{"id":18615,"date":"2023-10-13T08:27:10","date_gmt":"2023-10-13T08:27:10","guid":{"rendered":"https:\/\/hedman.legal\/?post_type=articles_posttype&#038;p=18615"},"modified":"2024-02-22T19:39:45","modified_gmt":"2024-02-22T19:39:45","slug":"andmekaitsealasele-rikkumisele-reageerimise-plaan-sammsammuline-juhend-ettevotetele","status":"publish","type":"articles_posttype","link":"https:\/\/hedman.legal\/et\/artiklid\/andmekaitsealasele-rikkumisele-reageerimise-plaan-sammsammuline-juhend-ettevotetele\/","title":{"rendered":"Andmekaitsealasele rikkumisele reageerimise plaan: sammsammuline juhend ettev\u00f5tetele"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sisukord<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/hedman.legal\/et\/artiklid\/andmekaitsealasele-rikkumisele-reageerimise-plaan-sammsammuline-juhend-ettevotetele\/#Taust\" >Taust&nbsp;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/hedman.legal\/et\/artiklid\/andmekaitsealasele-rikkumisele-reageerimise-plaan-sammsammuline-juhend-ettevotetele\/#Kuidas_ara_tunda_isikuandmetega_seotud_rikkumine_infoturbeintsidendi_osana\" >Kuidas \u00e4ra tunda isikuandmetega seotud rikkumine (infoturbeintsidendi osana)?&nbsp;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/hedman.legal\/et\/artiklid\/andmekaitsealasele-rikkumisele-reageerimise-plaan-sammsammuline-juhend-ettevotetele\/#Kuidas_reageerida\" >Kuidas reageerida?&nbsp;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/hedman.legal\/et\/artiklid\/andmekaitsealasele-rikkumisele-reageerimise-plaan-sammsammuline-juhend-ettevotetele\/#Sammud_intsidendile_reageerimisel\" >Sammud intsidendile reageerimisel<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading has-medium-font-size\"><span class=\"ez-toc-section\" id=\"Taust\"><\/span>Taust&nbsp;<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Isikuandmete kaitse \u00fcldm\u00e4\u00e4rus (GDPR) k\u00e4sitleb andmete t\u00f6\u00f6tlemise turvalisust eelk\u00f5ige artiklites 32-34. Tegelikult on aga kogu GDPR-i \u00fcks l\u00e4bivaid teemasid andmete t\u00f6\u00f6tlemise turvalisus ning turvameetmete valik vastavalt riskitasemele.&nbsp;&nbsp;<\/p>\n\n\n\n<p>GDPR v\u00f5imaldab rakendada infoturbemeetmeid riskip\u00f5hiselt ning samas paneb andmete t\u00f6\u00f6tlejale kohustuse ise riske hinnata ja meetmete rakendamise v\u00f5imekus tagada.&nbsp;<\/p>\n\n\n\n<p>Vajaliku turvalisuse taseme hindamisel v\u00f5etakse eelk\u00f5ige arvesse isikuandmete t\u00f6\u00f6tlemisest tulenevaid ohte, eelk\u00f5ige edastatavate, salvestatavate v\u00f5i muul viisil t\u00f6\u00f6deldavate isikuandmete juhuslikku v\u00f5i ebaseaduslikku h\u00e4vitamist, kaotsiminekut, muutmist ja loata avalikustamist v\u00f5i neile juurdep\u00e4\u00e4su.&nbsp;<\/p>\n\n\n\n<p>Enamlevinud p\u00f5hjused andmetega seotud intsidentide puhul on s\u00fclearvuti\/mobiiliseadme kadumine, andmep\u00fc\u00fck v\u00f5i teenuse peatamine, arvutikontode volitamata kasutamine, elektrooniliste v\u00f5i paberandmete vargus v\u00f5i kadumine ning teadmatusest v\u00f5i tahtlusest p\u00f5hjustatud andmete avalikustamine. Kui ettev\u00f5ttes tekib teadmine v\u00f5i kahtlus, et midagi eelmainitutest on toimunud, siis selmet hakata kurvalt \u00fcmisema Beatles\u2019i laulu \u201cLet It Be\u201d (<em>las olla<\/em>), tuleks kiirelt ja kindla plaani alusel tegutseda.&nbsp;&nbsp;&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\"><span class=\"ez-toc-section\" id=\"Kuidas_ara_tunda_isikuandmetega_seotud_rikkumine_infoturbeintsidendi_osana\"><\/span>Kuidas \u00e4ra tunda isikuandmetega seotud rikkumine (infoturbeintsidendi osana)?&nbsp;<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>K\u00fcberintsident on olukord, kus rikutakse organisatsiooni, asutuse v\u00f5i \u00fcksikisiku infos\u00fcsteemi ja\/v\u00f5i selles oleva info konfidentsiaalsust, terviklust ja k\u00e4ideldavust. K\u00fcberintsidendid on ka olukorrad, kus kasutatakse omavoliliselt kellegi teise infos\u00fcsteemi v\u00f5i h\u00e4iritakse tahtlikult selle toimivust (<em>Riigi Infos\u00fcsteemi Amet<\/em>).&nbsp;<\/li>\n\n\n\n<li>Intsidendi ilmnemisel tuleb alati hinnata, kas m\u00f5jutatud on ka isikustatud andmed. Kuni see pole selge, tuleks eeldada, et on.&nbsp;<\/li>\n\n\n\n<li>Isikustatud andmed on k\u00f5ik andmed, mida otseselt v\u00f5i kaudselt on v\u00f5imalik seostada konkreetse f\u00fc\u00fcsilise isikuga.&nbsp;<\/li>\n\n\n\n<li>Isikuandmetega seotud rikkumine t\u00e4hendab andmete ebaseaduslikku v\u00f5i juhuslikku h\u00e4vimist, k\u00e4ttesaamatuks muutumist v\u00f5i lubamatut juurdep\u00e4\u00e4su ja avalikuks saamist.&nbsp;<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Tuleks v\u00f5imalikult t\u00e4pselt selgeks teha, kui palju on puudutatud isikuid, milline on puudutatud andmekoosseis ja mis on p\u00f5hjustanud rikkumise.&nbsp;&nbsp;&nbsp;<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\"><span class=\"ez-toc-section\" id=\"Kuidas_reageerida\"><\/span>Kuidas reageerida?&nbsp;<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>V\u00f5imalikult kiire kestva intsidendi peatamine ja meetmete rakendamine edasise kahju v\u00e4ltimiseks. Vajadusel teiste osapoolte teavitamine ja koost\u00f6\u00f6 intsidendi peatamiseks.&nbsp;<\/li>\n\n\n\n<li>Teatud juhtudel <a href=\"https:\/\/www.aki.ee\/rahvusvaheline\/juhised-ja-materjalid\/andmekaitseametnik\" target=\"_blank\" aria-label=\" (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"ek-link\">AKI<\/a> (Andmekaitse Inspektsioon) teavitamise kohustus hiljemalt 72 tunni jooksul intsidendist teada saamisest. Teatud juhtudel ka puudutatud \u00fcksikisikute teavitamise kohustus.&nbsp;<\/li>\n\n\n\n<li>Toimunud intsidentide kohta peab pidama arvestust GDPR artikkel 33 l\u00f5ige 5 <em>\u201cVastutav t\u00f6\u00f6tleja dokumenteerib k\u00f5ik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumise asjaolud, selle m\u00f5ju ja v\u00f5etud parandusmeetmed. Dokumendid v\u00f5imaldavad j\u00e4relevalveasutusel kontrollida s\u00e4testatud n\u00f5uete t\u00e4itmist.\u201d<\/em>&nbsp;<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.ria.ee\/kuberturvalisus\/kuberintsidentide-kasitlemine-cert-ee\/kuberintsidendist-teavitamine\" target=\"_blank\" rel=\"noreferrer noopener\">CERT-EE<\/a> (Riigi Infos\u00fcsteemi Amet) teavitamine kui ettev\u00f5te pakub n\u00e4iteks digitaalset teenust, sideteenust v\u00f5i usaldusteenust e-identimise ja e-tehingute usaldusteenuste seaduse m\u00f5ttes.&nbsp;&nbsp;<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\"><span class=\"ez-toc-section\" id=\"Sammud_intsidendile_reageerimisel\"><\/span>Sammud intsidendile reageerimisel<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-table is-style-regular\"><table><tbody><tr><td><strong>SAMM<\/strong>&nbsp;<\/td><td><strong>MEEDE<\/strong>&nbsp;<\/td><\/tr><tr><td><strong>Turvaintsidendi tuvastamine<\/strong>&nbsp;<\/td><td>Avastamine ja sisemine uurimine. Veenduge, et vajadusel teavitataks infoturbe j\u00e4relevalveasutust kui intsident kvalifitseerub selliselt (Eestis <a href=\"https:\/\/www.ria.ee\/kuberturvalisus\/kuberintsidentide-kasitlemine-cert-ee\/kuberintsidendist-teavitamine\" target=\"_blank\" rel=\"noreferrer noopener\">CERT-EE<\/a>).&nbsp;Iga t\u00f6\u00f6taja peab teadma, et intsidendi avastamise v\u00f5i kahtluse korral tuleb teavitada konkreetsele kontaktile.&nbsp;<\/td><\/tr><tr><td><strong>Intsidendi uurimise koordineerimine<\/strong>&nbsp;<\/td><td>Ettev\u00f5te m\u00e4\u00e4rab viivituseta konkreetsed isikud\/ametikohad intsidendi uurimise meeskonda.&nbsp;<\/td><\/tr><tr><td><strong>Intsidendi dokumenteerimine ja anal\u00fc\u00fcs<\/strong>&nbsp;<\/td><td><strong>Turvaintsidendi uurimine<\/strong>&nbsp;<br>Niipea kui v\u00f5imalik, p\u00e4rast turvaintsidendi avastamist, tuleks uurida, kas turvaintsident kestab, kas turvaintsidendi toimepanemise meetod on endiselt k\u00e4ttesaadav ja kas haavatavus on endiselt olemas ja kasutatav.&nbsp;Niipea kui v\u00f5imalik tuleks selgeks teha, kas turvaintsident sisaldab endas ka isikuandmetega seotud intsidenti\/rikkumist. Kui see nii on, tuleks j\u00e4rgida sammus \u201eIsikuandmetega seotud intsidendist teavitamine ja dokumenteerimine\u201c&nbsp; toodud tegevusi.&nbsp;<br><br><strong>Isikuandmete seotud rikkumise peatamine<\/strong>&nbsp;<br><strong>Rikkumise dokumenteerimine<\/strong>&nbsp;<br><strong>Kontrollaruanne<\/strong>&nbsp;<br>Uurimismeeskond koostab kontrollaruande, et selgitada v\u00e4lja juhtunu p\u00f5hjused, vajalikud meetmed ja elemendid, mis aitavad tuvastada kahju ulatust.&nbsp;<\/td><\/tr><tr><td><strong>Isikuandmetega seotud intsidendi k\u00e4sitlemise meeskond<\/strong>&nbsp;<\/td><td>Isikuandmetega seotud rikkumine v\u00f5ib m\u00f5jutada ettev\u00f5tte mitut valdkonda\/osakonda. Seet\u00f5ttu v\u00f5idakse esialgset meeskonda laiendada, et tagada k\u00f5igi puudutatud osapoolte informeeritus ja kaasamine.\u00a0<br><br><strong>V\u00e4lised n\u00f5ustajad<\/strong>\u00a0<br>Intsidendi t\u00f5husaks haldamiseks v\u00f5ib ettev\u00f5te kaasata v\u00e4liste konsultantide\/<a href=\"https:\/\/hedman.legal\/et\/andmekaitsespetsialist\/\" target=\"_blank\" aria-label=\"ekspertide teenuseid (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"ek-link\">ekspertide teenuseid<\/a>, eriti juhtudel, kui nende teenuseid on vaja kahju piiramiseks. V\u00e4liste n\u00f5ustajate hulka kuuluvad tavap\u00e4raselt <a href=\"https:\/\/hedman.legal\/et\/inimesed\/\" target=\"_blank\" rel=\"noreferrer noopener\">\u00f5iguseksperdid<\/a> ja IT-spetsialistid.\u00a0<\/td><\/tr><tr><td><strong>Intsidendi anal\u00fc\u00fcsi protsess<\/strong>&nbsp;<\/td><td><strong>IT anal\u00fc\u00fcs<\/strong>&nbsp;<br>IT-meeskond peaks andma \u00fcksikasjalikuma hinnangu j\u00e4rgmisele:&nbsp;viis, kuidas isikuandmetega seotud intsident aset leidis, sealhulgas k\u00f5nealused p\u00f5hjused ja haavatavused;&nbsp;m\u00f5jutatud andmed v\u00f5i s\u00fcsteemid;&nbsp;osapoolte tuvastamine, keda isikuandmete intsident v\u00f5ib m\u00f5jutada (nt kliendid, t\u00f6\u00f6tajad, klientide t\u00f6\u00f6tajad jne);&nbsp;osapooled, kes v\u00f5isid rikkumise eest vastutada (nt kolmandatest isikutest teenusepakkujad, t\u00f6\u00f6tajad jne);&nbsp;kas isikuandmed, \u00e4risaladused, intellektuaalne omand v\u00f5i muu mitteavalik teave on sattunud ohtu;&nbsp;kas andmed olid kr\u00fcpteeritud;&nbsp;kui tegemist on isikuandmetega, siis asjaomaste isikute arv ja nende asukoht;&nbsp;millised on v\u00f5imalikud meetmed intsidendi l\u00f5plikuks k\u00f5rvaldamiseks.<br><br><strong>T\u00f5endite kogumine IT anal\u00fc\u00fcsi k\u00e4igus<\/strong><br>V\u00f5imaluse korral kogutakse ja s\u00e4ilitatakse saadaolevaid juriidilisi t\u00f5endeid ka IT alase intsidendi anal\u00fc\u00fcsi k\u00e4igus, sealhulgas t\u00f5endeid, mis v\u00f5ivad olla olulised v\u00f5imaliku \u00f5igusvaidluse jaoks. Ettev\u00f5te saab selles osas kasutada&nbsp; \u00f5igusekspertide tuge.&nbsp;<\/td><\/tr><tr><td><strong>Isikuandmetega seotud intsidendist teavitamine ja dokumenteerimine<\/strong>&nbsp;<\/td><td><strong>Teavitamise n\u00f5uded<\/strong>&nbsp;<br>Kui on selgunud, et turvaintsident sisaldab endas ka isikuandmetega seotud rikkumist, tuleb ettev\u00f5ttel hinnata, kas rikkumine kvalifitseerub ka teavitamiskohustuslikuks rikkumiseks. Kriteeriumid selleks annab andmekaitse j\u00e4relevalveasutus tuginedes GDPR n\u00f5uetele (Eestis <a href=\"https:\/\/www.aki.ee\/rahvusvaheline\/juhised-ja-materjalid\/andmekaitseametnik\" class=\"ek-link\" target=\"_blank\" rel=\"noopener\">https:\/\/www.aki.ee\/rahvusvaheline\/juhised-ja-materjalid\/andmekaitseametnik<\/a>).&nbsp;&nbsp;<br><br><strong>\u00dcksikisikute teavitamine<\/strong><br>Kui isikuandmetega seotud rikkumine v\u00f5ib t\u00f5en\u00e4oliselt kaasa tuua suure riski \u00fcksikisikute \u00f5igustele ja vabadustele, peab ettev\u00f5te viivitamata teavitama \u00fcksikisikuid rikkumisest ja selle v\u00f5imalikust m\u00f5just.&nbsp;Ettev\u00f5te kaalub suhtekorraldusmeeskonna\/v\u00e4liste n\u00f5ustajate kaasamise vajadust sobiva l\u00e4henemise ja \u00fcksikisikute teavitamise osas. J\u00e4relevalveasutus v\u00f5ib samuti anda n\u00f5u \u00fcksikisikute poole p\u00f6\u00f6rdumise kohta.&nbsp;<br><br><strong>Vastutava andmet\u00f6\u00f6tleja teavitamine&nbsp;<\/strong>&nbsp;<br>Kui Ettev\u00f5te tegutseb volitatud andmet\u00f6\u00f6tlejana, peab ta tagama, et vastutavat t\u00f6\u00f6tlejat, kelle nimel ta tegutses, teavitataks vastavalt nendevahelise lepingu s\u00e4tetele ja GDPR-is etten\u00e4htud n\u00f5uetele.&nbsp;&nbsp;<\/td><\/tr><tr><td><strong>Kaebuste ja n\u00f5uete kaitseplaan<\/strong>&nbsp;<\/td><td>Isikuandmetega seotud rikkumisest tuleneva kaebuse, n\u00f5ude, menetluse v\u00f5i hagi korral hindab ettev\u00f5te v\u00f5imalust kaasata v\u00e4liseid <a href=\"https:\/\/hedman.legal\/et\/inimesed\/\" target=\"_blank\" rel=\"noreferrer noopener\">n\u00f5ustajaid<\/a>, et hinnata sellistest kaebustest ilmnevaid riske ja kaitse v\u00f5imalusi.&nbsp;<\/td><\/tr><tr><td><strong>Rikkumiste registri pidamine<\/strong>&nbsp;<\/td><td>Intsidendi uurimise eest vastutajad peaks talletama k\u00f5igi isikuandmetega seotud juhtumite \u00fcksikasjad (sealhulgas juhtum, m\u00f5jutatud isikuandmed,&nbsp; ettev\u00f5tte v\u00f5etud meetmed ja nende meetmete p\u00f5hjused) selleks etten\u00e4htud <a href=\"https:\/\/www.gdprregister.eu\/et\/#voimalused\" target=\"_blank\" rel=\"noreferrer noopener\">registris<\/a>. Sellist registrit on \u00f5igus tutvumiseks n\u00f5uda ka j\u00e4relevalveasutusel.&nbsp;Isikuandmetega seotud rikkumiste \u00fcksikasjad tuleks salvestada olenemata sellest, kas j\u00e4relevalveasutuse ja\/v\u00f5i \u00fcksikisikute teavitamine oli vajalik v\u00f5i mitte. Juhtudel, kus teavitamist ei peeta vajalikuks, on soovitav fikseerida teavituse mittetegemise p\u00f5hjused.&nbsp;<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>K\u00fcsimuste korral v\u00f5tke \u00fchendust Hedmani andmekaitse n\u00f5uniku<\/strong>&nbsp;<strong><a href=\"https:\/\/hedman.legal\/et\/inimesed\/andres-ojaver\/\">Andres Ojaveriga.<\/a><\/strong>&nbsp;<\/p>\n","protected":false},"featured_media":18614,"template":"","article_categories":[120],"class_list":["post-18615","articles_posttype","type-articles_posttype","status-publish","has-post-thumbnail","hentry","article_categories-andmekaitse"],"acf":[],"_links":{"self":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/articles_posttype\/18615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/articles_posttype"}],"about":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/types\/articles_posttype"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/media\/18614"}],"wp:attachment":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/media?parent=18615"}],"wp:term":[{"taxonomy":"article_categories","embeddable":true,"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/article_categories?post=18615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}