Advokaadib\u00fcroo Hedman on koostanud isikuandmete kaitse korralduse kontrollk\u00fcsimustiku, mis aitab organisatsioonidel kaardistada selle teema katmata tegevusi. K\u00fcsimustiku eesm\u00e4rk ei ole pakkuda isikuandmete kaitse terviklahendust, vaid juhtida t\u00e4helepanu, millistele protsessidele ja toimingutele tuleks keskenduda kui soovitakse kindlust, et see valdkond on juhitud.<\/p>\n\n\n\n
Kui k\u00fcsimustele on vastuseks EI, soovitame v\u00f5tta \u00fchendust meie andmekaitse n\u00f5unik Andres <\/a><\/strong>Ojaveriga.<\/strong><\/a><\/p>\n\n\n\n EI:<\/strong> Teosta \u00fcle\u00fcldine andmete kaardistus, et kindlaks teha andmed, mida t\u00f6\u00f6deldakse ning andmevood (allikad, s\u00e4ilitamine, edastamine, kustutamine, ligip\u00e4\u00e4s jne.). Saad selleks kasutada ka teenusepakkujaid, n\u00e4iteks GDPR Register<\/a>.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI:<\/strong> Tegemist on kohustusliku dokumendiga, mille sisuks on andmetega tehtavate toimingute \u00fclevaade (mitte detailne logi). See on andmete kaardistamise tulemusel koostatav ja vajadusel ka regulaatorile esitatav kirjalik peegeldus sellest, mida organisatsioonis isikuandmetega tehakse. Saad selleks kasutada ka teenusepakkujaid, n\u00e4iteks GDPR Register<\/a>.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Ettev\u00f5te peab m\u00f5istma, millistel \u00f5iguslikel alustel ta isikuandmeid t\u00f6\u00f6tleb ning kuidas andmed nende aluste vahel jaotuvad (seadusest tulenev kohustus, lepingu t\u00e4itmine, \u00f5igustatud huvi, isiku n\u00f5usolek, …). Ka andmet\u00f6\u00f6tluse register ning avalik privaatsusteade peavad seda teavet kajastama.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Lisaks \u00f5iguslikule alusele peab igasugune isikuandmete kasutamine ja hoidmine omama mingit eesm\u00e4rki. Eesm\u00e4rk omakorda annab aluse s\u00e4ilitust\u00e4htajaks. Igaks juhuks andmet\u00f6\u00f6tlus ei ole lubatud. Ka eesm\u00e4rkide \u00fclevaade tuleks kajastada nii andmet\u00f6\u00f6tluse registris kui avalikus privaatsusteates.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Lihtsas ja arusaadavas keeles informatsioon selle kohta, kuidas isikute andmeid t\u00f6\u00f6deldakse, tuleb igal ettev\u00f5ttel k\u00e4ttesaadavaks teha. K\u00f5ige t\u00fc\u00fcpilisem viis selleks on privaatsuteade veebilehel. Pea meeles, et selle teabe esitamisele kehtib terve rida GDPR-st tulenevaid n\u00f5udeid.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Inimesel on \u00f5igus k\u00fcsida, kas tema andmeid t\u00f6\u00f6deldakse ning samuti koopiat nendest andmetest koos eesm\u00e4rkide, s\u00e4ilitust\u00e4htaegade jms lisateabega. Hea andmekaardistus ning l\u00e4bim\u00f5eldud isiku p\u00e4ringute protsess on p\u00e4ringutega n\u00f5utud viisil toimetuleku vundamendiks. Pea meeles, et lisaks andmetega tutvumisele annab GDPR veel terve rea \u00f5igusi (andmete \u00fclekandmine, osaline kustutamine jne).<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n <\/p>\n\n\n\n EI: <\/strong>GDPR ei \u00fctle lihtsalt seda, kuidas isikuandmete t\u00f6\u00f6tlemist tuleks korraldada, vaid lisaks ka seda, et andmete t\u00f6\u00f6tleja peab olema v\u00f5imeline n\u00f5uete t\u00e4itmist demonstreerima. Selles on abiks mh sisemised poliitikad, t\u00f6\u00f6korraldusreeglid, andmekaitse ja infoturbe p\u00f5him\u00f5tted jms.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Andmete t\u00f6\u00f6tlemise m\u00f5juhinnang tuleb koostada juhul kui planeeritakse k\u00f5rge riskiga andmet\u00f6\u00f6tlust. Olenevalt planeeritavast tegevusest, v\u00f5ib tegemist olla k\u00fcllaltki keeruka ja mahuka t\u00f6\u00f6ga, sest n\u00f5uded, mis m\u00f5juhinnangule esitatakse, on detailsed.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Suurem enamus andmekaitsealastest rikkumistest on p\u00f5hjustatud inimeste poolt. Seda sageli tahtmatult ja teadmatusest. T\u00f6\u00f6tajate teadlikkuse t\u00f5stmine l\u00e4bi koolituste, infomaterjalide vms pidevalt j\u00e4tkuva protsessina on v\u00f5tmet\u00e4htsusega turvalise andmet\u00f6\u00f6tluskeskkonna loomisel.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Kui ettev\u00f5te kasutab andmete t\u00f6\u00f6tlemisega seoses teenusepakkujaid, vastutab ettev\u00f5te ikkagi oma klientide ja t\u00f6\u00f6tajate isikuandmete eest. Kui teenuslepingu juures puuduvad kohased andmete t\u00f6\u00f6tlemise klauslid, siis v\u00f5tab ettev\u00f5te endalt v\u00f5imaluse ka ilmselgete teenusepakkuja eksimuste korral, seda vastutust jagada. Ettev\u00f5te on kohustatud teenusepakkujalt n\u00f5udma l\u00e4bi lepingulise suhte GDPR vastavust.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Riskijuhtimine s\u00fcsteemsemalt aga ka v\u00e4ike-ettev\u00f5tetes abstraktsemalt peaks arvesse v\u00f5tma ka isikuandmete kaitse valdkonda. Kuna isikuandmetega seotud intsidendid v\u00f5ivad kaasa tuua nii rahalise kui maine kahju ning paljusid andmekaitse riske annab edukalt maandada, siis ei peaks riskijuhtimine ja isikuandmete kaitse olema paralleelsed maailmad.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Kohustuslik on luua andmekaitsespetsialisti ametikoht v\u00f5i seda ekspertteadmist teenusena sisse osta kui tegemist on riigiasutusega v\u00f5i kui ettev\u00f5te andmet\u00f6\u00f6tlus on k\u00f5rge riskiga. Selle kohta saad t\u00e4psemalt lugeda SIIT<\/a>. Oluline on meeles pidada, et andmekaitsespetsialist<\/a> peab olema omaala ekspert ning organisatsioonis on loodud eeldused, mis v\u00f5imaldavad tal oma GDPR-st tulenevaid \u00fclesandeid t\u00e4ita.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>Infoturve on eduka andmekaitse vundament. Poliitikaid v\u00f5ib kirjutada aga kui uksi ja arvuteid ei lukustata, siis ei ole sellel erilist m\u00f5tet. Mida k\u00f5rgema riskiga andmet\u00f6\u00f6tlus seda t\u00f5husamad peavad olema turvameetmed. S\u00fcsteemne l\u00e4henemine on oluline, alustades juba sellest kui palju andmeid kogutakse, kas on v\u00f5imalik osa eesm\u00e4rke saavutada ka anon\u00fc\u00fcmsete andmetega, kes andmetele ligip\u00e4\u00e4sevad ning milline on v\u00f5imekus tulla toime pahatahtlike r\u00fcnnetega. Infoturbealane k\u00e4itumisjuhis t\u00f6\u00f6tajatele on samuti dokument, mille loomist tuleks kaaluda.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n EI: <\/strong>On v\u00e4ga oluline, et k\u00f5ik infoturbe ja andmekaitsega seotud intsidendid saaksid v\u00f5imalikult kiiresti tuvastatud ning paigatud. Lisaks rakendub t\u00f5sisemate rikkumiste korral ka regulaatori (AKI, RIA) teavitamise kohustus. Eduka intsidendi lahendamise v\u00f5tmeks on t\u00f6\u00f6tajate teadlikkus, kirjeldatud tegevusjuhis (protsess) ning loomulikult kiire reageerimine kohaste meetmetega. Iga organisatsioon peab oma intsidentide kohta s\u00e4ilitama ka \u00fclevaadet.<\/p>\n <\/div>\n <\/div>\n <\/div>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Advokaadib\u00fcroo Hedman on koostanud isikuandmete kaitse korralduse kontrollk\u00fcsimustiku, mis aitab organisatsioonidel kaardistada selle teema katmata tegevusi. K\u00fcsimustiku eesm\u00e4rk ei ole pakkuda isikuandmete kaitse terviklahendust, vaid juhtida t\u00e4helepanu, millistele protsessidele ja toimingutele tuleks keskenduda kui soovitakse kindlust, et see valdkond on juhitud. Kui k\u00fcsimustele on vastuseks EI, soovitame v\u00f5tta \u00fchendust meie andmekaitse n\u00f5unik Andres Ojaveriga.<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"templates\/templates-dataprotection.php","meta":{"_acf_changed":false,"_editorskit_title_hidden":false,"_editorskit_reading_time":1,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","footnotes":""},"class_list":["post-15657","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/pages\/15657","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/comments?post=15657"}],"version-history":[{"count":28,"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/pages\/15657\/revisions"}],"predecessor-version":[{"id":21764,"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/pages\/15657\/revisions\/21764"}],"wp:attachment":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/media?parent=15657"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Andmet\u00f6\u00f6tlus on kaardistatud <\/h3><\/p>\n
Loodud on andmet\u00f6\u00f6tluse register\/\u00fclevaade<\/h3><\/p>\n
Kindlaks on m\u00e4\u00e4ratud t\u00f6\u00f6tlemise \u00f5iguslikud alused<\/h3><\/p>\n
Kindlaks on m\u00e4\u00e4ratud t\u00f6\u00f6tlemise eesm\u00e4rgid<\/h3><\/p>\n
Olemas on avalik privaatsusteade<\/h3><\/p>\n
Tagatud on isikute \u00f5igused<\/h3><\/p>\n
Loodud on sisemine dokumentatsioon andmekaitse korralduseks ja vastavuse t\u00f5endamiseks <\/h3><\/p>\n
Koostatud on vajadusel m\u00f5juhinnangud<\/h3><\/p>\n
T\u00f6\u00f6tajad on koolitatud andmekaitse teemadel<\/h3><\/p>\n
Teenusepakkujatega on s\u00f5lmitud andmet\u00f6\u00f6tluslepingud\/lisad + vajadusel EL-st v\u00e4lja edastamise klauslitega <\/h3><\/p>\n
Andmekaitse on riskijuhtimisse kaasatud<\/h3><\/p>\n
M\u00e4\u00e4ratud on vajadusel andmekaitsespetsialist<\/h3><\/p>\n
Rakendatud on kohased infoturbemeetmed<\/h3><\/p>\n
Koostatud on intsidendi juhtimise protsess koos AKI teavitamise vajaduse hindamisega<\/h3><\/p>\n