Contents

Korras andmekaitse ettevõtte sees tagab paremad partnerlussuhted ning tugevama positsiooni läbirääkimistelaua taga, samas kui probleemid võivad isegi tükk aega pärast nende likvideerimist tähendada mitme miljoni euro suurust trahvi.

Isikuandmete kaitse üldmääruse rikkumine võib tuua kaasa hiiglaslikud trahvid. „Otsest ülempiiri trahvi suurusele pole, kõige sagemini räägitakse 20 miljonist eurost või 4 protsendist käibest,“ hoiatas nõustamisbüroo Grant Thornton Balticu andmekaitsespetsialist Indrek Keis Äripäeva raadiosaates "Kasvukursil".

Ekspert tõi näite, et Amazonile tehti hiljuti andmekaitse puudujääkide eest 700 miljonit eurot trahvi ning Iiri andmekaitse määras 200 miljonit samal põhjusel Whatsappile. „Eestis on need hoomamatud summad,“ märkis ta.

Pärsib ärisuhteid

Lisaks on andmekaitse oluline uute ärisuhete loomisel. „Nii nagu pangad peavad tundma oma klienti, on ettevõtetel oluline tunda oma partnerit,“ selgitas Keis. „Enne, kui kellegagi asutakse koostööd tegema ja edastatakse talle oma klientide või töötajate andmeid, tahab igaüks veenduda, kas partner suudab neid adekvaatselt ja määrusega kooskõlas kasutada,“ märkis Keis.

Tema sõnul võidakse partnerlussuhteid luues üksteist kindluse saamise nimel isegi auditeerida. „Kui auditi käigus selguvad puudujäägid, siis on nende võrra läbirääkimiste positsioon nõrgem,“ nentis Keis. Tema sõnul on probleem aga lahendatav, sest andmekaitsespetsialisti teenust saab turult sisse osta. „Rikkumise korral tuleb see alati kõrvaldada, kuid algamata koostöö puhul võib juhtuda, et potentsiaalne partner valib partnerluseks nüüd hoopis kellegi teise,“ hoiatas Keis.

Ohu märk ka investorile

Keis nendib, et puudulik andmekaitse on sageli ka põhjuseks, miks üks või teine investeering ettevõttesse tegemata jääb. „Kui tooteks on tarkvaralahendus või -rakendus, kus arhitektuuri poole pealt on tehtud otsuseid, mis ei toeta andmekaitsekorraldust, ei võimalda andmeid kustutada või kättesaadavust vastavalt vajadustele ja määrustele piirata, siis seab see piirid skaleeritavusele ja vastavusriskid on kõvasti suuremad,“ selgitas ta. „Sellisel juhul võib raske olla saada investorit ettevõttesse raha paigutama.“

Investorid on tundlikud veel firmade suhtes, kel on suured kliendibaasid. „Eks paljud meist on saanud e-kirju, et oled küll meie klient, kuid see palutakse üle kinnitada – see on tegelikkuses märk sellest, et konkreetne ettevõte pole kindel, kas baas on määrusega kooskõlas loodud, ja proovitakse saada nõusolek sinu andmete edasiseks kasutamiseks,“ selgitas Keis. „Osa kliendibaasidega on oht, et neid pole võimalik kasutada, sest reklaamiosakond pole andmeid korrektselt kogunud, see on ohu märk investorile.“

Kindlad reeglid paika

Ühtlasi tuleks igal ettevõtjal jälgida, kas tal on õigus mingeid andmeid praegu säilitada. „Säilitamise piirang ütleb, et midagi ei tohi säilitada ilma vajaduseta,“ rõhutas ta. „Lisaks toob see ettevõttele kaasa lisariskid,“ viitas ta võimalikule andmelekkele. Näiteks on siinkohal e-posti aadressid – kui nende omanik enam reklaami saada ei soovi, siis neid igaks juhuks alles hoida ei tohi. Veel peavad paljud andmed olema krüpteeritud. „Meditsiinisektoris terviseandmed, finantssektoris inimeste krediidivõimet puudutavad andmed,“ tõi Keis näiteid.

Lisaks peab olema võimalik määrata, kellel on andmetele juurdepääs. „Ligipääsu ei tohi anda neile, kes neid andmeid ei kasuta sellel eesmärgiks, milleks nad on kogutud,“ rääkis Keis näitena positiivsest krediidiregistrist, mille loomine on Eesti riigil käsil.

Tõendamiskohustus andmete kaitsjal

Nii trahvidest pääsemise, aga ka äripartnerite hulgas usalduse võitmise nimel tuleb Keisi sõnul igal ettevõtjal hoolitseda ise. „Andmeleke ei too alati kaasa trahvikohustust, viimane sõltub sellest, kui hoolas ise oldi,“ ütles ekspert. „Kui suudetakse ära näidata, et küberrünnaku vältimiseks võeti kasutusele kõik mõistlikud vahendid, siis ei pruugi karistust järgneda.“

Ka äripartnerid ootavad, et ettevõte suudaks igal sammul tõendada, et kõik on õigesti tehtud. „Tehingu korral võiks suuta näidata, et asjad on korras. Kui on suur kliendibaas, siis näidata, et andmed on kogutud seaduslikult,“ rõhutas Keis.

Kuulake saadet: