Kuidas tagada isikuandmete töötlemise vastavus andmekaitse ...œritused/KPMG... · Kuidas tagada isikuandmete töötlemise vastavus andmekaitse nõuetele? Sirli-Kristi Käpa 25

Kuidas tagada isikuandmete töötlemise vastavus andmekaitse nõuetele?

Sirli-Kristi Käpa

25. november 2016

Case-study ühe kontserni töötajateIsikuandmete töötlemise näitel

2© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliseltseotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.

Aitab tagada isikuandmete töötlemise kooskõlas õigusaktidega

Loob ühtse raamistiku isikuandmete töötlemisel erinevate osakondade vahel

Muudab andmete töötlemise eesmärgipäraseks ja läbipaistavaks

Teavitab töötajaid sellest, mida ja miks töödeldakse, kus andmeid säilitatakse, kellega andmeid jagatakse ning kas esineb õiguslik alus isikuandmete töötlemiseks

Aitab teadvustada ning kaardistada isikuandmete töötlusega kaasnevaid riske

Miks reguleerida töötajate isikuandmete töötlemist?


Audiitor tuvastab vajaduse koostada kontsernis ühtsed põhimõtted töötajate isikuandete töötlemiseks.

Määratakse tähtaeg isikuandmete töötlemise põhimõtete loomiseks, antud kaasuse puhul määrati tähtajaks 6 kuud

— Projekt hõlmab

- 6 000 töötajat

- Üle 20 kontserni ettevõtja

Määrata projektijuht

Projektijuhil on kandev roll andmetöötluse kaardistamisel ning erinevate osapoolte kaasamisel.

Projektijuht:

— Koostab projektiplaani ja kaasab kõik andmetöötlusega seotud osapooled

— kaardistab andmetöötlusprotsessi

— selgitab välja andmete töötlemise eesmärgi ning tähtajad, analüüsib õigusliku aluse olemasolu

— töötab välja tegevuskava

— Aitab tegevuskava ellu viia (põhimõtete kinnitamine, kommunikatsioon, koolitused, vormid, lepingud jms)

Keda kaasata?

— Personaliosakond

— Õigusosakond

— IT osakond

— Kinnisvarahaldus

— Transpordiosakond

— Raamatupidamisosakond

— Riskijuhtimine

— Müük/turundus

— Teenindusosakond

— Siseaudit

— Töökeskkonnavolinik

Töösuhte puhul jaguneb isikuandmete töötlemine kolmeeks peamiseks etapiks:

1. isikuandmete töötlemine enne töösuhte algust;

2. isikuandmete töötlemine töölepingu kehtivuse ajal;

3. isikuandmete töötlemine pärast töösuhte lõppu.

Millest algab andmetöötluse reguleerimine

Protsessi juhtimine Keda kaasata Mida reguleerida

Kuidas reguleerida töötajate isikuandmete töötlemist I

Case study


Kes võivad töötaja isikuandmeid töödelda?

Otsene tööandja

Kontsernis tugiteenust osutavad üksused/osakonnad

Tööandja koostööpartnerid

Näiteks:

• töötervishoiuteenuse pakkuja

• arhiiviteenus

• värbamisteenus

• turvateenus jms

Case study

Kuidas reguleerida töötajate isikuandmete töötlemist II


Millistes olukordades me töötleme töötajate isikuandmeid?

Telefonikõnede salvestamine

E-kirjade jälgimine

Videovalve

Läbipääsusüsteemide logiandmed

Tööandjale kuuluvate sõidukite GPS seadmed

Personalifailid

Siseveeb

Case studyKuidas reguleerida töötajate isikuandmete töötlemist III


Millele juhtida tähelepanu isikuandmete töötlemisel ja töötlemise reguleerimisel?

Millisel alusel toimub töötajate isikuandmete töötlemine (nõusolek, leping, seadusest tulenev alus?)

Millised on töötajate isikuandmete töötlemise eesmärgid

Kuidas tagada töötaja kui andmesubjekti õigused

Kuidas tagada andmete kvaliteet ja töötlemise turvalisus

Kuidas toimub isikuandmete säilitamine ja kaua andmeid säilitatakse

Millised on võimalused rikkumiste tuvastamiseks ning rikkumisest teatamiseks

Kuidas tutvustatakse töötajatele isikuandmete töötlemise põhimõtteid

Case study

Kuidas reguleerida töötajate isikuandmete töötlemist IV


Andmetöötluse kaardistamise ja reguleerimise protsess võttis aega planeeritust kauem, kaasatud isikuid oli 15

Protsessi käigus kaardistati töötajate, aga ka käsundus- ja töövõtulepingute alusel töötavate füüsiliste isikutega seotud isikuandmete töötlemine

Analüüsiti, kas isikuandmete töötlemine vastab isikuandmete kaitse regulatsioonile

Analüüsiti andmete kogumise ja töötlemise viise ning selgitati välja, kuidas ja millises ulatuses edaspidi andmeid kogutakse

Määrati isikuandmete säilitamise tähtajad

Määrati kindlaks isikuandmete kaitse eest vastutavad isikud ning koolitati töötajaid isikuandmete kaitse regulatsiooni osas

Vaadati üle ja uuendati olemasolevaid lepinguid ning töötati välja vormid isikuandmete töötlemiseks nõusoleku andmiseks

Milline oli tulemus? Case study


Kaardista olukord ja vii vajadusel läbi andmekaitse õigus- ja infosüsteemide audit

Määra projektijuht ja moodusta meeskond, kuhu on kaasatud kõik isikuandmete kaitsega seotud võtmeisikud

Analüüsi andmetöötlust ning tööta auditi tulemustest lähtuvalt välja isikuandmete töötlemise juhendid ja strateegia

Koolita töötajaid

Varu muudatusteks aega

Alusta juba täna!

Kokkuvõtteks

Aitäh!

Esitatud informatsioon on üldise iseloomuga ja ei ole mõeldud ühegi kindla füüsilise või juriidilise isiku probleemide lahendusena. Ehkki soovime anda täpset ja ajakohast informatsiooni, ei saa garanteerida, et esitatud informatsioon on täpne ka selle saamise hetkel või pärast seda. Ükski kasutaja ei tohiks esitatud informatsioonist lähtuda ilma konkreetse situatsiooni põhjalikul analüüsil põhineva professionaalse nõustamiseta.

© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.

Sirli-Kristi KäpaVanemjurist

KPMG Advokaadibüroo OÜ

[email protected]

IT tegevuskava andmekaitsereformi rakendamisel

Teet Raidma25. november 2016

2© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.

• Uued andmekaitsesubjektide õigused: „õigus olla unustatud“ , „andmete ülekandmise õigus“

• Isikuandmete töötlemise nõusolekute fikseerimine• Rõhuasetus isikuandmete turvalisuse tagamisele• Andmekaitsealase mõjuhinnangu läbiviimise nõue• Andmeleketest teavitamise kohustus • Sertifitseerimine ja GDPR vastavuse auditeerimine (tulevikus)

GDPR mõju infoturbe haldusele


• Andmete minimaalsuse printsiip

• Isikustatud andmed

• Pseudonümiseerimine

• Anonüümsed andmed

• Andmete elutsükkel (kogumine, kasutamine, hoidmine, arhiveerimine, hävitamine)

„On the Internet, nobody knowsyou’re a dog.“

The New Yorker cartoon by Peter Steiner, 1993

Isikuandmete hoidmine ja kasutamine


Näited: Target- 2013, Mossack Fonseca- 2016, Eesti „superandmebaas“

• Ohud (välised, sisesed, tehnoloogiast tingitud, inimvead, küberründed)

• Nõrkused (nõrgalt kaitstud varukoopiad, segmenteerimata arvutivõrgud, turvamata andmesideühendused, paberkoopiad, salvestusseadmed)

• Probleemid andmetega väljaspool organisatsiooni piire (partnerid, kaugtöö, BYOD, sotsiaalmeedia, IoT)

Kuidas isikuandmed võivad lekkida?


Eesmärk on juurutada organisatsioonis kogum poliitikaid ja protseduure, mille järgimine annab kindluse, et määrusega kehtestatud nõudeid täidetakse

Üht ja kõigile sobivat raamistikku („compliance framework“) pole olemas

Variant 1: koostada ise Variant 2: võtta aluseks mõni üldtunnustatud infoturbestandard

Andmekaitse süsteemne haldus

TEHNOLOOGIA KÄIDELDAVUS


Kas ja kuidas on lahendatud:• Varade haldus• Riskide haldus• Pääsuõiguste haldus• Muudatuste haldus• Intsidentide haldus• Pidev täiustamine - PDCA (Plan, Do, Check, Act)

Infoturbe võtmeprotsessid GDPR-i vaates


Andmeid ei saa kaitsta teadmata, mis andmed organisatsioonis olemas on, kus nad paiknevad, mis tingimustel neid hoitakse ja kuidas kasutatakse

Kaardistada: andmete koosseis, andmete formaat, transportimise meetodid ja asukohadKlassifitseerida: avalikud andmed, sisemiseks kasutamiseks, salajased andmed

Küsimused:Mis eesmärki tahetakse saavutada? Kuidas isikuandmeid kogutakse? Kus isikuandmeid hoitakse? Kellel on neile juurdepääs? Milliste süsteemidega andmeid vahetatakse? Kes on andmete omanik? Mis andmetest edasi saab?

Millest alustada - isikuandmete kaardistamine


• GDPR artikkel 35

• Miks on andmekaitsealast mõjuhinnangut (DPIA) vaja?

• Kuidas seda läbi viia?

• Kes peavad olema kaasatud?

• DPIA kui osa organisatsiooni riskijuhtimise süsteemist

Millest alustada -andmekaitsealane mõjuhinnang


• Töötajate koolitamine

• „Security by Default“ ja „Security by Design“

• Juurdepääsuõiguste kontroll

• Krüptograafia kasutamine

• Füüsiline turvalisus

• Küberhügieen

• Lepingud kolmandate osapooltega

Andmete turvalisuse tagamine


Mida juurutamisel silmas pidada: • Piisavate ressursside olemasolu (inimesed, aeg, raha) • Andmekaitse eestvedaja (andmekaitse ametniku nimetamine?)• Kriitiline edufaktor: juhtkonna pühendumus ja kaasatus • Kasuta abimaterjale – AKI juhendid, ISKE, COBIT, ISO/IEC 27001…• See ei ole ainult IT projekt!• Varu aega, alusta kohe!• Vajadusel kasuta välist abi!

Võimalike takistuste ennetamine

Tänan!

Teet RaidmaIT-nõustamisteenuste juhtKPMG Baltics OÜ[email protected]

Esitatud informatsioon on üldise iseloomuga ja ei ole mõeldud ühegi kindla füüsilise või juriidilise isiku probleemide lahendusena. Ehkki soovime anda täpset ja ajakohast informatsiooni, ei saa garanteerida, et esitatud informatsioon on täpne ka selle saamise hetkel või pärast seda. Ükski kasutaja ei tohiks esitatud informatsioonist lähtuda ilma konkreetse situatsiooni põhjalikul analüüsil põhineva professionaalse nõustamiseta.

© 2016 KPMG Baltics OÜ, Eesti osaühing ja Šveitsi ühinguga KPMG International Cooperative (”KPMG International") lepinguliselt seotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud. Trükitud Eestis.

GDPR compliance & development -approach and practical experience from client cases

Mikko Viemerö (CIPP/E, CIPM, CIPT, CISA, CISM)

Manager, KPMG Cyber Security

—

25.11.2016

2© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.

Document Classification: KPMG Confidential

THE GENERAL DATA PROTECTION REGULATION (”GDPR”) Direct applicability once in force

Applicable to all organisations that process personal data

Approval in spring 2016

Two year transition period binding 25 May 2018

Significant increase in sanctions (up to 20 MEUR / 4% of

global turnover)

Basic rights approach new duties for data controllers

and processors



1. A typical development project

Client communication to stakeholders

Phase 4• Development work

based on roadmap

• KPMG expertsupport

Phase 3• Prioritizeddevelopment

roadmap

Phase 2• Assessment of

Privacy gaps• Risk analysis• Recommen-

dations

Phase 1• High level

workshop to identify critical Privacy

Compliance areas within BA’s and

support functions (”Heat Map”)

Participation of Client experts

KPMG engagement management

Timeline approx. 12 – 16 weeks

GDPR Compliance

Timeline varies

CONFIDENTIAL



2. Conditions for a successful implementation

Management sponsorship

& support

Governance structures

and responsi-

bilities

Sufficientpolicies

Uniformpractices

Organiz. culture &

awareness



3. Accountable Privacy Governance

Läpinäkyvyys

Sisäiset arvioinnit

Dokumentaatio

Auditoinnit

Rekisteröityjen oikeuksien toteuttaminen

Hyvä hallintotapa

Kumppanuuksien hallinta

KoulutusTietosuojavastaavaRiskianalyysit

Tietovuotojen hallinta

Kv. tiedonsiirrot

Johtaminen ja vastuutus

ACCOUNTABILITY

Privacy Governance

Transparency

Risk-basedapproach

Policies & processes & documentatio

n

Data Protection

Officer

Privacy by Design

Data Governance

Training & awareness

Assurance & audit

Contract & supplier

management Sanctions!



4. Critical themes in development

Risk assessments Privacy governance and policies + implementation

Grounds for personal data processing

Processes; data lifecyclemanagement

Mapping of personal data, data flows & systems

Suppliers, contractmanagement and data

transfers

Requirements for ICTPrivacy by Design & security



5. Experiences from the field

Interpretation of GDPR requirements – risks and opportunities (risk-basedapproach!)

Insufficient knowledge overkill or abandonment of business opportunities

Role of DPO – independence crucial

Compliance initiatives – not only compared to the GDPR

Compensative controls as a tool for accountability

Change of culture inevitable in many cases

Legal – organizational – technical



PRIVACY PRINCIPLESPrivacy components are viewed against theinternationally recognised “Generally Accepted Privacy Principles”, which provide the foundation for our privacy management framework.

KPMG SUPPORTOur framework elements are the distinct components that organisations employ to help ensure compliance with applicable Privacy laws and regulations. They provide a practical and pragmatic structure for organising the day-to-day management and oversight required to mitigate Privacy risk exposures.

PRIVACY MANAGEMENT FRAMEWORKOur framework elements are the distinct components that organisations employ to help ensure compliance with applicable Privacy laws and regulations. They provide a practical and pragmatic structure for organising the day-to-day management and oversight required to mitigate Privacy risk exposures.

8

KPMG PRIVACY APPROACHPRIVACY MANAGEMENT FRAMEWORK

CONFIDENTIAL



PRIVACY MATURITY MODELEXAMPLE

SUB COMPONENT

MATURITY LEVEL 1ADHOC

■ Evidence that the organisation has recognised that the issues exist and need to be addressed.

■ Processes not documented.

■ No standardised processes; instead, there are ad hoc approaches that tend to be applied on an individual or case-by-case basis.

■ In a state of dynamic change – driven in an ad hoc, uncontrolled, or reactive manner.

MATURITY LEVEL 2INITIAL

■ Minimal documentation.■ Repeatable, possibly

with consistent results by different people undertaking the same task.

■ Lacks rigorous process discipline – high degree of reliance on the knowledge of individuals and, therefore, errors are likely.

■ No formal training or communication of standard processes –responsibility is left to the individual.

MATURITY LEVEL 3

CONTROLLED

■ Defined and documented standard processes communicated through training.

■ Formal controls operate to ensure effective operation of processes.

■ Activities are consistently performed within key functions and business groups, but are not yet coordinated consistently across the organisation.

MATURITY LEVEL 4

MONITORED

■ Formal processes with review and approval built in, where appropriate, and that are communicated consistently across the organisation.

■ Activities are consistent and well coordinated across the organisation.

■ Independent assessment or audit to monitor the effectiveness of controls and processes.

■ Subject to some degree of improvement and changed over time.

MATURITY LEVEL 5

OPTIMISED

■ Efficiency and effectiveness of processes assessed using formal measures and processes.

■ Changes made to maintain efficiency over time.

■ Process seamlessly integrated across enterprise boundaries.GOVERNANCE

AND OPERATING

MODEL

PRIVACY MATURITY

Maturity levels

Brief description of the characteristics of the various maturity levels(will change depending on the process being evaluated)

DESIRED BASELINE

Maturity level indicator

Privacy Process being evaluated

CONFIDENTIAL


© 2016 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

The KPMG name and logo are registered trademarks or trademarks of KPMG International.

KPMG Cyber Security / Privacy ServicesMikko Viemerö, [email protected]. +358 (0)20 760 3530

Eva JakuninRiskijuhtTelia Eesti

25 november 2016

ISIKUANDMETE KAITSE ÜLDMÄÄRUS

GDPR (General Data Protection Regulation) ehk Isikuandmete Kaitse Üldmäärus

25/11/2016

• Rakendub mais 2018• „1“ seadus? (veel ei ole selge meie IKS ega e-

privacy ega ESS saatus)• Puudutab nii avalikku kui erasektorit• Soodustab ettevõtete piiriülest äritegevust• Tugevdab eraisikute privaatsuse kaitset*• Kaasajastab ja selgitab nõudeid privaatsusele• jpm

Miks see määrus on Teliale oluline?

25/11/2016

• Määruse nõuetele mittevastamine saab olema väga kallis• Grupiülene risk (Balancing the risk of breaching “the rights and

freedoms of natural persons” against implementation cost)• Väline motiveerija sisemiste protsesside parendamiseks (tavaliselt

ei ole selleks aega)

Kuidas me kogu Telia Grupiga GDPR vastavuse suunas liigume

25/11/2016

Group steering*

Group Roadmap*

There can be security without privacy butnot privacy without security

GDPR Grupi tasandil 2016-20182016 2017 2018

Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2

INTERPRETATIONS• Group level

interpretations• Training and

support to Privacy Officers

• Steering documents

IT ARCHITECTURETarget architecture 2018 for GDPR

WORK STREAM MANAGEMENT

• Follow-up and reporting

• Communication• Assurance & audit

Group GDPR Interpretation Specifications

Agile Planning, Reviewing and Development Cycle for GDPR deliverables with countries and Group functions

Q4 Planning

Q1 Planning

Q2 Planning

Q3 Planning

Q4 Planning

Q1 Planning

Q2 Planning

Perform compliance reviews and audits in countries/g functionsAssurance Process& Audit POC

Pre-study & Plan

GDPR Work StreamPLANNING

GDPR Work Stream management, reporting, communication, follow up and reporting

Pre-study & plan IT (GDPR) Architecture Deliverables according to plan made during pre-study

Group GDPR Interpretation Specifications (updates)

Requirements for Security

Requirements for Procurement

Group Privacy Policy and Instruction (update)

EMPLOYEE PRIVACY Resourcing Deliveries according to plan

Group Privacy governance (update)

Communication plan Communication activities according to plan & maintenance of plan

25/11/2016

Projekti juhtrühm Äriline omanik

DPO

Riskijuht Juriidilise osakonna juht

Teenindus-direktor

IT süsteemi-arenduse juht IT projektijuht

Juristid

Personal

Protsessijuhid

Analüütiline turundus

Grupi Privacy Officer

Osalejad(vastavalt projekti etapile)

EST GREC

Ostuosakond

Andmearhitekt

TeeninduskanalidTurvaprojekt (VEGA EST)

Kohtumised 1x kuus

IT arendus25/11/2016

KES teevad?

GDPR tegevuskava ja seotud tegevused

Õiguslikud alused

Impact & complianceAssessment (PIA)

Uued arendused ja töötlemise eesmärgid

Andmete töötlemine täna

Nõus-olekud

Andmete kustutamine

Data portability

Andmetele ligipääs ja ülevaade

Andme-lekke

intsidendidTurvameetmed andmete konfidentsiaalsuse ja terviklikkuse tagamiseks

Andmelekete tuvastamine, analüüs

Turvaprojektid

Sisseost

Tegevuste juhtimine, ülevaatus ja raporteerimine

IT ja isikuandmete andmearhitektuur

Töötajate andmed

Infovarade ja tarnijate analüüs

Volitatud töötleja

GOVERNANCE

Turvalisuse analüüs arendusprojektides

Tarnijate vastavus ja auditeerimine

Privacy ostufunktsioonis

Privacy governance

Auditid

Contractual liability

Teadlikkus ja kommunikatsioon

Records of processing

Processes, services/products and IT

Varad ja hankijad

GDPR tegevuskava ( Group Security & Privacy)

VEGA turbeprojekt

Riigid ja funktsionaalsed üksused: juurutamisega seotud tegevused

4

5

25/11/2016

25/11/2016

Erisuste kaardistus

Privacy Officerivärbamine

Andmeturve

Andmete kustutamise

automatiseerimine

Privacy by design

Governance(steering, IT projekt)

2016 roadmap Telia Eestis

Andmete kaardistus (kliendiandmed toodetes, protsessides + töötajate andmed)

2017 tööplaan

Milline on Telia Eesti plaan

25/11/2016

• Eesti GDPR projekt• Eesti GDPR Roadmap• Andmete kaardistus (data mapping)• PIA (mõjuhinnang) privacy by design/by default• Privacy Data Breach Notification• Muudatused IT-s• Privaatsuspoliitikad ja tegevusjuhised• Koolitused

Väljakutsed Telia Eestis

25/11/2016

• Seadusandlus ei ole lõplik• Nõuetekohased nõusolekud• Data portability?• Minimaalsusprintsiip• Automaatne profileerimine (nõusolekud, lepingu sõlmimine)• Andmete volitatud töötleja (IT teenused)• Anonüümimine/Pseudonüümimine• Igapäevane kliendiandmete töötlemine

http://dontdothisatwork.teliacompany.com/customer-privacy.html

Aitäh!

25/11/2016

Millele pöörata tähelepanu andmekaitse üldmääruse

jõustumisel?

25.11.2016

Kärt Salumaa Justiitsministeeriumi avaliku õiguse talituse nõunik

TTÜ doktorant

Andmesubjekti õigused

• Õigus andmete parandamisele (GDPR art 16)• Õigus andmete kustutamisele (GDPR art 17)• Õigus isikuandmete piiramisele (GDPR art 18)• Andmete ülekandmise õigus (GDPR art 20) -> vajalik luua tehnilised

lahendused, mis võimaldaksid viia isikuandmed ühest elektroonilisest süsteemist teise.

• Õigus esitada vastuväiteid andmetöötluse osas (nt otseturundus, GDPR art 21)

• Andmesubjekti õigus, et tema kohta ei võetaks vastu otsust, mis põhineb profiilianalüüsil (GDPR art 22)

Andmesubjekti nõusolek (GDPR art 7)

• Kui isikuandmete töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.

• Info ettevõtjale taga see, et isikuandmete töötlemiseks antud nõusolekust jääb maha jälg – nii on hiljem lihtsam võimaliku vaidluse korral tõendada andmesubjekti poolt antud nõusoleku olemasolu!

Järelevalve – Andmekaitse Inspektsioon

• Järelevalvet isikuandmete töötlemise osas teostab sõltumatu järelevalveasutus Andmekaitse Inspektsioon (AKI).

• AKI ülesanded (GDPR art 57):- jälgib ja tagab GDPR kohaldamise;- tegeleb üldsuse isikuandmete alase teadlikkuse

suurendamisega;- toimetab uurimisi (lg 1 p h);- täidab mis tahes muid isikuandmete kaitsega seotud

ülesandeid.

Trahvid (GDPR art 83)

• Andmekaitsealaste rikkumiste korral maksimummääraks trahvide puhul 20 000 000€ või kuni 4% ettevõtte käibest.

• Trahvide määramisel lähtutakse rikkumise laadist, kestusest, ulatusest jt GDPR art 83 lg-s 2 toodud kriteeriumidest.

• EL-i siseselt vajadus karmimate reeglite järgi, et „hoida ohjes“ suuri gigante nagu Facebook, Google, Amazon jt.

• NB! Trahve on võimalik vältida tagades isikuandmete töötlemise vastavuse GDPR nõuetega – selleks tuleks ettevalmistusi tegema hakata juba täna!

Aga kui ikkagi ei lähe kõik nii, nagu tahtsid ja soovisid?• GDPR PP (85) Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja

õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et on toimunud isikuandmetega seotud rikkumine, peaks vastutav töötleja teatama isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui vastutav töötleja suudab kooskõlas vastutamise põhimõttega tõendada, et selle rikkumise tulemusena ei teki tõenäoliselt ohtu füüsilise isiku õigustele ja vabadustele. Kui 72 tunni jooksul teatamine ei ole võimalik, tuleks teatisele lisada selle hilinemise põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta.

Tööta välja rikkumisest teavitamise protsess, määra ettevõtte siseselt vastutavad isikud!

Data Protection Officer (DPO, andmekaitseametnik)

• GDPR kohaselt teatud juhtudel kohustus määrata DPO. • Kohustus määrata DPO (art 37), kui andmetöötleja

põhitegevuse hulka kuulub isikuandmete töötlemine, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise või töödeldakse isikuandmete eriliike (GDPR art 9).

• DPO ülesanne tagada asutusesiseselt tööprotsesside vastavus andmekaitsereeglitega (GDPR art 39).

Meelespea• Pea kinni andmetöötluspõhimõtetest!• Töötle minimaalses koguses isikuandmeid: ära kogu andmeid nö

„igaks juhuks“!• Vaata kriitiliselt üle andmetöötlusprotsessid ning kontrolli, et need

oleksid turvalised! Isikuandmete kaitseks tuleb rakendadaturvameetmeid, et kaitsta neid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest.

• Integreeri tehnilistesse lahendustesse andmekaitset tagavad meetmed (privacy by design + privacy by default, GDPR art 25).

• Hoia ennast isikuandmete nõuetega kursis (vt spetsiifilisemate andmetöötlusprotsesside kohta AKI juhendid www.aki.ee)!

• Uued reeglid muutuvad kohustuslikuks alates 25. maist 2018. a. Seni tuleb lähtuda isikuandmete kaitse seadusest (IKS).

Tänan tähelepanu eest!

Documents

Kuidas tagada isikuandmete töötlemise vastavus andmekaitse ...œritused/KPMG... · Kuidas tagada isikuandmete töötlemise vastavus andmekaitse nõuetele? Sirli-Kristi Käpa 25