25. mail 2018 jõustub isikuandmete kaitse üldmäärus. Üldmääruse nõuete täitmiseks on

1. Isikuandmete kaitse
üldmääruse praktiline
rakendamine
tehnilised võimalused
Toomas Mõttus
14. detsember 2017
Hakka Primendit jälgima!
primendcom

2. GDPRi põhimõtted
• Igaühel on õigus oma isikuandmete kaitsele (Euroopa Liidu põhiõiguste
harta Artikkel 8)
• Kustutamine, muutmine, üleandmine
• Õigus tutvuda
• Töötlustoimingute registreerimine
• Teavitamise kohustus
• Riski hindamine – oht andmesubjektile
• Kahju tõenäosus
• Kahju ulatus
• Regulaarne hindamine
• Vastutava töötleja ja volitatud töötleja solidaarne vastutus

3. Mis on korrapärane ja
süstemaatiline andmetöötlus?
• sideteenuse osutamine (nii telefoni kui internetiteenus),
• kindla valimi alusel otseturustuse saatmine,
• kliendi sobivuse hindamine panga või kindlustustoote kasutamiseks (nt
maksevõime hindamine, kliendi tervise- või liikluskäitumise riski hindamine),
• kliendi asukohaandmete töötlemine nutirakendustes,
• kaubanduskettide lojaalsusprogrammid,
• klientide võrgulehtede kasutuse analüüsimine ja selle põhjal nn online-
reklaamide näitamine,
• kliendiandmete töötlemine kaugloetavate arvestitega,
• veebiteenuse osutamine, eelkõige online-meedia (uudisteportaalid),
• telemaatikateenuse osutamine. Allikas: www.aki.ee

4. Millised on kõrge riskiga
andmetöötlustoimingud
• isiklike aspektide (nt isiku vaated, seisukohad, isikuomadused, harjumused,
huvid, eelistused, sotsiaalne staatus, käitumine, asukoht,
liikumine) süstemaatiline ja ulatuslik hindamine, mis
põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil,
ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud
tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;
• artikli 9 lõikes 1 osutatud andmete eriliikide (nt terviseandmed, isiku
kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed,
poliitilised vaated, usulised veendumused, isikuandmed, millest ilmneb
inimese rassiline või etniline päritolu) või artiklis 10 osutatud süüteoasjades
süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik
töötlemine, või
• avalike alade ulatuslik süstemaatiline jälgimine (nt kaamerate kasutamine
valve- või korrakaitse eesmärgil). Allikas: www.aki.ee

5. Andmekaitsemääruse olulisemad
nõuded (1)
• Kas ja milliste toimingute osas peab ettevõte tegema andmekaitsealase
mõjuhinnangu? (Artikkel 35)
• Kas ettevõte peab määrama andmekaitse spetsialisti? (Artikkel 37)
• Kirjeldatud on isikuandmete kogumise ja töötlemise eesmärk ja õiguslik
alus (Artikkel 6)
• Andmesubjektile on loodud võimalus tutvuda andmetega (Artikkel 13, 14,
15);
• Andmesubjektile on loodud võimalus andmete parandamiseks (Artikkel 16)
• Andmesubjektile on loodud võimalus andmete kustutamiseks (Artikkel 17)
• Ettevõte on loonud võimekuse teavitada andmesubjekti isikuandmete
parandamisest, kustutamisest või isikuandmete töötlemise piiramisest
(Artikkel 19)

6. Andmekaitsemääruse olulisemad
nõuded (2)
• Andmesubjektile on loodud võimalus andmete ülekandmiseks
(Artikkel 20)
• Ettevõte on loonud protseduuri andmesubjekti õiguste tagamiseks
profiilianalüüsis (Artikkel 22)
• Isikuandmete töötlemise toimingud on registreeritud (Artikkel 30)
• Ettevõte on loonud protseduuri isikuandmetega seotud rikkumiste ära
hoidmiseks, tuvastamiseks ja rikkumistest teavitamiseks (Artikkel 33,
34)
• Ettevõte on loonud võimekuse protseduure arendada ning
kehtestanud auditeerimise kava (Artikkel 47, 58)

7. Mida peaks tegema?
• Koostada mõjuhinnang
• Määrata andmekaitsespetsialist
• Vaadata üle kliendilepingutes andmete kogumise alused
• Vaadata üle partnerlepingutes sätestatud osapoolte vastutused
• Koostada tegevuskavad andmesubjektide päringutele vastamiseks
• Koostada tegevuskava intsidendi menetlemiseks

8. Kuidas määrata
tehniliste nõuete
baastase?

9. Andmekaitsepraktika Eestis
• Milline võiks olla tehniliste nõuete
baastase?
• Mida on võimalik mõistlike
kulutustega saavutada?
• Milline on kehtiv kohtupraktika?
• Mida ütleb selle kohta ISKE?
• Mida on teinud ettevõtted, kes on
rakendanud ISO 27000 seeria
standardeid?
• Kas te olete kaalunud täiendavate
meetmete kulu versus oht
isikuandmetele?

10. Protsessi etapid
Tuvasta, milliseid isikuandmeid teil on kus need
asuvad.
Avasta1
Korralda isikuandmete kasutamist ja pärimistHalda2
Rakenda andmekaitsemeetmed ohtude
ennetamiseks, avastamiseks ja realiseerumistele
reageerimiseks
Kaitse3
Hoia vajalikku dokumentatsiooni, halda
andmepäringuid ja rikketeateid
Teavita4

11. AVASTA

12. Isikuandmete asukohad
ISIKUANDMED
Varu-
koopia
E
Varu-
koopia
T
Varu-
koopia
K
Varu-
koopia
N
Varu-
koopia
R
Varu-
koopia
L
Varu-
koopia
P
VARUKOOPIAD
Protsess

13. Isikuandmete asukohad:
turundus
ISIKUANDMED
ANONÜÜMSED
PROFIILID
VEEBIPOOD
SOOVITUSMOOTOR

14. Ebastandardsed asukohad
• Palju erinevaid kohti isikuandmete salvestamiseks – ülevaade puudub
• Andmeid salvestatakse erinevatesse pilveteenustesse
• Andmeid edastatakse e-mailiga
• Turunduse otstarbega väljavõtted jäävad laokile kodukataloogidesse
• Andmete varundamine ja arhiveerimine
• Kuidas saada ülevaade, kuidas saada ülevaade kiiresti?
• Cloud App Security & Cloud App Discovery

15. Isikuandmed
Igausugune info, mille alusel on füüsilist isikut võimalik
tuvastada otseselt või kaudselt; näiteks:
• Nimi
• ID, isikukood
• Aadress
• E-mail, kasutajanimi, Facebooki konto jne.
Tundlikud isikuandmed
Isikuandmed mis nõuavad kõrgendatud tähelepanu:
• Geneetilised andmed
• Biomeetrilised andmed
• Alamkategooriad:
• Rass või rahvus
• Poliitilised ja religioossed tõekspidamised
• Osalus ametiühingutes
• Terviseinfo
• Seksuaalne sättumus
Kuidas GDPR kirjeldab
isikuandmeid

16. Kas inimene on
MailChimpis?

17. HALDA

18. Volitatud
ligipääs
andmetele
Appid
rakendused
Risk
Seadmete haldamine
Isikute ja volituste
tuvastamine
Kasutatavate pilveteenuste
tuvastamine
Andmete klassifitseerimine,
sildistamine ja krüpteerimine
Normist eristuva
kasutuse tuvastamine
!
Seade
!
TINGIMUSLIK
LIGIPÄÄS
Klassifitseerimine
Auditeeri
mine
Kaitsmine
Sildid
!
!
Asukoht

19. Praktilised sammud
isikuandmete halduse
korraldamiseks
Ettevõte kogub järgmisi andmeid:
- isiku nimi
- töökoht
- telefon (isiklik mobiil)
- e-mail
- meilt ostetud teenused
- osaletud üritused / kampaaniad
- veebipoe lehitsemise ajalugu
Isikuandmete
tuvastamine
Andmed asuvad:
- isiklikes seadmetes
- pilveteenustes
- teenusepakkujate juures
- kohalikus serveris
- väljatrükitult riiulis
NÄIDE
Otsustamine, kas
andmed säilitatud
õigustatud huvi alusel
Otsustamine:
millistest seadustest
lähtuvalt ja kui kaua
peab säilitama
JAH
Otsustamine: millised
andmete töötlemise,
kustutamise reeglid
seame
EI
Andmete sildistamine:
konfidentsiaalsuse aste,
isikuandmed
Turundusprofiilile:
- isikuandmed
Kliendikaebused
- isikuandmed
- konfidentsiaalne
Siseauditi reeglid
Sertifitseerimine
Töötajate koolitamine

20. Protsessid
• Isikuandmete avastamine (kus asuvad)
• Kuhu andmed koguda analüüsiks ja arhiveerimiseks
• Isikuandmeid sisaldavate dokumentide markeerimine
• Isikuandmeid sisaldavate dokumentide säilituspoliitikate
seadistamine:
• Kui kaua dokumente peab vähemalt hoidma
• Millal peab dokumendid automaatselt kustutama
• Kuidas aidata töötajatel vältida andmelekke tekitamist
• Kuidas üle ehitada füüsiliste isikute andmete töötlemise päringuid
• Isikuandmete selekteerimine õigustatud huvi v parem teenus
• Isikute ja Andmekaitseinspektsiooni teavitamise kava

21. Hoia süsteem lihtsana
Halda andmeid, teosta järelevalvet ja klassifitseeri ühest kohast
Kasuta tugevaid krüptoalgoritme ja teenuseid, mis hoiavad
tarkvara pidevalt ajakohasena.
Kasuta teenuseid, mis on juurutanud rahvusvaheliselt
tunnustatud standardid, et paremini ise nõudeid täita
Kasuta turvalisi lahendusi
Tsentraliseeri andmete haldamine
Kasuta sertifitseeritud teenuseid

22. Tänan!
Mõtleme läbi, liigume kiiresti!

23. Kuidas Office 365 kaasa aitab?
• Kasuta eDiscovery teenust isiku-
andete avastamiseks
• Avasta, klassifitseeri ja sea
poliitikad isikuandmetele
kasutades Advanced Data
Governance funktsionaalsust
Tuvasta
personaalsed
andmed
Halda
ligipääse
Kaitse
keskonda
Sea säilitus-
poliitikad
Reageeri
ohtudele
Auditeeri.
kontrolli
Klassifitseeri
andmed
Pea logi
• Kasuta Advanced eDiscovery
funktsionaalsust, et kustutada
andmeid Exchange ja Sharepoint
teenustest
• Arhiveeri ja säilita andmeid kõigis
Office 365 teenustes
• Kaitse automaatselt juhusliku
andmete lekke vastu rakendades
andmelekkekaitse poliitikaid
• Kaitse e-maili kaasaegsete pahavara-
rünnakute eest Advanced Threat
Protectionit.
• Takista tundlike andmete kasutamist
kasutades Data Loss Prevention
andmelekkekaitset.
• Tuvasta ohud ja kaitse kasutades
Threat Intelligence and Advanced
Security Management võimalusi
• Hinda riske kasutades Service
Assurance Dashboard tööriistasid
• Jälgi ja loo aruandeid kasutajate
tegevustest Audit Logs logide alusel
Avasta Halda Kaitse Raporteeri

24. Kuidas EMS aitab?
• Tuvasta tundlik info kiiresti
kasutades Azure Information
Protection teenust
• Tuvasta pilveteenused, mida
töötajad kasutavad
• Uuri, mida töötajad oma
seadmetega teevad
Tuvata isiku-
andmed
Kaitse
andmeid,
identiteete,
seadmeid ja
andmeid
Tuvasta ohud
ja tõkesta
Logi ja
raporteeri
• Kaiits andmeid Azure Information
Protection teenusega
• Kaitse isikuandmeid tingimusliku ligipääsu
süsteemiga ja piira administraatorite
tegevust
• Kaitse andmeid mobiilsetes seadmetes ja
mobiilsetes rakendustest Intune’iga
• Tuvasta võimalikud andmelekked töötajate
käitumise analüüsi ja tavalisest
kõrvalekallete tuvastamine
• Keera logimine peale ja avasta
andmelekked kiiremini
• Jälgi dokumentide kasutamist ja
sulge vajadusel ligipääs kasutades
Azure Information Protectionit
Klassifitseeri ja
sildista
• Määra klassifitseerimise nõuded
paremaks andmete halduseks
• Kasuta Azure Information
Protection teenuste
klassifitseerimise siltide
seadistamiseks ja isikuandmete
kaitsmiseks
Avasta Halda Kaitse Raporteeri

25. Andmebaasi võimalused ?
• Päri andmebaasist, kas seal on
isikuandmeid
• Lisa isikuandmetele juurde vastav
märgis kasutades Extended
Properties funktsionaalsust
Tuvasta ja
jälgi isiku-
andmeid
Kaitse
andmeid
Reageeri
riketele
• Krüpteeri andmeid nii
andmebaasis, kettale salvestades
kui internetikanalites
• Logi andmebaasi päringute ajalugu
ja tuvasta võimalikud ohud ja
turvareeglite rikkumised
• Kasuta õppivaid algoritme
normaalselt kõrvalekalduvate
tegevuste tuvastamiseks
• Jälgi kõiki andmebaasi tegevusi
auditeerimisvõimalustega
• Kasuta turvalisis isiku tuvastamise
meetodeid andmebaasidele
ligipääsu andmisel
• Kasuta granuleeritud ligipääsu
• Piira kasutajate ligipääs andmete
maskeerimise ja andmerea
turvaseadistustega
Kontrolli
ligipääsu
Pea logi
Avasta Halda Kaitse Raporteeri