GDPR ehk isikuandmete kaitse üldmäärus - andmekäitluse kultuuri muutus

From ICO wiki
Jump to navigationJump to search

Sissejuhatus

Me elame digitaaliseerimisajastul, mida nimetatakse ka neljandaks tööstusrevolutsiooniks. Digitaliseerimise all me mõistame eelkõige andmete massilist käitlemist ning selle tulemusel vajamineva tulemi saamist. Kuna nimetatud valdkond on viimastel aastatel tormiliselit arenenud, tuleb nentida, et samal ajal ei ole aga andmekäitlemiseks vajaminevad reeglid ja seadusandlus ajaga kaasa läinud. Ainuüksi Euroopa Liidus on andmekaitseseadus muutmatul kujul kasutusel olnud põhimõtteliselt viimased 20 aastat. See on ka põhjuseks, et tänu valdkonna arengule, isikuandmete tähtsusele ning väärkasutamisele on tundlik teema muutunud üha kasvavaks probleemiks, mille lahenduseks, otsustas Euroopa Liit (EL) jõuliselt sekkuda.

Sellest tulenevalt on tänaseks ratifitseeritud General Data Protection Regulation (GDPR) üldmäärus, mis viib isikuandmete kaitse uuele tasemele ning asendab 1995. aastal jõustunud EL direktiivi. Samuti võiks tõdeda, et 2018. aastast kehtima hakkav andmekaitseseadus on seotud Internet of Things (IoT) + Internet of Everything (IoE) = Cloud tehnoloogia arengusuunaga ja raamistikuks liikmesriikide vahelisele vabale andmeliikumisele. Seega tekivad olukorrad, kus hakkavad liikuma suured andmehulgad, mis sisaldavad delikaatseid isikuandmeid. Andmeedastusega kaasnev andmekäitluse suund oli põhjuseks, miks tuli võtta vaatluse alla andmekäitlejad, pilveteenuse pakkujad ning nende teenuste haldajad.

Põhjused, miks GDPR võeti kasutusele:

  • Soov tugevdada ja ning ühtlustada andmekaitset
  • Kontrollida andmete liikumist väljaspool(e) ELi
  • Anda isikutele tagasi kontroll personaalse info üle
  • Muuta ja lihtsustada seadusandulust EL regulatsioonides
  • Asendada 1995. aasta vananenud andmekaitseseadus

Kuigi GDPR-ist räägitakse kui ELi andmekaitseseadusest on õigem öelda, et tegemist on ülemaailmse seadusega. Põhjus on lihtne, Euroopa Liidu kodaniku andmete kaitse peab olema tagatud nii Euroopa piires, kui ka väljaspool Euroopat (GDPR üldmäärus 2016/679/EL), tingimustel kui töödeldakse Euroopa Liidu kodaniku andmeid.[1] [2]

Mõisted

Järgnevalt on välja toodud mõned olulised GDPR mõisted:

AKI - andmekaitseinspektsioon

Andmesubjekt - füüsiline isik, kes kasutab või on avaldanud soovi kasutada vastutava töötleja tooteid või teenuseid ning kelle andmeid isikuandmete töötleja töötleb kooskõlas isikuandmete töötlemise põhimõtetega.

DPIA - data protection impact assessment ehk andmekaitse mõjuhinnang

DPO - data protection officer ehk andmekaitseametnik

GDPR - General Data Protection Regulation ehk isikuandmete kaitse üldmäärus

Isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (andmesubjekti) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal. [3]

Isikuandmete töötlemine – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine.

Isikuandmete piiriülene töötlemine – kas a) isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või b) isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigi.

Vastutav töötleja – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses.

Volitatud töötleja – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel.

Ajalugu

Ülevaade olulisematest GDPR-i sündmustest nagu ettepanekute tegemine ja muudatuste sisseviimine, heakskiitme ja jõustumine. [4]

Eelmised õigusaktid

1995. aasta 24. oktoobril loodi isikuandmete töötlemise reguleerimiseks andmekaitse direktiiv 95/46/EÜ.

Seadusandlikud ettepanekud

2012. aasta 25. jaanuaril tehti esialgne ettepanek Euroopa Komisjoni ajakohastatud andmekaitse reguleerimiseks.

2014. aasta märtsis kiitis Euroopa Parlament heaks uue määruse esimese versiooni määruse esimesel lugemisel.

2015. aasta 15. juunil kiitis Euroopa Liidu Nõukogu heaks esimese lugemise versiooni.

Kinnitamine ja vastuvõtmine

2015. aasta 15. detsembril jõudsid Euroopa Parlament ja Euroopa Liidu Nõukogu kokkuleppele lõpliku teksti osas. Ametlik allkirjastamine planeeritud 2016. aasta jaanuari algusesse.

2016. aasta jaanuaris toimus ametlik allkirjastamine. Sama aasta:

  • 8. aprill - vastuvõtmine Euroopa Liidu Nõukogu poolt;
  • 16. aprill - vastuvõtmine Euroopa Parlamendi pool;
  • Mai - määrus jõustub 20 päeva pärast selle avaldamist Euroopa Liidu Teatajas.

Jõustumine

2018. aasta mai - pärast kaheaastast üleminekuperioodi saab GDPR olema täies ulatuses täitmisele pööratavaks kogu Euroopa Liidus.

Mis andmeid GDPR kaitseb?

Isikuandmete kategoriseerimine

Igasugune teave – nii objektiivne kui ka subjektiivne teave isiku kohta, mis võib kujutada endast isikuandmeid, sõltumata sellest, millisel andmekandjal neid esitatakse.

Teave kellegi kohta – on seni jäänud sageli tähelepanuta, kuid on esmatähtis mõiste sisulise kohaldamisala määramisel, eriti seoses esemete ja uute tehnoloogiatega. See hõlmab ka teavet, mis võib kahtlemata mõjutada isiku kohtlemist või hindamist

Tuvastatud või tuvastatav – keskendub tingimustele, mille alusel tuleks isikut käsitada tuvastatavana, eriti vahendeid, mida vastutav töötleja või keegi muu võib tõenäoliselt kasutada selle isiku tuvastamiseks. Analüüsis on oluline osa sellel, milline on konkreetse juhtumi taust ja asjaolud.

Füüsiline isik – on seotud tingimusega, et isikuandmed puudutavad elavaid inimesi. [5]

Isikuandmed

GDPR kehtib isikuandmete kohta, mis tähendab mis tahes teavet tuvastatava isiku kohta, keda võib otseselt või kaudselt identifitseerida, eelkõige identifikaatoriga. See määratlus näeb ette isikuandmete, sealhulgas nime, identifitseerimisnumbri, asukohaandmete või veebi identifikaatori, mitmesuguseid isikuandmeid, mis peegeldavad tehnoloogia muutusi ja seda, kuidas organisatsioonid koguvad inimeste kohta teavet. GDPR kehtib nii automatiseeritud isikuandmete kui ka käsitsi sisestatud andmete puhul, kus isikuandmed on kättesaadavad vastavalt konkreetsetele kriteeriumidele. Pseudonüümeeritud isikuandmed - nt kodeeritud võti - võivad kuuluda GDPR-i reguleerimisalasse sõltuvalt sellest, kui raske on pseudonüümi omistada konkreetsele isikule.

Tundlikud isikuandmed

GDPR viitab tundlikele isikuandmetele kui "isikuandmete eriliikidele". Spetsiaalsed kategooriad hõlmavad konkreetselt geneetilisi andmeid ja biomeetrilisi andmeid, kui neid töödeldakse üksikisiku ainulaadsel tuvastamisel. Kriminaalkorras süüdimõistmiste ja õigusrikkumistega seotud isikuandmeid ei arvestata nende andmete hulka, kuid töötlemisele kohaldatakse samu täiendavaid kaitsemeetmeid. [6]

GDPR kaitse all olevad andmed

Järgnevalt on loetletud andmete liigid, mida GDPR kaitseb, ja mõned näited [7] [8]:

  • Põhilised isikuandmed: täisnimi, kodune aadress, isikukood, dokumendi number
  • Isiku geolokatsioon ja seadme andmed: hetkeasukoht, IP-aadress, küpsiste andmed, RFID-märgendid, brauseri küpsised,
  • Veebiandmed: hüüdnimed ja kasutajanimed, sotsiaalmeedia postitused ja pildid [9], e-mail
  • Tervise- ja geneetilised andmed: füüsiline tervis, psüühiline tervis, haigused
  • Biomeetrilised andmed: nägu, sõrmejäljed, allkiri
  • Pangaandmed: krediitkaardi andmed
  • Sõiduki ja juhi andmed: juhiloa number, auto andmed
  • Rassilised või etnilised andmed
  • Poliitilised arvamused
  • Seksuaalne orientatsioon

GDPRi 99 artiklit

GDRP koosneb 99 artiklist, millest teatud küsimused on jäetud liikmesriikide lahendada (50/99). Samuti tuleb arvestada, et teatud ulatuses peavad liikmesriigid muutma oma seadusandlust. [10]

Samuti viidatakse ettevõtetes käitumismustrite muutmist, mille hulka võib ka kuuluda andmekaitseametniku (DPO) määramine, muudatusi ettevõtte sisepoliitikas ning koolituste läbiviimiste vajadusi. Sisuliselt peab toimuma regulatsiooni mõjul ettevõtetes andmete inventeerimine, et määrata isikuandmete osa ning saadud tulemi põhjal nende hindamine andmekaitse vaatevinklist (DPIA). Tehnoloogiliste sammudena nähakse isiku ning delikaatsete andmete klassifitseerimise võimekust, andme seiret võimalike lekete märkamiseks, krüpteerimist ning hindamise võimekust praeguse ja nõutava tehnilise võimekuse vahel, et saavutada kontrollitud andmete käitlemine koos haldamisega.

Käesolev regulatsioon puudutab kõiki andmete töötlejaid kellele lähenetakse vastutusele tugineva põhimõtte alusel ehk vastutav töötleja vastutab põhimõtete täitmise eest ning ta peab suutma tõendada andmete käitlemist ja sellega kaasnevaid tegevusi.

Andmete piiriülene liikumine

Ettevõtte asumine väljaspool EL piire ei vabasta GDPR ülesmärgitud nõuetest. Samuti peavad töötlemise vastutuse võtma ettevõtted, kes kasutavad partneritena EL väliseid partnerid. Siinkohal tuleb rõhutada, et uus seadus ei mõjuta ainult EL liikmesriike, vaid ka riike, kes teevad koostööd või vahendavad kaupe ning teenuseid EL liikmesriikidega. Väljaspool ELi asuvad ettevõtted, kes tahavad siia oma teenust pakkuda, peavad EL esindaja määrama. Kuna kolmandate riikide tegevusi saab jälgida läbi lepinguliste kohustuste, tuleb isikuandmete töötlemisel kasutada ainult nende ettevõtete teenuseid kellel on GDRP valmidus või rahvusvahelised lepped, mis on vastavuses GDRP nõuetega (nt. EU-US Private Shield). EU-US Private Shield jõustus 2016. aasta juulis ning muutis eelmise, 6. oktoobril 2015. aastal, vastuvõetud leppe nimega Safe Harbour kehtetuks. [11]

Mida arvavad USA ettevõtted

Näitena PricewaterhouseCoopers (PwC) poolt USAs rahvusvaheliste ettevõtete seas läbi viidud küsitlus andis alljärgnevad tulemuse: [12]

  • 54% ettevõtetes peab GDPR küsimusi üheks prioriteetsemaks;
  • 71% neist on juba alustanud, 23% ei ole alustanud ning 6% on lõpetanud ülemineku;
  • Põhjuseks on toodud ülisuurt trahvi, mis kaasneb GDPR rikkumisega;
  • 75% loodab lahendada andmekaitse küsimused läbi kontserni siseeeskirjade;
  • 77% kasutab selleks EU-US Private Shield kokkulepet;
  • 64% jätab andmed Euroopasse;
  • 32% plaanib tegevust EL turul drastiliselt vähendada;
  • 26% plaanib EL turult lahkuda.

GDPR vastavuse saavutamine

Kuidas viib ettevõte enda protsessid vastavusse GDPR nõuetega?

See on üks raskemaid küsimus, sest puudub kontroll-leht, millele riste tõmmata ja öelda, et „tehtud“. Samuti ei aita varasemalt saadud sertifikaadid, sest GDPRi näol on omamoodi raamistikuga, mis sõltub eelkõige ettevõtte sisekultuurist ja inimeste mõttemaailmas toimunud muudatustest.

Et organisatsioon saavutaks vastavuse, siis peaks kõigepealt valima viisi, kuidas sellisele mastaapsele küsimusele läheneda, sest vastav ametkond võib kontrolli käigus esitab ettevõttele küsimused:

  • Kuidas organisatsiooni andmekaitse on viidud vastavusse GDRP nõutele?
  • Millised sisepoliitilised sammud on selleks ette võetud?
  • Mismoodi on lahendatud kogutavate andmete klassifitseerimine?
  • Millised on sammud andmete lekkimise korral?

Siinkohal peab esmalt vahet tegema küsimustele, kas küsitakse: “Kuidas on ettevõte vastavusse viidud?” või “Kas ettevõte vastab nõutele?”. Esimene küsimus tähendab laiemat ja pikaajalisemat protsessi ehk juhtimise ja infrastruktuuri sisepoliitiliste sammude vastavuse saavutamist. Teine küsimus on aga hetkeolukorra kohta “Jah” ning “Ei” vormis.

Arvestades ettevõtte, tehnoloogiliste ning seadusandluste dünaamilisusega, ei ole väga praktiline läheneda GDPR küsimusele lõpliku lahenduse vormis. Sest isegi traditsioonilised meetodid nagu auditid ja hinnangud ei pruugi anda vastust lõpliku olukorra kohta. Pigem võib öelda, et selline lahendus pakub vastust representatiivset tulemust, olukorra või lahendi läbivaatamisel, mis toimub minevikusündmuste ja kolmandate isikute järelduste ning tõenäosuste kohta, mida viiakse võrdlevasse vastavusse hetkenõuetega.

Võib öelda, et see on üks osa GDRP järelevalvest, mis vastab ettevõtte tegevuste andmekaitse katekooriale ja mida tuleks vaadata ühe osana, mis pakub paremat ülevaadet ettevõtte hetkeseisust. Sellest tulenevalt võib öelda, et “vastavus” on privaatsuse juhtimine ettevõttes ning selle jooksev rakendamine. Sellest tulenevalt tuleb otsustada, millise strateegia valiku kasuks otsustada.

Strateegiad

Vastavuse strateegia

Tegemist on strateegiaga mille kasutamine on piisav, et tagada enamus kohustuslikke ettevalmistustegevusi. Vahe on selles, et ta vastab enamusele GDPR vastavuse nõutele, kuid puudutab väga vähe ettevõttesiseseid reegleid, põhiprintsiipe, vabatahtlikke kokkuleppeid jms. Seda strateegiat kasutakse tihti piiriüleste lepingute juures (nt. eeskirjad). [13]

Vastavuse strateegiat on soovitatav valida ettevõtetele kui:

  • ettevõttes on madala või keskmise tasemega isikuandmete risk;
  • risk on küll suur, kuid kasutusel on piiratud ressursid;
  • andmekaitse on ettevõttes uus ning kiirem ja lihtsam on alustada vastavuse strateegiaga;
  • juhtudel kui DPO ei ole saanud juhtkonnalt oma tegevusteks toetust;
  • ettevõttes ei ole olnud andmekaitse lekkega intsidente ning ei ole olnud vajadust osaleda juurdlustes.

Sellel strateegial on järgmised mõned eelised. Näiteks vajab see läbiviimisel vähe ressursse, võimaldab lihtsamat kommunikatsiooni, loob piisava ja lihtsa mudeli, et leida õigustatult vajaminevaid ressursse.

Aruandluse strateegia

Tegemist ei ole millegi uuega, kuid tänu oma keerukusele on teda tänaseni väga vähe kasutatud. Sellise lähenemise keerukus tuleneb organisatsiooni kultuuri muutusest. Eesmärgiks ei ole ainult seaduses nõutud punktide täitmine, vaid eesmärk on töötajate ehk isikute eneseteadlikkuse tõstmine. [14]

Aruandlusstrateegia on soovitatav valida ettevõttete sellisel juhul, kui:

  • Ettevõtted, kelle jaoks privaatsushaldus on oluline nii tegevusvaldkonna siseselt, kui ka väliselt ning eesmärgiks ei ole ainult oma valdkonna vastutusala seadusandlusega vastavusse viimine.
  • On huvi luua ettevõttesisene isiku privaatsuskultuur.
  • Ettevõttes on juba läbi viidud mõni põhimõtteline muutus (näiteks keerukad tootmisprotsessid, kus ei ole tähtis ainult ühe kindla nõude täitmine).
  • Huvi tõsta reputatsiooni andmekaitsevaldkonnas.
  • Vajadus tõsta kliendi silmis usaldust.
  • Tegemist on korporatiivse ettevõttega, kus on vajadus tõsta piiriülese privaatsuse teadlikkust ning kus ei aita ainult kohaliku seadusandluse täitmine.
  • Valmistatakse ettevõtte viimist EU-US “Privacy Shield” nõuetega vastavusse.
  • Valmistutakse kolmandate osapoolte auditiks.

Plaan on, et eneseteadlikkuse tõstmisega vähendatakse haldus- ja käitlemiskulusid, kuna info ja auditite tellimiseks ei ole enam otsest vajadust. Märkusena peab aga välja tooma tõsiasja, et antud probleemi eest vastutaja ei saa olla IT osakond. Nõutud lahendused mis suunatakse IT osakonnale peavad tulema läbi spetsifikatsioonide. Spetsifikatsioon tuleb äriprotsessit, -loogikast ja riskianalüüsist. Spetsifikatsioonidest saab IT osakond juhendi, kuidas lahendusi automatiseerida ja skaleerida. Samuti peab olema tagatud juriidiline tugi, kes peab üle vaatama juriidilised aspektid, nagu näiteks dokumendid, et neid viia vastavusse GDPR nõuetega.

Isikuandmete töötlemise protseduur

GDPRi rakendamise valguses peab tõenäoliselt üle vaatama enamiku ettevõtte protseduurireeglitest. Kuna protseduurireeglite muutmine on tavaliselt vaevaline, nõuab nii mõttetööd, proovimist kui koolitamist, on protseduuride uuendamisega mõistlik alustada võimalikult vara. Tasub meeles pidada, et muutmine hõlmab protseduure, mis on juba olemas.

Lisaks olemasolevatele protseduuridele on vaja läbi mõelda, kuidas

  • küsida füüsiliselt isikult nõusolekut tema andmete töötlemiseks;
  • anda nõudmisel füüsilisele isikule tema andmed üle;
  • kustutada nõudmisel oma infosüsteemist füüsilise isiku andmed;
  • tõendada infosüsteemist andmete kustutamist;
  • käituda infoturbeintsidendi korral;
  • teavitada kõiki nõutud osapooli infoturbeintsidendi toimumisest.

Praegustes kliendilepingutes on sageli segamini andmetöötlus õigustatud huvi ja füüsilise isiku nõusoleku alusel. Lepingu täitmiseks vajalik õigustatud huvi ja nõusolek on edaspidi vaja tuua eraldi lepingutesse, et vältida nõusoleku tagasivõtmisega automaatset lepingu lõpetamist. Seega peavad ettevõtted täpsemalt lahti kirjutama, milliseid andmeid nad koguvad õigustatud huvi alusel, et lepingut täita ning millised andmeid kogutakse nõusoleku alusel, et luua näiteks paremaid soovitusi.

Kuna üha enam ettevõtteid kogub oma klientide kohta profiili-infot, siis tasub infosüsteemides füüsiliste isikute andmed ja „ostjaprofiilid“ lahti siduda. Sellisel juhul ei tehta analüüsi enam konkreetsete isikute andmetega ning isikuandmete kustutamisel süsteemist ei kao ära analüüsiks vajalik profiili-info. [15]

Andmeleke ja vastutus

Isikuandmete leke kirjeldus on toodud GDPR artiklites 33 ja 34. [16] [17] Peamiselt käsitletakse määruses ulatuslikku andmeleket, millele pannakse andmekäitlejale teatavaid kohustusi. Siiski tuleb arvestada, et ka väiksemate lekete korral on andmekäitlejal lekke tuvastamisel teavitamise kohtus – näiteks andmesubjekti teavitamine, et viimane saaks võtta kasutusele ettevaatusabinõud (nt paroolide muutmine)

Alljärgnevalt mõningad näidete ulatuslikest isikuandmete leketest:

  • Ettevõtte töötaja unustab lennujaama oma sülearvuti või varastatakse telefon, kus hoitakse krüpteerimata erinevaid töötajate andmeid.
  • Ettevõttejuhi postkasti murti sisse või kaaberdati muul viisil e-kirju, mis sisaldasid ka lihttabelikujul ettevõtte, partnerite ning klientide kontaktandmeid ning muud isikupõhist informatsiooni.
  • Töötajal kadus isikuandmetega USB mälupulk mis oli krüpteerimata kujul.
  • Nuhkvaraga õnnestus murda sisse ettevõtte andmebaasi ning ligi pääseda struktureeritud isikuandmetele.

Kõigil nendel juhtumite korral loetakse leket suureulatuslikuks, millele peab järgnema kaks teavitamise stsenaariumit: teavitada tuleks järelevalveametit ning kannatanut (andmesubjekti).

Järelevalveameti teavitamise kohustus:

  • Ulatuslike andmete lekke korral on ettevõttel kohustus teavitada põhjendamatute viivitusteta järelevalveasutust mitte hiljem kui 72 tunni jooksul.
  • Volitatud töötleja peab lekke korral teavitama koheselt vastutavat töötlejat.
  • Teavitamine peab sisaldama kirjeldust isikuandmete rikkumise kohta (sh ligikaudne kategooria), lekkinud andmete ulatus ehk ligikaudne andmesubjektide arv.
  • Kui ettevõttes on DPO (andmekaitseametnik) siis ka tema nimi ja kontaktandmed.
  • Tõenäosuse analüüs, rikkumise tagajärjed, ette võetud ning kavandatavad sammud, et leevendada lekke negatiivset mõju.

Teavitama ei pea, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele.

Andmesubjekti teavitamise kohustuses esinevad samasugused nõuded nagu kehtisid järelevalveameti teavitamisel. Teavitama ei pea, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele ning samuti ei pea andmesubjekte teavitama, kui tegevus nõuaks ebaproportsionaalseid jõupingutusi või kulu (näiteks teavitatakse läbi avaliku meedia)

Lekke ulatuslikkuse stsenaariumiga peab olema vastutav töötleja juba eelnevalt tegelenud. Näiteks peaks olema organisatsioonis kehtestatud asjakohased kaitsemeetmed (andmed olid krüpteeritud). Samuti tuleb peale juhtumit analüüsida ning võtta kasutusele parendamisvõtteid, et elimineerida võimalikud tulevased ohud andmesubjektide õigustele ja vabadusele.

Ettevõte peab olema valmis tõendama, et andme töötlemiseks mõeldud keskkonnas on võetud kasutusel parimad võimalikud kaitsemeetmed ja on mõeldud kõikidele andmetöötlusetappidele:

  • Nii volitatud,- kui vastutavad andmetöötlejad peavad veenduma rakendatavate turvameetmete asjakohasuses.
  • Ettevõttes peab olema juhised isikuandmetega seotud rikkumistest teavitamiseks.
  • Tuleb reguleerida rikkumistest teavitamise korda (sh kaasaaitamiskohustus).
  • Tuleb sõlmida volitatud töötlejaga leping.
  • Toimunust on vastutaval töötlejal dokumenteerimiskohustus. Soovitatav on ette valmistada blankett teavitamaks järelevalveametit, andmesubjekti ning registrit, kuhu vastav intsident kantakse. [18]
  • Andmeid on soovitatav lahus hoida (struktureerimata) ning krüpteeritult.
  • Tuleb hoida ja töödelda ainult ajakohaseid andmeid.
  • Tuleb arvestada trahvimääradega. [19]

Võimalik määratav trahv lähtub mitmest tegurist:

  • intsidendi laad,
  • raskustase ja rikkumise kestust,
  • hooletusmäär,
  • ettevõtte ja tehnoloogilised ettevalmistused,
  • tekkinud isikuandmete kategooria,
  • kas ettevõte teavitas järelevalveasutusele rikkumisest.

Samuti tuleb tähele panna, et eksimuste korral on trahvimäär progresseeruv: 1) hoiatus; 2) noomitus; 3) andmetöötluse peatamine; 4) trahv, kuni 20 miljonit või või 4% ettevõtte või kogu organisatsiooni käibest.

Ettevõtluse võimalikud sisepoliitilised ja kultuurilised muutused

GDPR jõustumine toob kaasa asutustes tugevad fundamentaalsed ja kultuurilised muutused. Kui tänaseks oleme harjunud arusaamaga, et andmed on vara, millel on või võib olla väärtus, siis alates 2018. aasta maist me peame ühtäkki kogu kogutud vara, mida võib olla läheb vaja – ära hävitama. Hävitamisel ning edasisel töötlemisel peame me ka minetama arusaama, et sellises ulatuses andmete hävitamine võib meile kaasa tuua konkurentsieelise kaotamise teatud tegevusvaldkondades. [20]

Suured ja väikesed ettevõtted

Suuremate ettevõtetega on olukord natukene lihtsam, sest ettevõtetesse tekib (olenevalt ettevõtte tüübist võib tegemist olla kohustusliku ametikohaga) uus töökoht, andmekaitseametnik. Andmekaitseametniku kohustus on omada ülevaadet ettevõttes töödeldavatest andmetest. Siinkohal on kentsakas tõsiasi, et andmekaitseametnik puutub andmetega väga vähe kokku – või siis ei puutu üldse. Peamisteks töötlejateks on osakonnad (nt personali, turunduse, finants jms osakonnad). Sellest tulenevalt oleks juba algetappides vaja kiiresti tegelema hakata ettevõtte mõtteviisi muutmisega ning andmehalduse jaoks struktuuri loomise ja selgitustöödega. [21]

Seega võib öelda, et DPO halduse alla kuulubki ettevõtte sisekultuuri loome, mille hulka võib lugeda ettevõtte andmekaitsepoliitika väljatöötamist, erinevad isikuandmete puutumatust käsitlevad koolitused. Samuti langeb tema kohustuste hulka õpitubade läbiviimine, kuidas oleks õige füüsiliste isikute andmeid töödelda osakondade lõikes ja kuidas tagasisidet anda. DPO peaks lahendama ka küsimusi seoses seaduse endaga, seaduste tõlgendutega, eetikaga jms.

Sellest tulenevalt võib öelda, et DPO valiku õnnestumine ettevõttes on määrav (eriti algfaasis), kuna edasisest sõltub, kas tegemist on ametikoha täitjaga, kes täidab ülesandest tulevaid kohustusi või siis on tegemist inimesega kes tegeleb ettevõtte minapildi loomega, näiteks:

  • andmekaitsevaldkonna integreerimine ettevõtte otseturundusse,
  • andmekaitsevaldkonna integreerimine ettevõtte turvapoliitikasse,
  • andmekaitset puudutavate protsesside väljatöötamine klientidega ja partneritega.

Aga kuidas saavad hakkama väiksemad ettevõtted või need ettevõtted, kellel ei ole DPO määramise kohustust? Nendel ettevõtetel on mõneti keeruline, sest keegi ettevõttes peab võtma selle rolli (kas või näiliselt) enda kanda.

Võiks öelda, et olukord meenutab üheksakümnendatel ettevõtetes toimunud piraattarkvara vastu võitlemist. Kui ettevõte ei teavitanud endale võimalikke tagajärgi ehk ei soovinud muuta fundamentaalset arusaama (eetilisi ja sisekultuurilisi muutusi), siis kehtisid samasugused reeglid edasi (võib olla toimivad tänaseni). [22]

Kultuuri muutus

Kultuuri muutus ei toimu üleöö, vaid sellele tuleb läheneda struktuurselt:

  • Andmekaitsetemaatika peab olema läbiv terves organisatsioonis/ettevõttes ning olenemata ametikohast.
  • Kasutusse tuleb võtta olemasolevaid ressursse ning arvestada ka võimalike lisaressursside kaasamisega.
  • Tuleb luua võimalus kajastada ettevõtte tegevusi aruandevormis.
  • Dokumenteerida seadusest tulenevad nõuded, et suurendada inimeste teadlikkust.

Tegemist on keerulise tegevusega, mida võib mõtteliselt jaotada neljaks:

1. Ülesehitus (tänase olukorra identifitseerimine, dokumenteerimine).

2. Ülevaade täna kasutatavatest ressurssidest (pädevad inimesed, tööprotsessid, kasutatav tehnoloogia, töövahendid).

3. Strateegia valik. Valitavaid strateegiaid on kaks, kas vastavuse strateegia või aruandluse strateegia.

4. Plaan. Plaan peab toetuma valitud strateegiale ning arvestama olemasolevaid ressursse.

Kuid kõige suuremat rolli mängivad selle temaatika juures inimesed. Kuidas selgitada uudishimulikele inimestele, et teiste andmetes „tuhnimine“ võib kaasa tuua tõsiseid tagajärgi ning andmetega ümberkäimine peab olema vastavuses üldregulatsioonidega ja ettevõtte sisekorraga. Inimesi tuleb kaasata ning koolitada. Koolitus ei peaks hõlmama ainult seadusandlust vaid praktilisi näiteid võimalikest sündmustest, sündmuste arengust ja tagajärgedest. Tuleks jaotada vastutus osakondade lõikes ning valida vorm mis on ettevõttes parim viis teadmiste kontrolliks või enesetadlikusse tõstmiseks (nt mis on ettevõttes peamised käideldavate andmeliigid). Samuti tuleb teha muudatusi organisatsiooni sisekorra eeskirjades, et selgida andmete käitlemise ning lekke tagajärgi. Kuna inimesed on leidlikud siis tähendab, et probleemide korral otsivad nad parima võimaliku lahenduse. Selle tagamiseks tuleb ettevõttes luua koolitus- ja korduvõppe plaan. Ainult läbi teadlikkuse tõusu suudavad inimesed tekkivates olukordades võtta vastu eetilisi ning ratsionaalseid otsuseid. [23]

Tulevik

Võib olla, et vanasti oli lihtne, andmed olid seal kus oli arvuti või server – füüsilises ja kinnises ruumis. Kuid nüüd, virtualiseerimise ja pilvetehnoloogiate levikuga võib tõdeda, et keegi ei tea enam, kus tema andmed reaalselt asuvad. Sellest tulenevalt võib öelda, et IT osakonnale ei ole isegi enam „luksust“ geograafiliselt kontrollida, kus andmed on. Pilvetehnoloogiaga kaasneb probleem, kus ettevõtte juhtkond ei ole kindel, et nende töötajad ei lekita andmeid ettevõttest väljaspoole, kasutades lihtsalt kättesaadavaid pilvelahendusi. Töötajad on muutunud mobiilseks, erinevad uuringud näitavad, et 75% töökohtades on mobiilsed, 81% töötajates pääseb andmetele ligi olenemata asukohast ning 1,3 miljonit mobiilset seadet varastatakse aastas. Seega, kui turvatud on andmed? [24]

Ainukene võimalus on ise kontrollida oma andmeid läbi usaldusväärsete partnerite ning teadlike töötajate. Selle kõige tagamiseks jõustubki 2018. aastal 25. mail eelnevalt kirjeldatud GDRP üldmäärus.

Kuna andmed on tänase majanduse aluseks, loetakse GDRP rakendust üheks Euroopa Liidu kõigi aegade fenomenaalseimaks lahenduseks. Mis siis 2018 GDPR jõustumisega kaasneb? [25] [26] [27] [28]

Positiivne stsenaarium

Enamik ettevõtteid on suutnud oma andmed ära auditeerida ja neil on täielik ülevaade nii digitaalsetest kui ka füüsilistest (paberkandjal) andmetest. Paljud nn „kodukootud“ tarkvaralahendused ja andmebaasid on ettevõtte tegevustest maha võetud (ehk baasid mida ei ole suudetud selleks ajaks implementeerida) ning kasutud andmed on kas hävitatud või pseudonomeeritud. Ettevõtetes on pandud paika sisemised struktuurid, andmeid liigutatakse erinevate pilvede vahel koos medatadataga mis sisaldab kus ja kuhu andmeid liiguvad, andmed on klassifitseeritud, struktureeritud, kaitstud ning nende säilivuse eest on nõuetekohaselt hoolt kantud. Isikuandmeid sisaldavad andmed liiguvad kas koos metadataga või konteineritena. Seega on täpselt teada kust andmed tulid ning kelle kätte liikusid. Samuti on võimalik kasutada failide lukustust ja blockchain on leidnud enam kasutust. Andmekäitlus on kontrollitud ning sellisel tegevusel on ka ettevõttes osakondade lõikes määratud vastutaja. Digitaalsetele andmetele saadakse ligi kas isikupõhise või osakonna grupiõigustega ja ainult nende andmete osadele mida osakond oma tööks vajab. Isiklike emailide vahetus käib vastavalt ettevõttes kehtivale sisepoliitikale ning sealne informatsioon on salastatud. On saavutatud iseenesest mõistetav privaatsus ning isikute kontroll oma andmete üle. [29]

Müük ja turundus

Isikuandete töötlemine ja kogumine käib reeglite kohaselt. Kliendid ja partnerid mõistavad oma õigusi, sest müügimeeskonnal lasub kohustus seda tutvustada ning nõusolekut saab klient või partner anda ainult, kui ta on olukorda mõistnud ja ise andnud selgelt mõista nõustumisest. Klientidel on õigus masinloetavalt liigutada oma andmeid ühe teenusepakkuja käest, teise teenusepakkuja kätte. Konkurent ei käi enam teenuse hinna üle vaid andmete valdamise üle. Kõigil isikutel on olla õigus unustatud. Süsteemid võimaldavad pidada vastavaid logisid ning töötaja töölt lahkumise on tööandjal õigus nõuda kõikide andmete töötlemine mida ei ole enam kohustus ettevõtte hoida (nt. teistest seadustest tulenevalt) . Koostöö toimub ainult partneritega kes on ennast tõestanud järgimaks seaduses etteantud andmekaitsepoliitikat, kellel on turul saavutatud vastava kompetent ning kes hindavad neile omaks saanud usaldust.

Negatiivne stsenaarium

2018 aastaks GDPR üldmääruse jõustumisel ei ole Eesti suutnud viia sisse kohalikus seadusandluses muudatusi ning teda ootab Euroopa Liidu poolt trahv. Advokaadid näevad turupotentsiaali ning valmistavad ette füüsilisi isikud (ka. töötajaid), ettevõtete ning tööandjate peale kaebama. Euroopa Liidu fondidest eraldatakse liikmesriikidele raha kohalike andmekaitseasutuste rahastamiseks mis tõttu viiakse läbi mastaapselt reide ja väikeettevõtted on sunnitud trahvide tõttu oma tegevuse lõpetama. Väiksemad IT teenusepakkujad (ka IKT) ei suuda konkurentsitingimustele vajaminevaid investeerinuid andmekaitse nõuete täitmiseks teha ja lõpetavad tegevuse. Digitaalandmed liiguvad väiksematelt (ka kodumaistelt) suurkorporatsioonide kätte, kes suudavad nõutud tingimustele vastata. Kohalikud IT spetsialistid ja administraatorid jäävad tööta ning tekib ümberõppevajadus.

Isikute ja isikuandmete üle meelitamiseks kasutatakse uus turusolkimise võtteid millele paljud ettevõtted ei suuda vastu seista ja peavad oma tegevuse lõpetama. Kolmandad riigid lõikavad nende kätte sattuvatest Euroopa Liidu kodanike isikuandmetest kasu, kuid samas EL liikmesriikide konkurentsivõime andmete kustutamise tõttu kannatab. Tekib üle reguleerimine ning väikeettevõtted ei suuda ennast nõuetekohaselt kaitsta. Riigil tekib uus pealekaebamise propageerimise idee (nagu tänaseks tänaseks on töösõidud ja üürikorterid) mille tõttu kannatava väikeettevõtted ning lõpetaevad oma tegevuse. Massiline väikeettevõtluse kahanemine ja teenuse liikumine väljaspoole Eestit toob endaga kaas tõsiseid maksulaekumise defitsiite.

Kokkuvõte

GDPR näol on tegemist hästi üldise ja määramatu dokumendiga. Ettevõtted loodavad riigilt rakendusakte. Arvatakse, et 2017. aasta septembris saab midagi valmis, kuid tänaseks ollakse siiski juba skeptilised, sest rakenduslik osa (juhised) puuduvad. AKI on publitseerinud hulga juhiseid, kuidas saavutada GDPR vastavus, kuid seal puuduvad soovitud kontrollnimekirjad ning konkreetsemat abi ei ole oodata, sest ei AKI ega justiitsministeerium ei paku seda. Kahjuks on tänaseks pigem tundmus, et see peab tulema läbi praktika.

Peatükid mis vajavad sekkumist:

  • Leketest teavitamine
  • Andmete kustutamine
  • Andmetöötleja mõjuhindamine
  • Andmete teisaldus
  • Andmekaitse privaatsuse kohustus

Samuti tuleb ära tuua, et eestikeelne tõlge GDPR osas on kohati ebaõnnestunud. Üks probleem on, et artiklites käsitletakse läbivalt potentsiaalseid ohtusid. Inglise keeles on "ohu" asemel aga kasutatud sõna "risk". Seega ohuhaldust ei eksisteeri, risk kaudselt eksisteerib. Riski olemust saab dokumenteerida. Ohtu saab käsitleda.

Abipalvega on pöördutud ka erinevate katuseorganisatsioonide ja erialaliitude poole. Näiteks IT sfääri eesotsas seisab Eesti Infotehnoloogia ja Telekommunikatsiooni Liit (ITL). ITL seisab igati IT ettevõtete eest ning annab suunitlusi nii AKI kui ka ministeeriumile rakendusaktide ettevalmitamiseks.

Siiski olenevalt liidu suurusest ning esindusvõimekusest on ka abi ettevõtetele erinev. Näiteks puudutub GDPR väga palju erinevaid partnerluslepinguid. Milline peaks olema uues olukorras üks korralik seaduanduslust järgiv leping? Kui liidul ei ole huvi või võimet oma liikmetele vastavaid suunitlusi ning näpunäiteid jagada siis peab ettevõte ise selle osaga hakkama saama. Aga kui ettevõte on väike ning rahalisi vahendeid ei ole, on olukord palju keerulisem.

Kasutatud kirjandus

[1] [WWW] http://www.aki.ee/sites/www.aki.ee/files/elfinder/article_files/isikuandmete_kaitse_uldmaaruse_el_2016679_rakendamine.pdf (10.12.2017)

[2] [WWW] http://www.aki.ee/sites/www.aki.ee/files/elfinder/article_files/iks_en_9.11.17.pdf (10.12.2017)

[3] [WWW] https://www.privacy-regulation.eu/et/4.htm (12.12.2017)

[4] [WWW] https://www.eugdpr.org/gdpr-timeline.html (8.12.2017)

[5] [WWW] https://www.i-scoop.eu/gdpr/gdpr-personal-data-identifiers-pseudonymous-information/ (11.12.2017)

[6] [WWW] https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/ (11.12.2017)

[7] [WWW] https://www.csoonline.com/article/3202771/data-protection/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html/ (11.12.2017)

[8] [WWW] https://www.i-scoop.eu/gdpr/gdpr-personal-data-identifiers-pseudonymous-information/ (11.12.2017)

[9] [WWW] https://www.wordstream.com/blog/ws/2017/09/28/eu-gdpr (11.12.2017)

[10] [WWW] http://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32016R0679 (15.12.2017)

[11] [WWW] https://www.privacyshield.gov/welcome (14.12.2017)

[12] [WWW] https://www.pwc.com/us/en/increasing-it-effectiveness/publications/gdpr-readiness.html (14.12.2017)

[13] [WWW] https://www.nymity.com/data-privacy-resources/~/media/NymityAura/Resources/Demonstrating%20Accountability%20Methodology/Nymity-Demonstrating-Compliance-Manual_A-Structured-Approach-to-Privacy-Management.pdf (14.12.2017)

[14] [WWW] https://www.nymity.com/~/media/Nymity/Whitepapers/Nymity%20Privacy%20Management%20Accountability%20Framework.ashx (14.12.2017)

[15] [WWW] https://www.primend.ee/viis-sammu-isikuandmete-kaitse-uldmaarus-taitmiseks/ (14.12.2017)

[16] [WWW] http://www.privacy-regulation.eu/et/33.htm (15.12.2017)

[17] [WWW] http://www.privacy-regulation.eu/et/34.htm (15.12.2017)

[18] [WWW] http://www.privacy-regulation.eu/et/30.htm (14.12.2017)

[19] [WWW] http://www.privacy-regulation.eu/et/83.htm (14.12.2017)

[20] [WWW] http://www.privacy-regulation.eu/et/31.htm (13.12.2017)

[21] [WWW] https://www.nymity.com/ (14.12.2017)

[22] [WWW] http://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32016R0679 (12.12.2017)

[23] [WWW] https://www.nymity.com/data-privacy-resources/~/media/NymityAura/Resources/Privacy%20Management%20Primer/Structured-Privacy-Management_Getting-Started.pdf (14.12.2017)

[24] [WWW] https://www.prnewswire.com/news-releases/71-percent-of-organizations-plan-bold-steps-in-creating-a-culture-of-gdpr-compliance-rewarding-employees-who-follow-policies-penalizing-those-who-dont-300566648.html (12.12.2017)

[25] [WWW] http://www.privacy-regulation.eu/et/6.htm (14.12.2017)

[26] [WWW] http://www.privacy-regulation.eu/et/7.htm (14.12.2017)

[27] [WWW] http://www.privacy-regulation.eu/et/8.htm (14.12.2017)

[28] [WWW] http://www.privacy-regulation.eu/et/9.htm (14.12.2017)

[29] [WWW] https://www.actiance.com/wp-content/uploads/2017/03/WP-GDPR-Compliance-and-Its-Impact-on-Security-and-Data-Protection-Programs.pdf (13.12.2017)