Mis on vastavus isikuandmete kaitse üldmäärusele (GDPR)?

Üha enam omavahel seotud maailmas on vastavus GDPR-ile muutunud isikuandmeid töötlevate ettevõtete jaoks kriitiliseks prioriteediks, olenemata nende tegevuskohast. 2018. aastal kehtestatud GDPR on EL-i seadusandluses sätestatud määrus, mis keskendub üksikisikute isikuandmete kaitsele ja privaatsusele Euroopa Liidus. GDPR-i mittejärgimine võib kaasa tuua märkimisväärseid trahve, mistõttu on igas suuruses ettevõtete jaoks oluline selle eeskirjadest kinni pidada.

GDPR-i põhieesmärk on kaitsta isikuandmeid ja anda inimestele suurem kontroll oma isikuandmete üle veebis. GDPR-i ulatus on lai, hõlmates kõiki ettevõtteid, mis töötlevad EL-i elanike isikuandmeid, olenemata ettevõtte füüsilisest asukohast.

Vastavus GDPR-ile ei ole ainult juriidiline nõue, vaid sellest on saanud ärikohustus. GDPR-i järgivad organisatsioonid on pühendunud andmete privaatsusele, mis aitab suurendada klientide, töötajate ja partnerite usaldust. Nõuetelevastavus aitab ettevõtetel vältida ka märkimisväärseid rahalisi karistusi, mis on seotud andmete rikkumise ja GDPR-i nõuete mittejärgimisega.

Isikuandmete kaitse üldmäärus rakendati 25. mail 2018 ja see asendas andmekaitsedirektiivi 95/46/EC. See loodi vastusena andmete kiirele digitaliseerimisele ja vajadusele lahendada andmete privaatsusega seotud probleeme. GDPR-i tervikliku raamistiku eesmärk on tugevdada andmekaitseseadusi kogu EL-is.

GDPR-i põhieesmärk on kaitsta isikuandmeid ja anda inimestele suurem kontroll oma teabe üle. GDPR-i ulatus on lai, hõlmates kõiki ettevõtteid, mis töötlevad EL-i elanike isikuandmeid, olenemata ettevõtte füüsilisest asukohast.

Peamised põhimõtted
GDPR kehtestas seitse andmekaitsepõhimõtet, mida EL-is asuvad organisatsioonid või EL-is äritegevust teostavad organisatsioonid peavad järgima:

1. Õiguspärasus, õiglus ja läbipaistvus: Andmeid tuleb töödelda õiguspärasel, õiglasel ja läbipaistval viisil.
2. Eesmärgipiirang: Andmeid võib koguda ja kasutada ainult konkreetsetel eesmärkidel.
3. Andmete minimeerimine: Kogutud andmed peaksid piirduma üksnes vajalikuga.
4. Täpsus: Isikuandmed peavad olema täpsed ja ajakohased.
5. Salvestusruumi piirang: Isikuandmeid ei tohiks säilitada kauem kui vaja.
6. Terviklus ja konfidentsiaalsus: Isikuandmeid tuleb töödelda turvaliselt ning kaitsta volitamata või ebaseadusliku töötlemise, juhusliku kaotsimineku või kahjustamise eest.
7. Vastutus: Organisatsioonid peavad suutma tõendada, et nad järgivad kõiki neid põhimõtteid.

GDPR annab EL-i kodanikele märkimisväärse kontrolli oma isikuandmete üle, kehtestades selged õigused nende privaatsuse kaitsmiseks. GDPR tagab EL-i kodanikele mitmed õigused seoses nende isikuandmetega, sealhulgas:
 

• Õigus saada teavet: Inimestel on õigus saada teavet oma isikuandmete kogumise ja kasutamise kohta, sh üksikasju selle kohta, miks andmeid kogutakse, kui kaua neid säilitatakse ja kellega neid jagatakse.

• Juurdepääsuõigus: Inimesed võivad taotleda juurdepääsu oma isikuandmetele ja hankida nendest koopia, et teada saada, kuidas nende andmeid töödeldakse ja kes neid töötleb.

• Õigus andmete parandamisele: Kui isikuandmed on ebatäpsed või puudulikud, võivad inimesed nõuda nende parandamist, tagades andmete täpsuse ja ajakohasuse.

• Õigus andmete kustutamisele (õigus olla unustatud): Teatud juhtudel on inimestel õigus nõuda oma isikuandmete kustutamist, mis eemaldab nende teabe organisatsiooni süsteemidest, kui see pole enam vajalik või kui nad võtavad oma nõusoleku tagasi.

• Õigus piirata töötlemist: Inimesed võivad piirata oma isikuandmete töötlemist, eriti kui nad vaidlustavad nende täpsuse või kui nad vajavad andmeid õigusliku nõude esitamiseks.

• Õigus andmete ülekantavusele: Inimesed saavad oma isikuandmed hankida struktureeritud, üldkasutatavas ja masinloetavas vormingus ning edastada need soovi korral teisele vastutavale töötlejale.

• Õigus esitada vastuväiteid: Inimestel on õigus esitada vastuväiteid oma isikuandmete töötlemisele, eriti kui neid kasutatakse otseturunduseks või kui nende olukord nõuab privaatsust.
  
  

Koos tagavad need õigused, et üksikisikutel on selge ülevaade ja kontroll oma isikuandmete üle, mis suurendab organisatsioonide läbipaistvust ja vastutust. Lisaks nendele õigustele on GDPR-is sätestatud ka ranged suunised selle kohta, kuidas organisatsioonid peavad enne andmete töötlemist saama üksikisikutelt nõusoleku ja seda haldama.

Nõusoleku nõuded
GDPR nõuab, et organisatsioonid peavad enne andmete kogumist ja säilitamist saama inimestelt selgesõnalise nõusoleku. Nõusolek peab olema vabatahtlikult antud, konkreetne, teadlik ja üheselt mõistetav ning tagama, et üksikisikud mõistavad täielikult, mille kogumisega nad nõustusid.

Lisaks nõusoleku suunistele rõhutatakse GDPR-is ka ennetavaid andmekaitsemeetmeid. Kõrge riskiga töötlemistoimingute puhul peavad organisatsioonid läbi viima andmekaitsealase mõjuhinnangu, et hinnata ja leevendada võimalikke riske inimeste õigustele ja vabadustele.

Andmekaitsealased mõjuhinnangud (DPIA)
Kõigi töötlemistoimingute puhul, mis võivad oluliselt mõjutada inimeste õigusi ja vabadusi, on andmekaitsealane mõjuhinnang kohustuslik. Selles hinnangus hinnatakse isikuandmete töötlemisega kaasnevaid riske ja tuuakse välja meetmed nende riskide vähendamiseks, inimeste privaatsuse kaitsmiseks ja nõuetelevastavuse tagamiseks.

Esialgne hindamine ja puuduste analüüs
GDPR-ile vastavuse saavutamine algab organisatsiooni praeguste andmetöötlustavade põhjaliku hindamisega. See hõlmab kõigi andmetöötlustoimingute (sh andmete kogumine, säilitamine, jagamine ja kustutamine) tuvastamist ja kaardistamist. Eesmärk on saada terviklik ülevaade sellest, kus isikuandmed asuvad, kuidas need organisatsioonis liiguvad ja kellel on neile juurdepääs.

Pärast praeguste andmetöötlustavade kohta teabe kogumist on järgmiseks sammuks puudujääkide analüüsi tegemine. Selles analüüsis võrreldakse organisatsiooni olemasolevaid tavasid GDPR-i nõuetega, et tuvastada puudulikud valdkonnad. Levinud puudujääkide hulka võivad kuuluda selgete andmetöötluskirjete puudumine, puudulikud nõusolekumehhanismid või ebapiisavad turvameetmed.

Nende puudujääkide kõrvaldamine on GDPR-ile vastavuse seisukohast ülioluline ja nõuab sageli koostööd erinevate osakondade (näiteks IT-, õigus- ja personalitöötajad) vahel, et töötada välja ühtne vastavusstrateegia. Organisatsiooni hetkeseisu mõistes saavad ettevõtted koostada struktureeritud tegevuskava, et kõrvaldada nõuetelevastavuse puudujäägid ja tugevdada andmekaitsemeetmeid.

Andmete kaardistamine ja dokumenteerimine
Andmete kaardistamine on GDPR-ile vastavuse oluline osa, sest see annab selge visuaalse ülevaate andmete liikumisest organisatsioonis. See protsess hõlmab kõigi isikuandmete jälgimist alates kogumisest kuni nende säilitamise, töötlemise, jagamise ja kustutamiseni. Andmevoogusid kaardistades saavad organisatsioonid tuvastada ebavajalikud andmetöötlustoimingud, avastada andmesilosid ning tagada ainult asjakohaste andmete kogumise ja säilitamise. Lisaks aitab andmete kaardistamine ettevõtetel avastada võimalikke turbenõrkusi, eriti kui andmeid edastatakse süsteemide vahel või kolmandatele isikutele.

Lisaks andmevoogude kaardistamisele nõuab GDPR, et organisatsioonid peaksid andmetöötlustoimingute kohta üksikasjalikku arvestust. Need kirjed peaksid sisaldama andmete kogumise eesmärki, töötlemise õiguslikke aluseid, andmete säilitamise tähtaegu ja kõiki andmetöötlusega seotud kolmandaid isikuid.

Andmekaitsepoliitikate rakendamine
Vastavus GDPR-ile nõuab kindlate andmekaitsepoliitikate kehtestamist. Need poliitikad kirjeldavad, kuidas organisatsioonis tuleks isikuandmeid käsitleda, hõlmates selliseid valdkondi nagu juurdepääs andmetele, andmesäilitus ja -turve. Hästi koostatud andmekaitsepoliitika annab suunised andmete aktsepteeritava kasutamise kohta, aitab töötajatel mõista oma rolli andmeturbe tagamisel ja kehtestab standardi, kuidas organisatsioon täidab GDPR-i kohustusi. Tõhusad andmekaitsepoliitikad peaksid olema juurdepääsetavad, selged ja korrapäraselt läbi vaadatud, et tagada nende vastavus muutuvatele andmete privaatsusnõuetele ja tehnoloogiatele.

Nende põhimõtete rakendamine kogu organisatsioonis nõuab koolitust. Kõikide tasandite töötajad peaksid mõistma GDPR-i põhimõtteid ja neid tuleks julgustada järgima andmetöötluse parimaid tavasid. Tagades, et töötajad teavad andmekaitse tähtsust ja oma rolli isikuandmete kaitsmisel, saavad organisatsioonid vähendada juhuslike andmeturbemurrete ohtu. Selline struktureeritud lähenemisviis mitte ainult ei toeta vastavust GDPR-ile, vaid aitab kaasa ka üldisele andmeturbele.

USA ettevõtete jaoks toob vastavus GDPR-ile kaasa täiendavaid keerukusi. Väljaspool EL-i asuvad organisatsioonid ei pruugi olla GDPR-i standarditega nii hästi kursis. Lisaks nõuab nõuetelevastavus rangete kohustuste täitmist isegi ilma füüsilise kohalolekuta Euroopas. EL-i kodanike isikuandmeid töötlevad USA ettevõtted peavad määrama EL-i esindaja, orienteeruma Atlandi-ülestes andmeedastuse seadustes ja kohandama oma protsesse, et viia need vastavusse GDPR-i kõrgete standarditega.

Saadaval on arvukalt tööriistu ja ressursse, mis aitavad organisatsioonidel (sh USA ettevõtetel) GDPR-ile vastavust saavutada ja säilitada, näiteks andmekaitsetarkvara, nõuetelevastavuse kontroll-loendid ja koolitusprogrammid.

GDPR-i pideva täitmise tagamiseks kaaluge järgmise kontroll-loendi rakendamist:


Regulaarsed auditid ja seire:
Kontrollige regulaarselt oma andmetöötlustoiminguid, et tuvastada kõrvalekalded GDPR-i nõuetest. Jälgige pidevalt oma süsteeme ja andmeturbemeetmeid.

Koolitused ja teadlikkuse tõstmise programmid:
Pakkuge oma töötajatele põhjalikku koolitust GDPR-i järgimise kohta. Veenduge, et kõik töötajad mõistavad oma rolli ja vastutust isikuandmete kaitsmisel.

Andmeturbemurretele ja trahvidele reageerimine:
Koostage tugev intsidentidele reageerimise plaan, et lahendada kiiresti andmeturbemurded ja vähendada nende mõju. Olge valmis võimalikeks trahvideks, mis kaasnevad nõuetele mittevastavusega.

Andmete privaatsuse pidevalt muutuval maastikul võib GDPR-i nõuete täitmine ja säilitamine olla igas suuruses ettevõtete jaoks keeruline ja ressursimahukas ülesanne. Kuna isikuandmete kaitsmiseks on kehtestatud ranged eeskirjad, vajavad ettevõtted usaldusväärseid lahendusi, mis toetavad nende nõuetelevastavuse püüdlusi igal tasandil. Teie nõuetelevastavuse püüdluste toetamiseks pakub Microsoft tööriistu ja lahendusi, nagu näiteks Microsoft Purview ja muud andmeturbelahendused, mis aitavad teil tõhusalt toime tulla andmekaitsekohustustega.

Neid tööriistu integreerides saavad ettevõtted tõhustada oma vastavusprotsesse, automatiseerida olulisi aruandlusülesandeid ja suurendada üldist andmeturvet, vähendades nii nõuetele mittevastavusega seotud riske.