Andmekaitsemääruse tegevuste TOP 10: 10. MIS ON VÄLTIMATULT VAJALIK

Triniti

Määrusele vastamine on vältav projekt. Määrusega kooskõla saavutamise projektis võiks ettevõte jaotada enda planeeritava etappidesse:

  • Etapp I ja II: Hinda olukorda. Hetke olukorra hindamine, andmeauditi koostamine;
  • etapp I ja II: Teadlikkus. Ettevõttes tuleb tagada asjakohaste töötajate pidev koolitamine andmekaitse nõuetest;
  • etapp III: Koosta plaan. Reaalne tegevuskava sellest, mida võtad ette kohe ning mida tulevikus;
  • etapp IV: Planeeri ja rakenda. Kooskõla saavutamise tegevuskava rakendamine ning vajalike infotehnoloogiliste lahenduste teostamine; äriprotsesside muutmine ja kohandamine ning malldokumentide koostamine.

Enim tähelepanu tuleb pöörata just andmete kaardistamisele, infotehnoloogiliste lahenduste ning äriprotsesside analüüsiks ning vajadusel kohandamiseks. Muu, s.h. dokumentatsioon järgneb eelnevale.

Oluline on, et määrusele vastamise küsimused ei ole ühekordsed ning ühekordsete tegevuste tulemusena ei ole võimalik olla ja jääda ettevõtteks, kes saab jaatada nõuetele vastavust. Nimelt, paljuski on määrus ettenähtud meetmed „elus“ ning need käivad ajaga kaasa: kui ettevõte arendab uue toote, võib olla asjakohane mõjuhinnang; kui tekib uus viis ja eesmärk isiku andmete töötlemiseks, on vajalik see kajastada tingimustes ning töötlemistoimingute registris ning loomulikult – registreeritavad tegevused peavad jooksvalt kajastuma selleks ettenähtud korra kohaselt vastavas registris.

Miinimumpakett

Eelnevaga koos ning osaliselt nende järgselt on paratamatult vajalik tegeleda dokumentatsiooni koostamisega. Ettevõtja peaks hindama, mis ja kas on vajalik allolevast, meie hinnangul minimaalsest paketist selle kohta, kuidas andmekaitse üldmääruse nõuetega vastavust saavutada ja seda hoida:

Milline on ettevõtte tegelik seis hinnates seda vastu andmekaitse üldmäärust? Lihtsaim viis tegeliku olukorra tuvastamiseks on andmekaitse auditi läbiviimine. Selle kaudu selgitatakse välja, kus, millised ja miks andmeid ettevõttes hoitakse ja töödeldakse.

Andmekaitseauditi valdkonnad (kajastamaks seda, mis on ettevõttes tegelikkus / lähiajal planeerimisel auditi koostamise hetkel):

  • millised andmed ning kus;
  • kliendi kvalifitseerumine GDPR alusel (volitatud/vastutav töötleja/kolmas isik);
  • andmete kogumise asjaolud (kelle poolt, kus, kuidas)
  • andmete töötlemise asjaolud (kellel on õigus muuta, täiendada, vaadata; kuidas ja kus hoitakse; avaldamise juhud)
  • võimalikud seadusest tulenevad töötlemise alused;
  • läbipaistvuskohustuse täitmise võimalused;
  • andmekaitse põhimõtete täitmise võimalused;
  • andmesubjekti õiguste tagamise võimalused;
  • andmeturvalisuse tagamise võimalused;
  • rikkumiste menetlemisega seotud võimalused;
  • andmevahetuse asjaolud (väljaspool EL-i);
  • vastutava töötlemise kohustuste täitmise asjaolud;
  • volitatud töötlemise kohustuste täitmise asjaolud;
  • andmetöötluse lõpetamise asjaolud;
  • töötajate täiendkoolitamise asjaolud;

Andmekaitseauditi järgselt saab asuda tegevuskava koostamise ja konkreetsete tegevuste juurde, et ühingul oleks selge, millised on kõige kriitilisemad tegevused, mida tuleks hoida või arendada. Tegevuskava jooksva jälgimise ja uuendamise kaudu saavutab ettevõte ajalooliselt kohustuste täitmist peegeldava nn registri, mille kaudu eksisteerib teave, kuidas on ettevõte toiminud siiani ning mis on planeerimisel.

Määrusega kooskõla eeldab teatud dokumentatsiooni, juhiste ja registrite olemasolu ettevõttes. Nimetagem seda malldokumentatsiooniks. Vajalik võiks olla järgnev:

  • Töötlemistoimingute register. Juhul kui töödeldakse piisavas koguses andmeid või selline töötlus ei ole juhuslik, peavad töötlemistoimingud olema registreeritud (üldmääruse artikkel 30) – s.h. andmete töötlemise viis, alus, säilitamise tähtaeg, volitatud-vastutavad töötlejad ja vastuvõtjad. Register on kogu GDPRi vastavustoimingute aluseks ka tulevikus ning mis saab sisendi nii lepingutest kui andmeauditi tulemustest ning kliendi edasisetest kavatsustest.

  • Mõjuhinnangute põhjad ehk mallid.
    • Andmekaitse mõjuhinnangu mall. Juhul kui ettevõtte tegevuste hulgas on selliseid, millel on suur mõju isikute privaatsusõigusele, peaks sellise töötluse eeldus olema mõjuhinnangu teostamine ning selle tulemuse alusel ka AKI teavitamine.
    • Õigustatud huvi hinnangu mall. Kui ettevõtte töötlusprotsessid tuginevad õigustatud huvile, võib olla vajalik koostada õigustatud huvi hindamise põhi, mille kaudu hinnata plaanitava või olemasoleva toimingu lubatavust õigustatud huvi alusel.
  • Privaatsustingimused. Privaatsustingimuste alusel töötleb ettevõte andmeid ning need peavad olema andmesubjektile lihtsasti kättesaadavad, s.t. näiteks veebilehel; tegutsemiskohas jm.
  • Organisatoorsed isikuandmete töötlemise dokumendid:
    • Organisatsioonisisesed privaatsustingimused. Oluline, et ka töötajate andmete töötlemine oleks selge ja korrektne. Enamgi veel, organisatsioonisisese poliitika kaudu kohustatakse ka töötajaid ettevõttele rakenduvaid nõudeid täitma. Töötajate osas enda kohustuste täitmine on ettevõtte selge huvi ning määruse eeldus;
    • Organisatsioonisisesed infoturve poliitikad ning organisatoorsete ja tehniliste kaitsemeetmete juhis/poliitika;
    • Andmetöötlusega tegelevate töötajate puhul töölepingu täiendavad sõnastused.
  • Nõusoleku mall. Nõusolek on vajalik vaid juhul, kui ettevõte töötleb andmeid viisil, mis ei ole vajalik isikuga sõlmitud lepingu, juriidilise kohustuse täitmiseks või õigustatud huvi alusel (nt uudiskirjade edastamine). Nendeks juhtudeks on vajalik mõelda läbi nõusolekute kogumise ja hoidmise protsess; ülesehitus jm tagamaks nende kehtivus.
  • Andmetöötluslepingud.
    • Vastutava-volitatud töötleja lepingu mall. Määruses on sätestatud kohustus, et juhul kui volitatakse kedagi teist andmeid töötlema, siis peab olema sõlmitud leping määruses sätestatud kohustuslike tingimustega (artikkel 29).
    • Enesehinnangu mall tagamaks enda lepingupartneritest volitatud ja vastutavate töötlejate tegevuse ning organisatsiooni ühetaoline hindamine selles, kuidas rakendatakse isikuandmetega seonduvaid nõudeid.
  • Andmesubjekti taotlustele vastamise protseduur. Andmesubjekti uued õigused on paljuski informatsioonilised – s.t. õigus nõuda teavet; koopiat; ülekandmist. Vastavatele taotlustele tuleb vastata olenevalt taotlusest viivitamatult või 30 päeva jooksul. Andmesubjekti õiguste teostamise tagamiseks peaks olema ettevõttel:
    • Andmesubjekti taotluste menetlemise juhis/poliitika
    • Andmesubjekti taotluste register on eriti asjakohane olemaks vajadusel võimeline tõendama ülekandmise või kustutamise põhjuslikkus
    • Andmesubjekti taotluse esitamise mall ehk vorm, mida pakkuda andmesubjektidele vabatahtlikkuse alusel nende isikutuvastuseks ning taotluse sisu mõistmiseks ning võimaldamaks etteantud ajaraamistikus taotlustele vastata
  • Intsidendihalduse protseduur. Teavitamise näol on paljuski tegemist on uue kohustusega, mis eeldab detailset ettevalmistust juba enne rikkumise ilmnemist. Mistahes andmekao, hävimise, kadumise korral kohustub ettevõtte sellise rikkumise (a) registreerima; (b) olulise rikkumise korral teavitama 72 tunni jooksul AKI-t ning (c) teatud juhtudel ka andmesubjekti või avalikkust.
    • Rikkumise ohuhinnangu mall: peaks olema läbimõeldud, deklareeritav ning tõendatav. Just selle alusel teeb ettevõtte otsuse, kas vajalik on teavitamine või piisab deklareerimisest ettevõtte registris;
    • Rikkumiste register.
    • Rikkumise protseduurireeglid. Selleks, et vastavas ajaraamistikus toime tulla ning esitada teavitus, mis vastab määruse nõuetele, peaks vastav vorm ja protsess olema ettevõttes kokkulepitud ja teada.
Kokkuvõtteks

Alustada võib alati tunduda hilja, kuid eesmärk ning selle poole teadlikult suundumine on pool (ja natuke enam) võitu. Seega alusta plaanist; otsusta tähtajad ja tegevused ning seejärel rakenda. Lihtne! 😊

Mõjuhinnangust

Suunised, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679 (eesti keeles) – vastu võetud 04.04.2017, kinnitatud 04.10.2017 Inglise keeles: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk”

Töötlemistimingute registrist

AKI juhis: Avaleht » Eraelu kaitse » Andmekaitse reform: Töötlustoimingute registreerimine
20180419_Art29 WP_Position paper Art 30_publish.pdf

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga