25. mail 2018 jõustuvad isikuandmete kaitse üldmääruse (GDPR – General Data Protection Regulation) nõuded. Mõni suhtub sellesse ehk kui tüütusse kohustusse, aga juhid mõistavad üldjuhul selle üllamat eesmärki.
Euroopa Liidu põhiõiguste harta sätestab igaühe õiguse isikuandmete kaitsele, täpsustades seda Artiklis 8: „Selliseid andmeid tuleb töödelda asjakohaselt ning kindlaks määratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. Igaühel on õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist.“
Isikuandmeid on siiani kaitsnud mitmed õigusaktid ja täiendavaid tehnilisi nõudeid isikuandmete kaitse üldmäärus ei sea. Minu hinnangul on vaid kaks sisulist muudatust:
- Isikuandmete käitlemise nõuete rikkumise rahalise vastutuse suurus (20 miljonit eurot või 4% globaalsest käibest)
- Andmete vastutava töötleja ja volitatud töötleja solidaarne vastutus
Kõik IT spetsialistid, kes siiani on seisnud selle eest, et süsteemides on juurutatud mõistlikud infoturbemeetmed, võivad olla rahulikud – revolutsioonilist muutust oodata ei ole. Peamised muudatused puudutavad äriprotsessi juriidilist poolt ja riski hindamise metoodikat. Andmesubjekti puudutava riski arvesse võtmine toob muudatusi äriprotsessi ja lisab nõudeid IT süsteemidele, kuid pigem loomuliku arengu kujul.
Andmetöötleja vastutus
Suurema pingutuse peavad tegema organisatsioonid, kes töötlevad isikuandmeid digitaalselt, et hinnata inimeste vaateid, seisukohti, isikuomadusi, harjumusi, huve, eelistusi, sotsiaalset staatust, käitumist, asukohta ja liikumist. Sama kehtib terviseandmete, poliitiliste vaadete, rassi, etnilise päritolu jms kohta. Kui ulatuslikult taolisi andmeid töödeldakse ning milline on selle töötlemise mõju füüsilisele isikule on arutelu teema juristidega.
Andmekaitseinspektsioon on koostanud loetelu süstemaatilise andmetöötluse aspektidest, mis on ohukriitilised ja nõuavad vastava spetsialisti määramist:
Paljud ettevõtted teevad taolisi toimingud oma kliendi tellimusel volitatud töötlejana. Vastutava töötleja ja volitatud töötleja solidaarne vastutus tähendab vastutust füüsilise isiku ees, isegi kui andmete töötlejal ei ole füüsilise isikuga otselepingut.
Andmekaitsemäärusest tulenevaid nõudeid ei saa kunagi pidada lõplikult täidetuks. Paljud nõuete täitmist puudutavad meetmed sõltuvad riskianalüüsist, mis võtab arvesse nii võimalikku ohtu andmesubjektile kui meetme rakendamise kulusid. Nii ohu suurus kui meetmete rakendamise kulu võib ajas muutuda.
Millest andmekaitsemääruse nõuete täitmist alustada?
Tavaliselt alustavad ettevõtted tervikliku juriidilise ja tehnilise auditiga. Juriidilise auditi eesmärk on mõista, millises ulatuses peab ettevõte muutma oma tegevusprotsesse, ning tehnilise auditi eesmärk on mõista, milline on ettevõtte tehniline valmisolek.
Juriidilise ja tehnilise auditi tulemus võiks olla järgmine:
- On koostatud esmane mõjuhinnang, mida hakatakse regulaarselt uuendama
- Juhtkond on teinud andmekaitsespetsialisti määramise või mittemääramise otsuse
- Juhtkonnal on andmekaitsemääruse nõuete täitmise tegevuskava
- On olemas nimekiri lepingutest, kus tuleb üle vaadata isikuandmete kogumise alused
- On olemas tegevuskava ja andmesubjektide päringutele vastamise juhend
- Juhtkonnal on rikkumiste menetlemise tegevuskava
GDPR – Milliseid tehnilisi meetmeid rakendada?
Andmehalduse tsentraliseerimine. Mida rohkemates süsteemides on andmed laiali, seda keerulisem on andmete kasutamist hallata. Seepärast on mõistlik analüüsida, kuidas äriprotsessi osi koondada vähematesse teenustesse ning kuidas koondada tegevuste logimine (töötlustoimingute register) ühte auditeeritavasse keskkonda.
Tegevuste logimise ja auditeerimise ulatus selgub tavaliselt arutelu käigus. Tegevuste logimise rakendamine tähendab tavaliselt muudatusi olemasolevates süsteemides ja täiendavat koormust süsteemile – investeering ja püsikulu. Lisaks nõuab iga auditilogi kontrollimise põhjendatus täiendavat auditeerimist. Seepärast on tegevustoimingute registreerimine valdkond, mis nõuab nii juristi kui tehnilise eksperdi kaasamist, et hinnata riski ja selle juhtimise kulusid.
Tingimusliku ligipääsu kehtestamine on tavaliselt järgmine samm peale kasutajanime ja parooli süsteemi kasutusele võtmist. Väikeses ettevõttes, kus kõik kolleegid suhtlevad iga päev, on kõigile võrdse ligipääsu võimaldamine ratsionaalne. Suures ettevõttes peab juba läbi mõtlema, kes millistele andmetele ligi saab, et vältida kuritahtlikku andmete kasutamist. Korralikule tingimusliku ligipääsu süsteemile on ka lihtsam rajada andmete klassifitseerimise ja markeerimise reegleid.
Andmete klassifitseerimine ja markeerimine tulevad mängu siis, kui analüüsi tulemusena on kindlaks määratud erinevatel alustel kogutud andmete säilitamise reeglid.
Kui nõusoleku alusel kogutud andmete edasiseks säilitamiseks omakorda nõusolekut ei ole, tuleb need kustutada. Andmetel peab olema küljes märge, millest kustutamise protseduuri käivitaja saab lähtuda kustutamise või mittekustutamise otsuse tegemisel. Samas peab aga tagama, et lepinguliste kohustuste täitmiseks või seaduses nõutud ulatuses kogutud andmed kindlasti säiliksid. Selleks on vaja andmed klassifitseerida ning määrata andmeklassidele konfidentsiaalsuse, säilitamise ja kustutamise reeglid.
Artikkel on esialgselt avaldatud ajakirjas Äri-IT.