2. GDPRi põhimõtted
• Igaühel on õigus oma isikuandmete kaitsele (Euroopa Liidu põhiõiguste
harta Artikkel 8)
• Kustutamine, muutmine, üleandmine
• Õigus tutvuda
• Töötlustoimingute registreerimine
• Teavitamise kohustus
• Riski hindamine – oht andmesubjektile
• Kahju tõenäosus
• Kahju ulatus
• Regulaarne hindamine
• Vastutava töötleja ja volitatud töötleja solidaarne vastutus
3. Mis on korrapärane ja
süstemaatiline andmetöötlus?
• sideteenuse osutamine (nii telefoni kui internetiteenus),
• kindla valimi alusel otseturustuse saatmine,
• kliendi sobivuse hindamine panga või kindlustustoote kasutamiseks (nt
maksevõime hindamine, kliendi tervise- või liikluskäitumise riski hindamine),
• kliendi asukohaandmete töötlemine nutirakendustes,
• kaubanduskettide lojaalsusprogrammid,
• klientide võrgulehtede kasutuse analüüsimine ja selle põhjal nn online-
reklaamide näitamine,
• kliendiandmete töötlemine kaugloetavate arvestitega,
• veebiteenuse osutamine, eelkõige online-meedia (uudisteportaalid),
• telemaatikateenuse osutamine. Allikas: www.aki.ee
4. Millised on kõrge riskiga
andmetöötlustoimingud
• isiklike aspektide (nt isiku vaated, seisukohad, isikuomadused, harjumused,
huvid, eelistused, sotsiaalne staatus, käitumine, asukoht,
liikumine) süstemaatiline ja ulatuslik hindamine, mis
põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil,
ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud
tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;
• artikli 9 lõikes 1 osutatud andmete eriliikide (nt terviseandmed, isiku
kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed,
poliitilised vaated, usulised veendumused, isikuandmed, millest ilmneb
inimese rassiline või etniline päritolu) või artiklis 10 osutatud süüteoasjades
süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik
töötlemine, või
• avalike alade ulatuslik süstemaatiline jälgimine (nt kaamerate kasutamine
valve- või korrakaitse eesmärgil). Allikas: www.aki.ee
5. Andmekaitsemääruse olulisemad
nõuded (1)
• Kas ja milliste toimingute osas peab ettevõte tegema andmekaitsealase
mõjuhinnangu? (Artikkel 35)
• Kas ettevõte peab määrama andmekaitse spetsialisti? (Artikkel 37)
• Kirjeldatud on isikuandmete kogumise ja töötlemise eesmärk ja õiguslik
alus (Artikkel 6)
• Andmesubjektile on loodud võimalus tutvuda andmetega (Artikkel 13, 14,
15);
• Andmesubjektile on loodud võimalus andmete parandamiseks (Artikkel 16)
• Andmesubjektile on loodud võimalus andmete kustutamiseks (Artikkel 17)
• Ettevõte on loonud võimekuse teavitada andmesubjekti isikuandmete
parandamisest, kustutamisest või isikuandmete töötlemise piiramisest
(Artikkel 19)
6. Andmekaitsemääruse olulisemad
nõuded (2)
• Andmesubjektile on loodud võimalus andmete ülekandmiseks
(Artikkel 20)
• Ettevõte on loonud protseduuri andmesubjekti õiguste tagamiseks
profiilianalüüsis (Artikkel 22)
• Isikuandmete töötlemise toimingud on registreeritud (Artikkel 30)
• Ettevõte on loonud protseduuri isikuandmetega seotud rikkumiste ära
hoidmiseks, tuvastamiseks ja rikkumistest teavitamiseks (Artikkel 33,
34)
• Ettevõte on loonud võimekuse protseduure arendada ning
kehtestanud auditeerimise kava (Artikkel 47, 58)
7. Mida peaks tegema?
• Koostada mõjuhinnang
• Määrata andmekaitsespetsialist
• Vaadata üle kliendilepingutes andmete kogumise alused
• Vaadata üle partnerlepingutes sätestatud osapoolte vastutused
• Koostada tegevuskavad andmesubjektide päringutele vastamiseks
• Koostada tegevuskava intsidendi menetlemiseks
9. Andmekaitsepraktika Eestis
• Milline võiks olla tehniliste nõuete
baastase?
• Mida on võimalik mõistlike
kulutustega saavutada?
• Milline on kehtiv kohtupraktika?
• Mida ütleb selle kohta ISKE?
• Mida on teinud ettevõtted, kes on
rakendanud ISO 27000 seeria
standardeid?
• Kas te olete kaalunud täiendavate
meetmete kulu versus oht
isikuandmetele?
10. Protsessi etapid
Tuvasta, milliseid isikuandmeid teil on kus need
asuvad.
Avasta1
Korralda isikuandmete kasutamist ja pärimistHalda2
Rakenda andmekaitsemeetmed ohtude
ennetamiseks, avastamiseks ja realiseerumistele
reageerimiseks
Kaitse3
Hoia vajalikku dokumentatsiooni, halda
andmepäringuid ja rikketeateid
Teavita4
14. Ebastandardsed asukohad
• Palju erinevaid kohti isikuandmete salvestamiseks – ülevaade puudub
• Andmeid salvestatakse erinevatesse pilveteenustesse
• Andmeid edastatakse e-mailiga
• Turunduse otstarbega väljavõtted jäävad laokile kodukataloogidesse
• Andmete varundamine ja arhiveerimine
• Kuidas saada ülevaade, kuidas saada ülevaade kiiresti?
• Cloud App Security & Cloud App Discovery
15. Isikuandmed
Igausugune info, mille alusel on füüsilist isikut võimalik
tuvastada otseselt või kaudselt; näiteks:
• Nimi
• ID, isikukood
• Aadress
• E-mail, kasutajanimi, Facebooki konto jne.
Tundlikud isikuandmed
Isikuandmed mis nõuavad kõrgendatud tähelepanu:
• Geneetilised andmed
• Biomeetrilised andmed
• Alamkategooriad:
• Rass või rahvus
• Poliitilised ja religioossed tõekspidamised
• Osalus ametiühingutes
• Terviseinfo
• Seksuaalne sättumus
Kuidas GDPR kirjeldab
isikuandmeid
18. Volitatud
ligipääs
andmetele
Appid
rakendused
Risk
Seadmete haldamine
Isikute ja volituste
tuvastamine
Kasutatavate pilveteenuste
tuvastamine
Andmete klassifitseerimine,
sildistamine ja krüpteerimine
Normist eristuva
kasutuse tuvastamine
!
Seade
!
TINGIMUSLIK
LIGIPÄÄS
Klassifitseerimine
Auditeeri
mine
Kaitsmine
Sildid
!
!
Asukoht
19. Praktilised sammud
isikuandmete halduse
korraldamiseks
Ettevõte kogub järgmisi andmeid:
- isiku nimi
- töökoht
- telefon (isiklik mobiil)
- e-mail
- meilt ostetud teenused
- osaletud üritused / kampaaniad
- veebipoe lehitsemise ajalugu
Isikuandmete
tuvastamine
Andmed asuvad:
- isiklikes seadmetes
- pilveteenustes
- teenusepakkujate juures
- kohalikus serveris
- väljatrükitult riiulis
NÄIDE
Otsustamine, kas
andmed säilitatud
õigustatud huvi alusel
Otsustamine:
millistest seadustest
lähtuvalt ja kui kaua
peab säilitama
JAH
Otsustamine: millised
andmete töötlemise,
kustutamise reeglid
seame
EI
Andmete sildistamine:
konfidentsiaalsuse aste,
isikuandmed
Turundusprofiilile:
- isikuandmed
Kliendikaebused
- isikuandmed
- konfidentsiaalne
Siseauditi reeglid
Sertifitseerimine
Töötajate koolitamine
20. Protsessid
• Isikuandmete avastamine (kus asuvad)
• Kuhu andmed koguda analüüsiks ja arhiveerimiseks
• Isikuandmeid sisaldavate dokumentide markeerimine
• Isikuandmeid sisaldavate dokumentide säilituspoliitikate
seadistamine:
• Kui kaua dokumente peab vähemalt hoidma
• Millal peab dokumendid automaatselt kustutama
• Kuidas aidata töötajatel vältida andmelekke tekitamist
• Kuidas üle ehitada füüsiliste isikute andmete töötlemise päringuid
• Isikuandmete selekteerimine õigustatud huvi v parem teenus
• Isikute ja Andmekaitseinspektsiooni teavitamise kava
21. Hoia süsteem lihtsana
Halda andmeid, teosta järelevalvet ja klassifitseeri ühest kohast
Kasuta tugevaid krüptoalgoritme ja teenuseid, mis hoiavad
tarkvara pidevalt ajakohasena.
Kasuta teenuseid, mis on juurutanud rahvusvaheliselt
tunnustatud standardid, et paremini ise nõudeid täita
Kasuta turvalisi lahendusi
Tsentraliseeri andmete haldamine
Kasuta sertifitseeritud teenuseid
23. Kuidas Office 365 kaasa aitab?
• Kasuta eDiscovery teenust isiku-
andete avastamiseks
• Avasta, klassifitseeri ja sea
poliitikad isikuandmetele
kasutades Advanced Data
Governance funktsionaalsust
Tuvasta
personaalsed
andmed
Halda
ligipääse
Kaitse
keskonda
Sea säilitus-
poliitikad
Reageeri
ohtudele
Auditeeri.
kontrolli
Klassifitseeri
andmed
Pea logi
• Kasuta Advanced eDiscovery
funktsionaalsust, et kustutada
andmeid Exchange ja Sharepoint
teenustest
• Arhiveeri ja säilita andmeid kõigis
Office 365 teenustes
• Kaitse automaatselt juhusliku
andmete lekke vastu rakendades
andmelekkekaitse poliitikaid
• Kaitse e-maili kaasaegsete pahavara-
rünnakute eest Advanced Threat
Protectionit.
• Takista tundlike andmete kasutamist
kasutades Data Loss Prevention
andmelekkekaitset.
• Tuvasta ohud ja kaitse kasutades
Threat Intelligence and Advanced
Security Management võimalusi
• Hinda riske kasutades Service
Assurance Dashboard tööriistasid
• Jälgi ja loo aruandeid kasutajate
tegevustest Audit Logs logide alusel
Avasta Halda Kaitse Raporteeri
24. Kuidas EMS aitab?
• Tuvasta tundlik info kiiresti
kasutades Azure Information
Protection teenust
• Tuvasta pilveteenused, mida
töötajad kasutavad
• Uuri, mida töötajad oma
seadmetega teevad
Tuvata isiku-
andmed
Kaitse
andmeid,
identiteete,
seadmeid ja
andmeid
Tuvasta ohud
ja tõkesta
Logi ja
raporteeri
• Kaiits andmeid Azure Information
Protection teenusega
• Kaitse isikuandmeid tingimusliku ligipääsu
süsteemiga ja piira administraatorite
tegevust
• Kaitse andmeid mobiilsetes seadmetes ja
mobiilsetes rakendustest Intune’iga
• Tuvasta võimalikud andmelekked töötajate
käitumise analüüsi ja tavalisest
kõrvalekallete tuvastamine
• Keera logimine peale ja avasta
andmelekked kiiremini
• Jälgi dokumentide kasutamist ja
sulge vajadusel ligipääs kasutades
Azure Information Protectionit
Klassifitseeri ja
sildista
• Määra klassifitseerimise nõuded
paremaks andmete halduseks
• Kasuta Azure Information
Protection teenuste
klassifitseerimise siltide
seadistamiseks ja isikuandmete
kaitsmiseks
Avasta Halda Kaitse Raporteeri
25. Andmebaasi võimalused ?
• Päri andmebaasist, kas seal on
isikuandmeid
• Lisa isikuandmetele juurde vastav
märgis kasutades Extended
Properties funktsionaalsust
Tuvasta ja
jälgi isiku-
andmeid
Kaitse
andmeid
Reageeri
riketele
• Krüpteeri andmeid nii
andmebaasis, kettale salvestades
kui internetikanalites
• Logi andmebaasi päringute ajalugu
ja tuvasta võimalikud ohud ja
turvareeglite rikkumised
• Kasuta õppivaid algoritme
normaalselt kõrvalekalduvate
tegevuste tuvastamiseks
• Jälgi kõiki andmebaasi tegevusi
auditeerimisvõimalustega
• Kasuta turvalisis isiku tuvastamise
meetodeid andmebaasidele
ligipääsu andmisel
• Kasuta granuleeritud ligipääsu
• Piira kasutajate ligipääs andmete
maskeerimise ja andmerea
turvaseadistustega
Kontrolli
ligipääsu
Pea logi
Avasta Halda Kaitse Raporteeri
Editor's Notes
Mõjuhinnangu peavad tegema kõik need andmetöötlejad, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsilistele isikute õigustele ja vabadustele suur oht (artikkel 35.1). Andmekaitsealane mõjuhinnang tuleb kirjalikult vormistada.
Eelnevale tuginedes on Andmekaitse Inspektsiooni arvamusel kõrge riskiga andmetöötlustoimingud näiteks järgmistes valdkondades:
tööalase võimekuse hindamine; töötegemiseks kasutatava arvuti, nutiseadme või elektrooniliste ruumiligipääsude kasutamise jälgimine töökeskkonnas;
inimese võrgukäitumise, asukoha ja liikumiste jälgimine (nt võrguturbeettevõtted, nutirakenduste pakkujad, sideettevõtted, turvaettevõtted, telemaatikateenuste osutajad);
finantsteenuste ja -toodete osutamine füüsilisele isikule; füüsilise isiku finants- või krediidivõimelisuse hindamine (nt krediidiasutused, krediidiandjad, krediidivahendajad);
füüsilisele isikule kindlustustoodete või -teenuste osutamine (nt kindlustusseltsid, kindlustusvahendajad);
füüsilisele isikule investeerimistoodete- või -teenuste osutamine (nt fondivalitsejad, investeerimis- ja pensionifondid, investeerimisühingud, investeerimisnõustajad);
kliendikaardiga ostuandmete töötlemine jaekaubandusettevõtetes;
registreeritud kasutajate andmetöötlus e-poes;
tervise- või geenitestide põhjal inimese tervisliku seisundi hindamine või haigusriskide ennustamine;
terviseandmete töötlemine haiglates ja tervisekeskustes;
võrgulehtedel liikumise põhjal inimese turundusprofiili loomine ja käitumispõhise reklaami kuvamine;
tööpakkumiste vahendamine (nt andmetöötlus tööportaalides, personali otsingu- ja tööjõu rendi teenust pakkuvates organisatsioonides);
hasartmängu raames inimese andmete töötlemine;
töödeldakse ulatuslikult kaitsetute füüsiliste isikute andmeid (nt lapsed, vanurid, vaimse puudega isikud, varjupaigataotlejad);
andmetöötlus, kus kombineeritakse ja võrreldakse erinevatest allikatest pärinevaid isikuandmete koosseise (Big Data ehk suurandmetöötlus);
isikuandmete piirülene edastamine väljaspoole Euroopa Liitu.
Presenter guidance:
Use this slide to educate how customers can get started on their journey to GDPR compliance.
Key takeaways:
The GDPR contains many requirements about how you collect, store and use personal information. This
means not only how you identify and secure the personal data in your systems, but also how you
accommodate new transparency requirements, how you detect and report personal data breaches, and
how you train privacy personnel and employees.
Given how much is involved, you should not wait until the regulation takes effect in May 2018 to prepare. You need to begin reviewing your privacy and data management practices now. Failure to comply with the GDPR could prove costly, as companies that do not meet the requirements and obligations could face substantial fines and reputational harm. We recommend companies begin their journey to GDPR compliance by focusing on four key pillars of an effective data protection regime:
Discover—Identify what personal data you have and where it resides.
Manage—Determine how personal data is used and accessed.
Protect—Establish security controls to prevent, detect, and respond to vulnerabilities and data breaches.
Report— Execute on data requests, report data breaches, and keep required documentation.