Andmekaitsealasele rikkumisele reageerimise plaan: sammsammuline juhend ettevõtetele

Taust 

Isikuandmete kaitse üldmäärus (GDPR) käsitleb andmete töötlemise turvalisust eelkõige artiklites 32-34. Tegelikult on aga kogu GDPR-i üks läbivaid teemasid andmete töötlemise turvalisus ning turvameetmete valik vastavalt riskitasemele.  

GDPR võimaldab rakendada infoturbemeetmeid riskipõhiselt ning samas paneb andmete töötlejale kohustuse ise riske hinnata ja meetmete rakendamise võimekus tagada. 

Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu. 

Enamlevinud põhjused andmetega seotud intsidentide puhul on sülearvuti/mobiiliseadme kadumine, andmepüük või teenuse peatamine, arvutikontode volitamata kasutamine, elektrooniliste või paberandmete vargus või kadumine ning teadmatusest või tahtlusest põhjustatud andmete avalikustamine. Kui ettevõttes tekib teadmine või kahtlus, et midagi eelmainitutest on toimunud, siis selmet hakata kurvalt ümisema Beatles’i laulu “Let It Be” (las olla), tuleks kiirelt ja kindla plaani alusel tegutseda.   

Kuidas ära tunda isikuandmetega seotud rikkumine (infoturbeintsidendi osana)? 

  • Küberintsident on olukord, kus rikutakse organisatsiooni, asutuse või üksikisiku infosüsteemi ja/või selles oleva info konfidentsiaalsust, terviklust ja käideldavust. Küberintsidendid on ka olukorrad, kus kasutatakse omavoliliselt kellegi teise infosüsteemi või häiritakse tahtlikult selle toimivust (Riigi Infosüsteemi Amet). 
  • Intsidendi ilmnemisel tuleb alati hinnata, kas mõjutatud on ka isikustatud andmed. Kuni see pole selge, tuleks eeldada, et on. 
  • Isikustatud andmed on kõik andmed, mida otseselt või kaudselt on võimalik seostada konkreetse füüsilise isikuga. 
  • Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. 
  • Tuleks võimalikult täpselt selgeks teha, kui palju on puudutatud isikuid, milline on puudutatud andmekoosseis ja mis on põhjustanud rikkumise.   

Kuidas reageerida? 

  • Võimalikult kiire kestva intsidendi peatamine ja meetmete rakendamine edasise kahju vältimiseks. Vajadusel teiste osapoolte teavitamine ja koostöö intsidendi peatamiseks. 
  • Teatud juhtudel AKI (Andmekaitse Inspektsioon) teavitamise kohustus hiljemalt 72 tunni jooksul intsidendist teada saamisest. Teatud juhtudel ka puudutatud üksikisikute teavitamise kohustus. 
  • Toimunud intsidentide kohta peab pidama arvestust GDPR artikkel 33 lõige 5 “Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumise asjaolud, selle mõju ja võetud parandusmeetmed. Dokumendid võimaldavad järelevalveasutusel kontrollida sätestatud nõuete täitmist.” 
  • CERT-EE (Riigi Infosüsteemi Amet) teavitamine kui ettevõte pakub näiteks digitaalset teenust, sideteenust või usaldusteenust e-identimise ja e-tehingute usaldusteenuste seaduse mõttes.  

Sammud intsidendile reageerimisel kokkuvõtvalt  

SAMM MEEDE 
Turvaintsidendi tuvastamine Avastamine ja sisemine uurimine. Veenduge, et vajadusel teavitataks infoturbe järelevalveasutust kui intsident kvalifitseerub selliselt (Eestis CERT-EE). Iga töötaja peab teadma, et intsidendi avastamise või kahtluse korral tuleb teavitada konkreetsele kontaktile. 
Intsidendi uurimise koordineerimine Ettevõte määrab viivituseta konkreetsed isikud/ametikohad intsidendi uurimise meeskonda. 
Intsidendi dokumenteerimine ja analüüs Turvaintsidendi uurimine Niipea kui võimalik, pärast turvaintsidendi avastamist, tuleks uurida, kas turvaintsident kestab, kas turvaintsidendi toimepanemise meetod on endiselt kättesaadav ja kas haavatavus on endiselt olemas ja kasutatav. Niipea kui võimalik tuleks selgeks teha, kas turvaintsident sisaldab endas ka isikuandmetega seotud intsidenti/rikkumist. Kui see nii on, tuleks järgida sammus „Isikuandmetega seotud intsidendist teavitamine ja dokumenteerimine“  toodud tegevusi. Isikuandmete seotud rikkumise peatamine Rikkumise dokumenteerimine Kontrollaruanne Uurimismeeskond koostab kontrollaruande, et selgitada välja juhtunu põhjused, vajalikud meetmed ja elemendid, mis aitavad tuvastada kahju ulatust. 
Isikuandmetega seotud intsidendi käsitlemise meeskond Isikuandmetega seotud rikkumine võib mõjutada ettevõtte mitut valdkonda/osakonda. Seetõttu võidakse esialgset meeskonda laiendada, et tagada kõigi puudutatud osapoolte informeeritus ja kaasamine. Välised nõustajad Intsidendi tõhusaks haldamiseks võib ettevõte kaasata väliste konsultantide/ekspertide teenuseid, eriti juhtudel, kui nende teenuseid on vaja kahju piiramiseks. Väliste nõustajate hulka kuuluvad tavapäraselt õiguseksperdid ja IT-spetsialistid. 
Intsidendi analüüsi protsess IT analüüs IT-meeskond peaks andma üksikasjalikuma hinnangu järgmisele: viis, kuidas isikuandmetega seotud intsident aset leidis, sealhulgas kõnealused põhjused ja haavatavused; mõjutatud andmed või süsteemid; osapoolte tuvastamine, keda isikuandmete intsident võib mõjutada (nt kliendid, töötajad, klientide töötajad jne); osapooled, kes võisid rikkumise eest vastutada (nt kolmandatest isikutest teenusepakkujad, töötajad jne); kas isikuandmed, ärisaladused, intellektuaalne omand või muu mitteavalik teave on sattunud ohtu; kas andmed olid krüpteeritud; kui tegemist on isikuandmetega, siis asjaomaste isikute arv ja nende asukoht; millised on võimalikud meetmed intsidendi lõplikuks kõrvaldamiseks  Tõendite kogumine IT analüüsi käigus Võimaluse korral kogutakse ja säilitatakse saadaolevaid juriidilisi tõendeid ka IT alase intsidendi analüüsi käigus, sealhulgas tõendeid, mis võivad olla olulised võimaliku õigusvaidluse jaoks. Ettevõte saab selles osas kasutada  õigusekspertide tuge. 
Isikuandmetega seotud intsidendist teavitamine ja dokumenteerimine Teavitamise nõuded Kui on selgunud, et turvaintsident sisaldab endas ka isikuandmetega seotud rikkumist, tuleb ettevõttel hinnata, kas rikkumine kvalifitseerub ka teavitamiskohustuslikuks rikkumiseks. Kriteeriumid selleks annab andmekaitse järelevalveasutus tuginedes GDPR nõuetele (Eestis https://www.aki.ee/et/teenused-poordumisvormid/esita-rikkumisteade).  Üksikisikute teavitamine Kui isikuandmetega seotud rikkumine võib tõenäoliselt kaasa tuua suure riski üksikisikute õigustele ja vabadustele, peab ettevõte viivitamata teavitama üksikisikuid rikkumisest ja selle võimalikust mõjust. Ettevõte kaalub suhtekorraldusmeeskonna/väliste nõustajate kaasamise vajadust sobiva lähenemise ja üksikisikute teavitamise osas. Järelevalveasutus võib samuti anda nõu üksikisikute poole pöördumise kohta. Vastutava andmetöötleja teavitamine  Kui Ettevõte tegutseb volitatud andmetöötlejana, peab ta tagama, et vastutavat töötlejat, kelle nimel ta tegutses, teavitataks vastavalt nendevahelise lepingu sätetele ja GDPR-is ettenähtud nõuetele.  
Kaebuste ja nõuete kaitseplaan Isikuandmetega seotud rikkumisest tuleneva kaebuse, nõude, menetluse või hagi korral hindab ettevõte võimalust kaasata väliseid nõustajaid, et hinnata sellistest kaebustest ilmnevaid riske ja kaitse võimalusi. 
Rikkumiste registri pidamine Intsidendi uurimise eest vastutajad peaks talletama kõigi isikuandmetega seotud juhtumite üksikasjad (sealhulgas juhtum, mõjutatud isikuandmed,  ettevõtte võetud meetmed ja nende meetmete põhjused) selleks ettenähtud registris. Sellist registrit on õigus tutvumiseks nõuda ka järelevalveasutusel. Isikuandmetega seotud rikkumiste üksikasjad tuleks salvestada olenemata sellest, kas järelevalveasutuse ja/või üksikisikute teavitamine oli vajalik või mitte. Juhtudel, kus teavitamist ei peeta vajalikuks, on soovitav fikseerida teavituse mittetegemise põhjused. 

Küsimuste korral võtke ühendust Hedmani andmekaitse nõuniku Andres Ojaveriga. 

« Tagasi

Ole kursis Hedmani uudiste ja üritustega

Hedman

Meie kuuluvused:
FinanceEstonia, Lexing®,
Teenusmajanduse Koda,
Eesti Kaubandus-Tööstuskoda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum