GDPR: Kuidas me oleme selleks ette valmistunud

Oleme alati olnud läbipaistvuse ja turvalisuse poolt, sellepärast juba enne ELi isikuandmete kaitse üldmäärust (GDPR) oleme võtnud oma klientide andmete käsitlemist väga tõsiselt. GDPRi jõustumise valguses 25. mail on järgnevalt esitatud natuke rohkem teavet selle kohta, mida me täna teeme ja mis saab edasi.

Enne üksikasjadesse sukeldumist on järgnevalt esitatud lühike kokkuvõtlik meeldetuletus, mis isikuandmete kaitse üldmäärus (GDPR) on. Lühidalt on GDPRi eesmärk anda kodanikele ja elanikele suurem kontroll oma isikuandmete kasutamise üle ning lihtsustada rahvusvahelise äri regulatiivset keskkonda ühtlustades eraelu puutumatuse printsiipi ELis. Ettevõtete jaoks on olulisim  tagada nende isikuandmete turvaline töötlemine olenemata sellest, kas tegemist on nime, e-posti aadressiga, isikukoodiga, jne, ning et klientidel oleks võimalus kustutada kõik nendega seotud andmed (seda nimetatakse õiguseks olla unustatud).

Kus me täna oleme?

Olete ilmselt märganud meie kodulehel olevat infot andmeturbe ja teenuste turvalise osutamise kohta. Oleme rakendanud oma infoturbe juhtimissüsteemi vastavalt tuntuimale rahvusvahelisele julgeolekustandardile ISO/IEC 27001. Meie infoturbe juhtimissüsteem on auditeeritud ja sertifitseeritud vastavalt “veebipõhise e-allkirjastamise ja e-identifitseerimise teenuste ja kohandatud tarkvaraarenduse, tarnimise ja pakkumise” määratlusele Bureau Veritas poolt, mis on maailmas juhtiv testimise, inspekteerimise ja sertifitseerimise teenust pakkuv ettevõte. ISO/IEC 27001 standardit peetakse parimaks raamistikuks GDPR määruse järgimisel ning hõlmab peaaegu kõiki isikuandmete kaitse üldmääruse aspekte.

Kuid GDPR nõuab siiski täiendavaid asjakohaseid eeskirju, menetlusi ja protsesse, mis ei ole määratletud ISO/IEC27001 standardis (nagu näiteks õigus olla unustatud, klientide õigused andmetele juurdepääsul ja nende kustutamisel, andmevigade teavitamise kord, jne). Oleme selle eest hoolitsenud – juba täna rakendame meie olemasolevas infoturbe haldussüsteemis vastavaid eeskirju, protseduure ja protsesse.

Oleme juba kodutööd teinud. Siin näete meie sertifikaati.

Mida meil veel teha on jäänud?

Ajakohastame vastavalt lepinguid, kasutustingimusi, privaatsuspoliitikat, jne. Kuid kõige olulisemad punktid on endes dokumentides juba mõnda aega olnud – ISO 27001 sertifikaadi omandamine oli meie esimene väga oluline samm GDPRi poole juba 2 aastat tagasi.

Lisaks oleme koos oma partneritega – elektroonilist identifitseerimisteenust pakkuvate ettevõtetega – koostanud vastavad andmetöötluslepingud (DPA) tagamaks, et iga meie teenustega seotud osa, mida katame mitte ainult meie, vaid ka meie partnerid, on 100% vastavuses GDPRga. Kuna see ei sõltu mitte ainult meist, vaid nõuab ka teistelt osapooltelt panustamist, on see process veel pooleli. Kuid me kavatseme sellega lõpuni jõuda mai keskel.

Mis järgmiseks?  

Astumaks ühe sammu veelgi kaugemale, plaanime käesoleval aastal sertifitseerida oma kvaliteedijuhtimissüsteemi vastavalt ISO/IEC 9001 standardile. Tegemist on rahvusvaheliselt tunnustatud standardiga, mis tagab ettevõtte kliendikesksuse ja vastavuse kehtivatele juriidilistele nõuetele; standard tagab raamistiku, mis võimaldab ettevõttel vastata muutuvatele ühiskonna, majanduse ja keskkonna poolt esitatavatele kvaliteedinõuetele.

Võtame asju tõsiselt ja andmekaitse on alati olnud ja on alati meile esmatähtis!