Kes peaks muretsema mil moel ettevõttes andmeid töödeldakse, kuidas olla õieaegselt valmis uue andmekaitsemääruse jõustumiseks, rääkis Nortali tehnoloogia analüütik Gustav Poola.
- Gustav Poola Foto: Nortal
Kui rääkida GDPRi jõustumisest 25. mail 2018, siis kõige suuremad möödalaskmised, mis Poola sõnul silma hakkavad on see, et arvatakse, et mittevastavuse probleemi lahendamine suunatakse ettevõtte juhtkonnalt näiliselt IT-juhi vastutada ja määruse jõustamiseni on aega veel küll.
„GDPRi jõustumisel tekivad nn ründed ärimudeli, äriprotsesside ja käibeteenimise mudeli vastu regulaatori poolt ellu kutsutud tõhusama kontrollstruktuuride ja jõulisemate õigustega andmesubjekti poolt, mis annab ka vastuse sellele, kelle vastutusalasse kuulub ettevõtte kauakestva ja jätkusuutliku ärimudeli riskide juhtimine ja maandamine,“ rääkis Poola.
Äriprotsesside muutus tuleb tema sõnul uuest kontseptsioonist, kus töödeldavatel andmetel tekib senisest jõulisem kaasomanik ja see tähendab, et ettevõtte erinevates infosüsteemides leiduvates andmetes tuleb väga täpselt hakata vahet tegema, millised andmed on isikuandmed ja millised on seaduslikud andmete töötlemise meetodid. Ettevõtjana ei ole organisatsioon enam kogu ulatuses andmete omanik, mille tulemusena hakkavad muutuma hetkel kasutuses olevad protsessid. Näiteks, kuidas teha turuanalüüsi, kuidas töödelda töötajate andmeid personali osakonnas jms.
„Kas senine andmetöötlus isikuandmetega on risk ja kui suur see risk on? See peaks olema alates järgmise aasta maikuust ettevõtete toimimise nurgakivi. Kõik edasised otsused peavad muuhulgas teostuma ka isikuandmete töötlemisega seotud riskide mõju hindamisel ja nende analüüsil, eesmärgiga kaitsta füüsiliste isikute õigusi ja vabadusi,“ selgitas Poola.
Mõjuhinnangud ja riskianalüüsid pakuvad Poola sõnul ettevõtte juhtidele täpset ja kasulikku teavet, et langetada vastavuse saavutamise ja riskide maandamise otsuseid õigeaegselt, teadlikult, efektiivselt ja samas ka isikuandmeid kaitsvalt.
12 olulist sammu valmistumaks GDPRi jõustumiseks 25. mail 2018.
1. Juhtkonna kaasamine
Ettevõtte juhtkond peab olema kaasatud ja teadlik 100%, sest vajalik on eelarve, kompetents ja töövahendid.
2. Andmekaitseametniku määramine
Määra ja kinnita ametisse sõltumatu andmekaitseametnik, kes ei ole kontrollitud ettevõtte juhtkonna poolt, ta ei tohi olla diskrimineeritud juhtkonnale ebamugavate soovituste ja otsuste eest. Näiteks andmekaitseametnik ei avalda isikuandmeid, ka mitte ettevõtte juhtkonnale
3. Organisatsiooni juhtimise mudel
Koosta määrusega vastavuse saavutamiseks projekti mudel/plaan, kaasa äriprotsesside ja andmete omanikud/valdajad, määratle vastutusalad ja kohustused ning kindlusta üheselt mõistetav aruandluse skeem.
4. Nimeta meeskond
Andmekaitseametnik koostab määrusega vastavuse saavutamiseks meeskonna. Selle liikmed peavad olema äriprotsesside ja protsessides töödeldavate andmete vastutavad omanikud, näiteks personaliosakonna juht või finantsjuht. Projekti meeskond on aruandluskohuslane otse andmekaitseametnikule.
5. Andmete audit
Koosta ettevõtte protsesside kaart ja selle põhjal andmete töötlemise kaart ning märgista protsessides kasutatavad isikuandmed. Erilist tähelepanu tuleb pöörata keskkondadele: “live”, “pre-live”, “test”, “toote- ja teenuse arendus”. Sama ka partnerite ja teenusepakkujate keskkondadele.
6. Juriidiliste dokumentide audit
Vaata üle juriidiline dokumentide raamistik, mis reguleerib äriprotsesse, koosta ettevõttega seotud juriidiliste kohustuste kaart.
7. Äriprotsesside ülevaade
Koosta kasutatavate äriprotsesside ülevaade, tuvasta GDPRist tulenevad muudatused või lisad, lisa nendega seotud andmete kaart, tee selgeks töödeldavate andmete vajalikkus, eesmärk ja seaduslik alus ning isikuandmete töötlemisega seotud nõrkused.
8. Andmekaitse mõjuhinnang
Teosta andmekaitse mõjuhinnang, et leida parim meetod GDPRiga vastavuse saavutamiseks. See on vajalik juhul, kui toimub süstemaatiline ja laiaulatuslik automaatne andmete töötlemine, (käitumis)mustrite hindamine, millele tuginevad juriidilise mõjuga otsused, toimub ulatuslik delikaatsete andmete või isikuandmete töötlus, mis on seotud kriminaalvastutusega, toimub andmete töötlus eesmärgiga teostada laiaulatuslikku ja süstemaatilist jälgimist avalikus ruumis või siis andmekaitseinspektsioon nõuab/soovitab.
9. Privaatsusnõuete mõjuhinnang
Teosta privaatsusnõuete mõjuhinnang, et selgitada välja kasutatavate protsesside nõrkused ja mittevastavused andmekaitsemääruse privaatsuse nõuetele. Juuruta “privacy-by-design” ja “privacy-by-default” põhimõtted toodete, teenuste ja protsesside arendusprotsessidesse. Privaatsusnõuete mõjuhinnang aitab vähendada seotud kulusid ja maandada mainekahju riski.
10. Puuduste hinnang / analüüs (GAP)
Hinda ja analüüsi puudusi, et identifitseerida lisanduvad ja muutuvad protsessid ning vahendid määrusega seatud vastavuste saavutamiseks ning eesmärkide saavutamiseks.
11. Mõjuhinnang äriprotsessidele
Teosta mõjuhinnang äriprotsessidele, et selgitada välja kasutatavate protsesside nõrkused ja mittevastavused andmekaitsemääruse nõuetele, lisaks identifitseeri äriprotsessid, mis vajavad kohest uuendust või täielikku ümber tegemist ning anna äriprotsessidele seaduslik alus andmete kogumiseks ja töötlemiseks.
12. Tegevus- ja investeeringute kava
Koosta eesmärkide saavutamiseks tegevuskava, mis ühtlustab kõikide osapoolte arusaamist tegevuste vajalikkusest eesmärkide saavutamiseks, määrab prioriteedid ja aitab pühenduda GDPRiga vastavuse ja usaldatavuse eesmärkide saavutamisele. Tegevus- ja investeeringute kavas toodud eesmärkide saavutamiseks on vajalik ettevõtte juhtkonna nõusolek ja edasine toetus.
Artikkel ilmus 29. novembril lühemas versioonis Äripäeva eriväljaandes "Tarneahel" (pdf).
Seotud lood
Tunnustatud institutsionaalsed investorid märkisid täis Nortali 15-miljonilise võlakirjaemissiooni. Rahvusvahelise tarkvara- ning ärikonsultatsioonide ettevõte Nortal kasutab kaasatud kapitali oma kasvu finantseerimiseks ning olemasolevate kohustuste refinantseerimiseks. Võlakirjad on 5-protsendise intressimäära ning 5-aastase tähtajaga.
Rahvusvaheline tarkvara- ning ärikonsultatsioonide ettevõte Nortal loob Botswana maksuametile (BURS) uue maksuhaldussüsteemi, mille eesmärk on suurendada maksulaekumist ja vähendada halduskoormust. Lahendus valmib etappides 2019. aasta alguseks ja arendus kestab 18 kuud.
Rahandusminister Toomas Tõniste andis 1. detsembril pidulikult üle maksu- ja tolliameti aumärgid. Kõrgeima ehk esimese klassi aumärgi tunnustuse pälvis ameti eelmine peadirektor Marek Helm, kelle eestvedamisel võeti kasutusele mitmeid kaasaegseid maksukogumise ja e-teeninduse lahendusi.
Juhtimine saab alguse eesmärkidest, kuid asjakohaste eesmärkide seadmine on oluliselt keerukam, kui me arvata oskame, nentis Nortali valdkonnajuht Marek Helm täna, 8. novembril Balti riikide ja Põhjamaade ühel suurimal IT- ja ärianalüütikute konverentsil Analysis Disruption. Helmi sõnul peitub vastus andmetes.
Riigi loodud IT-majad pakuvad erasektori IT-ettevõtetele järjest rohkem konkurentsi: võisteldakse tööjõuturul ja IT-firmadel on oht muutuda tööjõurendi pakkujateks, selgus Äripäeva raadio saates.