GDPR andmekaitse audit – milleks ja millal seda vaja on?

Uuendatud 31.11.2023

Esmalt tuleb selgeks mõelda, kas organisatsioonis soovitakse isikuandmete kaitse hetkeolukorda kaardistada ja hinnata või on vajaduseks tegevuste nimekiri, mis aitab planeerida vastavusprojekti (compliance) tegevusi. Mõlemal juhul on asjakohane kaasata eksperte, kes aitavad nii puuduste kaardistamisel kui edasiste tegevuste planeerimisel. Kuid töö efektiivseks teostamiseks on oluline, et nii klient kui ekspert saavad eesmärgist ühtmoodi aru. 

Andmekaitse audit võib olla nii esmane kui viimane tegevus

Audit laiemas tähenduses võib olla seega Euroopa Liidu isikuandmete kaitse üldmääruse ja e-privaatsuse reeglitega vastavusse viimisel nii esmane kui viimane tegevus, olenevalt selle teostamise eesmärgist. Kui organisatsioon on kehtestanud sisemised reeglid, protsessid, veebilehe dokumentatsiooni jne., siis oleks kohane aeg lasta seda komplekti nõuetele vastavuse osas ka välisel osapoolel neutraalse pilguga hinnata (vastavuskontroll). Tulemuseks võib olla rida kasulikke ja praktilisi nõuandeid, mis aitavad tõsta vastavuse GDPR nõuete osas uuele tasemele. Kui aga soovitakse privaatsusreeglite osas ülevaadet, et vajalikke samme planeerima hakata, siis saab ekspert anda juba varakult sisendi tegevuste prioriteetsusest lähtudes, võttes arvesse ka ettevõtte poolt klientidele pakutavaid teenuseid

Kahe andmekaitse auditile lähenemise sarnasused ja erinevused

Need lähenemised ei tundu esmapilgul kuigi erinevad ning tegelikkuses ongi seal palju kattuvusi, kuid oluline on mõista, et ühel juhul hinnatakse organisatsiooni spetsiifikast tulenevaid nõudeid ning esitatakse need vastavusprojekti sisendiks, teisel juhul hinnatakse lisaks ka juba olemasolevaid dokumente ja protsesse. Seega võib esmane töömaht olla suurem, kuid järeltegevuste maht jällegi väiksem.

Igal juhul on auditite läbiviimine isikuandmete töötlemisega tegelevale organisatsioonile kasulik nii nõuete täitmiseks, vastavuse kindlustamiseks, teadlikkuse tõstmiseks kui ka intsidentide korral oma hoolsuskohustuse demonstreerimiseks.

GDPR auditist saadav väärtus

Täpsemalt võiks loetleda GDPR auditist saadavat väärtust järgmiselt:

  1. Aitab tagada asjakohaste andmekaitsepoliitikate jõustamist
  2. Tuvastab protsesside haavatavused, mis võivad põhjustada andmetega seotud rikkumisi
  3. Hindab sisemisi kontrollimehhanisme
  4. Aitab selgitada ja kommunikeerida organisatsioonisisest vastutuste jaotust
  5. Hindab kõiki kinnitatud andmekaitse põhimõtteid, protsesse ja dokumente ning kommunikatsiooni nende täitmiseks
  6. Soovitab muudatusi põhimõtetes, protsessides ja dokumentides
  7. Aitab tõsta andmekaitsealast teadlikkust
  8. Hindab neutraalsena organisatsiooni vastavust GDPR-ile ning sellega seotud riske
  9. Annab ekspertteadmisi täiendusteks ja edaspidisteks koolitusteks ja parendusteks
  10. Aitab viia andmekaitse teadlikkust juhtkonna tasandile nii vastutuse kui sellest saadava väärtuse osas.

Lisaks annab auditi protsess ka kasulikke vastuseid sageli tekkivatele küsimustele:

  1. Mida tähendavad andmekaitse pritsiibid ja kuidas me neid rakendame (andmete õigsus, minimaalsus, eesmärgipärasus, usaldusväärsus ja konfidentsiaalsus, säilitamise piirang, seaduslikkus ja läbipaistvus ning vastutus)?
  2. Kas me peame küsima inimestelt nõusolekuid andmete töötlemiseks ja millal?
  3. Millistel eesmärkidel on meil üldse isikuandmete töötlemine lubatud?
  4. Kas meie teenused vajavad üldse isikustatud andmeid ja millal on andmed piisavalt anonüümsed?
  5. Kuidas praktikas tagada inimeste õigused oma andmete osas (õigus küsida andmeid, kustutada, parandada, üle kanda jne.)?
  6. Kas meil peab olema andmekaitsetomingute register ja mida sinna kirjutada?
  7. Kas me peame määrama andmekaitsespetsialisti (DPO)?
  8. Kas me peame tegema mõjuhinnanguid (DPIA)?
  9. Kas me peame tegema õigustatud huvi tasakaaluteste (LIA)?
  10. Kuidas määrata õigeid andmete säilitustähtaegu?
  11. Kas ja millistel tingimustel me võime kasutada Euroopa Liidu väliseid teenusepakkujaid klientide andmete töötlemisel?
  12. Mida teha isikuandmetega seotud rikkumiste korral?
  13. Kas infoturbe rakendamisega saame ka andmekaitse korda?
  14. Kas riskijuhtimine ja andmekaitse on samad asjad?

Andmekaitse auditi planeerimine

Isikuandmete kaitse audit on üldjuhul keeruline ning aeganõudev protsess, mille edukus sõltub suuresti tellija ja ekspertide omavahelisest koostööst. Kõige mõistlikum on alustada auditi vajaduse hindamist ja eesmärgi ning mahu planeerimist koostöös valdkonna eksperdiga.

Küsimuste korral võtke ühendust Hedmani andmekaitse nõuniku Andres Ojaveriga.

Ole kursis Hedmani uudiste ja üritustega

Hedman

Meie kuuluvused:
FinanceEstonia, Lexing®,
Teenusmajanduse Koda,
Eesti Kaubandus-Tööstuskoda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum