ET EN
Isikuandmete kaitse

Isikuandmete kaitse nõuded muutuvad, kuid paanika on asjatu

Siiri Antsmäe Siiri Antsmäe

2018. aasta maikuus hakkab kehtima isikuandmete kaitse üldmäärus. Praegu on viimane aeg hakata nii avaliku sektori organisatsioonidel kui ka erasektori ettevõtetel ja kolmandal sektoril hindama, kas ja mil määral on vaja teha muudatusi isikuandmete haldamises ehk viia läbi vastavuse hindamine.

Seda tuleks teha sõltumata sellest, et rakendusakte ei ole Eestis veel koostatud. Oluline osa võimalikest tegevustest on isikutelt isikuandmete töötlemise nõusolekute küsimine või uuendamine, kui seni kogutud nõusolekud ei kata uue määruse nõudeid. Oluline on meeles pidada, et määrus hakkab kehtima kõigi isikuandmete kohta, mida organisatsioon on kogunud – ka nende kohta, mis on kogutud enne 2018. aasta maikuud.

Peab arvestama, et sõltuvalt organisatsiooni suurusest võtab protsess, et aru saada, kas ja mida on vaja muuta, aega keskmiselt neli kuni kuus kuud. Ei tasu ka unustada nõuet, et läbi tuleb viia nii riskihindamine kui ka andmekaitse mõju hindamine.

Soovitame igal organisatsioonil mõelda läbi vastused järgmistele küsimustele:

1. Mis liiki andmeid te kogute (kas kõik on seadusega ette nähtud/kohustuslikud või mitte?). Kui kogute teisi andmeid (lisaks seaduses ettenähtule, nt reklaami ja turunduse eesmärgil), siis kas nende jaoks küsitakse kliendilt eraldi nõusolekut ning kas nõusolekust on kontrolljälg?

2. Kuidas te isikuandmeid säilitate? (kas andmed on süstematiseeritud, kas infosüsteemis on võimalik näha isiku nõusolekut jne?).

3. Kui kaua te andmeid säilitate?

4. Kas te palute kliendil enda andmeid uuendada? Kui jah, siis mis viisil ja kui tihti?

5. Kas te jagate andmeid kolmandate osapooltega või välisriiki? (Või olete hoopis ise volitatud töötleja?).

6. Kas kogu protsess, sh andmete kogumine, säilitamine, kolmandate osapooltega jagamine jne on kirjeldatud ka sisemises eeskirjas?

7. Kas töötajate seas viiakse läbi andmekaitsealaseid koolitusi?

Andmekaitse määruse rakendamisega seotud teenused

Grant Thornton Baltic on loonud kolmeastmelise teenuste komplekti, et klientidel oleks mugav ja lihtne uue määruse nõuetele üle minna. On selge, et organisatsioonid peavad hindama, kas nende igapäevasest tegevusest tulenevalt on vaja teha muutusi sisemistes protsessides või IT-süsteemides.

Esmane ja lihtsaim samm on läbi viia organisatsioonisisene enesehindamine. Selleks, et enesehindamine oleks võimalikult lihtne ja mugav ning kliendid teaksid, milliste nõuete osas tuleb oma sisemisi tegevusi hinnata, oleme välja töötanud andmekaitse üldmäärusele üleminekuks valmisoleku hindamiseks enesehindamise küsimustiku, mida saab iga organisatsioon iseseisvalt kasutada.

Kui enesehindamise käigus selgub, et kõik protsessid ja tegevused ei ole üldmääruse nõuetega kooskõlas, on asjakohane teha detailsem hindamine. Seda selleks, et aru saada, milliseid isikuandmeid kogutakse, kus neid hoitakse, kuidas on nende turvaline haldamine tagatud, sh määratletud vastutus organisatsiooni sees jne. Selleks on kõige lihtsam läbi viia vastavusaudit. Sageli tuleb auditi käigus ka kaardistada isikuandmete käitlemise kohad, sest sageli ei tea organisatsioonid, kus ja millised isikuandmed süsteemides on. Ei tasu karta, et tegemist on kuluka tegevusega. Kuna hindamine on standardne, siis on auditi läbiviimine kiire ja efektiivne ning seetõttu ka soodne.

Siinkohal toon välja, et me ei piirdu vaid protsesside hindamisega, vaid soovime anda kliendile maksimaalset lisaväärtust. Seetõttu hindame vastavusauditi käigus ka IT-süsteemide vastavust üldmääruses sätestatud andmete töötlemise nõuetega. Kui aga auditi käigus selgub, et organisatsioonil on vaja teha oma infosüsteemis arendusi, et tagada määruse nõuetele vastavus ning andmete turvaline käitlemine, koostame IT-süsteemi arenduse lähteülesande teie infosüsteemi arendajale. IT- süsteemi arenduseks lähteülesande koostamine on aeganõudev, kuid kuna me oleme läbi viinud vastavusauditi, siis juba teame, mida ja kuidas on organisatsiooni infosüsteemi ülesehituses või funktsionaalsuses vaja muuta. Seetõttu on ka lähteülesande koostamine lihtne ning loogiline samm.

Uues üldmääruse nimetatakse ka andmekaitsealase mõjuhinnangu koostamist. Kuna kõik organisatsioonid on erinevad, tuleb ka mõjuhinnang teha igal organisatsioonil nn enda nägu – lähtudes sellest, milliseid isikuandmeid, mis eesmärgil ja kuidas kogutakse ning töödeldakse, millised on IT- süsteemide funktsionaalsused jms. Mõjuhinnangu peavad tegema kõik need andmetöötlejad, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õiguste ja vabaduste õige käsitlemise suhtes suur risk. Sellesse gruppi kuuluvad nt küpsiste, IP-aadresside ja ruumidele ligipääsude jälgimine, finantssektori teenused (investeerimine, kindlustus jms), terviseandmete töötlemine, kasutajate andmetöötlus e-poes, kliendikaardiga ostuandmete töötlemine jaekaubandusettevõtetes; andmetöötlus, kus kombineeritakse ja võrreldakse erinevatest allikatest pärinevaid isikuandmete koosseise (Big Data ehk suurandmetöötlus) jne.

Koolitused septembri lõpus

Loomulikult pakume ka koolitusi nii spetsialistidele kui ka audiitoritele. Meie koolituskavasse kuuluvad alates septembrist allolevad koolitused. Koolituste täpsema ajakava saadame juba augustis.

  • Isikuandmete kaitse üldmääruse põhitõed, mille käigus tutvustame määruse põhimõtteid, määruse rakendamisel kajastatud väärtõlgendusi, nõudeid IT-süsteemide funktsionaalsustele, riskide hindamise läbiviimise loogikat ning kohustust määrata organisatsioonis või ettevõttes keegi töötajatest andmekaitse ametnikuks.
  • Isikuandmete kaitse üldmääruse vastavusauditi läbiviimine – kuidas ja mida hinnata siseaudiitorina? Koolituse käigus käsitleme määruse üldnõudeid ja põhimõtteid, määruse rakendamise väärtõlgendusi, nõudeid IT-süsteemide funktsionaalsustele, isikuandmete töötlemisega seotud IT-süsteemide funktsionaalsuse hindamise võimalusi, riskide hindamise läbiviimise loogikat. Samuti saavad kõik osalejad kontroll-lehe, mille alusel on lihtne hinnata määrusele vastavust.