Uus isikuandmete kaitse üldmäärus - viis sammu täitmiseks | Primend Uus isikuandmete kaitse üldmäärus - viis sammu täitmiseks | Primend

Uus Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR – General Data Protection Regulation) hakkab kehtima 2018. aasta mais. GDPR on Euroopa Liidu liikmesriikidele otsekohalduv ning vastuolud Eesti seadustega ei takista selle rakendamist. Õnneks oleme e-Eesti, e-Tervise, e-Residentsuse jt teemadega olnud digitaliseerimise esirinnas ning suuri põhimõttelisi muutusi GDPR Eesti jaoks ei tähenda.

Ettevõtetelt ja riigiasutustelt nõuab andmekaitsereform senisest rangemaid reegleid füüsiliste isikute andmete kaitsmiseks ning füüsilised isikud saavad suurema kontrolli oma isikuandmete üle. Kuna reeglistik ühtlustub kogu Euroopa Liidu digitaalsel ühisturul, lihtsustab isikuandmete kaitse üldmäärus liidu sisest e-kaubandust. Samad reeglid hakkavad kehtima ka väljaspool Euroopa Liitu asuvatele ettevõtetele, kes osutavad ühisturul teenuseid või müüvad kaupu.

Isikuandmete kaitse uued nõuded

GDPR nõuete täitmiseks on vaja muuta nii protseduure kui tehnilisi lahendusi. Muutmisvajaduse ulatust ei ole sugugi lihtne määratleda, sest füüsilise isiku õigus olla unustatud ja tema õigus oma andmete vabale liikumisele ei rakendu sugugi automaatselt kõigile andmetele. Enamikule ettevõtte andmetele on muudest seadustest rakendatud säilitamise ja konfidentsiaalsuse nõuded, mida isikuandmete kaitse üldmäärus kehtetuks ei muuda. Isikuandmete kaitse üldmäärus seab järgmised kohustused:

  • Õigus olla unustatud – füüsilise isiku nõudel peab andmetöötleja oma süsteemidest kustutama isikut puudutava personaalse info ning suutma esitada kustutamise kohta tõendeid;
  • Andmete ülekantavus – füüsilise isiku kohta kogutud andmed peavad olema korrastatud selliselt, et neid oleks nõudmisel võimalik teisaldada ühest süsteemist teise;
  • Andmete kogumise reeglid – milliseid andmeid kogutakse õigustatud huvi ja milliseid nõusoleku alusel;
  • Andmekaitsespetsialist – avaliku sektori asutustel ja suurematel andmetöötlejatel on kohustus määrata andmekaitsespetsialist;
  • Teavitamiskohustus – isiku õiguseid ja vabadusi kahjustada võivatest infoturbeintsidentidest tuleb teavitada nii isikut kui järelevalveasutust;
  • Dokumenteerimine ja auditeerimine – isikuandmete töötlemisele tuleb kehtestada protseduurid, dokumenteerida isikuandmetega tehtud toimingud ning teostada andmekaitsealane mõjuhinnang.

Kõige suurem muutus on seotud karistustega andmekaitse nõuete vastu eksimisel. Trahvisumma maksimum on 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest, kumb iganes on suurem.

Testi, kas Sinu ettevõte on andmekaitsemääruse jõustumiseks valmis lehel andmekaitseteenused.ee.

Isikuandmete kaitse tagamise tegevuskava

Selleks, et oma ettevõte või avaliku sektori asutus viia andmekaitsemäärusega kooskõlla, on vaja:

  1. Mõista millises ulatuses GDPR ettevõttele/asutusele rakendub.
  2. Kaardistada andmevood – kus ja milliseid isikuandmeid töödeldakse.
  3. Kehtestada isikuandmete töötlemise (kliendilepingud) ja avastamise protseduurid.
  4. Intsidentide raporteerimise reeglid ja auditeerimise kava.

GDPR rakendamise ulatus ja mõjuhinnang

Iga tegutsev ettevõte või asutus kogub füüsiliste isikute kohta ühel või teisel moel andmeid. Pole vahet, kas andmed kuuluvad klientidele või töötajatele. Seepärast peavad kõik ettevõtted aru saama, millised on määruse raames nende õigused andmeid töödelda ja kohustused füüsiliste isikute ees andmete turvalisuse tagamisel.

Andmekaitse üldmääruse II peatüki artikkel 5 esitab isikuandmete töötlemise põhimõtted järgmiselt:

  1. Isikuandmete töötlemisel tagatakse, et
    1. töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);
    2. isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);
    3. isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);
    4. isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kasutusele kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);
    5. isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);
    6. isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);
  2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).

Kuigi need printsiibid on esitatud alles üldmääruse keskel, lähtuvad neist siiski kõik nõuded.

GDPRi rakendamine nõuab tavaliselt privaatsuse nõuete raamistiku koostamist, andmekaitsespetsialisti tööülesannete defineerimist, riskijuhtimise raamistiku koostamist, andmevoogude kaardistamist, nõusolekulepingute uuendamist, intsidentide raporteerimise süsteemi loomist ja võimekuse loomist auditit läbida / tõestada võimekuse olemasolu. Andmekaitseinspektsioon on koostanud soovitused avalikele asutustele andmekaitse üldmääruseks valmistumiseks, kuid sellest võivad eeskuju võtta ka eraettevõtted.

Andmevoogude kaardistamine

Andmekaitse üldmääruseks valmistumine nõuab põhjalikku andmevoogude ja andmekogude kaardistamist. Neil, kes on infoturbepoliitika rakendamiseks andmekogud juba kaardistanud, on mõnevõrra lihtsam. Kuid silmas tuleb pidada, et GDPR kontekstis muutub andmete omaniku definitsioon. Kuigi andmekogu omanik infoturbe kontekstis võib olla äriüksus, on andmekogus asuvate isikuandmete omanik füüsiline isik. Seega peab edaspidi eristama nii füüsilist andmekogu, loogilist andmekogu kui ka andmekogus olevaid kirjeid või isegi konkreetsele füüsilisele isikule kuuluvaid andmeid üle mitme andmekogu.

Taoline situatsioon pakub infoturbe auditeerimisele lähiaastatel põnevaid väljakutseid.

Tegevusprotsesside ja andmevoogude kaardistamise käigus avastatakse alati uusi kohti, kuhu töötajad tundlikke andmeid salvestavad. Siis peab otsustama, kas lisada need asukohad andmekogude nimekirja, keelata nende asukohtade kasutamine või seada muud reeglid, mis tagaksid neis asukohtades olevate andmete konfidentsiaalsuse. Lisaks on vaja otsustada, kas neis asukohtades olevad andmed on sellised, mida füüsilisel isikul on õigus ettevõtte käest välja nõuda. Ning mida teha andmekandjatega nagu märkmepaber, printeriväljatrükid ja mälupulgad, mis võivad samuti sisalda tundlikke andmeid?

GDPR, andmekaitsemäärus, uus andmekaitsemäärus, andmekaitse üldmäärus

Ära ei tohi unustada ka oma personali andmeid, mis on samuti füüsiliste isikute andmed. Samuti peab üle vaatama varu- ja arhiivikoopiate poliitikad. Ja ära määratlema andmed, mida ettevõte hoiab alles võimalike lepinguliste vaidluste lahendamiseks.

Isikuandmete töötlemise ja avastamise protseduurid

GDPRi rakendamise valguses peab tõenäoliselt üle vaatama enamiku ettevõtte protseduurireeglitest. Kuna protseduurireeglite muutmine on tavaliselt vaevaline, nõuab nii mõttetööd, proovimist kui koolitamist, on protseduuride uuendamisega mõistlik alustada võimalikult vara. Tasub meeles pidada, et muutmine hõlmab protseduure, mis on juba olemas.

Lisaks olemasolevatele protseduuridele on vaja läbi mõelda, kuidas

  • küsida füüsiliselt isikult nõusolekut tema andmete töötlemiseks;
  • anda nõudmisel füüsilisele isikule tema andmed üle;
  • kustutada nõudmisel oma infosüsteemist füüsilise isiku andmed;
  • tõendada infosüsteemist andmete kustutamist;
  • käituda infoturbeintsidendi korral;
  • teavitada kõiki nõutud osapooli infoturbeintsidendi toimumisest.

Praegustes kliendilepingutes on sageli segamini andmetöötlus õigustatud huvi ja füüsilise isiku nõusoleku alusel. Lepingu täitmiseks vajalik õigustatud huvi ja nõusolek on edaspidi vaja tuua eraldi lepingutesse, et vältida nõusoleku tagasivõtmisega automaatset lepingu lõpetamist. Seega peavad ettevõtted täpsemalt lahti kirjutama, milliseid andmeid nad koguvad õigustatud huvi alusel, et lepingut täita ning millised andmeid kogutakse nõusoleku alusel, et luua näiteks paremaid soovitusi.

Kuna üha enam ettevõtteid kogub oma klientide kohta profiili-infot, siis tasub infosüsteemides füüsiliste isikute andmed ja „ostjaprofiilid“ lahti siduda. Sellisel juhul ei tehta analüüsi enam konkreetsete isikute andmetega ning isikuandmete kustutamisel süsteemist ei kao ära analüüsiks vajalik profiili-info.

GDPR isikuandmete kasutamine turunduses, uus andmekaitse üldmäärus, andmekaitse määrus, isikuandmete kaitse üldmäärus

Arvestades valdkonna keerukust, on GDPR vastavuse loomiseks vaja kaasata organisatsiooni sees protsessijuhid, juriidilised nõustajad ning tehnilised nõustajad kokku lepitud protseduuride rakendamiseks.

Intsidentide raporteerimise kava

Andmekaitse üldmääruses kirjeldatud andmete turvalisuse rikkumise intsidentide raporteerimine on mõistlik läbi mõelda enne esimest intsidenti. Kui varem olid ranged nõuded intsidentidest raporteerimiseks ainult avalikel asutustel, siis nüüd on kõigile samad nõuded. Andmekaitseinspektsioonile peab esitama teate intsidendi toimumisest hiljemalt 72 tunni jooksul peale intsidendist teada saamist. See on aeg on väga napp kui samal ajal peab tegelema tagajärgede likvideerimise, mainekujunduse ja kõige muu seonduvaga.

Andmekaitsespetsialist

Andmekaitsespetsialisti peavad määrama kõik organisatsioonid, mis vastavad vähemalt ühele neist nõuetest:

  • avaliku sektori asutus või organ (sh omavalitsus, kool),
  • andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine (näit kauplus, haigla, krediidiasutus),
  • andmetöötlejad, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Eranditena võib välja tuua näiteks perearsti, kes küll töötleb isikute andmeid, kuid mitte suures ulatuses. Andmekaitsespetsialisti peavad aga kindlasti määrama sideteenuste osutajad, otseturundajad, kaubandusketid, elektri-ettevõtted, online-meedia ettevõtted ja nutirakenduste kaudu suhtlevad ettevõtjad.

(Lisaks eeltoodule, peavad andmekaitsespetsialisti määrama ettevõtted, kellel on rohkem kui 250 töötajat. Sellised ettevõtted töötlevad suures ulatuses oma töötajate personaalseid andmeid. Parandus: nõuet ei ole GDPR lõppversioonis)

Andmekaitsespetsialist võib olla ettevõtte töötaja nii põhi- kui lisakohustusena, ettevõtte osakond või ka väline teenusepakkuja. Andmekaitseinspektsioon on ära kirjeldanud soovitused andmekaitsespetsialisti ülesannetele ja kompetentsidele.

GDPR andmekaitse spetsialist, uus andmekaitsemäärus, isikuandmete kaitse määrus

Uue isikuandmete kaitse üldmääruse järgi peavad paljud ettevõtted palkama andmekaistespetsialisti

Uus isikuandmete kaitse üldmäärus – kokkuvõte

Uus isikuandmete kaitse üldmäärus toob endaga kaasa rea muutusi. Enne tegutsema hakkamist on vaja mõista, kuidas andmekaitsemäärus mõjutab just teie ettevõtet? Kuigi isikuandmete kaitse üldmäärus mõjutab kõiki ettevõtteid ja avalikke asutusi, siis andmekaitse spetsialisti määramise kohustus on siiski vaid suurematel ja süstemaatilist isikuandmete analüüsi tegevatel organisatsioonidel. Tehniliselt ja protseduuriliselt keerukas on isikuandmete valikuline kustutamine, isikuandmete ülekandmine ja kustutamise tõestamine. Lisaks juriidilised probleemid isikute nõusoleku küsimisel. Seda kõike kirja pannes ei tundugi mai 2018 enam väga kaugel…