GDPR ehk isikuandmete kaitse üldmäärus - andmekäitluse kultuuri muutus: Difference between revisions

Sissejuhatus

Me elame digitaaliseerimisajastul. Digitaliseermine, ehk mida tuntakse ka kui neljandat inimkonda läbivat tööstusrevolutsiooni. Digitaliseerimise all me mõistame eelkõige andmete massilist käitlemist ning selle tulemusel vajamineva tulemi saamist. Kuna valdkond on viimastel aastatel tormiliselit arenenud, tuleb nentida, et samal ajal ei ole andmekäitlemiseks vajaminevaid reeglid ja seadusandlus ajaga kaasas käinud. Ainuüksi Euroopa Liidus on andmekaitseseadus muutmatul kujul kasutusel olnud (põhimõtteliselt) viimased 20 aastat. See on ka põhjuseks, et tänu valdkonna arengule, isikuandmete tähtsusele ning väärkasutamisele on tundlik teema muutunud üha kasvavaks probleemiks, mille lahenduseks, otsustas Euroopa Liit jõulisel sekkuda. Sellest tulenevalt on tänaseks ratifitseeritud General Data Protection Regulation (GDPR) mis viib isikuandmete kaitse uuele tasemele ning asendab 1995 aastal jõustunud EU direktiivi. Samuti võiks tõdeda, et 2018 kehtiva hakkav andmekaitseseadus on seotud IoT + IoE = Cloud tehnoloogia arengusuunaga ja raamistikuks liikmesriikide vahelisele vabale andmeliikumisele. Seega, tekivad olukorrad, kus hakkavad liikuma suured andmehulgad mis sisaldavad võimalike delikaatseid isikuandmeid. Andmeedastusega kaasnev andmekäitluse suund oli põhjuseks miks tuli võtta vaatluse alla andmekäitlejad, pilveteenuse pakkujad ning nende teenuste haldajad.

Lühi põhjuse loetelu võiks olla alljärgnev:

• Soov tugevdada ja ning ühtlustada andmekaitset
• Kontrollida andmete liikumist väljaspoole EU-d
• Anda isikutele tagasi kontroll personaalse info üle.
• Muuta ja lihtsustada seadusandulust EU regulatsioonides
• Asendada 1995 aasta vananenud andmekaitseseadus

Kuigi GDPR-ist räägitakse kui EU andmekaitseseadusest on õigem öelda, et tegemist on ülemaailmsega. Põhjus on lihtne, euroopaliidukodaniku andmete kaitse peab olema tagatud nii Euroopa piires, kui ka väljas pool Euroopat (GDPR üldmäärus 2016/679/EL), tingimustel kui töödeldakse euroopaliidukodnaike andmeid . GDPR kohaldumisel on seatud karmimad karistused GDPRi rikkumise eest, mis võivad ulatuda väikeste rikkumiste puhul kuni 2% ja suurte eksimustel puhul kuni 4%ni ettevõtte eelmise aasta ülemaailmsest käibest või kuni 20 000 000 euro suuruse trahvini (määratav määra valitakse sõltuvalt sellest kumb rahaline vääring on suurem).

Mõisted

GDPR - General Data Protection Regulation (Isikuandmete kaitse üldmäärus) Data processor - Andmekäitleja Data controller - Personal data - Any information related to a natural person or ‘Data Subject’, that can be used to directly or indirectly identify the person. It can be anything from a name, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer IP address. Sensitive data - Tundlikud andmed Andmesubjekt - Füüsiline isik, kes kasutab või on avaldanud soovi kasutada Vastutava töötleja tooteid või teenuseid ning kelle andmeid isikuandmete töötleja töötleb kooskõlas Isikuandmete Töötlemise Põhimõtetega. DPO - Data Protection Officer (andmekaitseametnik) DPIA - Data protection impact assessment (andmekaitse mõjuhinnang) Vastutav töötleja- Tema määrab kindlaks isikuandmed ning nende töötlemise vajaduse ja vahendid. Volitatud töötleja - Tema töötleb isikuandmeid kuid teeb seda vastutavatöötleja nimel ja tema juhiste alustel. AKI - Andmekaitseinspektsioon

Ajalugu

Ülevaade olulisematest GDPR-i sündmustest nagu ettepanekute tegemine ja muudatuste sisseviimine, heakskiitme ja jõustumine. [1]

Eelmised õigusaktid

1995. aasta 24. oktoobril loodi isikuandmete töötlemise reguleerimiseks andmekaitse direktiiv 95/46 / EÜ

Seadusandlikud ettepanekud

2012 - 25. jaanuar, esialgne ettepanek Euroopa Komisjoni ajakohastatud andmekaitse reguleerimiseks 2014. aasta märtsis kiitis Euroopa Parlament heaks oma määruse esimese versiooni oma esimesel lugemisel 2015. aasta 15. juunil kiitis Euroopa Liidu Nõukogu heaks oma esimese lugemise versiooni, mida tuntakse kui üldist lähenemisviisi, mis võimaldab määruse vastuvõtmisel jõuda "kolmepoolse"

Kinnitamine ja vastuvõtmine

2015.-15. Detsembril on parlament ja nõukogu jõudnud kokkuleppele ja tekst on lõplik. Alates 2016. aasta jaanuari alguses toimunud ametlikust allkirjastamisest. 2016 - jaanuar: 8. aprill - Vastuvõtmine Euroopa Liidu Nõukogu poolt 16. aprill - Vastuvõtmine Euroopa Parlamendi poolt Mai - määrus jõustub 20 päeva pärast selle avaldamist Euroopa Liidu Teatajas

Jõustumine

2018 - mai - pärast kahe aasta ülemineku perioodi saab GDPR olema täies ulatuses täitmisele pööratavaks kogu Euroopa Liidus.

Mis andmeid GDPR kaitseb?

Isikuandmete kategoriseerimine

Esimene element – „igasugune teave” – See tähendab, et nii objektiivne kui ka subjektiivne teave mis tahes isiku kohta võib kujutada endast „isikuandmeid”, sõltumata sellest, millisel andmekandjal see esitatakse.

Teine element – „kohta” – on seni jäänud sageli tähelepanuta, kuid on esmatähtis mõiste sisulise kohaldamisala määramisel, eriti seoses esemete ja uute tehnoloogiatega. See hõlmab ka teavet, mis võib kahtlemata mõjutada isiku kohtlemist või hindamist

Kolmas element – „tuvastatud või tuvastatav” – keskendub tingimustele, mille alusel tuleks isikut käsitada „tuvastatavana”, eriti „vahendeid, mida vastutav töötleja või keegi muu võib tõenäoliselt kasutada” selle isiku tuvastamiseks. Analüüsis on oluline osa sellel, milline on konkreetse juhtumi taust ja asjaolud.

Neljas element – „füüsiline isik” – on seotud tingimusega, et „isikuandmed” puudutavad „elavaid inimesi”. [2]

Isikuandmed

GDPR kehtib isikuandmete kohta, mis tähendab mis tahes teavet tuvastatava isiku kohta, keda võib otseselt või kaudselt identifitseerida, eelkõige identifikaatoriga. See määratlus näeb ette isikuandmete, sealhulgas nime, identifitseerimisnumbri, asukohaandmete või veebi identifikaatori, mitmesuguseid isikuandmeid, mis peegeldavad tehnoloogia muutusi ja seda, kuidas organisatsioonid koguvad inimeste kohta teavet. GDPR kehtib nii automatiseeritud isikuandmete kui ka käsitsi sisestatud andmete puhul, kus isikuandmed on kättesaadavad vastavalt konkreetsetele kriteeriumidele. Pseudonüümeeritud isikuandmed - nt kodeeritud võti - võivad kuuluda GDPR-i reguleerimisalasse sõltuvalt sellest, kui raske on pseudonüümi omistada konkreetsele isikule. [3]

Tundlikud isikuandmed

GDPR viitab tundlikele isikuandmetele kui "isikuandmete eriliikidele". Spetsiaalsed kategooriad hõlmavad konkreetselt geneetilisi andmeid ja biomeetrilisi andmeid, kui neid töödeldakse üksikisiku ainulaadsel tuvastamisel. Kriminaalkorras süüdimõistmiste ja õigusrikkumistega seotud isikuandmeid ei arvestata nende andmete hulka, kuid töötlemisele kohaldatakse samu täiendavaid kaitsemeetmeid.

GDPR kaitse all olevad andmed

Järgnevalt on loetletud andmete liigid, mida GDPR kaitseb, ja mõned näited [4] [5]:

• Põhilised isikuandmed: täisnimi, kodune aadress, isikukood, dokumendi number
• Isiku geolokatsioon ja seadme andmed: hetkeasukoht, IP-aadress, küpsiste andmed, RFID-märgendid, brauseri küpsised,
• Veebiandmed: hüüdnimed ja kasutajanimed, sotsiaalmeedia postitused ja pildid [6], e-mail
• Tervise- ja geneetilised andmed: füüsiline tervis, psüühiline tervis, haigused
• Biomeetrilised andmed: nägu, sõrmejäljed, allkiri
• Pangaandmed: krediitkaardi andmed
• Sõiduki ja juhi andmed: juhiloa number, auto andmed
• Rassilised või etnilised andmed
• Poliitilised arvamused
• Seksuaalne orientatsioon

Andmete piiriülene liikumine

Ettevõtte asumine väljaspool EU piire ei vabasta GDPR ülesmärgitud nõuetest. Samuti peavad töötlemise vastutuse võtma ettevõttes, kes on kasutavad partneritena EL väliseid partnerid. Siin kohal tuleb rõhutada, et uus seadus ei mõjuta ainult EU liikmesriike, vaid ka riike, kes teevad koostööd või vahendavad kaupe ning teenuseid EU liikmesriikidega. Väljaspool ELi asuvad ettevõtted. kes tahavad siia oma teenust pakkuda, peavad EL esindaja määrama. Kuna kolmandate riikide tegevusi saab jälgida läbi lepinguliste kohustuste, tuleb isikuandmete töötlemisel kasutada ainult nende ettevõtete teenuseid kellel on GDRP valmidus või rahvusvahelised lepped mis on vastavuses GDRP nõuetega (nt. EU-US Private Shield). EU-US Private Shield Jõustus 2016 Juulis ning muutis eelmise, 6 oktoobril 2015 vastuvõetud leppe nimega „Safe Harbolrt“ kehtetuks.

Mida toob see kaasa kolmandetele riikidele GDPR kaasnevad nõuded ning rahaline kulu? Näitena PricewaterhouseCoopers (PwC) poolt USA´s rahvusvaheliste ettevõtete seas läbi viidud küsitlus andis alljärgnevad tulemuse:

• 54% ettevõtetes peab GDPR küsimusi üheks prioriteetsemaks;
• 71% neist on juba alustanud, 23% ei ole alustanud ning 6% on lõpetanud ülemineku;
• Põhjuseks on toodud ülisuurt trahvi mis kaasneb GDPR rikkumisega;
• 75% loodab olukorra lahendata andmekaitse küsimused läbi kontserni siseeeskirjade;
• 77% kasutab selleks EU-US Prvacy Shield kokkulepet;
• 64% jätab andmed euroopasse;
• 32% plaanib tegevust EU turul drastiliselt vähendada;
• 26% plaanib EU turult lahkuda.

GDPR vastavuse saavutamine

Andmeleke ja vastutus

Isikuandmeteleke kirjeldus on toodud GDPR artiklites 33, 34. Peamiselt käsitletakse määruses „ulatusliku andmeleket“ millele pannakse andmekäitlejale teatavaid kohustusi. Siiski tuleb arvestada, et ka väiksemate lekete korral on andmekäitlejal lekke tuvastamisel teavitamise kohtust – näiteks andmesubjekti teavitamine, et viimane saaks võtta kasutusele ettevaatusabinõud (nt. paroolide muutmine) Alljärgnevalt mõningad näidete ulatuslikest Isikuandmete leketest: Ettevõtte töötaja unustab lennujaama oma sülearvuti või varastatakse telefon, kus hoitakse krüpteerimata erinevaid töötajate andmeid; Ettevõttejuhi postkasti murti sisse või kaaberdati muul viisil e-kirju mis sisaldasid ka lihttabelikujul ettevõtte, partnerite ning klientide kontaktandmeid ning muud isikupõhist informatsiooni; Töötajal kadus isikuandmetega USB mälupulk mis oli krüpteerimata kujul; Nuhkvaraga õnnestus murda sisse ettevõtte andmebaasi ning ligi pääseda struktureeritud isikuandmetele.

Kõigil nendel juhtumite korral loetakse leket suureulatuslikuks, millele peab järgnema kaks teavitamise stsenaariumit – teavitada järelevalveametit ning kannatanud, ehk andmesubjekti.

Järelevalveameti teavitamise kohustus: Ulatuslike andmete lekke korral on ettevõttel kohustus teavitada põhjendamatute viisituteta järelevalveasutust mitte hiljem kui 72 tunni jooksul; Volitatudtöötleja peab lekke korral teavitama koheselt vastutavat töötlejat; Teavitamine peab sisaldama milline on isikuandmete rikkumine (sh ligikaudne kategooria), lekkinud andmete ulatus, ehk ligikaudne andmesubjektide arv; Kui ettevõttes on DPO (andmekaitseametniku) siis ka tema nimi ja kontaktandmed; Tõenäosuse analüüs, rikkumise tagajärgede kohta ja ettevõetud ning kavandatavad sammud, et leevendada lekke negatiivset mõju.

Teavitama ei pea, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele.

Andmesubjekti teavitamise kohustuses esinevad samasugused nõuded nagu kehtisid järelevalveameti teavitamisel. Teavitama ei pea, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele ning samuti ei pea andmesubjekte teavitama, kui tegevus nõuaks ebaproportsionaalseid jõupingutusi või kulu (näiteks teavitatakse läbi avalikumeedia)

Kõigis nendes teavitamise kohustustes on läbivaks „Kui isikuandmetega seotud rikkumine ei too tõenäoliselt kaasa ohtu isiku õigusele ja vabadusele“ Lekke ulatuslikkuse stsenaariumiga peab olema vastutavtöötleja juba eelnevalt tegelenud. Näiteks peaks olema organisatsioonis kehtestatud asjakohased kaitsemeetmed ( andmed olid krüpteeritud); Samuti tuleb peale juhtumit analüüsida ning võtta kasutusele parendamisvõtteid, et ellimineerida võimalikud tulevased oht andmesubjektide õigustele ja vabadusele.

Ettevõte peab olema valmis tõendama, et andme töötlemiseks mõeldud keskkonnas on võetud kasutusel parimad võimalikud kaitsemeetmed ja on mõeldud kõikidele andmetöötlus etappidele, ehk: Nii volitatud,- kui vastutavad andmetöötlejad peavad veenduma rakendatavate turvameetmete asjakohasuses; Ettevõttes peab loodama juhised isikuandmetega seotud rikkumistest teavitamiseks; Tuleb reguleerida rikkumistest teavitamise korda (sh kaasaaitamiskohustus); Tuleb sõlmida volitatud töötlejaga leping; Toimunust on vastutaval töötlejal dokumenteerimiskohustus. Soovitatav on ette valmistada blankett teavitamaks järelevalveametit, andmesubjekti ning registrit kuhu vastav intsident kantakse; Andmeid on soovitatav lahus hoida (struktureerimata) ning krüpteeritult. Tuleb hoida ja töödelda ainult ajakohaseid andmeid Tuleb arvestada trahvimääradega (Art 83, Art 83, lg2/lg4/lg5 ja 58 lg2)

Võimalik määratav trahv lähtub mitmest tegurist: Laad, Raskustase ja rikkumise kestust´, Hooletusmäär, Ettevõtte ja tehnoloogilised ettevalmistused, Lekkinud isikuandmete kategooria, Kas ettevõte teavitas järelevalveasutusele rikkumisest,

Samuti tuleb tähele panna, et eksimuste korral on trahvimäär progresseeruv:

1. Hoiatus

2. Noomitus

3. Andmetöötluse peatamine

4. Trahv, kuni 20 miljonit või või 4% ettevõtte või kogu organisatsiooni käibest.

Ettevõtluse võimalikud sisepoliitilised ja kultuurilised muutused

GDPR jõustumine toob kaasa asutustest tugevad fundamentaalsed,- ja kultuurilised muutused. Kui tänaseks oleme on arusaam, et andmed on vara millel on või võib olla väärtus siis alates 2018 maist me peame ühtäkki kogu kogutud vara mida „võibolla“ läheb vaja – ära hävitama. Hävitamisel ning edasisel töötlemisel peame me ka minetama arusaama, et sellises ulatuses andmete hävitamine võib meile kaasa tuua konkurentsi eelise kaotamise tänades tegevusvaldkonnas. Suuremate ettevõtetega on olukord natukene lihtsam, sest tekib ettevõtetesse (olenevalt ettevõtte tüübist võib tegemist olla kohustusliku ametikohaga) uus töökoht, andmekaitseametnik. Andmekaitseametniku kohustus on omada ülevaadet ettevõttes töödeldavatest andmetest. Siinkohal on kentsakas tõsiasi, et andmekaitseametnik puutub andmetega väga vähe kokku – või siis ei puutu üldse. Peamisteks töötlejateks on osakonnad (nt. personali, turunduse, finants jms osakonnad). Sellest tulenevalt oleks juba algetappides vaja kiiresti tegelema hakata ettevõtte mõtteviisi muutmisega ning andmehalduse jaoks struktuuri loomise ja selgitustöödega. Seega võib öelda, et DPO halduse alla kuulubki ettevõtte sisekultuuri loome, mille hulka võib lugeda: Ettevõtte andmekaitsepoliitika välja töötamine Erinevat isikuandmete puutumatust käsitlevad koolitused Õpitubade läbi viimine, kuidas oleks õige füüsiliste isikute andmeid töödelda osakondade lõikes – ja tagasiside. Küsimuste lahendused, nt. seaduste põhised, seaduste tõlgendused, eetika jms.

Sellest tulenevalt võib öelda, et DPO valiku õnnestumine ettevõttes on määrav (eriti algfaasis), kuna edasisest sõltub, kas tegemist on ametikoha täitjaga, kes täidab ülesandest tulevaid kohustusi või siis on tegemist inimesega kes tegeleb ettevõtte minapildi loomega, näiteks: Andmekaitsevaldkonna integreerimine ettevõtte otseturundusse; Andmekaitsevaldkonna integreerimine ettevõtte turvapoliitikasse Andmekaitset puudutavate protsesside välja töötamine klientidega ja partneritega.

jms

Aga kuidas väiksemad ettevõtted hakkama saavad või ettevõtted, kellel ei lasu DPO määramise kohustust? Nendel ettevõtetel on mõneti keeruline, sest keegi ettevõttes peab võtma selle rolli (kas või näiliselt) enda kanda. Võiks öelda, et olukord meenutab üheksakümnendal ettevõttes toimunud piraattarkvara vastu võitlemist. Kui ettevõte ei teavitanud endale võimalikke tagajärgi, ehk ei soovinud muuta fundamentaalset arusaama (eetilisi ja sisekultuurilisi muutusi) siis kehtisid samasugused reeglid edasi (vb. toimivad tänaseni). Kultuuri muutus ei toimub üleöö, vaid sellele tuleb läheneda struktuurselt: Andmekaitsetemaatika peab olema läbiv terves organisatsioonis/ettevõttes ning olenemata ametikohast; Kasutusse tuleb võtta olemasolevaid ressursse ning arvestada ka võimalike lisaressursside kaasamisega; Tuleb luua võimalus kajastada ettevõtte tegevusi aruandevormis; Dokumenteerida seadusest tulenevad nõuded, et suurendada inimeste teadlikust.

Tegemist on keerulise tegevusega mida võib mõtteliselt jaotada neljaks: Ülesehitus (Tänase olukorra Identifitseerimine, dokumenteerimine); Ülevaade täna kasutatavatest ressurssidest (pädevad inimesed, tööprotsessid, kasutatav tehnoloogia, töövahendid); Strateegia. Valitavaid strateegiaid on kaks, kas Vastavuse strateegia või aruandluse strateegia; Plaan. Plaan peab toetuma valitud strateegiale ning arvestama olemasolevaid ressursse.

Kuid kõige suuremat rolli mängivad selle temaatika juures inimesed. Kuidas selgitada uudishimulikele inimestele, et teiste andmetes „tuhnimine“ võib kaasa tuua tõsiseid tagajärgi ning andmetega ümberkäimine peab olema vastavuses üldregulatsioonidega ja ettevõtte sisekorraga. Inimesi tuleb kaasata ning koolitada. Koolitus ei peaks hõlmama ainult seadusandlust vaid praktilisi näiteid võimalikest sündmustest, sündmuste arengust ja tagajärgedest. Tuleks jaotada vastutus osakondade lõikes ning valida vorm mis on ettevõttes parim viis teadmiste kontrolliks või enesetadlikusse tõstmiseks (nt. mis on ettevõttes peamised käideldavate andmeliigid). Samuti tuleb teha muudatusi organisatsiooni sisekorra eeskirjades, et selgida andmete käitlemise ning lekke tagajärgi. Kuna inimesed on leidlikud siis tähendab, et probleemide korral otsivad nad parima võimaliku lahenduse. Selle tagamiseks tuleb ettevõttes luua koolitus,- ja korduvõppe plaan. Ainult läbi teadlikuse tõusu suudavad inimesed tekkivates olukordades võtta vastu eetilisi ning ratsionaalseid otsuseid.

Tulevik

Kasutatud kirjandus

[1] [WWW]

[2] [WWW]

[3] [WWW]

[4] [WWW]

[5] [WWW]

[6] [WWW]

[7] [WWW]

[8] [WWW]

[9] [WWW]

[10] [WWW]

[11] [WWW]

[12] [WWW]

[13] [WWW]

[14] [WWW]

[15] [WWW]

[16] [WWW]

[17] [WWW]

[18] [WWW]

[19] [WWW]

[20] [WWW]

[21] [WWW]