Valmistuge ettevõttes GDPR-i jõustumiseks
25. mai 2018 jõustub Euroopa Liidus uus andmekaitseseadus. GDPR (General Data Prodection Regulation) kohaldub kõigile organisatsioonidele ning seab nõuded sellele, kuidas ettevõtted koguvad, hoiustavad ning töötlevad isikuandmeid ning tundlikku informatsiooni. Kas olete juba alustanud ettevalmistusi? Siit leiate mõningaid näpunäiteid, kuidas parimal võimalikul viisil valmistuda GDPR-i jõustumiseks.
Mis on GDPR?
GDPR on Euroopa Liidu andmekaitse üldmäärus, mis reguleerib seda, kuidas ettevõtted peavad koguma, kaitsma ning töötlema EU kodanike andmeid. GDPR vahetab välja isikuandmete kaitse direktiivi 95/46/EÜ ning suurendab indiviidi õigusi isikupuutumatuse vaatenurgast. Oluline on täielik läbipaistvus selles osas, kuidas ettevõtted kasutavad isikuandmeid.
Euroopa Liidu andmekaitse üldmäärus GDPR kohaldub kõigile organisatsioonidele ning tööstusharudele, kus salvestatakse või töödeldakse isikuandmeid ning tundlikku teavet töötajate või klientide kohta. Uute nõuete täitmata jätmise korral võidakse määrata trahv kuni 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest, kumb iganes on suurem.
Mida käsitletakse isikuandmetena?
Isikuandmed on informatsioon, mis võimaldab otseselt või kaudselt tuvastada füüsilise isiku. Isikuandmeteks võib olla nimi, asukohateave, e-posti aadress, isikukood, pilt, IP-aadress või mobiil-ID. Vastavalt GDPR-i nõuetele peab kogu andmete töötlemine olema seaduslik, korrektne ning avalik isikule, kelle andmeid kasutatakse.
Mida tuleb meeles pidada GDPR-i jõustumise valguses?
- Looge riskide hindamise plaan ning kaardistage kuidas te hoiustate ning töötlete isikuandmeid tänasel päeval.Olulised küsimused, mida endalt küsida: Kus on isikuandmeid hoiustatakse ning töödeldakse? Organisatsiooni sisestes serverites, mobiilsetes seadmetes, pilves, e-kirjades või app-ides? Millised isikuandmete kaitsmise võimalused on saadaval käesoleval hetkel? Kellel on ligipääs isikuandmetele?
- Kaardistage, kuidas isikuandmeid kogutakse, töödeldakse ning hoiustatakse. Hea mõte on luua vooskeem, et visualiseerida kuidas andmed liiguvad erinevate süsteemide vahel ning kas need võimalused vastavad GDPR-I nõuetele.
- Kontrollige, kuhu salvestatakse isikute kohta käivat informatsiooni füüsiliselt ning kõrvaldage risk, et paberdokumendid jõuaks valedesse kätesse. Kuna GDPR laieneb kõigile andmetele, seal hulgas ka paberkandjatele, siis on tark investeerida lukustatavatesse hoiustamise lahendustesse, nagu näiteks dokumendikapid, vargakindlad seifid jne. Need tagavad turvalisuse ning lihtsustavad ligipääsu piiramist salajastele dokumentidele.
- Hävitage tundlikku informatsiooni sisaldavad paberkandjad paberipurustajas. Paberipurustaja lõikab dokumendid väikesteks tükkideks, mis on soovituslik just salastatud või riskantse informatsiooni korral.
- Seadke sisse selged protseduurireeglid juhuks isikuandmetega seotud juhtumite käsitlemiseks.
- Täpsustage alati millisel alusel teie ettevõte kogub isikuandmeid. Peab olema selge, milleks kogutud informatsiooni kasutatakse, ning et seda ei töödeldaks vastuolus eesmärgiga.
- Uuendage ettevõtte tingimusi ning privaatsuspoliitikat kuidas isikuandmeid ning tundlikku informatsiooni käideldakse. Veenduge, et informatsioon oleks kergesti kättesaadav.
- Teavitage kõigi töötajaid muudatustest, uutest reeglitest ning plaanidest seoses isikuandmete kaitse ning GDPR-I jõustumisega.
Märkus: Ülaltoodud tekst ei sisalda juriidilist teavet. Seda tuleks käsitleda vaid lühiülevaatena uuest GDPR-I regulatsioonist, mis annab lihtsaid näpunäiteid teemal, millest paljud ettevõtted on mõjutatud. Tutvuge täiendavalt GDPR-I sisu ning tähendusega EU kodulehel.