Kuigi mõned suhtuvad 25. mail 2018. a jõustuva isikuandmete kaitse üldmääruse nõuetesse kui täiendavasse kohustusse, mõistavad juhid üldjuhul selle üllamat eesmärki.
Euroopa Liidu põhiõiguste harta sätestab igaühe õiguse isikuandmete kaitsele, täpsustades seda artiklis 8 järgmiselt: "Selliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. Igaühel on õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist."
Isikuandmeid on siiani kaitsnud mitmed õigusaktid ja täiendavaid tehnilisi nõudeid isikuandmete kaitse üldmäärus ei sea. Artikli autori hinnangul on vaid kaks sisulist muudatust:
- isikuandmete käitlemise nõuete rikkumise rahalise vastutuse suurus (20 miljonit eurot või 4% globaalsest käibest) ning
- andmete vastutava töötleja ja volitatud töötleja solidaarne vastutus.
Kõik IT spetsialistid, kes on senini seisnud selle eest, et süsteemides on juurutatud mõistlikud infoturbemeetmed, võivad olla rahulikud – revolutsioonilist muutust oodata ei ole. Peamised muudatused on äriprotsessi juriidilises pooles ja riski hindamise metoodikas. Andmesubjekti puudutava riski arvesse võtmine toob muudatusi äriprotsessi ja lisab nõudeid IT süsteemidele, kuid seda pigem loomuliku arengu kujul.
Suurema pingutuse peavad tegema organisatsioonid, kes töötlevad isikuandmeid digitaalselt, et hinnata inimeste vaateid, seisukohti, isikuomadusi, harjumusi, huvisid, eelistusi, sotsiaalset staatust, käitumist, asukohta ja liikumist. Sama kehtib terviseandmete, poliitiliste vaadete, rassi, etnilise päritolu jne kohta. Kui ulatuslikult taolisi andmeid töödeldakse ja milline on selle töötlemise mõju füüsilisele isikule, on diskussiooni teema juristidega.
Andmekaitseinspektsioon on koostanud loetelu inimesele suurt ohtu kujutavast korrapärasest ja süstemaatilisest andmetöötlusest, mis eeldab andmetöötlejalt suuremat pingutust ning andmekaitsespetsialisti määramist:
- sideteenuse osutamine (nii telefoni- kui ka internetiteenus);
- kindla valimi alusel otseturustuse saatmine;
- kliendi sobivuse hindamine panga- või kindlustustoote kasutamiseks (nt maksevõime hindamine, kliendi tervise- või liikluskäitumise riski hindamine);
- kliendi asukohaandmete töötlemine nutirakendustes;
- kaubanduskettide lojaalsusprogrammid;
- klientide võrgulehtede kasutuse analüüsimine ja selle põhjal nn online-reklaamide näitamine;
- kliendiandmete töötlemine kaugloetavate arvestitega;
- veebiteenuse osutamine, eelkõige online-meedia (uudisteportaalid);
- telemaatikateenuse osutamine.
Paljud ettevõtted teevad taolisi toimingud oma kliendi tellimusel volitatud töötlejana. Vastutava töötleja ja volitatud töötleja solidaarne vastutus tähendab vastutust füüsilise isiku ees, isegi kui andmete töötlejal ei ole füüsilise isikuga otselepingut.
Andmekaitsemäärusest tulenevaid nõudeid ei saa kunagi lugeda lõplikult täidetuks. Paljud nõuete täitmist puudutavad meetmed sõltuvad riskianalüüsist, mis võtab arvesse nii võimalikku ohtu andmesubjektile kui ka meetme rakendamise kulusid. Nii ohu suurus kui ka meetmete rakendamise kulu võib ajas muutuda.
Millest määruse nõuete täitmist alustada?
Tavaliselt alustavad ettevõtted tervikliku juriidilise ja tehnilise auditiga. Juriidilise auditi eesmärk on mõista, millises ulatuses peab ettevõte muutma oma tegevusprotsesse ja tehnilise auditi eesmärk on mõista, milline on ettevõtte tehniline valmisolek.
Juriidilise ja tehnilise auditi tulem võiks olla:
- koostatud on esmane mõjuhinnang, mida regulaarselt uuendama hakatakse;
- juhtkond on langetanud andmekaitsespetsialisti (mitte-)määramise otsuse;
- juhtkonnal on andmekaitsemääruse nõuete täitmise tegevuskava;
- on olemas nimekiri lepingutest, milles tuleb üle vaadata isikuandmete kogumise alused;
- on olemas tegevuskava ja juhis andmesubjektide päringutele vastamiseks;
- juhtkonnal on tegevuskava rikkumiste menetlemiseks.
Milliseid tehnilisi meetmeid rakendada?
Andmehalduse tsentraliseerimine. Mida rohkemates süsteemides on andmed laiali, seda keerulisem on neis andmete kasutamist hallata. Seepärast on mõistlik analüüsida, kuidas äriprotsessi osi koondada vähematesse teenustesse ja omakorda, kuidas koondada tegevuste logimine (töötlustoimingute register) ühte auditeeritavasse keskkonda.
Tegevuste logimise ja auditeerimise ulatus selgub tavaliselt arutelu käigus. Tegevuste logimise rakendamine tähendab tavaliselt muudatusi olemasolevates süsteemides ja täiendavat koormust süsteemile – investeering ja püsikulu. Lisaks nõuab iga auditilogi kontrollimise põhjendatus täiendavat auditeerimist. Seepärast on tegevustoimingute registreerimine valdkond, mis nõuab nii juristi kui ka tehnilise eksperdi kaasamist riski ja selle juhtimise kulude hindamisse.
Tingimusliku ligipääsu kehtestamine on tavaliselt järgmine samm pärast kasutajanime ja paroolisüsteemi kasutuselevõtmist. Väikeses ettevõttes, kus kõik kolleegid on sõbrad, on kõigile võrdse ligipääsu võimaldamine ratsionaalne. Suures ettevõttes peab juba läbi mõtlema, kes ja millistele andmetele ligi saab, et vältida kuritahtlikku andmete kasutamist. Korralikule tingimusliku ligipääsu süsteemile on ka lihtsam rajada andmete klassifitseerimise ja markeerimise reegleid.
Andmete klassifitseerimine ja markeerimine tuleb mängu, kui analüüsi tulemusena on otsustatud erinevatel alustel kogutud andmete säilitamise reeglid. Kui nõusoleku alusel kogutud andmete edasiseks säilitamiseks nõusolekut ei ole, tuleb need andmed kustutada. Selleks peab kustutaja või kustutusprotsess teadma, et antud andmed on kogutud nõusoleku alusel. Samas peab aga tagama, et lepinguliste kohustuste täitmiseks või seaduses nõutud ulatuses kogutud andmed kindlasti säiliksid. Selleks on vaja andmed klassifitseerida ning määrata erinevatele andmeklassidele konfidentsiaalsuse, säilitamise ja kustutamise reeglid.