Kuidas alustada GDPRi projekti?

Autor: Primend OÜ CEO Toomas Mõttus; Allikas Äri-IT 2018 Kevad

Kuigi mõned suhtuvad 25. mail 2018 jõustuva isikuandmete kaitse üldmääruse nõuetesse kui täiendavasse kohustusse, mõistavad juhid üldjuhul selle üllamat eesmärki. Euroopa Liidu põhiõiguste harta sätestab igaühe õiguse isikuandmete kaitsele, täpsustades seda Artiklis 8 järgmiselt: „Selliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. Igaühel on õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist.“

Isikuandmeid on siiani kaitsnud mitmed õigusaktid ja täiendavaid tehnilisi nõudeid isikuandmete kaitse üldmäärus ei sea. Siinkirjutaja hinnangul on vaid kaks sisulist muudatust:

• Isikuandmete käitlemise nõuete rikkumise rahalise vastutuse suurus (20 miljonit eurot või 4% globaalsest käibest); ning
• Andmete vastutava töötleja ja volitatud töötleja solidaarne vastutus.

Kõik IT spetsialistid, kes siiani on seisnud selle eest, et süsteemides on juurutatud mõistlikud infoturbemeetmed, võivad olla rahulikud – revolutsioonilist muutust oodata ei ole. Peamised muudatused on äriprotsessi juriidilises pooles ja riski hindamise metoodikas. Andmesubjekti puudutava riski arvesse võtmine toob muudatusi äriprotsessi ja lisab nõudeid IT süsteemidele, kuid seda pigem loomuliku arengu kujul.

Suurema pingutuse peavad tegema organisatsioonid, kes töötlevad isikuandmeid digitaalselt, et hinnata inimeste vaateid, seisukohti, isikuomadusi, harjumusi, huvisid, eelistusi, sotsiaalset staatust, käitumist, asukohta ja liikumist. Sama kehtib terviseandmete, poliitiliste vaadete, rassi, etnilise päritolu jne. kohta. Kui ulatuslikult taolisi andmeid töödeldakse ning milline on selle töötlemise mõju füüsilisele isikule on diskussiooni teema juristidega.

Andmekaitseinspektsioon on koostanud loetelu inimesele suurt ohtu kujutavast korrapärasest ja süstemaatilisest andmetöötlusest, mis eeldab andmetöötlejalt suuremat pingutust ning andmekaitsespetsialisti määramist:

• sideteenuse osutamine (nii telefoni kui internetiteenus),
• kindla valimi alusel otseturustuse saatmine,
• kliendi sobivuse hindamine panga või kindlustustoote kasutamiseks (nt maksevõime hindamine, kliendi tervise- või liikluskäitumise riski hindamine),
• kliendi asukohaandmete töötlemine nutirakendustes,
• kaubanduskettide lojaalsusprogrammid,
• klientide võrgulehtede kasutuse analüüsimine ja selle põhjal nn online-reklaamide näitamine,
• kliendiandmete töötlemine kaugloetavate arvestitega,
• veebiteenuse osutamine, eelkõige online-meedia (uudisteportaalid),
• telemaatikateenuse osutamine. (http://www.aki.ee01.2018)

Paljud ettevõtted teostavad taolisi toimingud oma kliendi tellimusel volitatud töötlejana. Vastutava töötleja ja volitatud töötleja solidaarne vastutus tähendab vastutust füüsilise isiku ees isegi kui andmete töötlejal ei ole füüsilise isikuga otselepingut.

Andmekaitsemäärusest tulenevaid nõudeid ei saa kunagi lugeda lõplikult täidetuks. Paljud nõuete täitmist puudutavad meetmed sõltuvad riskianalüüsist, mis võtab arvesse nii võimalikku ohtu andmesubjektile kui meetme rakendamise kulusid. Nii ohu suurus kui meetmete rakendamise kulu võib ajas muutuda.

Millest määrus nõuete täitmist alustada? Tavaliselt alustavad ettevõtted tervikliku juriidilise ja tehnilise auditiga. Juriidilise auditi eesmärk on mõista, millises ulatuses peab ettevõte muutma oma tegevusprotsesse ning tehnilise auditi eesmärk on mõista, milline on ettevõtte tehniline valmisolek.

Juriidilise ja tehnilise auditi tulem võiks olla:

• Koostatud on esmane mõjuhinnang, mida regulaarselt uuendama hakatakse;
• Juhtkond on langetanud andmekaitsespetsialisti (mitte-)määramise otsuse;
• Juhtkonnal on andmekaitsemääruse nõuete täitmise tegevuskava;
• On olemas nimekiri lepingutest, kus tuleb üle vaadata isikuandmete kogumise alused;
• On olemas tegevuskava ja juhis andmesubjektide päringutele vastamiseks;
• Juhtkonnal on tegevuskava rikkumiste menetlemiseks.

Milliseid tehnilisi meetmeid rakendada?

Andmehalduse tsentraliseerimine. Mida rohkemates süsteemides on andmed laiali, seda keerulisem on neis andmete kasutamist hallata. Seepärast on mõistlik analüüsida, kuidas äriprotsessi osi koondada vähematesse teenustesse ning omakorda, kuidas koondada tegevuste logimine (töötlustoimingute register) ühte auditeeritavasse keskkonda.

Tegevuste logimise ja auditeerimise ulatus selgub tavaliselt arutelu käigus. Tegevuste logimise rakendamine tähendab tavaliselt muudatusi olemasolevates süsteemides ja täiendavat koormust süsteemile – investeering ja püsikulu. Lisaks nõuab iga auditilogi kontrollimise põhjendatus täiendavat auditeerimist. Seepärast on tegevustoimingute registreerimine valdkond, mis nõuab nii juristi kui tehnilise eksperdi kaasamist riski ja selle juhtimise kulude hindamisse.

Tingimusliku ligipääsu kehtestamine on tavaliselt järgmine samm peale kasutajanime ja parooli süsteemi kasutusele võtmist. Väikeses ettevõttes, kus kõik kolleegid on sõbrad, on kõigile võrdse ligipääsu võimaldamine ratsionaalne. Suures ettevõttes peab juba läbi mõtlema, kes millistele andmetele ligi saab, et vältida kuritahtlikku andmete kasutamist. Korralikule on tingimusliku ligipääsu süsteemile on ka lihtsam rajada andmete klassifitseerimise ja markeerimise reegleid.

Andmete klassifitseerimine ja markeerimine tuleb mängu kui analüüsi tulemusena on otsustatud erinevatel alustel kogutud andmete säilitamise reeglid. Kui nõusoleku alusel kogutud andmete edasiseks säilitamiseks nõusolekut ei ole, tuleb need andmed kustutada. Selleks peab kustutaja või kustutusprotsess teadma, et antud andmed on kogutud nõusoleku alusel. Samas peab aga tagama, et lepinguliste kohustuste täitmiseks või seaduses nõutud ulatuses kogutud andmed kindlasti säiliksid. Selleks on vaja andmed klassifitseerida ning määrata erinevatele andmeklassidele konfidentsiaalsuse, säilitamise ja kustutamise reeglid.