Autor: Kaubandus.ee • 9. november 2017
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Mida peavad ettevõtjad teadma uuest EL andmekaitsemäärusest?

Järgmise aasta maikuus jõustub Euroopa Liidu Andmekaitse Regulatsioon (General Data Protection Regulation - GDPR), mille eesmärk on lõpetada põhjendamatu isikuandmete töötlemine ja talletamine. Uue määruse valguses peavad ettevõtted hakkama üle vaatama isikuandmete käsitamisega seonduvaid protsesse.

„Isikuandmed on defineeritud väga laialt. Põhimõtteliselt on need kõik andmed, mis puudutavad füüsilist isikut. Kui ettevõttel on kliendiandmebaas, tagasiside või soovituste ankeet, e-posti aadressid, fotod, turvakaamerate salvestised, kliendilojaalsusprogrammi andmed, CV’d ja muud sellised andmed, siis uus määrus on ettevõtte suhtes kohaldatav,“ selgitab Squalio juhtiv jurist Elina Girne.

Elisa Eesti peajurist Allan Aedma märgib Elina Girnele lisaks, et EL liikmesriikides jõustuv määrus on ettevõtjatele heaks põhjuseks viia läbi põhjalik üle-ettevõtteline inventuur IT-süsteemides ja andmebaasides, kohtades kus kliendiandmeid töödeldakse või säilitatakse. „Oluline on meeles pidada, et kliendiandmete töötlemine ei hõlma üksnes aktiivseid toiminguid kliendiandmetega nagu näiteks kliendiandmete korrigeerimine või muutmine, vaid andmekaitsemääruse nõuetele peab vastama ka kliendiandmete säilitamine, seda serverites kui pilves, ka nende andmete vaatamine ja kõikvõimalikud muud seonduvad toimingud.“

Kuidas valmistuda uueks määruseks?

Ettevõte peab olema teadlik oma riskidest ja isikuandmete mahust. On oluline neid mitte ainult õigesti säilitada vaid ka määrata, kelle jaoks on need kättesaadavad. Elisa peajurist tõdes siinjuures, et üheks ettetulevaks murekohaks on kindlasti ettevõtte infosüsteemides kõigi selliste kohtade üles leidmine, kus mingil kujul kliendiandmeid eksisteerida võib.

„Paljud Eesti ettevõtted on oma ajaloo jooksul teinud läbi mitmeid ühinemisi ja omandamisi, kus liitmisele on kuulunud ka eri ettevõtete erinevatel platvormidel olevad andmebaasid. Kui eestlaslikult tahetakse sellistel puhkudel reeglina kõik vanad andmed ja andmekandjad n-ö igaks juhuks alles hoida põhimõttel – ehk läheb kunagi vaja, siis andmekaitsemääruse lähenemise kohaselt peab igasugusel kliendiandmete töötlemisel olema selge alus ja taolist igaks juhuks kliendiandmete säilitamist ei ole lubatud,“ selgitab Aedma lähenevat muudatust, pannes südamele, et ettevõtja peab olema igal ajal valmis tõendama, et temapoolne kliendiandmete töötlemine on õiguspärane, andmete töötlemine toimub turvalises keskkonnas ja klientidele andmekaitsemäärusega antavaid õigusi saavad kliendid ka praktikas kasutada.

Samm 1: analüüsi andmete kogumist – et oleks võimalik hallata ja kaitsta isikuandmeid, tuleb esmalt mõista, kus kohas ja mis eesmärgil neid andmeid kogutakse. Selleks otstarbeks on mitmed tarkvaratootjad rajanud aktuaalse tarkvarakategooria „eDiscovery“, mis võimaldab hallata efektiivselt ja kiiresti enda käsutuses olevaid struktureeritud (andmebaasid) ja struktureerimata andmeid (PDF, Word, Excel, ja e-postid);Samm 2: andmehaldus - töötada välja andmevoolu siseprotsessid ning selgelt defineerida, millistel ettevõtte töötajatel on ligipääs isikuandmetele (nt raamatupidajail);Samm 3: andmekaitse - üks IT turvalisuse põhitingimustest on kõikide lõppkasutajate seadmete (sealhulgas nutiseadmete) andmete krüpteerimine kõvaketta tasemel. Mida suurem isikuandmete maht ettevõttes, seda suurem risk, et need võivad sattuda valedesse kätesse. Sellepärast tasub mõelda ka krüpteerimisvõimalustele failisüsteemi tasemel;Samm 4: andmete jälgimine ja teatamine - ettevõtte IT infrastruktuuris tuleb tagada jälgimissüsteem, mis kontrollib arvutivõrgud, kasutajate ebatüüpilist autoriseerimisaktiivsust ja käitumist, et hetkel, kui toimub sissemurdmine ettevõtte infrastruktuuri, oleksid vastutavad töötajad sellest aegsasti informeeritud.

Muidugi selliste lahenduste käitamiseks on vajalik arvestatav serverite võimsus, sellepärast väikeste ja keskmiste ettevõtete jaoks on kõige kergem saavutada vajalik funktsionaalsus, kasutades andmete hoiustamisel pilveteenust, kus eDiscovery funktsionaalsus on juba sisse töötatud. Sellisteks näideteks on ka Microsoft ja Google oma pilveteenuste - Office 365 ja Google G Suite’iga.

Squalio rõhutab, et järgmise aasta maikuu ei ole enam mägede taga ning selleks, et korralikult valmistuda GDPR määruse jaoks, tuleb esimesi samme astuda juba praegu.

Liitu Kaubanduse uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Maarit EermeKaubandus.ee juhtTel: 514 4884
Cätlin PuhkanKaubandus.ee turunduslahenduste müügijuhtTel: 5331 5700
Merit VõigemastKaubandus.ee toimetajaTel: 5471 0757