kuidas tagada isikuandmete töötlemise vastavus andmekaitse ...œritused/kpmg... · kuidas tagada...
Post on 28-Feb-2020
3 Views
Preview:
TRANSCRIPT
Kuidas tagada isikuandmete töötlemise vastavus andmekaitse nõuetele?
Sirli-Kristi Käpa
25. november 2016
Case-study ühe kontserni töötajateIsikuandmete töötlemise näitel
2© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliseltseotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Aitab tagada isikuandmete töötlemise kooskõlas õigusaktidega
Loob ühtse raamistiku isikuandmete töötlemisel erinevate osakondade vahel
Muudab andmete töötlemise eesmärgipäraseks ja läbipaistavaks
Teavitab töötajaid sellest, mida ja miks töödeldakse, kus andmeid säilitatakse, kellega andmeid jagatakse ning kas esineb õiguslik alus isikuandmete töötlemiseks
Aitab teadvustada ning kaardistada isikuandmete töötlusega kaasnevaid riske
Miks reguleerida töötajate isikuandmete töötlemist?
3© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliseltseotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Audiitor tuvastab vajaduse koostada kontsernis ühtsed põhimõtted töötajate isikuandete töötlemiseks.
Määratakse tähtaeg isikuandmete töötlemise põhimõtete loomiseks, antud kaasuse puhul määrati tähtajaks 6 kuud
— Projekt hõlmab
- 6 000 töötajat
- Üle 20 kontserni ettevõtja
Määrata projektijuht
Projektijuhil on kandev roll andmetöötluse kaardistamisel ning erinevate osapoolte kaasamisel.
Projektijuht:
— Koostab projektiplaani ja kaasab kõik andmetöötlusega seotud osapooled
— kaardistab andmetöötlusprotsessi
— selgitab välja andmete töötlemise eesmärgi ning tähtajad, analüüsib õigusliku aluse olemasolu
— töötab välja tegevuskava
— Aitab tegevuskava ellu viia (põhimõtete kinnitamine, kommunikatsioon, koolitused, vormid, lepingud jms)
Keda kaasata?
— Personaliosakond
— Õigusosakond
— IT osakond
— Kinnisvarahaldus
— Transpordiosakond
— Raamatupidamisosakond
— Riskijuhtimine
— Müük/turundus
— Teenindusosakond
— Siseaudit
— Töökeskkonnavolinik
Töösuhte puhul jaguneb isikuandmete töötlemine kolmeeks peamiseks etapiks:
1. isikuandmete töötlemine enne töösuhte algust;
2. isikuandmete töötlemine töölepingu kehtivuse ajal;
3. isikuandmete töötlemine pärast töösuhte lõppu.
Millest algab andmetöötluse reguleerimine
Protsessi juhtimine Keda kaasata Mida reguleerida
Kuidas reguleerida töötajate isikuandmete töötlemist I
Case study
4© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliseltseotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Kes võivad töötaja isikuandmeid töödelda?
Otsene tööandja
Kontsernis tugiteenust osutavad üksused/osakonnad
Tööandja koostööpartnerid
Näiteks:
• töötervishoiuteenuse pakkuja
• arhiiviteenus
• värbamisteenus
• turvateenus jms
Case study
Kuidas reguleerida töötajate isikuandmete töötlemist II
5© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliseltseotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Millistes olukordades me töötleme töötajate isikuandmeid?
Telefonikõnede salvestamine
E-kirjade jälgimine
Videovalve
Läbipääsusüsteemide logiandmed
Tööandjale kuuluvate sõidukite GPS seadmed
Personalifailid
Siseveeb
Case studyKuidas reguleerida töötajate isikuandmete töötlemist III
6© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliseltseotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Millele juhtida tähelepanu isikuandmete töötlemisel ja töötlemise reguleerimisel?
Millisel alusel toimub töötajate isikuandmete töötlemine (nõusolek, leping, seadusest tulenev alus?)
Millised on töötajate isikuandmete töötlemise eesmärgid
Kuidas tagada töötaja kui andmesubjekti õigused
Kuidas tagada andmete kvaliteet ja töötlemise turvalisus
Kuidas toimub isikuandmete säilitamine ja kaua andmeid säilitatakse
Millised on võimalused rikkumiste tuvastamiseks ning rikkumisest teatamiseks
Kuidas tutvustatakse töötajatele isikuandmete töötlemise põhimõtteid
Case study
Kuidas reguleerida töötajate isikuandmete töötlemist IV
7© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliseltseotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Andmetöötluse kaardistamise ja reguleerimise protsess võttis aega planeeritust kauem, kaasatud isikuid oli 15
Protsessi käigus kaardistati töötajate, aga ka käsundus- ja töövõtulepingute alusel töötavate füüsiliste isikutega seotud isikuandmete töötlemine
Analüüsiti, kas isikuandmete töötlemine vastab isikuandmete kaitse regulatsioonile
Analüüsiti andmete kogumise ja töötlemise viise ning selgitati välja, kuidas ja millises ulatuses edaspidi andmeid kogutakse
Määrati isikuandmete säilitamise tähtajad
Määrati kindlaks isikuandmete kaitse eest vastutavad isikud ning koolitati töötajaid isikuandmete kaitse regulatsiooni osas
Vaadati üle ja uuendati olemasolevaid lepinguid ning töötati välja vormid isikuandmete töötlemiseks nõusoleku andmiseks
Milline oli tulemus? Case study
8© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliseltseotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Kaardista olukord ja vii vajadusel läbi andmekaitse õigus- ja infosüsteemide audit
Määra projektijuht ja moodusta meeskond, kuhu on kaasatud kõik isikuandmete kaitsega seotud võtmeisikud
Analüüsi andmetöötlust ning tööta auditi tulemustest lähtuvalt välja isikuandmete töötlemise juhendid ja strateegia
Koolita töötajaid
Varu muudatusteks aega
Alusta juba täna!
Kokkuvõtteks
Aitäh!
Esitatud informatsioon on üldise iseloomuga ja ei ole mõeldud ühegi kindla füüsilise või juriidilise isiku probleemide lahendusena. Ehkki soovime anda täpset ja ajakohast informatsiooni, ei saa garanteerida, et esitatud informatsioon on täpne ka selle saamise hetkel või pärast seda. Ükski kasutaja ei tohiks esitatud informatsioonist lähtuda ilma konkreetse situatsiooni põhjalikul analüüsil põhineva professionaalse nõustamiseta.
© 2016 KPMG Advokaadibüroo OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Sirli-Kristi KäpaVanemjurist
KPMG Advokaadibüroo OÜ
Sirli-kristi.kapa@kpmglegal.ee
IT tegevuskava andmekaitsereformi rakendamisel
Teet Raidma25. november 2016
2© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
• Uued andmekaitsesubjektide õigused: „õigus olla unustatud“ , „andmete ülekandmise õigus“
• Isikuandmete töötlemise nõusolekute fikseerimine• Rõhuasetus isikuandmete turvalisuse tagamisele• Andmekaitsealase mõjuhinnangu läbiviimise nõue• Andmeleketest teavitamise kohustus • Sertifitseerimine ja GDPR vastavuse auditeerimine (tulevikus)
GDPR mõju infoturbe haldusele
3© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
• Andmete minimaalsuse printsiip
• Isikustatud andmed
• Pseudonümiseerimine
• Anonüümsed andmed
• Andmete elutsükkel (kogumine, kasutamine, hoidmine, arhiveerimine, hävitamine)
„On the Internet, nobody knowsyou’re a dog.“
The New Yorker cartoon by Peter Steiner, 1993
Isikuandmete hoidmine ja kasutamine
4© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Näited: Target- 2013, Mossack Fonseca- 2016, Eesti „superandmebaas“
• Ohud (välised, sisesed, tehnoloogiast tingitud, inimvead, küberründed)
• Nõrkused (nõrgalt kaitstud varukoopiad, segmenteerimata arvutivõrgud, turvamata andmesideühendused, paberkoopiad, salvestusseadmed)
• Probleemid andmetega väljaspool organisatsiooni piire (partnerid, kaugtöö, BYOD, sotsiaalmeedia, IoT)
Kuidas isikuandmed võivad lekkida?
5© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Eesmärk on juurutada organisatsioonis kogum poliitikaid ja protseduure, mille järgimine annab kindluse, et määrusega kehtestatud nõudeid täidetakse
Üht ja kõigile sobivat raamistikku („compliance framework“) pole olemas
Variant 1: koostada ise Variant 2: võtta aluseks mõni üldtunnustatud infoturbestandard
Andmekaitse süsteemne haldus
TEHNOLOOGIA KÄIDELDAVUS
6© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Kas ja kuidas on lahendatud:• Varade haldus• Riskide haldus• Pääsuõiguste haldus• Muudatuste haldus• Intsidentide haldus• Pidev täiustamine - PDCA (Plan, Do, Check, Act)
Infoturbe võtmeprotsessid GDPR-i vaates
7© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Andmeid ei saa kaitsta teadmata, mis andmed organisatsioonis olemas on, kus nad paiknevad, mis tingimustel neid hoitakse ja kuidas kasutatakse
Kaardistada: andmete koosseis, andmete formaat, transportimise meetodid ja asukohadKlassifitseerida: avalikud andmed, sisemiseks kasutamiseks, salajased andmed
Küsimused:Mis eesmärki tahetakse saavutada? Kuidas isikuandmeid kogutakse? Kus isikuandmeid hoitakse? Kellel on neile juurdepääs? Milliste süsteemidega andmeid vahetatakse? Kes on andmete omanik? Mis andmetest edasi saab?
Millest alustada - isikuandmete kaardistamine
8© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
• GDPR artikkel 35
• Miks on andmekaitsealast mõjuhinnangut (DPIA) vaja?
• Kuidas seda läbi viia?
• Kes peavad olema kaasatud?
• DPIA kui osa organisatsiooni riskijuhtimise süsteemist
Millest alustada -andmekaitsealane mõjuhinnang
9© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
• Töötajate koolitamine
• „Security by Default“ ja „Security by Design“
• Juurdepääsuõiguste kontroll
• Krüptograafia kasutamine
• Füüsiline turvalisus
• Küberhügieen
• Lepingud kolmandate osapooltega
Andmete turvalisuse tagamine
10© 2016 KPMG Baltics OÜ, Eesti osaühing, Šveitsi ühinguga KPMG International Cooperative (ˮKPMG Internationalˮ) lepinguliselt seotudsõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud.
Mida juurutamisel silmas pidada: • Piisavate ressursside olemasolu (inimesed, aeg, raha) • Andmekaitse eestvedaja (andmekaitse ametniku nimetamine?)• Kriitiline edufaktor: juhtkonna pühendumus ja kaasatus • Kasuta abimaterjale – AKI juhendid, ISKE, COBIT, ISO/IEC 27001…• See ei ole ainult IT projekt!• Varu aega, alusta kohe!• Vajadusel kasuta välist abi!
Võimalike takistuste ennetamine
Tänan!
Teet RaidmaIT-nõustamisteenuste juhtKPMG Baltics OÜtraidma@kpmg.com
Esitatud informatsioon on üldise iseloomuga ja ei ole mõeldud ühegi kindla füüsilise või juriidilise isiku probleemide lahendusena. Ehkki soovime anda täpset ja ajakohast informatsiooni, ei saa garanteerida, et esitatud informatsioon on täpne ka selle saamise hetkel või pärast seda. Ükski kasutaja ei tohiks esitatud informatsioonist lähtuda ilma konkreetse situatsiooni põhjalikul analüüsil põhineva professionaalse nõustamiseta.
© 2016 KPMG Baltics OÜ, Eesti osaühing ja Šveitsi ühinguga KPMG International Cooperative (”KPMG International") lepinguliselt seotud sõltumatute ettevõtjate võrgustiku liige. Kõik õigused kaitstud. Trükitud Eestis.
GDPR compliance & development -approach and practical experience from client cases
Mikko Viemerö (CIPP/E, CIPM, CIPT, CISA, CISM)
Manager, KPMG Cyber Security
—
25.11.2016
2© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
THE GENERAL DATA PROTECTION REGULATION (”GDPR”) Direct applicability once in force
Applicable to all organisations that process personal data
Approval in spring 2016
Two year transition period binding 25 May 2018
Significant increase in sanctions (up to 20 MEUR / 4% of
global turnover)
Basic rights approach new duties for data controllers
and processors
3© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
1. A typical development project
Client communication to stakeholders
Phase 4• Development work
based on roadmap
• KPMG expertsupport
Phase 3• Prioritizeddevelopment
roadmap
Phase 2• Assessment of
Privacy gaps• Risk analysis• Recommen-
dations
Phase 1• High level
workshop to identify critical Privacy
Compliance areas within BA’s and
support functions (”Heat Map”)
Participation of Client experts
KPMG engagement management
Timeline approx. 12 – 16 weeks
GDPR Compliance
Timeline varies
CONFIDENTIAL
4© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
2. Conditions for a successful implementation
Management sponsorship
& support
Governance structures
and responsi-
bilities
Sufficientpolicies
Uniformpractices
Organiz. culture &
awareness
5© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
3. Accountable Privacy Governance
Läpinäkyvyys
Sisäiset arvioinnit
Dokumentaatio
Auditoinnit
Rekisteröityjen oikeuksien toteuttaminen
Hyvä hallintotapa
Kumppanuuksien hallinta
KoulutusTietosuojavastaavaRiskianalyysit
Tietovuotojen hallinta
Kv. tiedonsiirrot
Johtaminen ja vastuutus
ACCOUNTABILITY
Privacy Governance
Transparency
Risk-basedapproach
Policies & processes & documentatio
n
Data Protection
Officer
Privacy by Design
Data Governance
Training & awareness
Assurance & audit
Contract & supplier
management Sanctions!
6© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
4. Critical themes in development
Risk assessments Privacy governance and policies + implementation
Grounds for personal data processing
Processes; data lifecyclemanagement
Mapping of personal data, data flows & systems
Suppliers, contractmanagement and data
transfers
Requirements for ICTPrivacy by Design & security
7© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
5. Experiences from the field
Interpretation of GDPR requirements – risks and opportunities (risk-basedapproach!)
Insufficient knowledge overkill or abandonment of business opportunities
Role of DPO – independence crucial
Compliance initiatives – not only compared to the GDPR
Compensative controls as a tool for accountability
Change of culture inevitable in many cases
Legal – organizational – technical
8© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
PRIVACY PRINCIPLESPrivacy components are viewed against theinternationally recognised “Generally Accepted Privacy Principles”, which provide the foundation for our privacy management framework.
KPMG SUPPORTOur framework elements are the distinct components that organisations employ to help ensure compliance with applicable Privacy laws and regulations. They provide a practical and pragmatic structure for organising the day-to-day management and oversight required to mitigate Privacy risk exposures.
PRIVACY MANAGEMENT FRAMEWORKOur framework elements are the distinct components that organisations employ to help ensure compliance with applicable Privacy laws and regulations. They provide a practical and pragmatic structure for organising the day-to-day management and oversight required to mitigate Privacy risk exposures.
8
KPMG PRIVACY APPROACHPRIVACY MANAGEMENT FRAMEWORK
CONFIDENTIAL
9© 2016 KPMG Oy Ab, a Finnish limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
PRIVACY MATURITY MODELEXAMPLE
SUB COMPONENT
MATURITY LEVEL 1ADHOC
■ Evidence that the organisation has recognised that the issues exist and need to be addressed.
■ Processes not documented.
■ No standardised processes; instead, there are ad hoc approaches that tend to be applied on an individual or case-by-case basis.
■ In a state of dynamic change – driven in an ad hoc, uncontrolled, or reactive manner.
MATURITY LEVEL 2INITIAL
■ Minimal documentation.■ Repeatable, possibly
with consistent results by different people undertaking the same task.
■ Lacks rigorous process discipline – high degree of reliance on the knowledge of individuals and, therefore, errors are likely.
■ No formal training or communication of standard processes –responsibility is left to the individual.
MATURITY LEVEL 3
CONTROLLED
■ Defined and documented standard processes communicated through training.
■ Formal controls operate to ensure effective operation of processes.
■ Activities are consistently performed within key functions and business groups, but are not yet coordinated consistently across the organisation.
MATURITY LEVEL 4
MONITORED
■ Formal processes with review and approval built in, where appropriate, and that are communicated consistently across the organisation.
■ Activities are consistent and well coordinated across the organisation.
■ Independent assessment or audit to monitor the effectiveness of controls and processes.
■ Subject to some degree of improvement and changed over time.
MATURITY LEVEL 5
OPTIMISED
■ Efficiency and effectiveness of processes assessed using formal measures and processes.
■ Changes made to maintain efficiency over time.
■ Process seamlessly integrated across enterprise boundaries.GOVERNANCE
AND OPERATING
MODEL
PRIVACY MATURITY
Maturity levels
Brief description of the characteristics of the various maturity levels(will change depending on the process being evaluated)
DESIRED BASELINE
Maturity level indicator
Privacy Process being evaluated
CONFIDENTIAL
Document Classification: KPMG Confidential
© 2016 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
The KPMG name and logo are registered trademarks or trademarks of KPMG International.
KPMG Cyber Security / Privacy ServicesMikko Viemerö, Managermikko.viemero@kpmg.fiTel. +358 (0)20 760 3530
Eva JakuninRiskijuhtTelia Eesti
25 november 2016
ISIKUANDMETE KAITSE ÜLDMÄÄRUS
GDPR (General Data Protection Regulation) ehk Isikuandmete Kaitse Üldmäärus
25/11/2016
• Rakendub mais 2018• „1“ seadus? (veel ei ole selge meie IKS ega e-
privacy ega ESS saatus)• Puudutab nii avalikku kui erasektorit• Soodustab ettevõtete piiriülest äritegevust• Tugevdab eraisikute privaatsuse kaitset*• Kaasajastab ja selgitab nõudeid privaatsusele• jpm
Miks see määrus on Teliale oluline?
25/11/2016
• Määruse nõuetele mittevastamine saab olema väga kallis• Grupiülene risk (Balancing the risk of breaching “the rights and
freedoms of natural persons” against implementation cost)• Väline motiveerija sisemiste protsesside parendamiseks (tavaliselt
ei ole selleks aega)
Kuidas me kogu Telia Grupiga GDPR vastavuse suunas liigume
25/11/2016
Group steering*
Group Roadmap*
There can be security without privacy butnot privacy without security
GDPR Grupi tasandil 2016-20182016 2017 2018
Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2
INTERPRETATIONS• Group level
interpretations• Training and
support to Privacy Officers
• Steering documents
IT ARCHITECTURETarget architecture 2018 for GDPR
WORK STREAM MANAGEMENT
• Follow-up and reporting
• Communication• Assurance & audit
Group GDPR Interpretation Specifications
Agile Planning, Reviewing and Development Cycle for GDPR deliverables with countries and Group functions
Q4 Planning
Q1 Planning
Q2 Planning
Q3 Planning
Q4 Planning
Q1 Planning
Q2 Planning
Perform compliance reviews and audits in countries/g functionsAssurance Process& Audit POC
Pre-study & Plan
GDPR Work StreamPLANNING
GDPR Work Stream management, reporting, communication, follow up and reporting
Pre-study & plan IT (GDPR) Architecture Deliverables according to plan made during pre-study
Group GDPR Interpretation Specifications (updates)
Requirements for Security
Requirements for Procurement
Group Privacy Policy and Instruction (update)
EMPLOYEE PRIVACY Resourcing Deliveries according to plan
Group Privacy governance (update)
Communication plan Communication activities according to plan & maintenance of plan
25/11/2016
Projekti juhtrühm Äriline omanik
DPO
Riskijuht Juriidilise osakonna juht
Teenindus-direktor
IT süsteemi-arenduse juht IT projektijuht
Juristid
Personal
Protsessijuhid
Analüütiline turundus
Grupi Privacy Officer
Osalejad(vastavalt projekti etapile)
EST GREC
Ostuosakond
Andmearhitekt
TeeninduskanalidTurvaprojekt (VEGA EST)
Kohtumised 1x kuus
IT arendus25/11/2016
KES teevad?
GDPR tegevuskava ja seotud tegevused
Õiguslikud alused
Impact & complianceAssessment (PIA)
Uued arendused ja töötlemise eesmärgid
Andmete töötlemine täna
Nõus-olekud
Andmete kustutamine
Data portability
Andmetele ligipääs ja ülevaade
Andme-lekke
intsidendidTurvameetmed andmete konfidentsiaalsuse ja terviklikkuse tagamiseks
Andmelekete tuvastamine, analüüs
Turvaprojektid
Sisseost
Tegevuste juhtimine, ülevaatus ja raporteerimine
IT ja isikuandmete andmearhitektuur
Töötajate andmed
Infovarade ja tarnijate analüüs
Volitatud töötleja
GOVERNANCE
Turvalisuse analüüs arendusprojektides
Tarnijate vastavus ja auditeerimine
Privacy ostufunktsioonis
Privacy governance
Auditid
Contractual liability
Teadlikkus ja kommunikatsioon
Records of processing
Processes, services/products and IT
Varad ja hankijad
GDPR tegevuskava ( Group Security & Privacy)
VEGA turbeprojekt
Riigid ja funktsionaalsed üksused: juurutamisega seotud tegevused
4
5
25/11/2016
25/11/2016
Erisuste kaardistus
Privacy Officerivärbamine
Andmeturve
Andmete kustutamise
automatiseerimine
Privacy by design
Governance(steering, IT projekt)
2016 roadmap Telia Eestis
Andmete kaardistus (kliendiandmed toodetes, protsessides + töötajate andmed)
2017 tööplaan
Milline on Telia Eesti plaan
25/11/2016
• Eesti GDPR projekt• Eesti GDPR Roadmap• Andmete kaardistus (data mapping)• PIA (mõjuhinnang) privacy by design/by default• Privacy Data Breach Notification• Muudatused IT-s• Privaatsuspoliitikad ja tegevusjuhised• Koolitused
Väljakutsed Telia Eestis
25/11/2016
• Seadusandlus ei ole lõplik• Nõuetekohased nõusolekud• Data portability?• Minimaalsusprintsiip• Automaatne profileerimine (nõusolekud, lepingu sõlmimine)• Andmete volitatud töötleja (IT teenused)• Anonüümimine/Pseudonüümimine• Igapäevane kliendiandmete töötlemine
http://dontdothisatwork.teliacompany.com/customer-privacy.html
Aitäh!
25/11/2016
Millele pöörata tähelepanu andmekaitse üldmääruse
jõustumisel?
25.11.2016
Kärt Salumaa Justiitsministeeriumi avaliku õiguse talituse nõunik
TTÜ doktorant
Andmesubjekti õigused
• Õigus andmete parandamisele (GDPR art 16)• Õigus andmete kustutamisele (GDPR art 17)• Õigus isikuandmete piiramisele (GDPR art 18)• Andmete ülekandmise õigus (GDPR art 20) -> vajalik luua tehnilised
lahendused, mis võimaldaksid viia isikuandmed ühest elektroonilisest süsteemist teise.
• Õigus esitada vastuväiteid andmetöötluse osas (nt otseturundus, GDPR art 21)
• Andmesubjekti õigus, et tema kohta ei võetaks vastu otsust, mis põhineb profiilianalüüsil (GDPR art 22)
Andmesubjekti nõusolek (GDPR art 7)
• Kui isikuandmete töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.
• Info ettevõtjale taga see, et isikuandmete töötlemiseks antud nõusolekust jääb maha jälg – nii on hiljem lihtsam võimaliku vaidluse korral tõendada andmesubjekti poolt antud nõusoleku olemasolu!
Järelevalve – Andmekaitse Inspektsioon
• Järelevalvet isikuandmete töötlemise osas teostab sõltumatu järelevalveasutus Andmekaitse Inspektsioon (AKI).
• AKI ülesanded (GDPR art 57):- jälgib ja tagab GDPR kohaldamise;- tegeleb üldsuse isikuandmete alase teadlikkuse
suurendamisega;- toimetab uurimisi (lg 1 p h);- täidab mis tahes muid isikuandmete kaitsega seotud
ülesandeid.
Trahvid (GDPR art 83)
• Andmekaitsealaste rikkumiste korral maksimummääraks trahvide puhul 20 000 000€ või kuni 4% ettevõtte käibest.
• Trahvide määramisel lähtutakse rikkumise laadist, kestusest, ulatusest jt GDPR art 83 lg-s 2 toodud kriteeriumidest.
• EL-i siseselt vajadus karmimate reeglite järgi, et „hoida ohjes“ suuri gigante nagu Facebook, Google, Amazon jt.
• NB! Trahve on võimalik vältida tagades isikuandmete töötlemise vastavuse GDPR nõuetega – selleks tuleks ettevalmistusi tegema hakata juba täna!
Aga kui ikkagi ei lähe kõik nii, nagu tahtsid ja soovisid?• GDPR PP (85) Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja
õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et on toimunud isikuandmetega seotud rikkumine, peaks vastutav töötleja teatama isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui vastutav töötleja suudab kooskõlas vastutamise põhimõttega tõendada, et selle rikkumise tulemusena ei teki tõenäoliselt ohtu füüsilise isiku õigustele ja vabadustele. Kui 72 tunni jooksul teatamine ei ole võimalik, tuleks teatisele lisada selle hilinemise põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta.
Tööta välja rikkumisest teavitamise protsess, määra ettevõtte siseselt vastutavad isikud!
Data Protection Officer (DPO, andmekaitseametnik)
• GDPR kohaselt teatud juhtudel kohustus määrata DPO. • Kohustus määrata DPO (art 37), kui andmetöötleja
põhitegevuse hulka kuulub isikuandmete töötlemine, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise või töödeldakse isikuandmete eriliike (GDPR art 9).
• DPO ülesanne tagada asutusesiseselt tööprotsesside vastavus andmekaitsereeglitega (GDPR art 39).
Meelespea• Pea kinni andmetöötluspõhimõtetest!• Töötle minimaalses koguses isikuandmeid: ära kogu andmeid nö
„igaks juhuks“!• Vaata kriitiliselt üle andmetöötlusprotsessid ning kontrolli, et need
oleksid turvalised! Isikuandmete kaitseks tuleb rakendadaturvameetmeid, et kaitsta neid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest.
• Integreeri tehnilistesse lahendustesse andmekaitset tagavad meetmed (privacy by design + privacy by default, GDPR art 25).
• Hoia ennast isikuandmete nõuetega kursis (vt spetsiifilisemate andmetöötlusprotsesside kohta AKI juhendid www.aki.ee)!
• Uued reeglid muutuvad kohustuslikuks alates 25. maist 2018. a. Seni tuleb lähtuda isikuandmete kaitse seadusest (IKS).
Tänan tähelepanu eest!
top related