GDPR kui rünne kehtiva ärimudeli vastu

Kui rääkida GDPRi jõustumisest 25. mail 2018, siis kõige suuremad möödalaskmised, mis Poola sõnul silma hakkavad on see, et arvatakse, et mittevastavuse probleemi lahendamine suunatakse ettevõtte juhtkonnalt näiliselt IT-juhi vastutada ja määruse jõustamiseni on aega veel küll.

„GDPRi jõustumisel tekivad nn ründed ärimudeli, äriprotsesside ja käibeteenimise mudeli vastu regulaatori poolt ellu kutsutud tõhusama kontrollstruktuuride ja jõulisemate õigustega andmesubjekti poolt, mis annab ka vastuse sellele, kelle vastutusalasse kuulub ettevõtte kauakestva ja jätkusuutliku ärimudeli riskide juhtimine ja maandamine,“ rääkis Poola.  

Äriprotsesside muutus tuleb tema sõnul uuest kontseptsioonist, kus töödeldavatel andmetel tekib senisest jõulisem kaasomanik ja see tähendab, et ettevõtte erinevates infosüsteemides leiduvates andmetes tuleb väga täpselt hakata vahet tegema, millised andmed on isikuandmed ja millised on seaduslikud andmete töötlemise meetodid. Ettevõtjana ei ole organisatsioon enam kogu ulatuses andmete omanik, mille tulemusena hakkavad muutuma hetkel kasutuses olevad protsessid. Näiteks, kuidas teha turuanalüüsi, kuidas töödelda töötajate andmeid personali osakonnas jms.

 „Kas senine andmetöötlus isikuandmetega on risk ja kui suur see risk on? See peaks olema alates järgmise aasta maikuust ettevõtete toimimise nurgakivi. Kõik edasised otsused peavad muuhulgas teostuma ka isikuandmete töötlemisega seotud riskide mõju hindamisel ja nende analüüsil, eesmärgiga kaitsta füüsiliste isikute õigusi ja vabadusi,“ selgitas Poola.

Mõjuhinnangud ja riskianalüüsid pakuvad Poola sõnul ettevõtte juhtidele täpset ja kasulikku teavet, et langetada vastavuse saavutamise ja riskide maandamise otsuseid õigeaegselt, teadlikult, efektiivselt ja samas ka isikuandmeid kaitsvalt.

12 olulist sammu valmistumaks GDPRi jõustumiseks 25. mail 2018.

1. Juhtkonna kaasamine

Ettevõtte juhtkond peab olema kaasatud ja teadlik 100%, sest vajalik on eelarve, kompetents ja töövahendid. 

2. Andmekaitseametniku määramine

Määra ja kinnita ametisse sõltumatu andmekaitseametnik, kes ei ole kontrollitud ettevõtte juhtkonna poolt, ta ei tohi olla diskrimineeritud juhtkonnale ebamugavate soovituste ja otsuste eest. Näiteks andmekaitseametnik ei avalda isikuandmeid, ka mitte ettevõtte juhtkonnale

3. Organisatsiooni juhtimise mudel

Koosta määrusega vastavuse saavutamiseks projekti mudel/plaan, kaasa äriprotsesside ja andmete omanikud/valdajad, määratle vastutusalad ja kohustused ning kindlusta üheselt mõistetav aruandluse skeem.

4. Nimeta meeskond

Andmekaitseametnik koostab määrusega vastavuse saavutamiseks meeskonna. Selle liikmed peavad olema äriprotsesside ja protsessides töödeldavate andmete vastutavad omanikud, näiteks personaliosakonna juht või finantsjuht. Projekti meeskond on aruandluskohuslane otse andmekaitseametnikule.

5. Andmete audit

Koosta ettevõtte protsesside kaart ja selle põhjal andmete töötlemise kaart ning märgista protsessides kasutatavad isikuandmed. Erilist tähelepanu tuleb pöörata keskkondadele: “live”, “pre-live”, “test”, “toote- ja teenuse arendus”. Sama ka partnerite ja teenusepakkujate keskkondadele.

6. Juriidiliste dokumentide audit

Vaata üle juriidiline dokumentide raamistik, mis reguleerib äriprotsesse, koosta ettevõttega seotud juriidiliste kohustuste kaart.

7. Äriprotsesside ülevaade

Koosta kasutatavate äriprotsesside ülevaade, tuvasta GDPRist tulenevad muudatused või lisad, lisa nendega seotud andmete kaart, tee selgeks töödeldavate andmete vajalikkus, eesmärk ja seaduslik alus ning isikuandmete töötlemisega seotud nõrkused.

8. Andmekaitse mõjuhinnang

Teosta andmekaitse mõjuhinnang, et leida parim meetod GDPRiga vastavuse saavutamiseks. See on vajalik juhul, kui toimub süstemaatiline ja laiaulatuslik automaatne andmete töötlemine, (käitumis)mustrite hindamine, millele tuginevad juriidilise mõjuga otsused, toimub ulatuslik delikaatsete andmete või isikuandmete töötlus, mis on seotud kriminaalvastutusega, toimub andmete töötlus eesmärgiga teostada laiaulatuslikku ja süstemaatilist jälgimist avalikus ruumis või siis andmekaitseinspektsioon nõuab/soovitab.

9. Privaatsusnõuete mõjuhinnang

Teosta privaatsusnõuete mõjuhinnang, et selgitada välja kasutatavate protsesside nõrkused ja mittevastavused andmekaitsemääruse privaatsuse nõuetele. Juuruta “privacy-by-design” ja “privacy-by-default” põhimõtted toodete, teenuste ja protsesside arendusprotsessidesse. Privaatsusnõuete mõjuhinnang aitab vähendada seotud kulusid ja maandada mainekahju riski.

10. Puuduste hinnang / analüüs (GAP)

Hinda ja analüüsi puudusi, et identifitseerida lisanduvad ja muutuvad protsessid ning vahendid määrusega seatud vastavuste saavutamiseks ning eesmärkide saavutamiseks.

11. Mõjuhinnang äriprotsessidele

Teosta mõjuhinnang äriprotsessidele, et selgitada välja kasutatavate protsesside nõrkused ja mittevastavused andmekaitsemääruse nõuetele, lisaks identifitseeri äriprotsessid, mis vajavad kohest uuendust või täielikku ümber tegemist ning anna äriprotsessidele seaduslik alus andmete kogumiseks ja töötlemiseks.

12. Tegevus- ja investeeringute kava

Koosta eesmärkide saavutamiseks tegevuskava, mis ühtlustab kõikide osapoolte arusaamist tegevuste vajalikkusest eesmärkide saavutamiseks, määrab prioriteedid ja aitab pühenduda GDPRiga vastavuse ja usaldatavuse eesmärkide saavutamisele. Tegevus- ja investeeringute kavas toodud eesmärkide saavutamiseks on vajalik ettevõtte juhtkonna nõusolek ja edasine toetus.

Artikkel ilmus 29. novembril lühemas versioonis Äripäeva eriväljaandes "Tarneahel" (pdf).