Telia andmekaitsereformist: saatan peitub detailides

Telia Eesti riskijuhtimise osakonna juhataja Eva Jakunin
Telia Eesti riskijuhtimise osakonna juhataja Eva Jakunin

Suurettevõtte Telia kogemusest andmekaitsereformi läbiviimisel rääkis Telia Eesti riskijuhtimise osakonna juhataja Eva Jakunin 8. veebruaril KPMG ja ITuudiste koostöös korraldatud seminaril "Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks".

Telias alustati andmekaitsereformiks ettevalmistustega umbes aasta tagasi. Initsiatiivi varem alustada said nad emaettevõttelt, sest gruppi kuuluvaid riike on palju ning võtab aega, kuni saadakse kokku piisav ülevaade allüksuste isikuandmete liikumise kohta. Meil Eestis on sellevõrra lihtsam, et me ei pidanud hakkama ise seadusi tõlgendama ja et grupp oli kõik reeglid juba kirja pannud, nentis Telia Eesti riskijuhtimise osakonna juhataja Eva Jakunin.

Esimesed sammud astutud

Jakunini sõnul kaardistasid nad esmalt olemasoleva olukorra, seejärel võtsid kõrvale uue määruse ning hakkasid otsima ebakõlasid, puudusi ja halle alasid. „Kutsusime erinevatest üksustest inimesed kokku ja tegime ühepäevase workshop’i, et tähtsam teemadering üle vaadata. Kogu 300 määruse punkti kontrollimine võttis aega kolm nädalat, mille järel oli ka enam-vähem selge, kus tõsisemad väljakutsed peituvad,“ selgitas Jakunin.

Kui alguses meil ainult andmekaitsega tegelevat inimest ei olnud – osaliselt täitsin seda rolli mina ja osaliselt juristid –, siis praegu on juriidiline pool andmekaitseohvitseri kujul väga tugev. Alustasime ka andmeturbe baasnõuete täitmise analüüsi arendusprojektiga, rääkis Jakunin.

„Uute arenduste läbi viimisel oleme läinud märksa rangemaks ja nõuame, et turbenõuetega arvestataks nii, et see oleks juba arenduse integreeritud osa. Näiteks peavad uued arendused olema liidestatud keskse identiteedihalduse külge ja kantud rakenduste nimekirja, ka rakenduste logi peab vastama logimise nõuetele“ märkis Jakunin.

Üsna palju teeme rakendustele ka turvateste (penetration testing). Regulaarne testimine tagab, et mitteturvalised lahendused ei jõuaks klientideni, ütles Jakunin.

Aasta lõpus tegime põhjaliku andmete kaardistamise, pidades silmas just kliendiandmeid. Fikseerisime, kus on sideliikluse andmed, kus kliendi isikuandmed, kus midagi muud ning nüüd on antud info ühelaadse struktuuri alusel kirjeldatud ja modelleeritud. Varem ei olnud see niivõrd süsteemselt kirja pandud tarkus, kuivõrd kollektiivne teadmine, möönis Jakunin.

Kes projektis kaasa löövad?

Ehkki grupil on olemas privacy ohvitser, kes tegeleb andmekaitsereformi juurutamisega, tuleb kogu sisuline pool ja tehnilised lahendused välmida projekti juhtrühmal. Grupp aitab ainult määrusi ja seadusi tõlgendada, mis teeb kogu protsessi allüksuste jaoks lihtsamaks.

Projekti juhtrühma kuuluvad riskijuht, juriidilise osakonna juht, IT süsteemiarenduse juht ja IT projektijuht. Eestvedajaks on andmekaitseohvitser, kes kutsub korra kuus juhtrühma kokku.

„Õnneks tabasime kohe ära ka äri poole pealt inimesi kaasata, kelleks on teenindusdirektor ja analüütilise turunduse juht. Teenindusosakond hakkab aga hiljem järjest suuremat rolli mängima, kuna lõpuks peavad nemad suutma klientide küsimustele vastata,“ ütles Jakunin ja lisas, et praegu töötab reformi sisu kallal näiteks ka turundus.

Lisaks osaleb projektis veel hulk inimesi ja osakondi, nagu protsessijuhid, juristid, personal, turvaprojekt, ostuosakond, teeninduskanalid ja IT arendus.

Eraldi esindatud on infoturve, kelle roll hõlmab muu hulgas andmeid sisaldavate rakenduste turvameetmete kontrollimist. Vaatame uuesti üle ka koostöö viisid kolmandate osapooltega, kellele Telia andmeid edastab (nt postifirmad, kes klientide arveid kohale toimetavad).

Omaette tegevusvaldkonna moodustavad kommunikatsiooni ja koolitus. Jakunini sõnul tehakse neil väga tublit teavitustööd ja kõik töötajad on teadlikud, mida uus andmekaitsemäärus endast kujutab.

Lahendamist vajavad probleemid

Kui seni kustutasime andmeid üsna kaootiliselt: ühes kohas hoidsime neid kauem, teises kohas vähem, kohati tegime käsitööd, siis nüüd panime andmete kustutamise automatiseerimise iseseisva projektina käima. Antud projekt on hea näide sellest, kui keeruliseks võib osutuda mõni esmapilgul üsna lihtne ülesanne. Olgugi et reeglite järgi võib sideandmeid hoida aasta, võlaõigussuhetest tulenevaid dokumente kolm aastat ja raamatupidamise jaoks vajalikke dokumente seitse aastat, tekivad sellest hoolimata probleemid, mida ei oska ette näha.

Näiteks mida teha isikuga, kes on samal ajal nii klient kui ka kasutaja, või isikuga, kes kaob ühest keskkonnast ära, kuid jääb teise alles. „Võtad ühe kitsa teema, mis tundub esialgu lihtne, juriidika annab mõne reegli ette ja siis tekivad küsitavused, mille lahendamine on väga ajamahukas,“ täheldas Jakunin.

Veel planeerime seda, kuidas veelgi täpsemalt pidada arvet selle üle, mille kohta klient nõusoleku andis või tagasi võttis. Kas ta ei luba saata materjale, kas ta ei luba saata pakkumisi või midagi muud. Detailsus läheb kogu aeg suuremaks ja lõpuks on detailsus nii suur, et ongi konkreetne arendusnõue laual, nentis Jakunin.

Nõusolekute teemal tuleb Telial lahendada veel üks raskus: kas üldse ja mis mahus tuleks varasemalt saadud nõusolekuid uuesti küsida. Teatud aspekte, näiteks profileerimist, ei olnud varasemalt seaduses nii spetsiifiliselt sees, ütles Jakunin.

„Telekomi ettevõtte taak ja teistpidi väljakutse, samas põnev väljakutse ongi klientide andmed,“ tunnistas Jakunin, märkides, et neid on ka kõige keerulisem käsitleda. Näiteks kui klient A helistab kliendile B, siis see kõnelogi on ka kliendiandmed. Seal ei ole küll otsest isikut küljes, kuid kaudselt on see tuvastatav ja nii kuuluvadki väga paljud andmed lõpuks siiski isikuandmete kategooriasse, lisas ta.

Luubi all veebikeskkonnad ja andmete ülekantavus

Ehkki rakenduste ja protsesside arv on teada, kus muudatused tulevad, võtab Jakunini sõnul veel tükk aega, enne kui konkreetsed IT-tellimused kirja panna saab.

Kõige suuremat analüüsi nõuavad veebikeskkonnad. Peame kogu kliendi informeerimise veebikeskkonnas uue regulatsiooni valguses uuesti läbi mõtlema. Näiteks millal peab kliendile ütlema, et tema andmeid töötleme, või millal võib tema kohta päringuid teha? Kui klient tuleb e-poodi, logib sisse ja ei ole varem meie klient olnud ning tahab maksta, siis mis hetkel temaga lepingu teeme, millal krediidiinfosse päringu teeme, millal arvutame reitingu. Arvestama peame veel sellega, kas klient tahab maksta järelmaksuga või maksab kohe pangas, loetles Jakunin erinevaid aspekte, mis vajavad läbi mõtlemist..

Projekti riskidest on üks suuremaid andmete ülekantavuse teema, kuna selget ega head interpretatsiooni selle regulatsiooni sätte osas veel tulnud pole. Üks nägemus on, et klient peab saama oma baasandmeid – nimi, isikukood ja muud enda kohta märgitud andmed – üle kanda. Samas puudub konkreetne tõlgendus, mida need baasandmed endast kujutavad. Teise variandina on Euroopa andmekaitse töörühma laual olnud tõlgendus, et ülekantavuse nõue kehtib ka klientide enda poolt kasutamise käigus loodud andmetele. Viimane variant suurendaks töö mahtu oluliselt. See on tehniliselt keerukas ja suur töö, kui peaksime kliendi liikumisel telekomiettevõtete vahel andma talle kaasa või võtma vastu tema 12 kuu kõne ajaloo või interneti kasutusmahu.

Teistest valdkondadest näiteid tuues võiks see näiteks tähendada, et kliendi soovi korral tuleb võimaldada ühest spordiäpist tema sportimisajaloo teise ülekandmist. Tehniliselt saab see olema kindlasti väga keerukas, kuna teenusepakkujate tehnilised lahendused ja andmestik on erinevad.

Õppetunnid

Tagantjärele vaadates tundusid juhised andmete kaitse kohta täpselt kirjas olevat, kuid lähemal uurimisel leidsime hulga valdkondi, mis vajavad veel täiendavat seletuskirja seaduslooja poolelt. „Kindlasti on üheks motivaatoriks, miks antud teema ka juhtkonna poolt palju tähelepanu saab, seadusesse sisse kirjutatud kõrged trahvimäärad, mis võimaliku rikkumise eest on määratud,“ tõdes Jakunin.

Parim õppetund oli see, et muud lahendust polegi, kui lihtsalt projektimeeskonnas koos teemad läbi analüüsida ja segased kohad läbi mõelda, kuidas üht või teist nõuet päriselus rakendada, selgitas Jakunin.

Parim viis töö mahust aru saada, on analüüsiga alustada. Kindlasti on iga ettevõte eriline ning täpsem projekti- ja arendusmaht selgub siis, kui esmased kokkuvõtted on tehtud.

Küsimus: Kui tekib vajadus arhiividest ja varukoopiatest andmeid kustutada, siis kuidas olete Telias toiminud?

Meie elektroonilise arhiivi sisse ei lähe, sest siis kaoks backup’i mõte ära, säilitustähtaeg on ikkagi rakenduse või andmebaasi backup’il tervikuna. Kui arhiividest laiemalt rääkida, siis paberarhiivist viskame küll praegu hoogsalt vanu lepinguid minema.

Tegelikult on siin veel see nüanss, et neid andmeid väga palju polegi, mida klient võib üksikult nõuda kustutada. Näiteks andmeid, mis vajame jooksvalt kliendi teenindamiseks, ja andmed, mida hoiame kliendi lepingu täitmiseks. Näiteks klient ei saa nõuda, et kustutaksime  tema eilse kõne ära. Selliseid andmeid peame hoidma nii arveldamise otstarbel kui muudel seaduses ettenähtud eesmärkidel vähemalt aasta.

Andmete kustutamisel peab arvestama nii tehnilise kui ka õigusliku poolega. Väga paljusid andmeid hoitaksegi seadusest tulenevalt, lepingu täitmiseks või teeninduse otstarbel ja sellepärast me ei saa neid kustutada.

Osale arutelus

  • Merit Pärnpuu, Äripäeva ajakirjanik

Toetajad

Seotud lood

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

Derivco is looking for a SENIOR FULL STACK DEVELOPER

Derivco Estonia OÜ

16. juuni 2017

Derivco is looking for a SENIOR JAVASCRIPT DEVELOPER

Derivco Estonia OÜ

16. juuni 2017

Arvamused

Käsi­raamatud