Kuidas pöörata IT ettevõttes GDPR nõuded enda kasuks?

Hedman Partners advokaadibüroo isikuandmete kaitse ekspert Andres Ojaver rääkis IT ettevõtetele suunatud webinaril sellest, kas isikuandmete kaitset tuleb vaadata vaid suure ja tülika koormana toodete ja teenuste arenduses või tuleks sellesse suhtuda optimistlikumalt ja kasutada selle pakutavaid võimalusi.

  • Kui Klient tellib töö aga ei oska seda tellida vastavalt GDPR reeglitele, kas siis tuleks austada Kliendi soove või juhendada teda õiges suunas?

  • Kui Klient küsib GDPR vastavust tellimuses, siis peab ta selle saama. Aga kui Klient ei oska küsida ega mõõta GDPR vastavust, kas ja mis tasemel võiks ta selle ikkagi saada?

  • Vaikimisi vastavus võiks anda konkurentsieelise ja väikeste kuludega tõsta äri väärtust.

Selles kontekstis on eriti olulised järgmised GDPR nõuded:

  • Läbipaistvus – andmetöötlus on nii arusaadav, et seda on võimalik privaatsusteates B2C kliendile kommunikeerida;
  • Andmetöötlus peab olema eesmärgipärane;
  • Ligipääs andmetele peab olema eesmärgipärane;
  • Vastutava-volitatud töötleja andmetöötlusleping;
  • Proovige võimalusel reaalandmetele ligipääsu vältida;
  • Ideaalis toimuksid testimised sünteetiliste või anonüümitud andmetega;
  • B2B klient peab saama oma B2C kliendi andmeid sisaldavates süsteemides rakendada GDPR-st tulenevaid isiku õigusi – nõusoleku andmine/võtmine, andmete osaline kustutamine, säilitustähtaegade rakendamine, andmete andmine isikule ja andmete ülekandmine teise süsteemi masinloetaval kujul.

Mida võiksid ärikliendile pakutavad IT tooted/teenused sisaldada, et eraisikute andmed oleksid nõuetele vastavalt kaitstud:

  • Juhi kliendi tähelepanu sellele, et osad tulemused analüütikas on võimalik saavutada anonüümsete andmetega;
  • Ligipääsude haldus;
  • Kasutajapõhine logimine;
  • Arusaadav andmete elutsükkel. Kustutamise funktsionaalsus on väga oluline. Ka back-up peab olema läbimõeldud;
  • Isiku õiguste teostamise võimekus – nõusolekud, osaline kustutamine nii erakorraliselt kui määratud tähtaegadega;
  • Kui klient ei tunne ära, et planeeritav tegevus vajab B2C kliendi nõusolekut aga sina tunned selle ära, siis on sul võimalik anda kliendile väga kasulik vihje;
  • B2B klient peab oma andmetöötluse kaardistama, tee see talle lihtsamaks (kust andmed tulevad, kus neid hoitakse, kes neile ligi pääseb ja miks, kaua andmeid hoitakse, kellega andmeid jagatakse);
  • Reeglite muutmise võimekus jooksvalt;
  • Privacy by default ehk vaikimisi andmekaitse– atribuute ja toiminguid lisatakse vastavalt vajadusele (näiteks ei küsita pakiautomaati toote tellimisel B2C kliendi kodust aadressi; näiteks ei küsi telefoniäpp kliendi asukohta kui ta ei kasuta äpis asukohapõhiseid funktsionaalsusi);
  • Auditeerimise lubadus. Ole valmis lubama kliendil ennast auditeerida;
  • Kui teenusepakkuja saab ligipääsu ka isikuandmetele, siis on B2B kliendil kohustus sõlmida andmetöötlusleping (DPA). Neile, kes seda ei tea või ei oma, paku välja lepingupõhi. Nii saad ka selles sisalduvaid tingimusi juhtida;
  • Mõtle nii, et sinul ei ole küll erakliente aga tulenevalt teenuse iseloomust võid sa omada juurdepääse paljude klientide süsteemidele, kus on palju isikuandmeid, seega ära alahinda oma riske;
  • Pre-live toode või ka live toode oleks soovitav üle testida tavakasutaja vaates näiteks kolmandal osapoolel.

Mõned tähelepanekud Gartner uuringust 2020-2022

  • Aastaks 2023 näevad klientide usalduse teeninud digitaalsed ärid 30% suuremat kasvu kui konkurendid, kes seda usaldust välja ei suuda teenida;
  • Isikuandmete kaitse nõuetele vastavuseks kulutatakse aastas ülemaailmselt umbes 8 miljardit dollarit;
  • Tehnoloogiline võimekus privaatsusnõuete vastavuse tagamisel on viimase kahe aastaga kasvanud oluliselt, kuid nende lahenduste juurutamine on siiski olnud liialt aeglane. See tähendab, et ettevõtted on pidevalt hädas kulukate manuaalsete protsessidega ning võimalike rikkumistega.

Ole kursis Hedmani uudiste ja üritustega

Hedman

Meie kuuluvused:
FinanceEstonia, Lexing®,
Teenusmajanduse Koda,
Eesti Kaubandus-Tööstuskoda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum