2018. aastal rakendub eelmisel kevadel Euroopa Liidus vastu võetud isikuandmete kaitse üldmäärus GDPR (General Data Protection Regulation). Ajakiri Director avaldas artikli, kus uuriti 10. mail Tallinnas toimuva Infoturbe Summiti peaesinejalt Juha Sallinenilt, mida andmekaitsereform kaasa toob ja kuidas see meie ettevõtjaid puudutab.
Mis on GDPR ja kuidas see meid puudutab?
GDPR on Euroopa Liidus seni kehtinud andemekaitsedirektiivi DPD asendav uuendatud isikuandmete kaitse üldmäärus. Võrreldes endise direktiiviga on selles mitmeid muudatusi, näiteks IT-protseduuride dokumenteerimise nõuded, isikuandmetega seotud rikkumiste teavitamiskohustus ja andmete kogumisega seotud tugevdatud reeglid.
Kõlab, nagu oleks tegemist IT-osakonna tööga. Kas mitte nemad ei peaks selle eest hoolitsema, et kõik õigesti tehtud saaks?
IT-osakond on loomulikult protsessi kaasatud, kuid GDPR sisaldab palju enamat ja seetõttu vajab panustamist kõigilt äriüksustelt. Näiteks reguleerib GDPR isikuandmete kogumise, säilitamise ja analüüsimise ulatust ja laadi. IT-osakonnad ei ole andmete omanikud, äriüksused on. Võtame näiteks kliendihaldusprogrammis olevad andmed või personaliosakonnale esitatud avaldused. Personaliosakond haldab inimeste isiklikke andmeid, nagu CV-d, palgad, isikukoodid jne. IT-osakond tagab küll andmete kasutatavuse, kuid ei otsusta, mida säilitatakse ja kuidas seda kasutatakse – seda teeb juhtkond ja äriüksused.
Mis muutub, kui GDPR jõustub?
Näiteks võib inimene ettevõttelt nõuda tema kohta kuu lõikes säilitatud andmete näitamist. Ettevõte peab sel juhul neid andmeid näitama ja võimaldama inimesel soovi korral sealt tema arvates mittevajalikku infot eemaldada. See õigus on osa mitmetest uuendatud põhimõtetest, nagu õigus olla unustatud, andmete rikkumisega seotud teavitamiskohustus ja andmete teisaldatavuse kohustus. Isikuandmete all peetakse silmas nimesid, aadresse, telefoninumbreid, kontonumbreid, e-posti- ja IP-aadresse jne.
Mis juhtub, kui GDPR-i ignoreerida?
Esiteks on oht kaotada uusi ärivõimalusi. Teiseks võid saada kopsaka trahvi: kuni 4% eelmise aasta käibest või kuni 20 miljonit eurot, sõltuvalt sellest, kumb summa on suurem.
Millest alustada, et valmistada end ette GDPR-i jõustumiseks?
Alustage sellest, et teete endale põhjalikult selgeks, mida GDPR endast kujutab. Kõige olulisem on koostada tegevuskava, kus oleks kirjas sammud, mida on vaja teha, et viia oma tegevus GDPR nõuetega vastavusse.
Juha Sallinen on GDPR Techi asutaja, kes on üle 20 aasta töötanud IKT- sektoris mitmetel positsioonidel ettevõtetes Tieto, Wipro, HP, Symantec ja Veritas. Ta on 10. mail Tallinnas toimuva Infoturbe Summiti üks peaesinejatest (summit.confent.com).
Kutsume omaltpoolt kõiki Excellenti kliente osalema 10. mail toimuvale üritusele Infoturbe Summit 2017, mille fookuseks on justnimelt GDPR. Üritus toimub tasuta ning asub Tallinnas SpaceX Sündmuskeskuses (Keevise 6).
Meie oleme kohal – tule ka sina!
Registreeru: http://summit.confent.com/