Mis on töötlemisülevaade?
25 mail jõustus isikuandmete kaitse üldmäärus (GDPR), millega kehtestati uued kohustused ja reeglid, kuidas andmeid tuleb kaitsta, kuidas tagada isikuandmete töötlemise läbipaistvus jms. Igasugusele isikuandmete töötlemisega seotud teabele ja teabevahetusele peab olema võimalik hõlpsasti ligi pääseda ning isikuandmete töötlemine peab olema selgelt arusaadav. GDPR nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate, mis sisaldab kõiki andmetöötlustoiminguid, mida ettevõte teostab. Need dokumendid aitavad ettevõtetel mõista, millised on andmed, mida nad koguvad, kust need pärinevad ja kuidas neid andmeid töödeldakse. Lisaks võivad andmekaitse järelevalveasutused nõuda juurdepääsu dokumentidele, kui nad kahtlustavad, et ettevõte on rikkunud andmekaitse-eeskirju.
Kes peab koostama töötlemisülevaate?
Isikuandmete töötlemisülevaate peavad koostama kõik ettevõtted, kes vastavad ühele järgnevatest tingimustest:
- Ettevõttes töötab rohkem kui 250 töötajat
- Isikuandmeid töödeldakse süstemaatiliselt (mitte juhuslikult)
- Töödeldakse tundlikke ja isiklikke andmeid (sh tervise, seksuaalse sättumuse, rassilise või etnilise päritolu, poliitiliste vaadete, usuliste või filosoofiliste veendumuste, karistusregistrite vms kohta)
Või kui töödeldakse isikuandmeid seoses järgnevate tegevustega:
- Töötajate tööülesannete täitmise hindamine
- Isiku käitumise, asukoha ja/või liikumise jälgimine
- Kindlustus-, investeerimis- ja finantsteenuste pakkumine eraisikutele
- Klientidele lojaalsusprogrammis osalemise (nt kliendikaart) pakkumine
- Kliendi andmete registreerimine/kogumine
- Klientide turundusprofiilide koostamine
- Töölevõtmise või personali renditeenuste pakkumine
- Isiku hasartmängudega seotud andmete kogumine
- Andmete kogumine laste, vanurite ja vaimse puudega isikute kohta
- Erinevatest allikatest pärinevate isikuandmete võrdlemine ja ühendamine
Kuidas koostada töötlemisülevaadet?
Isikuandmeid tuleb säilitada elektroonilises vormis ja neid tuleb korrapäraselt ajakohastada. Kui ettevõttel on kohustus määrata andmekaitsespetsialist (DPO), on töötlemisülevaate kaardistamise pidamise kohustus andmekaitseametniku ülesanne. Kui ettevõttel ei ole määratud andmekaitsespetsialisti, võib isikuandmete töötlemise ülevaate kaardistamist pidada ka äriühingu töötaja, kes on teadlik GDPR-i nõuetest.
Veebist võib leida mitmeid näidiseid selle kohta, kuidas tuleks isikuandmete töötlemisülevaateid koostada. GDPR register (https://www.gdprregister.eu) sisaldab selgitusi töötlemisülevaate koostamise kohta, töötlustoimingute malle ning raporteid, mida saab edastada andmekaitseasutustele.
Üks SaaS-i teenuse näide, mis vastab GDPR nõuetele, on GDPR Register (https://www.gdprregister.eu), mis sisaldab kõige tavalisemate andmetöötlustoimingute eelmääratud malle koos selgitustega, võimaldades automaatselt edastada dokumentide väljavõtteid järelevalveasutusele, kui nad vastavaid dokumente nõuavad.
