Ettevõtteid ootavad ees suured IT-investeeringud

“Praegu ettevõtted isegi ei tea, milliseid andmeid neil on,” sõnas Nortali suurandmete ja masinõppe valdkonna juht Lauri Ilison. “IT-juhil on ülevaade infosüsteemidest, aga kui küsida, milliseid andmeid infosüsteemides on ja millised neist on personaalset identifitseerimist võimaldavad, siis vastust pole. Infosüsteeme pole sellise pilguga vaadatud.” 

Olukord on Ilisoni hinnangul väga tõsine, sest ELi uus andmekaitsemäärus (general data protection regulation ehk GDPR) muudab kardinaalselt seda, kuidas ettevõtted andmetega ümber käivad.

Paljud ettevõtted pole aga praegu veel isegi selle peale mõtlema hakanud ning uuringufirma Gartner hinnangul ei suuda pooled ettevõtetest reegleid täita veel ka järgmise aasta lõpus. See võib aga kaasa tuua kopsaka trahvi: määruse järgi kuni 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest. Kuigi Eestil on lubatud luua oma trahvivahemikud, peavad need olema sama tõhusad kui määruses nimetatud kuni 20 miljonit eurot või 4% käibest.

“Kui praegu näevad ettevõtted, et klientidelt kogutud andmed on justkui nende vara, siis alates järgmise aasta 25. maist on inimestel hulga kergem öelda, et andmed kuuluvad inimestele, kes on andmed ettevõttele andnud,” ütles Ilison ja selgitas, et inimesel on tulevikus õigus küsida, milliseid andmeid tema kohta on kogutud. “Kui tuleb inimene ja nõuab, et temaga seotud andmed tuleb kustutada, siis kuidas ettevõte üldse teab, milliseid andmeid neil tema kohta on? See on suur väljakutse!”

Mahukas töö

Ilison paneb juhtidele südamele, et viimane aeg teemaga tegelema hakata on praegu, sest ­ainuüksi andmetest ülevaate saamine võtab omajagu aega. Eriti, kui tegemist on suure ja ajalooga ettevõttega, kus aastakümnete jooksul on arendatud paljusid infosüsteeme. Isegi, kui on selge, millised andmed kus asuvad, tuleb välja mõelda, kuidas saavutada tehniline võimekus, et andmeid vajadusel kustutada nõnda, et infosüsteemid pärast seda katki ei läheks.

GDPR sunnib uuendama ka selliseid vanu IT-süsteeme, millega praegu enam keegi aktiivselt ei tegele. “Kui alustada nende uuendamise planeerimisega kuue kuu pärast, on tuli juba nõnda takus, et valed valikud on kiired tulema,” hoiatab Ilison. “Iga juht peaks endalt küsima, kas tal on tegevuskava, et muuta ettevõte GDPRi nõuetele vastavaks.” 

Euroopa Liidu uus andmekaitsemäärus (GDPR)

Võeti vastu eelmisel aastal.Järgmise aasta 25. mail lõpeb üleminekuperiood ning selleks ajaks peavad kõik ELi ettevõtted ja asutused, kes töötlevad isikuandmeid, oma operatsioonid sellega vastavusse viima.Ettevõtetele tähendavad uued reeglid täiendavaid ülesandeid andmete kogumisel, kasutamisel ja turvalisuse tagamisel.Näiteks kuuluvad andmed, mida ettevõte kliendi kohta on kogunud, kliendile ja selleks, et ettevõte saaks neid kasutada, peab olema töötlemise alus: seadus, leping või kliendi kirjalik nõusolek.Nõusoleku võib klient igal hetkel tagasi võtta, samuti on tal õigus nõuda, et ettevõte kustutaks kõik tema kohta kogutud andmed või annaks need kliendile üle sellisel moel, et klient saaks nendega minna teise teenusepakkuja juurde.20 miljonit eurot võib saada trahvi ettevõte, kes ei täida ­GDPRi nõudeid. Trahv võib olla kopsakamgi, kui 4% globaalsest käibest on suurem kui 20 miljonit eurot. Kuigi Eestil on lubatud luua oma trahvivahemikud, peavad need olema sama tõhusad kui määruse sanktsioonid.