Tegevusplaan

GDPR tegevusplaan #2 – Isikuandmete kaardistus (registri täitmine)

Posted by

Käesolev postitus on osa väikeettevõtetele suunatud tegevusjuhendist “GDPR tegevusplaan”, mis koosneb peatükkidest:

  • Sissejuhatus
  • #1 Rollide kaardistus
  • #2 Isikuandmete kaardistus (registri täitmine)
  • #3 Privaatsuspoliitika koostamine
  • #4 Andmekaitsepoliitika koostamine
  • #5 Isiku nõusoleku küsimine
  • #6 Töötajate koolitus ja kommunikatsioon
  • #7 Turvalisuse tagamine
  • #8 Lepingute sõlmimine

Peatüki eesmärk

Oskad oma ettevõtte kohta täita GDPRi andmetöötlusregistrit.

Mis on andmetöötlusregister?

Andmetöötlusregister (ka töötlemistoimingute register, toimingute register, register) on nimekiri kõigist tegevustest, mida ettevõtte isikuandmetega teeb. Registris on kirjas, kus isikuandmeid kogutakse, hoitakse, kasutatakse ja kuhu saadetakse ehk täielik ülevaade, mis nendega sinu ettevõttes toimub.

Põhjalikuma selgituse leiad Andmekaitse Inspektsiooni veebilehelt.

Miks on andmetöötlusregistrit vaja?

Põhjuseid on mitu ja kui hakata järele mõtlema, siis on nad kõik päris loogilised. Siin on mõned olulisemad:

  • Suure pildi ülevaade, kus isikuandmed asuvad. See teadmine on hädavajalik selleks, et koostada Privaatsuspoliitika ja sõlmida andmekaitse lepingud ning lõpptulemusena viia sinu ettevõtte GDPRiga vastavusse
  • Arusaam, kas sa ikka töötled andmeid seaduslikul alusel. Äkki sa küsid andmeid, mida sa ei tohiks oma teenust pakkudes tegelikult küsida?
  • Arusaam, kas sinu koostööpartnerid on kõik GDPR vastavusega. Kes vastutab mille eest?
  • Arusaam, kas sinu andmed liiguvad EU piiridest välja või mitte. Sinu elu on lihtsam kui nad EU-st välja ei liigu.
  • Arusaam, kas sul on paigas organisatsioonilised ja turvameetmed, mis isikuandmeid kaitsevad. Kas ikka teadvustasid, et neid andmeid peab väga hoolega kaitsma nii sinu ettevõttes ja kui ka sinu äripartnerite juures?
  • Teadmine, mis on sinu ettevõtte seaduslik vastutus. Maanda oma ettevõtte riskid.

Andmetöötlusregister on peamine vundamentaalne komponent kogu sinu ettevõtte GDPR vastavuse saavutamisel. Register on ka oluliseim dokument, mille saad esitada kontrolli tegevale järelevalveasutusele (AKI-le), et tõendada enda GDPR vastavust.

Kes peavad registrit täitma?

Igal juhul on registri pidamine kohustuslik ettevõtetele, kus on 250 või rohkem töötajat, nendega on nõue lihtne ja selge. Neist väiksemate firmadega läheb aga asi huvitavaks. Rangelt juriidiliselt võttes peaksid ka lõviosa ülejäänud ettevõtteid registrit täitma, aga see oleks sisuliselt vastuolus GDPR seaduse põhimõttega, et väikeettevõttetele ei tohiks panna liiga suurt halduskoormust. Ka ülal viidatud AKI veebilehelt võib ridade vahelt välja lugeda soovituse kasutada siinkohal pigem tervet mõistust. Aga vean kihla, et kui küsid selle kohta arvamust mõnelt juristilt, on vastus ühene – muidugi pead registri tegema ja täpselt seaduses nõutud kujul!

Minu seisukoht on, et registrit seadusega nõutud kujul (GDPR Artikkel 30) ei ole tingimata väikeettevõttel vaja, selle asemel võid teha endale nt vabas vormis dokumendi, mis aitab sul järge hoida kus sinu süsteemides isikuandmed asuvad ja mis nendega tehakse.

AGA kuna selline terviklik ülevaade ja isikuandmete kaardistus peab sul niikuinii olemas olema, siis miks mitte teha seda siis juba ametliku registri kujul. Need väljad, mis sinusse ei puutu, saad lihtsalt täitmata jätta.

Tee-ise juhendmaterjal

  1. Registri aluseks saad võtta tabeli “Isikuandmete kaardistus ja andmetöötlusregister (Nutikodu näidis)” aadressil  http://bit.ly/isikuandmete-kaardistuse-naidis-tabel  (vaata alustamist eelmisest postitusest)
  2. Täida ära registrite lehed.
    Kui soovid, võid teha ka ainult ühe suure koondregistri, kõik ühel lehel koos. Näidistabelis jaotasin registri mitmeks, et oleks kergem äriprotsesse eristada ja lihtsam tabeleid täita.

Registri väljade selgitused:

  • Töötlemise eesmärk – eesmärk, mille nimel sa isikuandmeid kogud, nt “toote müük”, “teenuse müük”, “uudiskirja saatmine”, “palgaarvestus” jne.
  • Töötlemise õiguslik alus – mis põhjenduse alusel sa isikuandmeid kogud, nt nõusolek, leping, seaduslik alus, avalik huvi, õigustatud huvi. Õiguslik alus ja selle määramine on suurem teema, mille kohta kirjutan hiljem põhjalikumalt, seni piisab kui paned kirja ühe neist viiest alusest, nt “Nõusolek Ostja kasutuslepinguga”, “Töölepingu seadus ja tööleping” jne.
  • Andmesubjektide kategooriad – kes on sinu sihtgrupp, nt “klient”, “töötaja”, “kandidaat” jne.
  • Isikuandmete liigid – andmeväljad, mida töödeldakse, nt “kontaktandmed”, “makseandmed”. Mida detailsemaks siin lähed, seda parem, nii et võid ka väljade nimed lahti kirjutada nt “nimi”, “e-mail”, “aadress” jne.
  • Vastuvõtjate kategooriad – kõik isikud ja ettevõtted, kellele sa isikuandmeid kas edasi saadad või andmete hoidmiseks kasutad, nt maksekeskus, kullerifirma, raamatupidamisfirma, CRM, veebiteenuse firma, turundusfirma, Google jne. Neid andmete vastuvõtjaid võib olla päris palju ja riskide maandamiseks on oluline nad kõik üles loetleda, sest ainult nii tekib vastutusest ülevaade.
  • Andmete asukoht – kelle süsteemis ja millises füüsilises asukohas andmeid hoitakse, nt “E-poe andmebaasis, Majutusfirma (EU)”, “Kullerfirma süsteemis (EU)”, “CRM (USA)”. Füüsilise asukoha mõttes piisab, kui eristada kas andmed asuvad EU-s või sellest väljaspool.
  • Kolmandad osapooled (vajadusel) – sama nagu vastuvõtjad, aga EU-st väljaspool asuvad isikud ja ettevõtted. Kõigi kolmandate riikide (non-EU) või rahvusvaheliste organisatsioonide nimed, kellele sa isikuandmed edasi saadad. Siin võib tihedamini esineda Google, Microsoft, Apple jt pilveteenused, aga ka teised rahvusvahelised tarkvarafirmad, kelle tooteid sa kasutad.
  • Kolmandad osapooled – kaitsemeetmed (vajadusel) – kui sa saadad andmeid kolmandatele osapooltele, siis juhul kui oled vastutav töötleja, on on sinu vastutus valida need koostööpartnerid ja tööriistad, kes oleksid GDPRiga vastavuses. Kaistemeede võib olla nt  kirjalik kinnitus või leping, millega teine ettevõtte võtab kohustuse järgida GDPRi.
  • Andmete säilitustähtajad – võimalusel kirjuta andmete kustutamise tähtajad, ehk kui kaua sa andmeid maksimaalselt säilitad, nt “Arveid säilitatakse 7 a. (alus – raamatupidamisseadus)“.
  • Tehniliste ja korralduslike turvameetmete üldine kirjeldus – võimalusel kirjuta lühidalt, kuidas andmeid kaitsed, nt “Andmete salvestamine ja edastamine krüpeeritult. Piiratud juurdepääsuõigused. Automaatsed varukoopiad.”

Registri täitmine võtab kindlasti oma aja, aga arvestades kui hea ülevaate sa oma andmetest saad ja kui lihtne on sul hiljem selle põhjal järgmiseid GDPR samme läbi viia, siis tasub see kindlasti ära!

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.