Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR)

Kuidas GDPR mõjutab meie andmekaitsepoliitikat

TEOSTAGE VASTAVUSE KONTROLL LAADIGE ALLA TASUTA JUHEND

Kas te vastate isikuandmete kaitse üldmääruse nõuetele?

2018. aasta mais jõustub uus üleeuroopaline isikuandmete kaitse üldmäärus.

Kui see teid mõjutab, siis peaksite juba praegu vastavusnõuetele mõtlema hakkama. See veebileht on loodud selleks, et aidata teil mõista isikuandmete kaitse üldmäärust, välja tuua selle nõuded ja pakkuda lahendusi. Isikuandmete kaitse üldmäärus mõjutab igat Euroopa organisatsiooni, mis tegeleb mis tahes isikuandmetega. See mõjutab ka igat ettevõtet, kes Euroopa Liidus äri ajab. Eeskirjad on keerulised ning trahvid nõuetele mitte vastamise eest on märkimisväärsed (kuni 20 miljonit eurot).

Aga te olete täpsema info saamiseks tulnud õigesse kohta!

https://encryption.eset.com/ee/wp-content/themes/twentysixteen/img/images/calendar.png

Tellige tasuta isikuandmete kaitse üldmääruse juhend

ESET ja tema juriidilised nõustajad on koostanud selle põhjaliku juhendi, uurimaks kuidas uus EL-i määrus teid mõjutab.

https://encryption.eset.com/ee/wp-content/themes/twentysixteen/img/images/guide_general_data_protection_regulation.png

Onlain vastavuse kontroll

Kas teie ettevõte vastab Üldise Andmekaitse Määrusele?

Isikuandmete kaitse üldmääruse nõuetele vastamine, samm-sammult

Isikuandmete kaitse üldmääruse nüansid on keerulised, seega oleme vastavusprotsessi jaotanud kolme meetmete rühma, mida peaksite arvesse võtma. Rühmad on omakorda jaotatud erinevate valdkondade järgi koos üksikasjalike selgitustega. Klõpsake allpool olevatel linkidel ja saate uurida teid huvitavaid valdkondi.

+Kokkuvõte

Mõned isikuandmete kaitse üldmääruse põhimõtted on järg praeguses isikuandmete kaitse direktiivis olevatele põhimõtetele: õiglus, seaduspärasus ja läbipaistvus; eesmärgi piiramine; andmete minimeerimine; andmete kvaliteet; turvalisus, puutumatus ja konfidentsiaalsus. Isikuandmete kaitse üldmäärus lisab praegustele andmekaitse põhimõtetele järgnevad uued aspektid:

Õiglus, seaduspärasus, läbipaistvus – isikuandmeid tuleb nüüd andmesubjektiga seoses töödelda läbipaistval viisil.

Eesmärgi piiramine – kui mõned keelud välja arvata, siis isikuandmete arhiveerimist avalikkuse huvides ei peeta algupäraste töötlemiseesmärkidega mittevastavaks.

Säilitamine – isikuandmeid tuleb säilitada kujul, mis võimaldab andmesubjektide tuvastamist mitte kauem, kui on vajalik eesmärkidel, milleks isikuandmeid töödeldakse.

Vastutus – andmete töötleja vastutab põhimõtete täitmise eest ning tal lasub kohustus näidata andmete vastavust põhimõtetega.

+Korralduslikud nõuded

Isikuandmete kaitse üldmääruse järgi peate te kasutusele võtma mitmed meetmed, kindlustamaks, et vähendate isikuandmete kaitse üldmääruse rikkumise riski, ning tõestamaks, et suhtute andmete töötlemisse tõsiselt. Vajalike vastutusmeetmete hulka kuuluvad: andmekaitse mõjuhinnang, auditid, privaatsuspoliitika ülevaatamine, tegevusaruanded ja (potentsiaalselt) andmekaitseinspektori ametisse nimetada.

Isikuandmete kaitse üldmääruse kohaselt on teatud organisatsioonidel kohustus ametisse nimetada andmekaitseinspektor. Andmekaitseinspektorina peavad organisatsioonid ametisse nimetama personali liikme või välise konsultandi.

Kui te olete müüja suure kliendiandmebaasiga, siis tõenäoliselt peate ametisse nimetama andmekaitseinspektori. Riiklikud andmekaitsevõimud peavad andma juhiseid selle kohta, kes inspektoriks sobib.

Teie andmekaitseinspektor vastutab üldmäärusega vastavuse seire eest, viib teid kurssi teie kohustustega, annab nõu, millal ja kuidas tuleb läbi viia andmekaitse mõjuhinnang, ning vastab andmekaitsevõimude ja isikute päringutele.

Ainukontrolli põhimõte võimaldab mitmes Euroopa Liidu riigis rajatud organisatsioonil tegeleda ainult ühe riikliku andmekaitseasutusega , kuid eeskirjad, mis määravad, milline andmekaitseasutus peaks selle rolli võtma ja kuidas kaebustega tegelema, on mõnikord keerulised.

+Protsessid, protseduurid ja poliitika

Isikuandmete kaitse üldmäärus defineerib andmeleket kui “turvaleket, mis päädib edastatud, säilitatud või muul moel töödeldud isikuandmete tahtmatu või ebaseadusliku hävimisega, kaotamisega, muutmisega, volitamata avalikustamisega või ligipääsemisega”.

See on laiem definitsioon kui enne ning ei võta arvesse seda, kas leke tekitab inimesele kahju. Kui teil on esinenud andmeleke, siis peate sellest informeerima riiklikku andmekaitseasutust kohe või 72 tundi pärast lekke avastamist.

Kuid te olete vabastatud isikute teavitamisest, kui te olete rakendanud asjakohaseid tehnilisi ja korralduslikke meetmeid isikuandmete kaitsmiseks, näiteks krüpteerimist.

Oluline osa isikuandmete kaitse üldmääruse järgimisel on lõimitud andmekaitse, see tähendab et iga uus töötlusviis või toode tuleb lõimida andmekaitse nõuetega. Kui enne oli selline käsitlus parim praktika, siis nüüd on see selgesõnaline nõue.

Andmekaitse mõjuhinnang on mõeldud mittevastavusriskide tuvastamiseks ja minimeerimiseks.

Isikuandmete kaitse üldmääruse kohaselt on andmekaitse mõjuhinnang ametlik nõue. Andmete töötlejad peavad kindlustama, et andmekaitse mõjuhinnang viidaks läbi enne, kui algab mis tahes „kõrge riskiga“ töötlemistegevus.

Kui te tegutsete rahvusvaheliselt, siis teie eeskirjad ja protsessid andmete edastamiseks mitte Euroopa Liidu alluvusalasse kuuluvatesse riikidesse on eriti olulised, kuna trahvid mittevastavuse puhul või juhul, kui andmeid edastatakse alluvusalasse, millel Euroopa Komisjoni arvates puudub piisav andmekaitsemäärus, muutuvad isikuandmete kaitse üldmääruse jõustudes palju karmimaks.

+Teadlikkus andmekaitsest

Nüüd on aeg hakata oma töötajatele selgitama vajadust isikuandmete kaitse üldmääruse nõuetele vastata. Te peaks juba praegu planeerima muutusi protseduurides, mis oleks vastavuses isikuandmete kaitse üldmääruse uute läbipaistvuse ja individuaalsete õiguste sätetele. Sellel võivad olla märkimisväärsed finantside, IT ja koolitusega seotud mõjud.

+Vastutus – tehnilised meetmed

Isikuandmete kaitse üldmäärus paneb andmete töötlejad kohustuse näidata vastavust andmekaitse põhimõtetega, seega peate kindlustama, et teil oleks paigas kindel poliitika, tõestamaks et vastate nõutud standarditele, jälgides, üle vaadates ja hinnates oma andmetöötluse protseduure, võttes kasutusele kaitsemeetmed, ning tagades, et teie personal on koolitatud ja oma kohustustest teadlik. Te peate olema valmis seda millal iganes, kui teie riiklik andmekaitseasutus seda nõuab.

+Andmeleke – tehnilised meetmed

Te peate valmistuma andmeleketeks (defineeritud kui “turvaleke, mis päädib edastatud, säilitatud või muul moel töödeldud isikuandmete tahtmatu või ebaseadusliku hävimisega, kaotamisega, muutmisega, volitamata avalikustamisega või ligipääsemisega”) kehtestades selge poliitika ja testitud protseduurid, kindlustamaks, et saate andmelekke puhul reageerida ning nõutud asutusi teavitada.

Lekkest mitte teatamine võib päädida trahviga mitte teatamise, aga ka lekke enda eest.

+Andmesubjekti õiguste tagamine - tehniliselt

Isikuandmete kaitse üldmäärus tugevdab andmesubjektide , õigusi, näiteks lisades õiguse nõuda teavet neid puudutavate andmete töötlemise kohta, õiguse teatud olukordades andmetele ligi pääseda ning õiguse parandada ebaõigeid andmeid.

Isikuandmete kaitse üldmääruse üks peamisi eesmärke on toetada isikute õigusi. Selle tulemusena muutuvad subjekti ligipääsunõudeid käsitlevad eeskirjad ning selle peegeldamiseks peate oma protseduure uuendama.

Üldiselt pole teil õigus nõude täitmise eest tasu küsida, samuti on teil nõude täitmiseks üldjuhul aega üks kuu (praegune piirang on 40 päeva).

Õigus olla unustatud (isikuandmete kaitse üldmääruse terminoloogias „kustutamine“) võimaldab isikutel teie andmetöötlejatelt nõuda, et nad kustutaks nende isiklikud andmed teatud olukordades ilma igasuguse viivituseta, näiteks kui tegemist on töötlemise seaduslikkuse probleemiga või kui nad võtavad oma nõusoleku tagasi.

Need eeskirjad kehtivad ka kolmandate osapoolte puhul, kellega te isikute andmeid jagate.

Isikuandmete kaitse üldmäärus defineerib profileerimist kui „mis tahes kujul automatiseeritud isikuandmete töötlemist, mis sisaldab isikuandmete kasutamist, hindamaks füüsilise isikuga seotud isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse, käitumise, asukoha või liikumisega seotud aspekte.“ Kuid pole veel selge, kuidas andmesubjektide õigust mitte saada otsustuste osaks profileerimise põhjal kehtestatakse.

Isikuandmete kaitse üldmäärusega kehtestatakse uus andmete ülekandmise õigus, mille kohaselt on isikutel õigus teilt nõuda neid puudutavaid isikuandmeid elektroonilisel kujul ning andmetöötleja peab andma andmed struktureeritud, levinud ja masinloetaval kujul.

Sellel eeskirjal on mõned piirangud. Näiteks kehtib see vaid automatiseeritult töödeldud isikuandmete kohta.

Kuna eesmärgiks on individuaalsete õiguste toetamine, siis Euroopa Komisjon annab ka õiguse takistada teatud andmetöötlust ning õiguse olla vastu isikuandmete töötlemisele otseturunduse eesmärkidel, sealhulgas profileerimistegevustele otseturunduseesmärkidel.

Kui isik on vastu, siis nende andmeid ei tohi otseturunduse eesmärgil töödelda ning isiku kontaktandmed tuleks lisada firmasisesesse piirangufaili.

Organisatsioonid peavad sõnaselgelt ja muust inimestele antavast informatsioonist eraldiseisvalt inimesi teavitama nende õigusest olla vastu nende andmete töötlemisele.

+Isikuandmete saamine (nõusolekud, õiglase töötlemise teatised)

Te peate ehk üle vaatama, kuidas te otsite, saate ja salvestate nõusolekuid. Andmesubjekti nõusolekut nende isikuandmete töötlemiseks peab olema niisama lihtne tagasi võtta, kui anda, ning see peab olema positiivne märk nõusolekust isikuandmete töötlemiseks – seda ei saa järeldada vaikimisest, eelnevalt märgistatud kastikestest või tegevusetusest.

Kuna eesmärgiks on individuaalsete õiguste toetamine, siis Euroopa Komisjon annab ka õiguse takistada teatud töötlemist ning õiguse olla vastu isikuandmete töötlemisele otseturunduse eesmärkidel, sealhulgas  profileerimistegevustele otseturunduse eesmärkidel.

Kui isik on vastu, siis nende andmeid ei tohi otseturunduse eesmärgil töödelda ning isiku kontaktandmed tuleks lisada firmasisesesse piirangufaili. Organisatsioonid peavad sõnaselgelt ja muust inimestele antavast informatsioonist eraldiseisvalt inimesi teavitama nende õigusest olla vastu nende andmete töötlemisele.

Isikuandmete kaitse üldmäärus tõenäoliselt lisab asju, mida peate andmesubjektidele rääkima, näiteks teie õiguslik alus nende andmete töötlemiseks, teie andmete säilitamise aeg ning nende õigus esitada kaebus riiklikule andmekaitseasutusele, kui nende arvates on probleem sellega, kuidas nende andmeid käitlete. Pange tähele, et isikuandmete kaitse üldmääruse kohaselt peate te selle informatsiooni edastama selges ja arusaadavas keeles.

+Andmeturve (puutumatus ja konfidentsiaalsus)

Isikuandmete kaitse üldmäärus sätestab andmeturbe põhimõtted, mis on sarnased praeguses direktiivis olevatega: õiglus, seaduspärasus ja läbipaistvus, eesmärgi piiramine; andmete minimeerimine; andmete kvaliteet; turvalisus, puutumatus ja konfidentsiaalsus.

Te peate kindlustama, et isikuandmeid töödeldakse viisil, et oleks tagatud turvalisus, sealhulgas kaitse volitamata või õigusvastase töötlemise ning tahtmatu kaotamise, hävitamise või kahjustamise vastu: Organisatsioon ja mis tahes sisse ostetud teenusepakkuja peab rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, tagamaks riskile vastava turvataseme.“

Määrus toob välja mitmed turvameetmed, mida saab andmekaitses kasutada, sealhulgas pseudonüümide kasutamine ja isikuandmete krüpteerimine; võime tagada isikuandmeid töötlevate süsteemide ja teenuste pidev konfidentsiaalsus, puutumatus, kättesaadavus ja vastupidavus; võime õigeaegselt taastada isikuandmete kättesaadavus ja ligipääs isikuandmetele füüsilise või tehnilise intsidendi korral; ja regulaarse tehniliste ja korralduslike meetmete testimise ja hindamise protsess, tagamaks isikuandmete töötlemise turvalisuse.

Isikuandmete kaitse üldmäärus toob ühe võimalusena välja krüpteerimise, mis aitaks tagada vastavuse määruses toodud kohustustega. Tsitaat määrusest:

Artikkel 32 – Töötlemise turvalisus

“1. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, töötlemise laadi, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav andmetöötleja ja volitatud andmetöötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile kohase turvalisustaseme, sealhulgas: (a) pseudonüümide kasutamine ja isikuandmete krüpteerimine […]”

Artikkel 34 – Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

“3. Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta juhul, kui on täidetud järgmised tingimused: (a) vastutav andmetöötleja on kehtestanud asjakohased tehnilised ja korralduslikud kaitsemeetmed ja neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks, näiteks krüpteerimine […]”

 

+Andmete dokumentatsioon, õiguslik alus ja audit

Te peate dokumenteerima, millised isikuandmed teil on, kust te need saite ja kellega te neid jagate.

Kui teil on ebatäpsed isikuandmed ja te olete neid teise organisatsiooniga jaganud, siis isikuandmete kaitse üldmääruse kohaselt peate te teist organisatsiooni ebatäpsusest teavitama, et see saaks oma dokumente parandada. Selleks on võib-olla vajalik organisatsioonisisene või mõne teatud ärivaldkonna infoaudit. See aitab teil ka vastata isikuandmete kaitse üldmääruse vastutuspõhimõttele.

Isikuandmete kaitse üldmääruse kohaselt tuleb teil uurida, kuidas te isikuandmeid töötlete ning tuvastada õiguslik alus, mille alusel te töötlemist läbi viite ja dokumenteerite.

See on vajalik, kuna isikuandmete kaitse üldmäärus muudab mõnede inimeste õigusi sõltuvalt teie õiguslikust alusest nende isikuandmete töötlemiseks. Ühe näitena võib tuua selle, et inimestel on tugevam õigus lasta oma andmed kustutada, kui te kasutate töötlemise õigusliku alusena nõusolekut. Siiski, nõusolek on vaid üks mitmetest viisidest töötlemist õiguspäraseks muuta ning ei pruugi olla parim (seda saab ka tagasi võtta).

Antud veebilehel esitatud informatsioon pole juriidiline arvamus ning kasutajad ei tohiks tugineda selle täpsusele rahalisi või ärilisi otsuseid langetades. ESET pole sellisest tegevusest tingitud tulemuste eest vastutav. Otsige alati sõltumatut juriidilist nõu.

Liituge meie GDPR veebiseminariga

Rääkige meie asjatundjatega sellest, kuidas uus üldine andmekaitse määrus (GDPR) teie ettevõtet mõjutab. ESET korraldab veebiseminare GDPRi probleemide selgitamiseks. Nendel veebiseminaridel osalemine on tasuta: registreeruge allpool ja me kutsume teid järgmisele üritusele.

Peaaegu 80% ettevõtetest pole valmis GDPR-iks

Uus uuring, mille viisid läbi sõltumatud analüütikud IDC-st (Rahvusvahelisest Andmekeskusest), leidis, et enamus euroopa keskmise ja väikese suurusega ettevõtetest ei ole valmis ÜAM-iks. IDC uuris IT asjatundjaid enam kui 700 ettevõttest. Leiti, et uue määruse mõistmine on madal.

Veel üksikasju – ja selleks, et leida enda jaoks rohkem GDPR-ist – saate tänu ESET-ile IDC täisaruandest

GDPR-i mõju mõistmine

25% puudub | 52% piiratud | 22% täielik

Tagamaks parimat kogemust meie veebilehel, kasutame me küpsiseid. Rohkem informatsiooni.

OK