Kõik ettevõtted peavad aasta jooksul üle vaatama oma IT-süsteemid ja viisid, kuidas kogutud andmeid töödeldakse, sest 2018. aasta mais rakenduvad Euroopa Liidus andmekaitse uued põhimõtted.
- Nortali valdkonnajuhi Lauri Ilisoni sõnul ei tea ettevõtted sedagi, mis andmeid neil on. Foto: Raul Mee
10
miljonit eurot peavad hinnanguliselt investeerima suured ettevõtted selleks, et viia oma tegevusGDPRiga kooskõlla.
“Praegu ettevõtted isegi ei tea, milliseid andmeid neil on,” sõnas Nortali suurandmete ja masinõppe valdkonna juht Lauri Ilison. “IT-juhil on ülevaade infosüsteemidest, aga kui küsida, milliseid andmeid infosüsteemides on ja millised neist on personaalset identifitseerimist võimaldavad, siis vastust pole. Infosüsteeme pole sellise pilguga vaadatud.”
Olukord on Ilisoni hinnangul väga tõsine, sest ELi uus andmekaitsemäärus (general data protection regulation ehk GDPR) muudab kardinaalselt seda, kuidas ettevõtted andmetega ümber käivad.
Pane tähele
Kuidas viia äri nõuetega vastavusse?
16. mail toimub Radisson Blue Hotel Olümpias seminar, kus GDPRi eksperdid Nortalist ja Triniti Advokaadibüroost räägivad sellest, kuidas viia äriprotsessid ja neid toetavad IT-süsteemid vastavusse uue andmekaitseseaduse nõuetega.
Osalejad saavad ülevaate sellest, kuidas juhid peaksid GDPRist mõtlema, ning näidatakse samm-sammult, mida tuleks teha, et saavutada tehniline valmisolek.
Paljud ettevõtted pole aga praegu veel isegi selle peale mõtlema hakanud ning uuringufirma Gartner hinnangul ei suuda pooled ettevõtetest reegleid täita veel ka järgmise aasta lõpus. See võib aga kaasa tuua kopsaka trahvi: määruse järgi kuni 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest. Kuigi Eestil on lubatud luua oma trahvivahemikud, peavad need olema sama tõhusad kui määruses nimetatud kuni 20 miljonit eurot või 4% käibest.
“Kui praegu näevad ettevõtted, et klientidelt kogutud andmed on justkui nende vara, siis alates järgmise aasta 25. maist on inimestel hulga kergem öelda, et andmed kuuluvad inimestele, kes on andmed ettevõttele andnud,” ütles Ilison ja selgitas, et inimesel on tulevikus õigus küsida, milliseid andmeid tema kohta on kogutud. “Kui tuleb inimene ja nõuab, et temaga seotud andmed tuleb kustutada, siis kuidas ettevõte üldse teab, milliseid andmeid neil tema kohta on? See on suur väljakutse!”
Mahukas töö
Ilison paneb juhtidele südamele, et viimane aeg teemaga tegelema hakata on praegu, sest ainuüksi andmetest ülevaate saamine võtab omajagu aega. Eriti, kui tegemist on suure ja ajalooga ettevõttega, kus aastakümnete jooksul on arendatud paljusid infosüsteeme. Isegi, kui on selge, millised andmed kus asuvad, tuleb välja mõelda, kuidas saavutada tehniline võimekus, et andmeid vajadusel kustutada nõnda, et infosüsteemid pärast seda katki ei läheks.
GDPR sunnib uuendama ka selliseid vanu IT-süsteeme, millega praegu enam keegi aktiivselt ei tegele. “Kui alustada nende uuendamise planeerimisega kuue kuu pärast, on tuli juba nõnda takus, et valed valikud on kiired tulema,” hoiatab Ilison. “Iga juht peaks endalt küsima, kas tal on tegevuskava, et muuta ettevõte GDPRi nõuetele vastavaks.”
Euroopa Liidu uus andmekaitsemäärus (GDPR)
Võeti vastu eelmisel aastal.
Järgmise aasta 25. mail lõpeb üleminekuperiood ning selleks ajaks peavad kõik ELi ettevõtted ja asutused, kes töötlevad isikuandmeid, oma operatsioonid sellega vastavusse viima.
Ettevõtetele tähendavad uued reeglid täiendavaid ülesandeid andmete kogumisel, kasutamisel ja turvalisuse tagamisel.
Näiteks kuuluvad andmed, mida ettevõte kliendi kohta on kogunud, kliendile ja selleks, et ettevõte saaks neid kasutada, peab olema töötlemise alus: seadus, leping või kliendi kirjalik nõusolek.
Nõusoleku võib klient igal hetkel tagasi võtta, samuti on tal õigus nõuda, et ettevõte kustutaks kõik tema kohta kogutud andmed või annaks need kliendile üle sellisel moel, et klient saaks nendega minna teise teenusepakkuja juurde.
20 miljonit eurot võib saada trahvi ettevõte, kes ei täida GDPRi nõudeid. Trahv võib olla kopsakamgi, kui 4% globaalsest käibest on suurem kui 20 miljonit eurot.
Kuigi Eestil on lubatud luua oma trahvivahemikud, peavad need olema sama tõhusad kui määruse sanktsioonid.
Autor: Aali Lilleorg, Ituudised.ee toimetaja
Seotud lood
Föderaalreservi kolmapäevane pressikonverents valmistas investoritele üllatuse ning kulla hind sööstis järsult alla. Kas kujunemas on hea ostukoht?