Järgmise aasta 25. mail jõustub Euroopa Liidus (EL) Isikuandmete kaitse üldmäärus (General Data Protection Regulation - GDPR), mille eesmärk on lõpetada põhjendamatu isikuandmete kasutamine ja leke. Ühelt poolt on see tervitatav, kuid teiselt poolt tekitab peavalu Eesti ettevõtjatele.

Antud määrus annab uusi ja tagab olemasolevad õigused füüsilistele isikutele ning kehtestab piirangud juriidilistele isikutele. Kuigi peamine rõhk on GDPR määruse raames pandud isikuandmete töötlemise protseduurile, siis selle lahutamatuks osaks on ka tehnilised lahendused, mille abil parandatakse andmete turvalisust ja vähendatakse andmete leket.

Et lihtsustada ettevõtte tööd dokumentide korrastamisel, on infotehnoloogiate ettevõte Squalio valmistanud ette tasuta juriidiliste dokumentide paki kasulike ja määrusele vastavate näidistega, mida saab alla laadida kodulehelt squalio.com. Sellest, mida endast kujutab uus GDPR määrus ja mida see tähendab kogu Eesti elanike jaoks, vaata spetsiaalselt selleks ettevalmistatud videost:

„Isikuandmed on defineeritud väga laialt. Põhimõtteliselt on need kõik andmed, mis puudutavad identifitseeritud või identifitseeritavat füüsilist isikut. Kui ettevõttel on kliendiandmebaas, tagasiside või soovituste ankeet, e-posti aadressid, fotod, turvakaamerate salvestised, kliendilojaalsusprogrammi andmed, CV’d ja muud sellised andmed, siis uus määrus on ettevõtte suhtes kohaldatav,“ selgitab Squalio juhtiv jurist Elina Girne.

Trahv määruse mittejärgimise eest on range - kuni 20 miljonit eurot või 4% käibest. Kui ettevõte on rahvusvaheline, siis trahv puudutab kogu grupi käivet.

Kuidas valmistada end ette uueks määruseks?

Ettevõte peab olema teadlik oma riskidest ja isikuandmete mahust. On oluline neid mitte ainult õigesti säilitada vaid ka määrata, kelle jaoks on need kättesaadavad. Et valmistada end korralikult ette GDPR määruse jaoks, tuleb läbida järgnevad sammud:

• Andmete avastamine – et oleks võimalik hallata ja kaitsta isikuandmeid, tuleb esmalt mõista, kus kohas ja mis eesmärgil neid andmeid kogutakse. Selleks otstarbeks on mitmed tarkvaratootjad rajanud aktuaalse tarkvarakategooria „eDiscovery“, mis võimaldab hallata efektiivselt ja kiiresti enda käsutuses olevaid struktureeritud (andmebaasid) ja struktureerimata andmeid (PDF, Word, Excel, ja e-postid);
• Andmete haldamine - töötada välja andmevoolu siseprotsessid ning selgelt defineerida, millistel ettevõtte töötajatel on ligipääs isikuandmetele (nt raamatupidajatele);
• Andmekaitse - üks IT turvalisuse põhitingimustest on kõikide lõppkasutajate seadmete (sealhulgas nutiseadmete) andmete krüpteerimine kõvaketta tasemel. Mida suurem isikuandmete maht ettevõttes, seda suurem risk, et need satuvad valedesse kätesse. Sellepärast tasub mõelda ka krüpteerimisvõimalustele failisüsteemi tasemel;
• Andmete jälgimine ja teatamine - ettevõtte IT infrastruktuuris tuleb tagada jälgimissüsteem, mis kontrollib arvutivõrgud, kasutajate ebatüüpilist autoriseerimisaktiivsust ja käitumist, et hetkel, kui toimub sissemurdmine ettevõtte infrastruktuuri, vastutavad töötajad oleksid sellest aegsasti informeeritud.

Muidugi selliste lahenduste käitamiseks on vajalik arvestatav serverite võimsus, sellepärast väikeste ja keskmiste ettevõtete jaoks on kõige kergem saavutada vajalik funktsionaalsus, kasutades andmete hoiustamisel pilveteenust, kus eDiscovery funktsionaalsus on juba sisse töötatud. Juba praegu suurimad tootjad, sealhulgas Microsoft ja Google, töötavad sellise funktsionaalsuse saavutamise juures oma pilveteenustes - Office 365 ja Google G Suite.

25. mai ei ole enam mägede taga ning selleks, et korralikult valmistuda end ette kõiki Eesti ettevõtteid puudutava GDPR määruse jaoks, tuleb esimesi samme astuda juba praegu.

• Dokumentide pakk on allalaetav siit: https://squalio.com/et/services/gdpr-uus-isikuandmete-kaitse-uldmaarus/