Mida peavad ettevõtjad teadma uuest EL andmekaitsemäärusest?

GDPR Euroopa Liit
GDPR Euroopa Liit

Järgmise aasta maikuus jõustub Euroopa Liidu Andmekaitse Regulatsioon (General Data Protection Regulation - GDPR), mille eesmärk on lõpetada põhjendamatu isikuandmete töötlemine ja talletamine. Uue määruse valguses peavad ettevõtted hakkama üle vaatama isikuandmete käsitamisega seonduvaid protsesse.

„Isikuandmed on defineeritud väga laialt. Põhimõtteliselt on need kõik andmed, mis puudutavad füüsilist isikut. Kui ettevõttel on kliendiandmebaas, tagasiside või soovituste ankeet, e-posti aadressid, fotod, turvakaamerate salvestised, kliendilojaalsusprogrammi andmed, CV’d ja muud sellised andmed, siis uus määrus on ettevõtte suhtes kohaldatav,“ selgitab Squalio juhtiv jurist Elina Girne.

Elisa Eesti peajurist Allan Aedma märgib Elina Girnele lisaks, et EL liikmesriikides jõustuv määrus on ettevõtjatele heaks põhjuseks viia läbi põhjalik üle-ettevõtteline inventuur IT-süsteemides ja andmebaasides, kohtades kus kliendiandmeid töödeldakse või säilitatakse. „Oluline on meeles pidada, et kliendiandmete töötlemine ei hõlma üksnes aktiivseid toiminguid kliendiandmetega nagu näiteks kliendiandmete korrigeerimine või muutmine, vaid andmekaitsemääruse nõuetele peab vastama ka kliendiandmete säilitamine, seda serverites kui pilves, ka nende andmete vaatamine ja kõikvõimalikud muud seonduvad toimingud.“

Kuidas valmistuda uueks määruseks?

Ettevõte peab olema teadlik oma riskidest ja isikuandmete mahust. On oluline neid mitte ainult õigesti säilitada vaid ka määrata, kelle jaoks on need kättesaadavad. Elisa peajurist tõdes siinjuures, et üheks ettetulevaks murekohaks on kindlasti ettevõtte infosüsteemides kõigi selliste kohtade üles leidmine, kus mingil kujul kliendiandmeid eksisteerida võib.

„Paljud Eesti ettevõtted on oma ajaloo jooksul teinud läbi mitmeid ühinemisi ja omandamisi, kus liitmisele on kuulunud ka eri ettevõtete erinevatel platvormidel olevad andmebaasid. Kui eestlaslikult tahetakse sellistel puhkudel reeglina kõik vanad andmed ja andmekandjad n-ö igaks juhuks alles hoida põhimõttel – ehk läheb kunagi vaja, siis andmekaitsemääruse lähenemise kohaselt peab igasugusel kliendiandmete töötlemisel olema selge alus ja taolist igaks juhuks kliendiandmete säilitamist ei ole lubatud,“ selgitab Aedma lähenevat muudatust, pannes südamele, et ettevõtja peab olema igal ajal valmis tõendama, et temapoolne kliendiandmete töötlemine on õiguspärane, andmete töötlemine toimub turvalises keskkonnas ja klientidele andmekaitsemäärusega antavaid õigusi saavad kliendid ka praktikas kasutada.

  • Samm 1: analüüsi andmete kogumist – et oleks võimalik hallata ja kaitsta isikuandmeid, tuleb esmalt mõista, kus kohas ja mis eesmärgil neid andmeid kogutakse. Selleks otstarbeks on mitmed tarkvaratootjad rajanud aktuaalse tarkvarakategooria „eDiscovery“, mis võimaldab hallata efektiivselt ja kiiresti enda käsutuses olevaid struktureeritud (andmebaasid) ja struktureerimata andmeid (PDF, Word, Excel, ja e-postid);
  • Samm 2: andmehaldus - töötada välja andmevoolu siseprotsessid ning selgelt defineerida, millistel ettevõtte töötajatel on ligipääs isikuandmetele (nt raamatupidajail);
  • Samm 3: andmekaitse - üks IT turvalisuse põhitingimustest on kõikide lõppkasutajate seadmete (sealhulgas nutiseadmete) andmete krüpteerimine kõvaketta tasemel. Mida suurem isikuandmete maht ettevõttes, seda suurem risk, et need võivad sattuda valedesse kätesse. Sellepärast tasub mõelda ka krüpteerimisvõimalustele failisüsteemi tasemel;
  • Samm 4: andmete jälgimine ja teatamine - ettevõtte IT infrastruktuuris tuleb tagada jälgimissüsteem, mis kontrollib arvutivõrgud, kasutajate ebatüüpilist autoriseerimisaktiivsust ja käitumist, et hetkel, kui toimub sissemurdmine ettevõtte infrastruktuuri, oleksid vastutavad töötajad sellest aegsasti informeeritud.

Muidugi selliste lahenduste käitamiseks on vajalik arvestatav serverite võimsus, sellepärast väikeste ja keskmiste ettevõtete jaoks on kõige kergem saavutada vajalik funktsionaalsus, kasutades andmete hoiustamisel pilveteenust, kus eDiscovery funktsionaalsus on juba sisse töötatud. Sellisteks näideteks on ka Microsoft ja Google oma pilveteenuste - Office 365 ja Google G Suite’iga.

Squalio rõhutab, et järgmise aasta maikuu ei ole enam mägede taga ning selleks, et korralikult valmistuda GDPR määruse jaoks, tuleb esimesi samme astuda juba praegu.

Osale arutelus

Toetajad

Raadio ettevõtlikule inimesele

Hetkel eetris

Seotud lood

Jälgi Kaubandust sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

Tarkvara

Excellent pakub laoettevõtetele terviklikku lähenemist

Pidevalt suurenevate tegevusmahtude ja keerukate tarneahelate tõttu on oluline, et ettevõtte fookus püsiks põhieesmärgil ja ei varjuks tehniliste tegevuste taha. Ettevõtte eri funktsioonide ja osakondade tegevus peab käima käsikäes, sealhulgas raamatupidamine, müük ja laohaldus. Laoarvestus peab kajastuma ka finantsnäitajates ja vastupidi. Kuidas seda lahendada, räägib Excellent Business Solutionsi vanemkonsultant Eva-Mai Saard.

Lihtsam viis e-poe loomiseks

Müü oma tooteid kasutades Eesti suurimat pilve-põhist platvormi! Meie võimas e-poe lahendus annab sulle kõik vajalikud tööriistad ehitamaks endale sobiv e-pood.

Statistika

E-KAUBANDUS

Teabevara