Andmekaitse vastavuse kontrollküsimustik

Advokaadibüroo Hedman on koostanud isikuandmete kaitse korralduse kontrollküsimustiku, mis aitab organisatsioonidel kaardistada selle teema katmata tegevusi. Küsimustiku eesmärk ei ole pakkuda isikuandmete kaitse terviklahendust, vaid juhtida tähelepanu, millistele protsessidele ja toimingutele tuleks keskenduda kui soovitakse kindlust, et see valdkond on juhitud.

Kui küsimustele on vastuseks EI, soovitame võtta ühendust meie andmekaitse nõunik Andres Ojaveriga.

Andmetöötlus on kaardistatud

EI: Teosta üleüldine andmete kaardistus, et kindlaks teha andmed, mida töödeldakse ning andmevood (allikad, säilitamine, edastamine, kustutamine, ligipääs jne.). Saad selleks kasutada ka teenusepakkujaid, näiteks GDPR Register.

Loodud on andmetöötluse register/ülevaade

EI: Tegemist on kohustusliku dokumendiga, mille sisuks on andmetega tehtavate toimingute ülevaade (mitte detailne logi). See on andmete kaardistamise tulemusel koostatav ja vajadusel ka regulaatorile esitatav kirjalik peegeldus sellest, mida organisatsioonis isikuandmetega tehakse. Saad selleks kasutada ka teenusepakkujaid, näiteks GDPR Register.

Kindlaks on määratud töötlemise õiguslikud alused

EI: Ettevõte peab mõistma, millistel õiguslikel alustel ta isikuandmeid töötleb ning kuidas andmed nende aluste vahel jaotuvad (seadusest tulenev kohustus, lepingu täitmine, õigustatud huvi, isiku nõusolek, …). Ka andmetöötluse register ning avalik privaatsusteade peavad seda teavet kajastama.

Kindlaks on määratud töötlemise eesmärgid

EI: Lisaks õiguslikule alusele peab igasugune isikuandmete kasutamine ja hoidmine omama mingit eesmärki. Eesmärk omakorda annab aluse säilitustähtajaks. Igaks juhuks andmetöötlus ei ole lubatud. Ka eesmärkide ülevaade tuleks kajastada nii andmetöötluse registris kui avalikus privaatsusteates.

Olemas on avalik privaatsusteade

EI: Lihtsas ja arusaadavas keeles informatsioon selle kohta, kuidas isikute andmeid töödeldakse, tuleb igal ettevõttel kättesaadavaks teha. Kõige tüüpilisem viis selleks on privaatsuteade veebilehel. Pea meeles, et selle teabe esitamisele kehtib terve rida GDPR-st tulenevaid nõudeid.

Tagatud on isikute õigused

EI: Inimesel on õigus küsida, kas tema andmeid töödeldakse ning samuti koopiat nendest andmetest koos eesmärkide, säilitustähtaegade jms lisateabega. Hea andmekaardistus ning läbimõeldud isiku päringute protsess on päringutega nõutud viisil toimetuleku vundamendiks. Pea meeles, et lisaks andmetega tutvumisele annab GDPR veel terve rea õigusi (andmete ülekandmine, osaline kustutamine jne).

Loodud on sisemine dokumentatsioon andmekaitse korralduseks ja vastavuse tõendamiseks

EI: GDPR ei ütle lihtsalt seda, kuidas isikuandmete töötlemist tuleks korraldada, vaid lisaks ka seda, et andmete töötleja peab olema võimeline nõuete täitmist demonstreerima. Selles on abiks mh sisemised poliitikad, töökorraldusreeglid, andmekaitse ja infoturbe põhimõtted jms.

Koostatud on vajadusel mõjuhinnangud

EI: Andmete töötlemise mõjuhinnang tuleb koostada juhul kui planeeritakse kõrge riskiga andmetöötlust. Olenevalt planeeritavast tegevusest, võib tegemist olla küllaltki keeruka ja mahuka tööga, sest nõuded, mis mõjuhinnangule esitatakse, on detailsed.

Töötajad on koolitatud andmekaitse teemadel

EI: Suurem enamus andmekaitsealastest rikkumistest on põhjustatud inimeste poolt. Seda sageli tahtmatult ja teadmatusest. Töötajate teadlikkuse tõstmine läbi koolituste, infomaterjalide vms pidevalt jätkuva protsessina on võtmetähtsusega turvalise andmetöötluskeskkonna loomisel.

Teenusepakkujatega on sõlmitud andmetöötluslepingud/lisad + vajadusel EL-st välja edastamise klauslitega

EI: Kui ettevõte kasutab andmete töötlemisega seoses teenusepakkujaid, vastutab ettevõte ikkagi oma klientide ja töötajate isikuandmete eest. Kui teenuslepingu juures puuduvad kohased andmete töötlemise klauslid, siis võtab ettevõte endalt võimaluse ka ilmselgete teenusepakkuja eksimuste korral, seda vastutust jagada. Ettevõte on kohustatud teenusepakkujalt nõudma läbi lepingulise suhte GDPR vastavust.

Andmekaitse on riskijuhtimisse kaasatud

EI: Riskijuhtimine süsteemsemalt aga ka väike-ettevõtetes abstraktsemalt peaks arvesse võtma ka isikuandmete kaitse valdkonda. Kuna isikuandmetega seotud intsidendid võivad kaasa tuua nii rahalise kui maine kahju ning paljusid andmekaitse riske annab edukalt maandada, siis ei peaks riskijuhtimine ja isikuandmete kaitse olema paralleelsed maailmad.

Määratud on vajadusel andmekaitsespetsialist

EI: Kohustuslik on luua andmekaitsespetsialisti ametikoht või seda ekspertteadmist teenusena sisse osta kui tegemist on riigiasutusega või kui ettevõte andmetöötlus on kõrge riskiga. Selle kohta saad täpsemalt lugeda SIIT. Oluline on meeles pidada, et andmekaitsespetsialist peab olema omaala ekspert ning organisatsioonis on loodud eeldused, mis võimaldavad tal oma GDPR-st tulenevaid ülesandeid täita.

Rakendatud on kohased infoturbemeetmed

EI: Infoturve on eduka andmekaitse vundament. Poliitikaid võib kirjutada aga kui uksi ja arvuteid ei lukustata, siis ei ole sellel erilist mõtet. Mida kõrgema riskiga andmetöötlus seda tõhusamad peavad olema turvameetmed. Süsteemne lähenemine on oluline, alustades juba sellest kui palju andmeid kogutakse, kas on võimalik osa eesmärke saavutada ka anonüümsete andmetega, kes andmetele ligipääsevad ning milline on võimekus tulla toime pahatahtlike rünnetega. Infoturbealane käitumisjuhis töötajatele on samuti dokument, mille loomist tuleks kaaluda.

Koostatud on intsidendi juhtimise protsess koos AKI teavitamise vajaduse hindamisega

EI: On väga oluline, et kõik infoturbe ja andmekaitsega seotud intsidendid saaksid võimalikult kiiresti tuvastatud ning paigatud. Lisaks rakendub tõsisemate rikkumiste korral ka regulaatori (AKI, RIA) teavitamise kohustus. Eduka intsidendi lahendamise võtmeks on töötajate teadlikkus, kirjeldatud tegevusjuhis (protsess) ning loomulikult kiire reageerimine kohaste meetmetega. Iga organisatsioon peab oma intsidentide kohta säilitama ka ülevaadet.

Hedman

Meie kuuluvused:
FinanceEstonia,
Teenusmajanduse Koda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum