Kõik vajalik isikuandmete töötlemisülevaate koostamiseks

Alates 1. novembrist jõustuvad IKÜM trahvid mis võivad ulatuda kuni 20 000 000 euroni.

Töötlemisülevaade on esimene asi mida võib nõuab Andmekaitse Inspektsioon teostades kontrolli või juhtumi uurimist.

Keri alla, et uurida mis on isikuandmete töötlemisülevaade ja kuidas seda tuleks koostada.
GDPR Software Solution by GDPR Register
NOW
Template of processing activities
BEFORE
button arrows

Kuidas koostada töötlemisülevaadet?

Andmetöötlustoimingute register

Isikuandmete kaitse üldmäärus sätestab kohustuse pidada elektroonilisel kujul ülevaadet isikuandmete töötlemisest. Tegemist võib olla suure andmete mahuga, mis vajab struktureerimist ja haldamist.

Parim viis sellise ülevaate (registri) loomiseks, on alustada info kogumisest, millised andmed on juba ettevõtte omanduses ning mida nendega täpselt tehakse. GDPR Registeri tööriist aitab seda protsessi hallata.

Meeskonnatöö ja vastutus

Ei tasu loota, et keegi üks inimene saab selle ülesandega hakkama. Olgugi see andmekaitse ekspert aga tegelikud otsused kuidas teostada andmetöötlust toimuvad osakondade tasemel. 

Sisend peaks tulema osakonnajuhtidelt või oma vastutusala spetsialistidelt , keda nimetatakse andmete või protsesside omanikeks. Andmete omanikud teavad kõige paremini milliseid andmeid ja kuidas töödeldakse ja nemad otsustavad kuidas töötlemise protsess muutub.

Andmekaitse spetsialisti roll on andmete omanikelt saadud info kontrollimine ja nende nõustamine. Lõplik vastutus on ikkagi otsustajate kanda.

Kust austada?

Kõige lihtsam viis alustamiseks on kaardistada kõik süsteemid ja muud varad kus isikuandmeid hoitakse. Selline kaardistus peaks sisaldama infot kellelt andmeid kogutakse, kus neid hoitakse, kes vastutab teadud andmehoidla eest ja mis on andmete koosseis. 

Sellise info baasil saab juba koostada andmetöötlustoimingute registrit kus kirjeldatakse andmete töötlemise eesmärke, õiguslike aluseid, säilitusaegu, vastuvõtjaid, volitatud töötlejaid ja turvameetmeid.

Kestev protsess

Kui töötlemisülevaade on koostatud, siis see ei ole protsessi lõpp. Ülevaate tulemusena selguvad teatud alad mis vajavad täpsemat selgitamist ja võimalik, et tuleb ka hinnata andmetöötlusega seonduvaid riske ja koostada andmekaitsealast mõjuhinnangut. 

Ei tasu ka arvestada, et üks kord suure vaevaga koostatud ülevaade kehtib aastateks. äriprotsessid muutuvad, muutuvad koostööpartnerid ja muutuvad seadused. Kõik need asjaolud nõuavad ülevaate pidevat täiendamist ja täpsustamist. 

Oma praktikas näeme tihti kliente kes peale paari aastat ülevaate mitteuuendamist otsustavad koostada uue ülevaate nullist, kuna protsessid, andmed ja süsteemid on niivõrd muutunud, et vanast ülevaatest ei ole enam kasu.

Seosed muude dokumentidega

Koostades isikuandmete töötlemisülevaadet tasub silmas pidada, et see on informatsiooni keskmeks kogu ülejäänud andmekaitse dokumentatsioonile. Sellised on näiteks andmetöötluslepingud, privaatsuspoliitikad ja -teatised, nõusolekuvormid, andmekaitsealased mõjuhinnangud ja tasakaalutestid. rikkumiste register ning andmesubjektide päringud. 

Kui ülalnimetatud dokumentatsiooni info on ühtlustamata ja laiali erinevates dokumentides, on suur oht, et see on killustunud ja vastuoluline. Võimalik, et isegi vigane. 

Tasub alati kontrollida kogu oma dokumentatsiooni vastavust töötlemisülevaatega mis peab olema teie kõige värskema ja täpsema info register. 

Projektijuhtimisteenus

Kogu see jutt võib tunduda keeruline ja pole selge kuidas see protsess ikkagi korraldada nii, et see ka õnnestuks. 

Õnneks oleme väljatöötanud lihtsa ja arusaadava teenuse kus koolitame isikuandmete omanike meeskondi koostama ja ülal pidama isikuandmete töötlemisülevaadet. Igale protsessile ja süsteemile määrame omaniku ja teeme kindlaks, et kõik on selge, aitame koostada ja toetame jooksvalt kui on vaja värskendada andmeid. 

Samas, me ei koorma sellega andmekaitse spetsialisti, kes on tavaliselt juba ülekoormatud ja saab jätkata oma igapäevaste rutiinidega. Valmis ülevaade jõuab eelkontrollituna tema pädevusse ja selle abil saab ta palju tõhusamalt aidata andmete omanikel maandada võimalike riske ja võtta vastu kaalutud otsuseid.

 

Mis erinevused on töötlemisülevaate olemasolul ja selle puudumisel?

ON OLEMAS

Struktuurne ja selge ülevaade isikuandmete töötlemisest ja selle üksikasjadest

Toimib info allikana ülejäänud dokumentatsioonile (nt. lepingutele ja privaatsusteatisele)

PUUDUB

Puudub selge arusaam isikuandmete töötlemisest, mis on negatiivne indikaator ka AKI'le (trahvioht kuni 20 000 000 €)

Dokumentatsioon on killustunud ja vastuoluline. Võivad olla katmata olulised isikuandmete töötlemise aspektid, tihti väljapoolt nähtavad.

Kui on olemas ülevaade, on võimalik tuvastada riske ja hallata neid

Kui ülevaate eest vastutavad protsesside omanikud ise, saavad nad oluliselt paremini aru riskidest ja teevad tulevikus kaalutud otsuseid

Ei ole võimalik hinnata riske või nende hindamine on tehtud puudulikul alusinfol

Töötajad (võimalik et ka juhatus) arvavad, et isikuandmete kaitse on andmekaitse ametniku ja IT mure, tuginetakse puudulikule infole, tehakse valed ja kallid otsused

GDPR Article 30

Isikuandmete töötlemisülevaade

Mis on isikuandmete töötlemisülevaade? Isikuandmete kaitse üldmääruse (GDPR) artikkel 30 nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate (andmetöötlustoimingute registri), mis sisaldab kõiki andmetöötlustoiminguid, mida ettevõte teostab. Need dokumendid aitavad

Loe Edasi »