Võrgud

Kaasaegsed WiFi ja kaabelvõrgud sertifitseeritud spetsialistidelt.

Loe lähemalt
Antenni ikoon

WiFi üritustele

Kiire ja asjatundlik lahendus olgu tegemist suure konverentsi, spordiürituse või rabas toimuva seminariga.

Loe lähemalt

IT hooldus

Kiire ja asjatundlik hooldusteenus arvutitöökohtadele ja serveritele.

Loe lähemalt

Ruckuse eliitpartner

Töökindlad seadmed toimivate lahenduste loomiseks.

Loe lähemalt

Andmekaitse ja GDPR nõuded: lühike praktiline juhend IT juhtidele

Sissejuhatus

Andmekaitse ja GDPR (Isikuandmete kaitse üldmäärus) on tänapäeva ettevõtete juhtimise lahutamatu osa. IT juhtidele on nende nõuete tundmine hädavajalik, kuna just nemad vastutavad tehniliste lahenduste eest, mis peavad tagama andmete turvalisuse ja vastavuse seadusandlusele. GDPR rakendus 2018. aastal ja asendas enam kui 20 aastat kehtinud direktiivi 95/46/EÜ, tuues kaasa oluliselt karmimad nõuded isikuandmete töötlemisele ja kaitsele.

Käesolev juhend annab praktilise ülevaate GDPR-i põhinõuetest ja meetmetest, mida ettevõtted peavad rakendama andmekaitse tagamiseks ja rikkumiste käsitlemiseks.

Millal GDPR kohaldub

GDPR kohaldub kõigile ettevõtetele, kes töötlevad ELis asuvate üksikisikute isikuandmeid, sõltumata ettevõtte enda asukohast maailmas. See tähendab, et kui teie ettevõte töötleb EL-i kodanike andmeid, peate järgima GDPR-i, isegi kui teie ettevõtte asukoht on väljaspool Euroopa Liitu.

GDPR ei kohaldu aga isikuandmete töötlemisele isiklikul eesmärgil (ilma ärieesmärgita), täielikult anonümiseeritud andmete puhul, õiguskaitseasutuste teatud tegevustes ning rahvusliku julgeoleku küsimustes.

Väljaspool ELi asuvad ettevõtted peavad määrama ELis oma esindaja, kui nad töötlevad ELi kodanike andmeid regulaarselt ja suuremas mahus. See on oluline punkt rahvusvahelistele ettevõtetele, kelle äritegevus hõlmab ELi turgu.

Põhilised õigused ja kohustused

GDPR eristab kahte peamist rolli: vastutav töötleja (controller), kes määrab andmetöötluse eesmärgid ja vahendid, ning volitatud töötleja (processor), kes töötleb andmeid vastutava töötleja nimel. Suurettevõttes võib IT juht olla mõlemas rollis, olenevalt andmevoost ja töötlustegevustest. Vastutaval töötlejal on suurem vastutus GDPR-i järgimise eest.

GDPR annab andmesubjektidele laiendatud õigused, sealhulgas õiguse saada teavet andmete töötlemise kohta, õiguse juurdepääsuks, parandamiseks, kustutamiseks ("õigus olla unustatud"), töötlemise piiramiseks ning andmete ülekandmiseks. IT juhina peate tagama, et teie süsteemid suudaksid neid õigusi tehniliselt toetada, võimaldades näiteks andmete teisaldatavust masinloetaval kujul või andmete täielikku kustutamist süsteemidest.

Ennetusmeetmed (tehnilised ja korralduslikud)

GDPR nõuab "asjakohaseid tehnilisi ja korralduslikke meetmeid" andmete kaitsmiseks. Tehnilised meetmed hõlmavad krüpteerimist ja pseudonümiseerimist, tugevat juurdepääsukontrolli, regulaarset varundamist, võrguturvet (tulemüürid, IPS süsteemid) ning süsteemide monitooringut kahtlase tegevuse tuvastamiseks.

Korralduslikud meetmed sisaldavad regulaarset küberhügieeni koolitust töötajatele, selgeid andmekaitse poliitikaid, andmeinventuuri, selgeid lepinguid volitatud töötlejatega ning andmekaitsespetsialisti määramist, kui see on nõutav.

Ennetusmeetmete prioriseerimisel lähtuge riskipõhisest lähenemisest – kõrgeima riskiga valdkonnad vajavad tugevamat kaitset. Privaatsus disaini järgi põhimõte nõuab, et andmekaitse oleks süsteemidesse juba algselt sisse ehitatud, mitte hiljem lisatud.

Andmerikkega tegelemise protseduur (incident response)

Andmerikkeks loetakse turvaintsidenti, mille tulemusena toimub isikuandmete tahtmatu või ebaseaduslik hävitamine, kaotsiminek, muutmine, lubamatu avalikustamine või juurdepääsu võimaldamine neile.

Andmerikke korral tuleb läbida järgmised sammud:

  1. Tuvastamine – kasutage IDS süsteeme ja monitooringut rikkumiste kiireks tuvastamiseks ning looge selge protsess töötajatele kahtlustest teatamiseks.

  2. Piiramine – isoleerige mõjutatud süsteemid, peatage andmeleke ja vajadusel taastage süsteemid varukoopiatest.

  3. Analüüs – dokumenteerige rikkumise ulatus ja mõju, määrake kindlaks, milliseid andmeid ja keda rikkumine puudutas ning analüüsige rikkumise põhjust.

  4. Teavitamine – teavitage järelevalveasutust 72 tunni jooksul, andmesubjekte (kui risk nende õigustele on kõrge) ning sisemisi huvigruppe vastavalt kriisikommunikatsiooni plaanile.

  5. Parandusmeetmed – rakendage kohesed meetmed rikkumise kordumise vältimiseks, täiendage turvameetmeid ning uuendage protsesse ja koolitust.

Ettevõtte infoturbe seisukohalt on oluline omada varem koostatud intsidentide reageerimisplaani, kus on selgelt määratletud vastutused ja tegevused andmerikkumise korral.

Teavitamine ja dokumenteerimine

GDPR nõuab, et tõsistest andmeriketest teavitatakse järelevalveasutust 72 tunni jooksul pärast rikkumisest teadasaamist. Eestis on selleks asutuseks Andmekaitse Inspektsioon.

Teavitada tuleb, kui rikkumine võib kaasa tuua riski isikute õigustele ja vabadustele. Teavituses peab sisalduma rikkumise olemus ja ulatus, andmekaitseametniku või kontaktisiku kontaktandmed, tõenäolised tagajärjed ning meetmed, mida ettevõte on võtnud või kavatseb võtta.

Andmesubjekte tuleb teavitada, kui rikkumine toob kaasa kõrge riski nende õigustele ja vabadustele. Teavitus peab olema selges ja lihtsas keeles.

Kõik andmerikkumised, sealhulgas väiksemad, tuleb dokumenteerida, märkides rikkumise faktid, mõju ning võetud parandusmeetmed. See dokumentatsioon peab olema kättesaadav järelevalveasutusele kontrollimisel.

Mõju hindamine ja riskihindamine (DPIA)

Andmekaitsealane mõjuhinnang (Data Protection Impact Assessment, DPIA) on kohustuslik, kui andmetöötlus võib kaasa tuua kõrge riski isikute õigustele ja vabadustele. DPIA on vajalik, kui kasutatakse uut tehnoloogiat, toimub andmesubjektide süstemaatiline hindamine, töödeldakse suuremas mahus delikaatseid isikuandmeid või toimub avalike alade süstemaatiline jälgimine.

Mõjuhinnangu läbiviimisel tuleb kirjeldada andmetöötluse olemust ja ulatust, hinnata vajalikkust ja proportsionaalsust, tuvastada ja hinnata riske ning määratleda meetmed riskide maandamiseks. IT juhi roll on tagada, et DPIA oleks kaasatud IT-projektide planeerimise faasi, mitte ei toimuks tagantjärele.

Karistused ja juriidilised tagajärjed

GDPR rikkumiste eest võivad järgneda tõsised karistused: kuni 10 miljonit eurot või 2% ülemaailmsest käibest väiksemate rikkumiste korral ning kuni 20 miljonit eurot või 4% ülemaailmsest käibest tõsisemate rikkumiste korral.

Lisaks võivad kannatanud esitada hüvitisnõudeid ja ettevõtte maine saab tõsiselt kahjustada. Rikkumiste tagajärjed võivad olla tõsisemad ettevõtetes, kes vastutavad kriitilise taristu või oluliste teenuste eest.

Ebaseaduslik isikuandmete töötlemine toob kaasa suured riskid organisatsioonidele, mistõttu on oluline järgida seadusi ja rakendada tõhusaid ennetusmeetmeid.

Kontroll-loend ja kiire juhend käitumiseks lekkimise korral

Ennetavad tegevused

  • Kaardistatud isikuandmete töötlemise protsessid
  • Rakendatud tehnilised kaitsemeetmed (krüpteerimine, varundamine jne)
  • Koostatud andmetöötluslepingud volitatud töötlejatega
  • Koolitatud töötajad küberohtude ennetamise valdkonnas
  • Määratud andmekaitseametnik (kui vajalik)
  • Koostatud intsidentidele reageerimise plaan

Andmelekke korral

  1. Esimesed 24 tundi

    • Tuvastage ja piirake lekke ulatus
    • Dokumenteerige kõik tegevused ja leiud
    • Teavitage IT turvatiimi ja juhtkonda
    • Alustage analüüsi lekke põhjuse ja mõju hindamiseks

  2. 24-72 tundi

    • Teavitage järelevalveasutust (kui vajalik)
    • Valmistage ette teavitus andmesubjektidele (kui vajalik)
    • Rakendage kohesed parandusmeetmed
    • Jätkake intsidendi dokumenteerimist

  3. Pärast 72 tundi

    • Viige lõpule parandusmeetmed
    • Analüüsige juhtum põhjalikult
    • Täiendage turvameetmeid
    • Uuendage intsidentidele reageerimise plaani

See kontroll-loend ei asenda põhjalikku intsidentidele reageerimise plaani, kuid pakub kiiret ülevaadet olulistest sammudest.

Millal küsida abi Pro IT-lt

Andmekaitse ja GDPR nõuete täitmine võib osutuda keeruliseks, eriti kui teie ettevõttel puudub vastav ekspertiis. Pro IT pakub laialdast tuge IT turvalahenduste valdkonnas, mis aitab tagada vastavuse andmekaitse nõuetele.

Kaaluge Pro IT abi kasutamist, kui vajate tuge andmekaitse tehniliste meetmete rakendamisel, soovite läbi viia IT süsteemide turvaauditit, vajate abi intsidentidele reageerimisel, otsite lahendusi andmete turvaliseks varundamiseks või soovite täiendada oma võrguturvalisuse lahendusi.

Pro IT pakub professionaalset IT hooldust ja konsultatsiooni, et aidata teie ettevõttel täita andmekaitse nõudeid ja kaitsta väärtuslikke andmeid. Võtke meiega ühendust telefonil +372 6 803 205 või e-posti aadressil info@proit.ee, et arutada teie ettevõtte vajadusi.