Posted by Aeg on startida! Käesolev postitus on esimene peatükk seerias “GDPR tegevusplaan”, mis annab väikeettevõtetele konkreetse plaani, juhendid ja tööriistad, mille abil end GDPR seadusega vastavusse viia.
Kui oled üle vaadanud sissejuhatavad artiklid Kuidas GDPR sind puudutab ja Isikuandmed? Palun andke mulle nimekiri! ning oled jõudnud järeldusele, et sinu ettevõttel on olemas eraisikust kliendid, kelle isikuandmeid sa töötled, siis leiad siit samm-sammulise juhendi, mille järgi reaalsete tegevustega alustada.
Efektiivne läbiviimine
Kuna sinu aeg on kallis, siis lähtun alati minimaalsuse printsiibist ehk kirjeldan ainult neid tegevusi, mis on ettevõtte GDPR seadusega vastavusse viimiseks tõesti hädavajalikud.
Tegevuste läbiviimisel soovitan sul omakorda lähtuda Pareto 80/20 printsiibist – püüa saavutada 80% tulemusest minimaalse ajakuluga ja ära kuluta ülejäänud 20% lõpuleviimiseks ebamõistlikult palju aega ja energiat.
See soovitus kehtib eriti juhul, kui sinu ettevõte andmekaitse tegevused on olnud seni suhteliselt tagasihoidlikud või sisuliselt puudunud, sest kõige olulisem on alltoodud tegevused ära teha lõviosa andmetega ja mitte kinni jääda detailidesse.
Tegevusplaani sisu
Tegevusplaani fookus on Eesti väikeettevõtetel (vähem kui 10 töötajat), keda on statistika põhjal Eestis tegutsemas ca 113 000. Suurematel ettevõtetel on GDPR tegevusplaani käigus vaja läbi viia märksa rohkem tegevusi, alustades andmekaitseametniku määramisest ning lõpetades piiriülese isikuandmete töötlemisega ja siduvate kontsernisiseste eeskirjadega.
Kui järgid käesolevat tegevusplaani, on võimalik vajalikud tegevused oma jõududega ära teha, aga koordineerijaks peaks olema tegevjuht, juhatuse liige või sama suurte volitustega töötaja.
Olen jaotanud tegevusplaani kaheks järjestikuseks osaks:
- GDPR audit – ühekordsed tegevused ettevõtte GDPR vastavuse saavutamiseks
- Igapäevatöö – igapäevatöö käigus vajalikud andmekaitse tegevused
Mõte on selles, et igapäevatöö tegevusi ei ole võimalik teha enne kui audit on üks kord läbi viidud, sest sul ei ole vajalikke andmeid, millega näiteks isiku taotlusele vastata.
Sõltuvalt sinu ettevõtte iseloomust võib mõni etapp vahele jääda, nt võib puududa Isiku nõusoleku küsimise vajadus, aga see otsus selgub juba täpsemalt konkreetses peatükis.
Tegevusplaani etapid
Iga etapi kohta tuleb eraldi postitus koos allalaetavate dokumentidega.
GDPR audit
- GDPR rollide ja vastutuse kaardistus
- Isikuandmete kaardistus
- Privaatsuspoliitika koostamine
- Andmekaitse poliitika koostamine
- Isiku nõusoleku küsimine
- Töötajate koolitus ja kommunikatsioon
- Turvalisuse tagamine
- Lepingud (koostööpartnerid, allhankijad, töötajad)
Igapäevatöö
- Isiku taotlusele vastamine
- Andmelekkest teavitamine
- Koostöö järelevalveasutusega
- Kaardistuse ja poliitikate uuendamine
- Uute töötajate koolitus ja töölepingud
- Mõjuhinnangu koostamine
Kokkuvõte
Kiirülevaade koos kõigi allalaetavate materjalidega
Pärast tegevusplaani edukat läbiviimist saad uhkusega öelda, et sinu ettevõte austab oma klientide õiguseid ja privaatsust ning on andmekaitse seadusega kooskõlas. Ja see on suur töövõit.
Aga mida teha juba olemasoleva meililistiga, mida oled käsitsi kogunud seminaridelt ja üritustelt jne? Meililisti kasutusala on siis uutest sarnastest üritustest teavitamine.
Tere Taavi
Tuleb pöörata tähelepanu neile kohtadele:
– kasutajaks registreerumisel tuleb küsida nõusolekut uudiskirja saatmiseks, nt Olen nõus, et minuga võetakse ühendust e-maili teel / saadetakse uudiskirju vmt
– kasutajaks registreerumine / uudiskirjaga liitumine peab olema double opt-in ehk läbi e-maili kinnituse
– enam ei tohi kasutada meetodit “Registreerudes kasutajaks nõustute TOC / privaatsuspoliitikaga”, nüüd peab nõustumiseks olema eraldi checkbox (vaikimisi välja lülitatud), millega kasutaja ise sisse klikib
– privaatsuspoliitikat tuleb uuendada vastavalt uutele nõuetele ja peab olema uudiskirja saatmine välja toodud
– olemasolevaid uudiskirja tellijaid tuleks teavitada privaatsupoliitika uuenemisest