Mis on isikuandmete töötlemisülevaade?
Isikuandmete kaitse üldmääruse (GDPR) artikkel 30 nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate (andmetöötlustoimingute registri), mis sisaldab kõiki andmetöötlustoiminguid, mida ettevõte teostab. Need dokumendid aitavad ettevõtetel mõista, millised on andmed, mida nad koguvad, kust need pärinevad ja kuidas neid andmeid töödeldakse.
Töötlemisülevaade peab olema kirjalikus või elektroonilises vormis. Andmekaitse Inspektsioon (AKI) võib andmetöötlejalt ülevaate välja nõuda, seega tuleb tagada, et ülevaade oleks võimalik hõlpsasti edastatav. Üldiselt, vastuste edastamiseks annab AKI kuni 14 päeva. Tasuks arvestada, et korrektse ülevaate koostamiseks võib kuluda oluliselt rohkem aega.
Kes peab koostama töötlemisülevaate?
Üldmääruse artikkel 30 sätestab, et sikuandmete töötlemisülevaate peavad koostama kõik ettevõtted, kes vastavad ühele järgnevatest tingimustest:
- Ettevõttes töötab rohkem kui 250 töötajat
- Isikuandmeid töödeldakse süstemaatiliselt (mitte juhuslikult)
- Töödeldakse tundlike ja/või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (sh tervise, seksuaalse sättumuse, rassilise või etnilise päritolu, poliitiliste vaadete, usuliste või filosoofiliste veendumuste, karistusregistrite vms kohta)
Andmekaitse Inspektsioon täpsustab oma Isikuandmete töötleja juhendis: “Üldmääruse art. 30 on ebaõnnestunud sõnastusega ka ses osas, kellele see kohustus on suunatud. Art. 30 lg 5 loob esmalt väära mulje, nagu kehtiks see vaid andmetöötlejatele, kellel on 250 ja enam töötajat. Tegelikult ütleb see säte muuhulgas, et ülevaate peavad koostama kõik, kelle andmetöötlus ei ole juhuslik. Kui aga ettevõttel/asutusel on vähemalt üks töötaja ja/või vähemalt üks füüsilisest isikust klient, siis nende andmete töötlemine ei ole juhuslik.”
Mida täpselt peab töötlemisülevaade sisaldama?
Kui ettevõte tegutseb vastutava andmetöötleja rollis, olete GDPR artikli 30 kohaselt kohustatud dokumenteerima vähemalt järgmist:
- vastutava töötleja ja kaasvastutava töötleja (kui on) nimi ja kontaktandmed;
- juhul kui ettevõte on määranud andmekaitsespetsialisti, siis tema nimi ja kontaktandmed;
- isikuandmete töötlemise eesmärgid – milleks te kasutate isikuandmeid (kliendihaldus, tööhõive, turundus, teenuste arendus, müük);
- andmesubjektide kategooriad (nt töötajad, kliendid, koostööpartnerite kontaktisikud);
- töödeldavate isikuandmete kategooriad (nt kontaktandmed, terviseandmed);
- isikuandmete vastuvõtjate kategooriad (nt koostööpartnerid, kolmandad isikud, maksuamet, ülikool);
- vajadusel nende kolmandate riikide või rahvusvaheliste organisatsioonide nimi, kuhu isikuandmeid edastate;
- juhul kui isikuandmeid edastatakse kolmandasse riiki, siis andmed selle kohta koos riigi nimega, ning muu teave edastamise asjaolude ja kaitsemeetmete kohta;
- võimaluse korral eri isikuandmete kategooriate säilitamise tähtajad;
- tehniliste ja organisatoorsete turvameetmete kirjeldus (nt krüpteerimine, töötajate koolitus, juurdepääsupiirangud dokumentidele ja muudele isikuandmetele, anonümiseerimine).
Ka volitatud töötlejad on kohustatud pidama andmetöötlustoimingute registrit. Sel juhul ülevaade paeks sisaldama järgnevaid andmeid:
- volitatud töötleja, vastutavate töötlejate ja alamvastutavate töötlejate nimed ja kontaktandmed;
- juhul kui ettevõte on määranud omaenda andmekaitsespetsialisti, siis tema nimi ja kontaktandmed;
- vastutava töötleja nimel tehtava toimingute kategooriaid
- kui isikuandmeid edastatakse kolmandasse riiki, siis teave selle kohta koos riigi nimega, ning muu teave edastamise asjaolude ja kaitsemeetmete kohta;
- tehniliste ja organisatoorsete turvameetmete kirjeldus (nt krüpteerimine, töötajate koolitus, juurdepääsupiirangud dokumentidele ja muudele isikuandmetele, anonümiseerimine).
Kuidas koostada töötlemisülevaadet?
Isikuandmeid tuleb säilitada elektroonilises vormis ja neid tuleb pidevalt hoida ajakohasena. Kui ettevõttel on kohustus määrata andmekaitsespetsialist (DPO), on töötlemisülevaate kaardistamise pidamise kohustus andmekaitseametniku ülesanne. Kui ettevõttel ei ole määratud andmekaitsespetsialisti, võib isikuandmete töötlemise ülevaate kaardistamist pidada ka äriühingu töötaja, kes on teadlik GDPR-i nõuetest.
Võiks alustada infosüsteemide ja isikuandmete kaardistuse läbiviimisest, et selgitada välja, milliseid isikuandmeid teie organisatsioon hoiab ja kus. On oluline, et isikuandmetega seotud protsesside asjatundjad kogu teie organisatsioonist oleksid protsessi kaasatud. See aitab vältida töödeldavate andmete või protsesside kahe silma vahele jäämist. Sama oluline on kaasata ka tippjuhtkonda, et teie kaardistuse projekt oleks toetatud ja selle tähtsus oleks kõigile asjaosalistele kommunikeeritud.
Kui üldine ettekujutus isikuandmete mahust ja nende asukohtadest on saavutatud, saate alustada andmetöötlustoimingute registri koostamisega. See on teie enda otsustada, kuidas seda teha, kuid meie arvates aitavad järgnevad kolm sammu kiiremini eesmärgini jõuda.
Koostage andmetöötlustoimingute küsimustik
Küsimustiku saate jagada isikuandmeid töötlevate osakondade vahel. Küsimused võiksid olla järgnevad:
- Milleks isikuandmeid kasutatakse?
- Kes on need isikud kelle kohta isikuandmeid hoitakse?
- Milliseid isikuandmeid nende kohta hoitakse?
- Kellega neid isikuandmeid jagatakse?
- Kui kaua neid isikuandmeid hoiustakse?
- Kuidas neid isikuandmeid kaitstakse?
Intervjueerige asjaosalisi
Koostage nende andmete põhjal töötlemisülevaate mustand ja intervjueerige asjaosalisi eesmärgiga täpsustada andmeid ja paremini aru saada protsessidest.
Otsige üles eelnevalt koostatud dokumentatsioon
Juhul, kui ettevõttes osa dokumentatsioonist oli eelnevalt juba olemas, siis otsige üles ja vaadake üle eeskirjad, protseduurid ja lepingud – see aitab võrrelda eelnevat dokumentatsiooni kavandatud toimingutega ja tuvastada võimalikud ebakõlad tegeliku olukorraga.
On ilmselge, et töötlemisülevaate koostamise projekt ei ole lihtne väljakutse, nõuab arvestatavat ajalist ressurssi ja koostööd kolleegidega. Selle ülesande lihtsustamiseks oleme loonud abistava tööriista GDPR Register.
Andmekaitse dokumentatsioon GDPR Registri abil
GDPR Registri abil saate:
- organiseerida kaardistuse projekti ja jagada ülesandeid;
- kiiresti ja efektiivselt koostada töötlemisülevaadet kasutades professionaalselt ettevalmistatud malle;
- koostada andmetöötluslepingute registrit ja siduda seda töötlemisülevaatega;
- paari hiireklõpsuga genereerida raporteid;
- registreerida andmesubjektipäringud;
- pidada andmekaitsealaste rikkumiste registrit;
- hoida kogu isikuandmetega seotud dokumentatsiooni turvalises keskkonnas;
