• 09.11.17, 09:09
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

Mida peavad ettevõtjad teadma uuest EL andmekaitsemäärusest?

Järgmise aasta maikuus jõustub Euroopa Liidu Andmekaitse Regulatsioon (General Data Protection Regulation - GDPR), mille eesmärk on lõpetada põhjendamatu isikuandmete töötlemine ja talletamine. Uue määruse valguses peavad ettevõtted hakkama üle vaatama isikuandmete käsitamisega seonduvaid protsesse.
Mida peavad ettevõtjad teadma uuest EL andmekaitsemäärusest?
„Isikuandmed on defineeritud väga laialt. Põhimõtteliselt on need kõik andmed, mis puudutavad füüsilist isikut. Kui ettevõttel on kliendiandmebaas, tagasiside või soovituste ankeet, e-posti aadressid, fotod, turvakaamerate salvestised, kliendilojaalsusprogrammi andmed, CV’d ja muud sellised andmed, siis uus määrus on ettevõtte suhtes kohaldatav,“ selgitab Squalio juhtiv jurist Elina Girne.
Elisa Eesti peajurist Allan Aedma märgib Elina Girnele lisaks, et EL liikmesriikides jõustuv määrus on ettevõtjatele heaks põhjuseks viia läbi põhjalik üle-ettevõtteline inventuur IT-süsteemides ja andmebaasides, kohtades kus kliendiandmeid töödeldakse või säilitatakse. „Oluline on meeles pidada, et kliendiandmete töötlemine ei hõlma üksnes aktiivseid toiminguid kliendiandmetega nagu näiteks kliendiandmete korrigeerimine või muutmine, vaid andmekaitsemääruse nõuetele peab vastama ka kliendiandmete säilitamine, seda serverites kui pilves, ka nende andmete vaatamine ja kõikvõimalikud muud seonduvad toimingud.“
Kuidas valmistuda uueks määruseks?
Ettevõte peab olema teadlik oma riskidest ja isikuandmete mahust. On oluline neid mitte ainult õigesti säilitada vaid ka määrata, kelle jaoks on need kättesaadavad. Elisa peajurist tõdes siinjuures, et üheks ettetulevaks murekohaks on kindlasti ettevõtte infosüsteemides kõigi selliste kohtade üles leidmine, kus mingil kujul kliendiandmeid eksisteerida võib.
„Paljud Eesti ettevõtted on oma ajaloo jooksul teinud läbi mitmeid ühinemisi ja omandamisi, kus liitmisele on kuulunud ka eri ettevõtete erinevatel platvormidel olevad andmebaasid. Kui eestlaslikult tahetakse sellistel puhkudel reeglina kõik vanad andmed ja andmekandjad n-ö igaks juhuks alles hoida põhimõttel – ehk läheb kunagi vaja, siis andmekaitsemääruse lähenemise kohaselt peab igasugusel kliendiandmete töötlemisel olema selge alus ja taolist igaks juhuks kliendiandmete säilitamist ei ole lubatud,“ selgitab Aedma lähenevat muudatust, pannes südamele, et ettevõtja peab olema igal ajal valmis tõendama, et temapoolne kliendiandmete töötlemine on õiguspärane, andmete töötlemine toimub turvalises keskkonnas ja klientidele andmekaitsemäärusega antavaid õigusi saavad kliendid ka praktikas kasutada.
Samm 1: analüüsi andmete kogumist – et oleks võimalik hallata ja kaitsta isikuandmeid, tuleb esmalt mõista, kus kohas ja mis eesmärgil neid andmeid kogutakse. Selleks otstarbeks on mitmed tarkvaratootjad rajanud aktuaalse tarkvarakategooria „eDiscovery“, mis võimaldab hallata efektiivselt ja kiiresti enda käsutuses olevaid struktureeritud (andmebaasid) ja struktureerimata andmeid (PDF, Word, Excel, ja e-postid);Samm 2: andmehaldus - töötada välja andmevoolu siseprotsessid ning selgelt defineerida, millistel ettevõtte töötajatel on ligipääs isikuandmetele (nt raamatupidajail);Samm 3: andmekaitse - üks IT turvalisuse põhitingimustest on kõikide lõppkasutajate seadmete (sealhulgas nutiseadmete) andmete krüpteerimine kõvaketta tasemel. Mida suurem isikuandmete maht ettevõttes, seda suurem risk, et need võivad sattuda valedesse kätesse. Sellepärast tasub mõelda ka krüpteerimisvõimalustele failisüsteemi tasemel;Samm 4: andmete jälgimine ja teatamine - ettevõtte IT infrastruktuuris tuleb tagada jälgimissüsteem, mis kontrollib arvutivõrgud, kasutajate ebatüüpilist autoriseerimisaktiivsust ja käitumist, et hetkel, kui toimub sissemurdmine ettevõtte infrastruktuuri, oleksid vastutavad töötajad sellest aegsasti informeeritud.
Muidugi selliste lahenduste käitamiseks on vajalik arvestatav serverite võimsus, sellepärast väikeste ja keskmiste ettevõtete jaoks on kõige kergem saavutada vajalik funktsionaalsus, kasutades andmete hoiustamisel pilveteenust, kus eDiscovery funktsionaalsus on juba sisse töötatud. Sellisteks näideteks on ka Microsoft ja Google oma pilveteenuste - Office 365 ja Google G Suite’iga.
Squalio rõhutab, et järgmise aasta maikuu ei ole enam mägede taga ning selleks, et korralikult valmistuda GDPR määruse jaoks, tuleb esimesi samme astuda juba praegu.

Seotud lood

Uudised
  • 28.04.17, 09:59
Kuidas valmistuda andmekaitse üldmääruseks?
Andmekaitse Inspektsiooni peadirektor Viljar Peep juhendab, kuidas peaks ettevõtted valmistuma uue andmekaitsemääruse rakendamiseks ning millised on suurimad sisulised muutused.
  • ST
Sisuturundus
  • 12.12.24, 10:12
DSV müügijuht: meie kolm tugisammast on meie meeskond, meie IT ja meie kliendid
Rahvusvaheline logistikaettevõte DSV aitab Eesti tootjate ja kaupmeeste kaupu liigutada üle maailma nii mööda merd, maanteed kui ka õhus. DSV Estonia AS müügidirektor Peeter Luht nendib, et novembri lõppemisega saab mööda aasta kõige kiirem aeg, sest vastupidiselt eraisikutele on ettevõtjad oma suuremad saadetised enne jõulukuud aegsasti teele pannud.

Hetkel kuum

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi Kaubandus esilehele