Muutus isikuandmete kaitses: tohutu lisakulu ja hiigeltrahvid

08. märts 2017, 07:45
Isikuandmete kaitse regulatsiooni alla kuuluvad ka töötajate isikuandmed, ütles advokaadibüroo Glimstedt advokaat Mari-Liis Orav.
http://www.aripaev.ee/storyimage/EA/20170308/USEFUL/170309759/AR/0/Mari-Liis-Orav.jpg
Ainult tellijale

Järgmisel aastal kehtima hakkav määrus tähendab ulatuslikke kohustusi kõikidele isikuandmeid töötlevatele firmadele, nõuete rikkumine võib tuua kuni 20 miljoni euro suuruse trahvi.

Globaalne tehnoloogiahiid Yahoo teatas hiljuti mitmest intsidendist, mille käigus varastati kokku rohkem kui miljardi kasutaja isikuandmed. Taolised suuremahulised andmete vargused peaksid 2018. aasta mais kehtima hakkava uue isikuandmete kaitse üldmääruse valguses lööma häirekella ka Eesti ettevõtjatele, kes tegelevad andmebaasidega.

Otsene vargus on ainult üks osa isikuandmetega seotud rikkumistest, selgitas advokaadibüroo Glimstedt advokaat ja andmekaitseõiguse ekspert Mari-Liis Orav. Rikkumiste hulka kuuluvad edaspidi ka igasugune turvanõuete rikkumine, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või juurdepääsu neile.

Puudutab ka töötajate isikuandmeid

Isikuandmete töötlemise turvanõuete ja teavitamiskohustuse rikkumise eest võib nende töötlejat karistada ning trahve määrata. Trahvi puhul võetakse arvesse konkreetse juhtumi asjaolud, aga määruse järgi võib see ulatuda kuni 10 000 000 euroni või kuni 2%ni ettevõtja eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Maksimaalselt võib trahvisumma ulatuda 20 000 000 euroni või kuni 4%ni ettevõtte kogukäibest.

Kuigi uus määrus on suurte trahvisummade tõttu mõeldud eelkõike rahvusvaheliste tehnoloogiahiidude taltsutamiseks, puudutab see siiski kõiki ettevõtjaid, kes isikuandmeid töötlevad. Orava selgitusel tasub tähele panna, et uue määruse järgi kuuluvad isikuandmete kaitse regulatsiooni alla ka töötajate isikuandmed, millega seonduv kipub sageli olema keeruline ja tundlik. Selleks, et vältida karistusi ning rikkumise tagajärjel tekkivat mainekahju, tuleks ettevõtjal Orava soovitusel panustada nii isikuandmete töötlemise turvalisusesse kui ka töötada välja tegutsemisjuhised võimalike rikkumiste avastamiseks.

Advokaadi sõnul peab ettevõttel tekkima arusaam vastutusel olevate isikuandmete töötlemisest ja selle ahelast. Alles siis saab öelda, kas ja mida on vaja muuta või täiendada uue andmekaitsemääruse valguses. Igal ettevõtjal tasuks teha isikuandmete töötlemise praktika analüüs. Näiteks peavad teatud andmetöötlejad määrama andmekaitseametniku. See kohustus on avaliku sektori asutustel ja organitel, andmetöötlejatel, kelle põhitegevus on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine, andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Nii kehtiva regulatsiooni kui ka uue määruse alusel eristatakse vastutavat ja volitatud andmetöötlejat. Kui kehtiva regulatsiooni alusel on vastutus peamiselt vastutavatel töötlejatel, siis määruse alusel laiendatakse vastutust ka volitatud töötlejatele (näiteks pilveteenusepakkujatele ja teistele, kes vastutava töötleja nimel andmeid töötlevad).

Teha tuleb uusi investeeringuid

Määrus on mahukas ning muudab esialgu ettevõtjate elu pigem raskemaks, sest halduskoormus suureneb. IT- ja äriteenustega tegelev AS CGI Eesti on sellega tööd juba alustanud. Ettevõtte juristi Kati Vellaki sõnul on vaja muuta nii protseduure, äriprotsesse kui ka infosüsteeme ning see kõik on ajamahukas. Planeerides tuleb arvestada ka sisemise ajakuluga äriprotsesside muutmisele ning üldjuhul on vajalik planeerida eraldi eelarve infosüsteemide muudatuste tarvis. 

Vellak selgitas, et määruse eesmärk on inimestele anda tagasi kontroll nende isikuandmete käitlemise üle ning reguleerida nii andmetöötlejate tegevust. „Sellest tulenevalt ongi meie eesmärk panna paika selge ja loogiline plaan 2017. aastaks. Käime läbi ja kaardistame kõik ettevõtte tegevused ning seejärel hindame, kas midagi vajab muutmist,” selgitas ta. Ettevõtte seisukohast on tegemist märkimisväärse kuluartikliga, nõudes investeeringuid inimestesse ja vajadusel ka tehnilistesse meetmetesse.

Orava hinnangul võib mõne rahvusvahelise ettevõtte elu ka kergemaks muutuda, sest määrus kehtib kogu Euroopa Liidus ja enam ei pea tegelema eri riikide regulatsioonidega. Määrusega on ette nähtud nii-öelda one-stop shop põhimõte, mille järgi saavad ettevõtted, kes asuvad mitmes liikmesriigis, suhelda ainult ühe riigi järelevalveasutusega, kes siis omakorda koordineerib tööd teiste riikidega.

Telia kogemus: saatan peitub detailides

Umbes aasta tagasi andmekaitsereformi ettevalmistustega alustanud Telia Eesti kogemus näitab, et kuigi uus määrus näib esiti täpne, on küllalt palju detaile, mis tuleb ettevõttel endal läbi mõelda.

Initsiatiiv ettevalmistusega varem alustada tuli emaettevõttelt, kuna gruppi kuuluvaid riike on palju ning võtab aega, et saada kokku piisav ülevaade allüksuste isikuandmete liikumise kohta, kirjeldas Telia Eesti riskijuhtimise osakonna juhataja Eva Jakunin.

„Meil Eestis on sellevõrra lihtsam, et me ei pidanud ise hakkama seadusi tõlgendama ja grupp oli kõik reeglid juba kirja pannud,“ jagas Jakunin kogemusi KPMG ja ITuudiste korraldatud seminaril „Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks“.

Jakunini sõnul kaardistasid nad esmalt olukorra, seejärel võtsid kõrvale uue määruse ja hakkasid otsima ebakõlasid, puudusi ja halle alasid. „Kogu 300 määrusepunkti kontrollimine võttis aega kolm nädalat, mille järel oli ka enam-vähem selge, kus tõsisemad väljakutsed peituvad,“ selgitas ta. Aasta lõpus kaardistas Telia Eesti põhjalikult andmed – fikseeriti, kus on siseliikluse andmed, kus kliendi isikuandmed, kus midagi muud. Nüüd on info ühelaadse struktuuri alusel kirjeldatud ja modelleeritud.

Ettenägematud probleemid

Kui seni kustutas Telia andmeid üsna kaootiliselt, siis nüüd alustati andmete kustutamise automatiseerimisega. Olgugi et reeglite järgi võib sideandmeid hoida aasta, võlaõigussuhetest tulenevaid dokumente kolm aastat ja raamatupidamise jaoks vajalikke dokumente seitse aastat, tekivad Jakunini sõnul sellest hoolimata ettenägematud probleemid. Näiteks mida teha isikuga, kes on samal ajal nii klient kui ka kasutaja, või isikuga, kes kaob ühest keskkonnast ära, kuid jääb teise alles.

Veel arutatakse, kuidas täpsemalt arvet pidada selle üle, mille kohta klient nõusoleku andis või tagasi võttis. Nõusolekute teemal tuleb Telial lahendada veel üks raskus: kas üldse ja mis mahus tuleks varem saadud nõusolekuid uuesti küsida.

„Telekomiettevõtte taak ja teistpidi väljakutse, samas põnev väljakutse, ongi klientide andmed,“ tunnistas Jakunin, märkides, et neid on ka kõige keerulisem käsitleda. Näiteks kui klient A helistab kliendile B, siis see kõnelogi on ka kliendiandmed. Seal ei ole küll otsest isikut küljes, kuid kaudselt on see tuvastatav ja nii kuuluvadki väga paljud andmed isikuandmete kategooriasse, lisas ta.

Kõige suuremat analüüsi nõuavad veebikeskkonnad. Uue regulatsiooni valguses tuleb kogu kliendi informeerimine veebikeskkonnas uuesti läbi mõelda. Näiteks, millal peab kliendile ütlema, et tema andmeid töödeldakse, või millal võib tema kohta päringuid teha? „Kui klient tuleb e-poodi, logib sisse ja ei ole varem meie klient olnud ning tahab maksta, siis mis hetkel temaga lepingu teeme, millal krediidiinfosse päringu teeme, millal arvutame reitingu? Arvestama peame veel sellega, kas klient tahab maksta järelmaksuga või maksab kohe pangas,“ loetles Jakunin aspekte, mis vajavad läbi mõtlemist.

Õppetunnid

Tagantjärele vaadates tundusid juhised Jakunini hinnangul andmete kaitse kohta täpselt kirjas olevat, kuid lähemal uurimisel leidus hulk valdkondi, mis vajavad veel seletuskirja seaduslooja poolelt. „Kindlasti on üheks motivaatoriks, miks antud teema ka juhtkonna poolt palju tähelepanu saab, seadusesse kirjutatud kõrged trahvimäärad,“ tõdes Jakunin.

Parim õppetund oli tema sõnul see, et muud lahendust polegi, kui projektimeeskonnas koos teemad läbi analüüsida ja segased kohad läbi mõelda, kuidas üht või teist nõuet päriselus rakendada. Parim viis töö mahust aru saada on analüüsiga alustada. Kindlasti on iga ettevõte eriline ning täpsem projekti- ja arendusmaht selgub siis, kui esmased kokkuvõtted on tehtud.

Loe Telia Eesti kogemusest põhjalikumalt Äripäeva teemaveebist ITuudised.ee.

Raadio ettevõtlikule inimesele

Äripäeva raadio 92.4

Hetkel eetris

Kava

Vaata kogu kava
Äripäev http://www.aripaev.ee/img/id-aripaev.svg
07. March 2017, 23:59
Otsi:

Ava täpsem otsing