Andmekaitse­reform tuleb kui laastav maru

KPMG Advokaadibüroo vanemjurist Sirli-Kristi Käpa esinemas seminaril "Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks"
KPMG Advokaadibüroo vanemjurist Sirli-Kristi Käpa esinemas seminaril...

Andmekaitsemääruse nõuete täitmiseks peavad ettevõtjad koostama mahuka tegevuskava: väga head õigusteadmised tuleb ühildada infotehnoloogiliste teadmistega. Ümber peab korraldama ka ettevõtte juhtimiskultuuri ja -struktuuri, selgus 8. veebruaril toimunud uusi nõudeid tutvustaval seminaril "Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks".

See regulatsioon on tõesti mahukas ja selleks, et ettevõtjad saaksid oma põhiäriga edasi tegeleda, on mõistlik kaasata välisnõustajad. Mõned suured ettevõtted, nagu Telia, on küll otsustanud maja seest inimese leida, kuid nende puhul võib see olla õigustatud. Väikese ja keskmise suurusega ettevõtetele langeb aga ebamõistlikult suur koormus, võttis KPMG Advokaadibüroo juhtivpartner Risto Agur seminaripäeva kokku.

Muudatusi on andmekaitsereformis palju, need on väga olulised ja nende juurutamine võtab aega. Paljud protsessid on vaja ümber kujundada, sh sisereeglid ja juhtimisstruktuur, töötajad tuleb koolitada, lepingute muudatused läbi rääkida, ja kõige sellega on mõistlik juba alustada, soovitas Agur.

Isikuandmetel tulevikus parem kaitse

Kuna isikuandmeid saab tulevikus töödelda vaid isiku nõusolekul, soovitan ettevõtjatel koguda need taasesitamist võimaldavas vormis, et hiljem vaidluse korral oleks nõusoleku olemasolu lihtsam tõendada, ütles justiitsministeeriumi avaliku õiguse talituse nõunik Kärt Salumaa.

Oma andmeid on õigus mõistliku aja jooksul lasta ka kustutada. „Minul võttis kaks-kolm päeva aega, et Google minu kohta käiva info otsingust eemaldaks,“ märkis Salumaa ja lisas, et sellist õigust saab tulevikus rakendada. Üsna palju kõneainet on Salumaa sõnul tekitanud veel andmete ülekandmise õigus, mille järgi on isikul õigus andmete töötlejalt nõuda enda kohta käivate andmete üldkasutatavas vormingus edastamist teisele andmete töötlejale.

Telefonimüügi ettevõtetel on tähtis teada, et andmesubjekt saab tulevikus õiguse esitada vastuväiteid andmetöötluse kohta. Näiteks kui potentsiaalne klient pärib oma telefoninumbri või muude andmete päritolu kohta, peab telefonimüüja oskama vastata, kust need pärinevad. Samuti on isikul õigus nõuda oma andmete andmebaasist kustutamist, kui ta ei soovi enam pakkumisi telefoni teel saada, ütles Salumaa ning soovitas ettevõtjatel anda oma töötajatele selleks täpsed juhised.

Töötaja peab teadma, mil viisil tema andmeid töödeldakse

Töötajate isikuandmete kaitse eesmärk on töötajate eraelu kaitse. Samas on töötajate ja tööandjate huvid töötajate isikuandmete töötlemisel vastukäivad: tööandjad tahavad töötajaid kontrollida, juhtida tööprotsessi ja tagada töölepingu täitmine, töötajad aga on huvitatud oma eraelu kaitsest ja soovivad, et nende andmeid kogutaks võimalikult vähe.

KPMG Advokaadibüroo vanemjurist Sirli-Kristi Käpa soovitas tööandjatel töötajaid teavitada, mida, miks ja mis eesmärgil töödeldakse ning kus nende isikuandmeid säilitatakse. Ühelt poolt aitab see kaardistada ning teadvustada isikuandmete töötlusega kaasnevaid riske, teiselt poolt annab töötajatele kindluse, mida tööandja teeb ja miks ta seda teeb.

Veendu, et oleksid läbi mõelnud järgmised küsimused:

  • Mis alusel töötajate isikuandmeid töödeldakse (kas see on nõusolek, leping või seadusest tulenev alus)?
  • Mis eesmärkidel töötajate isikuandmeid töödeldakse?
  • Kuidas tagada töötaja kui andmesubjekti õigused?
  • Kuidas tagada andmete kvaliteet ja töötlemise turvalisus?
  • Kuidas toimub isikuandmete säilitamine ja kaua andmeid säilitatakse?
  • Missugused võimalused on rikkumise tuvastamiseks ning rikkumisest teatamiseks?
  • Kuidas tutvustatakse töötajatele isikuandmete töötlemise põhimõtteid?

Kõik osalised peavad suhtuma andmete töötlemisse tõsiselt

Tööandja peaks Käpa soovitusel kõigepealt läbi mõtlema, kes ettevõttest hakkab töötaja isikuandmeid töötlema. Peale organisatsiooni sees moodustatud meeskonna on mõistlik kaasata inimesi ka teistest valdkondadest ja osakondadest, nagu personaliosakond, raamatupidamisosakond, turvaosakond, teenindusosakond, riskijuhtimine, IT osakond. Esiteks teavad nad öelda, kus täpselt andmeid hoitakse, ja teiseks saavad nad hiljem valdkonniti jälgida, kas isikuandmete töötlemine toimub õiguspäraselt.

Kuna kontsernide puhul osutatakse tugiteenust kontserniüleselt (nt raamatupidamine), võiksid Käpa sõnul kõik üksused ja osakonnad laua taga olla, et töötajate isikuandmete töötlemine ka kontserni üleselt läbi mõelda. Välistada ei tohiks ka koostööpartnerite kaasamist, mis on levinud just värbamisfaasis, sest sageli teevad just nemad tulevastele töötajatele isiksuseteste. Ka tervishoiupakkujatega seotud lepingud tuleks üle vaadata, et olla kindel, et nemadki suhtuvad andmete töötlemisse tõsiselt.

Töötajate andmeid saab töödelda mitutpidi

Käpa sõnul tasub mõelda ka sellele, millistes olukordades töötajate isikuandmeid töödeldakse, sest töötlemine ei lõpe alati sellega, kui töötaja paneb töölepingut sõlmides kirja oma nime, arveldusarve numbri ja elukoha aadressi. Näiteks saab töötajate andmeid töödelda ka tööandja sõiduki GPS seadme või klienditeeninduse telefonikõnede salvestamise kaudu. Viimase puhul on küll eesmärk kontrollida töökvaliteeti ja koolitada töötajaid, kuid selliste tegevuste puhul tuleb analüüsida ka seda, kas selleks on olemas seaduslik alus ja kas töötajaid on informeeritud.

Sama kehtib videovalve kasutamise kohta. Ehkki see on mõeldud turvalisuse tagamiseks, tuleks selle kasutamine üle vaadata. Võimalusel ei tohiks seda terveks päevaks suunata ühe töötaja peale. Kui juhtub, et töötaja tahab videosalvestist näha või seda endale saada, kuid salvestise peale on jäänud ka tootmissaladus, siis tekib probleem. Sellepärast tasub Käpa sõnul sellised olukorrad läbi mõelda ja kirja panna.

Töötajate andmeid saab töödelda veel e-kirjade jälgimise, läbipääsusüsteemide logiandmete salvestamise, personalifailide ja siseveebi kaudu, loetles Käpa.

Nõuded IT ja infoturbe korraldamisele

„Situatsioon, milles praegu oleme, ei ole kiita. Andmelekkeid esineb pidevalt, infoturbe intsidente samuti ning andmekaitsereform võimendab ebakindlust veelgi, kuna ähvardab suurte trahvidega,“ märkis KPMG Baltics IT nõustamisteenuste juht Teet Raidma. Tema hinnangul ei lähe infoturbe valdkonnas lähiaastatel midagi paremaks, pigem hullemaks. Fakt on ikkagi see, et kui keegi tahab rünnata, siis ta selle eesmärgi ka täidab. Seda on väga raske ära hoida, hoiatas Raidma.

Mida infoturve endast kujutab?

Infoturve ei ole päriselt nagu andmekaitse, sest infoturve tegeleb pigem intsidentide ennetamise, avastamise ja vastumeetmete rakendamisega, samuti taastevõimekuse tagamisega. Infoturbe juhil on olnud traditsiooniliselt väga suur rõhk andmete käideldavusel, sest kõik tahavad, et andmed oleksid kättesaadavad, natuke vähem olulisem on konfidentsiaalsus. Samas mida turvalisemad on andmed, seda rohkem saab käideldavus häiritud ja need ei ole enam nii hästi kättesaadavad. See on kõik valikute küsimus, rääkis Raidma.

Andmekaitse valdkonnas peaks ettevõttes vastutuse võtma andmekaitse ametnik, kelle määrab avalik sektor ja kelle ülesanne on andmete korrapärane süstemaatiline jälgimine, ütles Raidma.

Raidma sõnul oleks väga hea, kui need kaks valdkonda oleks lahus, sest siis ei teki sõltumatuse konflikti. Andmekaitse ametnik on kui ühenduslüli järelevalve asutuse ja ettevõtte vahel, kes kindlustab ühtlasi ka selle, et ettevõte ei hakkaks valvama enda tegevuse üle.

Kuidas tagada piisav andmekaitse?

Andmekaitse skeemi olemas ei ole. Kasutada võiks kas rahvusvaheliselt tunnustatud head tava või infoturbe standardit, et ei peaks hakkama midagi ise leiutama. Eesti kontekstis võime rääkida näiteks ISKE standardist avalike sektori ettevõtetele või ISO 27001 turvastandardist. Kuid maailmas on selliseid standardeid ja juhiseid palju, millest abi on, rääkis Raidma.

Võtmetegevused vastavuseks andmekaitse nõuetele

1. Kasutajaõiguste haldus

  • Enne kasutusõiguste haldust tehke ära eeltöö ehk andmete klassifitseerimine (nt salajased andmed, eriti salajased andmed, avalikud andmed, sisemiseks kasutamiseks mõeldud andmed).
  • Kasutage infosüsteemile ligipääsuks kas autentimissüsteemi või paroolipõhist süsteemi. Eriti hea on kaheastmeline autentimine (nt ID-kaardi või telefoni kaudu).
  • Andke kasutajale minimaalsed õigused, mis neil tööks vaja läheb.
  • Lisage ja eemaldage kasutajaid süsteemist kindlate protseduurireeglite järgi. Eriti tähelepanelik tasub olla administraatorite ja teiste samaväärsete õigustega kasutajatega, kelle puhul peab kaaluma, kas neil on ikka tarvis nii laia juurdepääsu.
  • Tihti on ligipääsu raske piirata ja seetõttu tuleks tegevusi logida või kasutada muid meetmeid, et tagantjärele saaks õiguste kuritarvitamisi tuvastada.
  • Vaata kasutusõigusi perioodiliselt üle. Näiteks kui töötaja töölt lahkub, peab olema kindel, et talle ei jää andmetele ligipääsu.

2. Intsidentide haldus

Raidma soovitab enne rikkumise avastamist paika panna protseduurid: kes hakkavad rikkumist menetlema, mis järjekorras midagi tehakse, kuidas avalikkust teavitatakse ning kas ja kuidas teavitatakse inimest, kelle andmed lekivad.

Suurt rõhku peab pöörama ka tehnoloogilistele abivahenditele, mis aitavad lekke tuvastada, kindlaks teha selle ulatuse ning lekke lokaliseerida ja korda teha.

3. Investeeringud tehnoloogiasse

Olgugi et isikuandmetega seotud rikkumistest tuleb teavitada 72 tunni jooksul, peab kõigepealt aru saama, et rünnak on üldse toimunud. Seda on Raidma sõnul aga raske tuvastada, kui ettevõtte võrkvaras puuduvad süsteemid, mis sellest märku annaksid.

Tehnoloogiasse tasub investeerida veel seetõttu, et kui mõni intsident peaks juhtuma ning keegi tuleb uurima ja avastab, et viirustõrje vahendit installeeritud pole, siis võib trahv olla natukene suurem, hoiatas Raidma.

Loe hoolikalt, mida IT nõustamisteenuste juht Teet Raidma ja infotehnoloogia- ja intellektuaalomandiõiguse vanemjurist Laura Saks soovitavad teha arvutivõrgu kaitseks:

  • Paigalda arvutite tarkvarale turvapaigad.
  • Paigalda ettevõtte infosüsteemi tulemüürid.
  • Paigalda võrguliikluse analüüsi vahendid, mis vaatavad võrku seestpoolt.
  • Pahavara tõkestamiseks installeeri arvutisse ja serveritesse viirustõrje vahendid, mida ettevõte peaks suutma hallata nii, et kui mõne töötajaga tekib probleem, saab kohe reageerida.
  • On veel kasulikke meetmeid, mida saab rakendada. Intrusion Detection System (IDS) süsteemid näevad, kui võrgus toimub midagi kahtlast, ja Intrusion Prevention System (IPS) süsteemid suudavad selle automaatselt tõkestada. Praktikas võib IPS süsteem olla integreeritud tulemüüri seadmesse, kuid üldiselt on see väga keeruline valdkond, millega tegelemine nõuab süvenemist ja oskust. Kui teil ettevõttes seda oskust ei ole, siis otsige mõni kindel väline partner, kes aitab valida teie ettevõttele sobivat süsteemi.
  • Kuna tehnoloogia vananeb kiiresti, on mõnikord mõistlik tehnoloogia koos riistvara, monitooringu ja haldusega hoopis rentida või väljast tellida.
  • Kuna uus määrus soovitab kasutada krüptograafiat, veenduge, et kõikide laptopid’ide ja muude nutiseadmete, mis ettevõttest välja liiguvad, kettad oleksid krüpteeritud.
  • Tarkvara hangetel jälgige juba alguses, et vajalikud turvalisuse ja isikuandmete kaitse nõuded oleksid hankesse juba sisse kirjutatud. Ärge ostke süsteeme, kus on näha, et seda põhimõtet pole järgitud.
  • Uue tarkvara soetamisel veenduge, et see oleks alguses kõigile suletud, kuhu alles hakatakse õigusi juurde lisama. Mitte nii, et alguses näevad kõik puhtalt lehelt kõike. Või kui soetate tulemüüri seadme, siis tehke kindlaks, et seal oleks kohe alguses kindel parool. See tähendab, et enne, kui üldse midagi tegema hakkate, vahetate esimese sammuna parooli „Default“ nupu vastu ära.
  • Kui ettevõte kasutab pilveteenust, siis peab tegema põhjaliku kontroll nii pilveteenuse pakkuja kui ka pakutava teenuse kohta. Pilveteenuse põhiohud on kontrolli ja läbipaistvuse puudumine ning turvarisk. Kui vastutav töötaja peab tagama, et riskid oleksid kaetud, siis pilveteenust kasutades tal tegelikult kontroll puudub. Samuti puudub tal kontroll, kus andmeid parasjagu hoitakse: kas need on EL-i riikide territooriumil või väljaspool.

Küsimus: Kuidas teha pilveteenuse pakkujale taustakontrolli?

Vanemjurist Laura Saksi sõnul tasub alati lugeda kasutajatingimusi. Uurida võiks, mis kogemused on teistel ettevõtetel pilveteenuse pakkujaga ja kas on olnud probleeme. Kindlasti tuleks sõlmida pilveteenuse pakkujaga leping.

Kontrollige ka, kas pilveteenuse pakkuja on sertifitseeritud, soovitas Raidma.

Andmekaitsereform on teinud tegelikult pilveteenuse kasutamise natuke lihtsamaks: ettevõte jagab vastutust andmete lekkimise eest pilveteenuse pakkujaga. Samas kui andmesubjekti õigusi on rikutud, siis saab tema valida, kelle vastu ta läheb. Klient võib minna ka ettevõtte vastu, kes tema andmed on lisanud, täpsustas Saks.

Kuna osad pilveteenuse pakkujad kasutavad oma serverites krüpteeringut, osad mitte, saab teenuse valikul ka seda silmas pidada, lisas Raidma.

Seminari Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks korraldasid ITuudised koostöös KPMG-ga.

Loe ka Täna toimub uut andmekaitsemäärust põhjalikumalt tutvustav praktiline seminar.

Osale arutelus

  • Merit Pärnpuu, Äripäeva ajakirjanik

Toetajad

Seotud lood

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

Derivco is looking for a SENIOR FULL STACK DEVELOPER

Derivco Estonia OÜ

16. juuni 2017

Derivco is looking for a SENIOR JAVASCRIPT DEVELOPER

Derivco Estonia OÜ

16. juuni 2017

Arvamused

Käsi­raamatud