamine on isikuandmete töötlemine. Kui inimene soovib olla unustatud, ei pruugi kustutamine olla võimalik varundatud andmetes. Näiteks võivad säilitamisele kuuluda 10 viimase aasta jooksul tehtud varukoopiad andmebaasist ning nende kõigist neist konkreetse inimese andmete eemaldamine on tehniliselt keerukas, kui mitte võimatu.
GDPR on tänaseks küll jõustunud, kuid kas selleks ettevalmistusi tegemata jätnud ettevõtted on lõplikult rongist maha jäänud? Uued andmekaitsereeglid nõuavad pidevat tegutsemist ning seetõttu tuleks kindlasti kohe pihta hakata. Nagu ikka, algab kõik kaardistusest, mis andmetega ettevõte üleüldse opereerib. Kui see on selge, siis saab ära piiritleda isikuandmed ning kirjeldada, kus neid hoitakse: näiteks pilves, kontoris asuvas serveris, mõne töötaja arvutis, välisel andmekandjal vms. Seejärel peab defineerima andmete liikumise korra, näiteks kas see toimub ainult ettevõttele kuuluvas IT-taristus või ka mujal.
Enne taolist kaardistust ei ole võimalik mingeid asjakohaselt turvameetmeid kavandada. Näiteks on paljudes ettevõtetes ligipääsuõiguste haldamiseks kasutusel Active Directory, kuid ainuüksi see ei aita. Esmalt on ikkagi vaja kasutusõiguste halduse korda ning andmete ja ligipääsuõiguste struktuuri, et keskne autentimine ka praktikas tööle hakkaks.
Kahtlemata ei ole uute andmekaitsenõuete täitmine võimalik ilma juriidilise abita ning seepärast teevad isikuandmete volitatud töötleja teenust pakkuvad IT-firmad koostööd ka õigusbüroodega. Tehnilisi meetmeid planeerides peaks aga iga ettevõte lähtuma IT-arengu hetkeseisust, et vältida n-ö üleinvesteerimist turvalahendustesse. Siiski peab tunnistama, et GDPRis loetletud turvameetmed olid vajalikud igale firmale ka enne üldmääruse jõustumist.
Raido Vahi
See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.
+372 581 62 450
Artikkel ilmus portaalis ITuudised.ee 15.06.2018.
Loe lisaks: