Isikuandmete kaitse üldmääruse (GDPR) teemadel tõstatub sageli küsimus, kas ISKE juurutanud asutus on GDPR nõuded täitnud. Vastus on, et tõenäoliselt mitte!
Kuigi ISKE-l ja GDPR-il on palju kattuvaid osi ja kattuvaid eesmärke, on neil mitmeid erisusi. ISKE tegeleb ennekõike infosüsteemide turbega, mida ütleb ka nimetus “Infosüsteemide Kolmeastmeline Etalonturve”. ISKE uutes versioonides on päris põhjalikult käsitletud isikuandmete kaitset (näit. M 2.501 isikuandmete kaitse haldus) ja kuigi GDPR rakendudes 25. mail 2018, on vaja need ISKE juhise osad üle vaadata, on üldjoontes kogu GDPR nõuete skaala kaetud.
GDPR-i keskne teema on andmete kogumise õiguslik alus
Enamik ettevõtteid ja riigiasutusi ei ole korralikult läbi mõelnud isikuandmete kogumise õiguslikke aluseid ja ei ole seadnud andmetele kustutamise reegleid. ISKE juurutamine on tavaliselt IT osakonna ülesanne – tagada andmete säilimine, konfidentsiaalsus ja ligipääs. IT ei tegele andmete kogumise ja säilitamise õiguslike alustega.
GDPR nõuete täitmine algab isikuandmete kogumise, säilitamise ja kustutamise õiguslike aluste selgitamisest. Kui õiguslik pool on selge, jõuab tööjärg IT juurde ja alles reeglite / süsteemide tehnilisel kirjeldamisel tuleb ISKE mängu.
ISKE juurutamine on riigiasutuses osa GDPR nõuete täitmisest
Selleks, et GDPR juurutada, on vaja aru saada juriidilistest nõuetest ja läbi mõelda andmekaitse / infoturbe protsessid. Just teine pool on seotud ISKE-ga. ISKE on turbesüsteem, mis tegeleb püstitatud nõuete täitmisega. Nõuded tulenevad aga isikuandmete kaitse üldmääruses sätestatust.
GDPR ja ISKE toetavad teineteist, kuid ei ole kattuvad.
30.08.2017