Siseaudiitorite Ühing ja Äripäev korraldasid sisekontrolli konverentsi teemal „Õigus olla unustatud“ 26. aprillil. Konverentsi fookus oli andmekaitsel 25. mail jõustuva isikuandmete kaitse üldmääruse valguses. Päevakava oli täidetud sisukate ja mitmekülgsete ettekannetega ning saal oli täidetud kuulajatega.
Konverentsi avaettekande tegi Kaitseväe juhataja kindral Riho Terras, kes rääkis kaitsest ja selle juhtimisest laiemalt. Osalejaid kaasa mõtlema ärgitades küsis Terras, kuidas ohtu defineerida? Millega on tegu? Arutelust selgus, et oht on esiteks võime, tahe ja motiiv ohu olukorda tekitada. Sealt edasi tuleks mõelda, kui suur on ohu tekkimise risk tegelikult ja kas meil on plaan ja vahendid ohu ennetamiseks või maandamiseks? Kindral Terras nentis, et ilma ressurssideta on strateegia vaid illusioon.
Terras rääkis ka väärtuste liidust – see tähendab, et oluline on leida ühised väärtused, kui soovitakse midagi ühiselt ära teha. Ühiste väärtusteta on koostegemine ja eesmärkide saavutamine keeruline, seda ka riigikaitses. Sama kehtib ka andmekaitse puhul, sest me vastutame kõik ühiselt andmekaitse eest!
Küsimused mõtlemiseks: kas olete mõelnud, mis on need väärtused või huvid, mida teie organisatsioon kaitseb ja milliste ohtudega peate arvestama? Või kas teie strateegiad on ressurssidega kaetud?
Viljar Peep, Andmekaitse Inspektsiooni peadirektor, avas oma ettekandes andmekaitse õiguslikku tausta. Ta rõhutas, et andmakaitse üldmääruse jõustumise näol on tegu evolutsiooniga mitte revolutsiooniga! Ta pani osalejatele südamele öeldes, et mõistlik organisatsioon peab vaatama andmekaitset tervikuna: see hõlmab nii isikuandmete kaitset kui küberturvalisust ning avalikus sektoris ka avaliku teabega seotud nõudeid. Viljar Peep selgitas, et kõik andmetöötlusega seotud nõuded, mis tulevad seadusest, ei vaja andmeomanikult nõusolekut. Samuti ei saa andmete haldajalt nõuda andmete kustutamist ega unustamist, kui teemaks on nt arved, kohustused, nõuded jne.
Andmekaitse Inspektsioon peab avalikus sektoris oluliseks andmete üks kord esitamise printsiipi ehk et me esitame riigile vajalikke andmeid vaid ühe korra (riik peab tagama vajalikud IT lahendused andmete jagamiseks ja kasutamiseks). Selle lähenemise eelduseks on andmetel üks ühine tunnus. Veel tuletas AKI juht meelde, et andmekaitse nõuetekohase rakendamise eest vastutab ettevõtte juhtkond. Andmekaitsega seotud juhiseid ja abimaterjale leiab huviline AKI kodulehelt.
Küsimused mõtlemiseks: kas teie organisatsioonil on kohustus värvata andmekaitsespetsialist? Kas teie andmed on kaardistatud ja kas seda kogu tegevuse ulatuses? Kas teie juhid tunnetavad oma vastutust?
Kristi Toommägi, Coop Pank AS-i operatsiooniriski ja vastavuskontrolli juht, rääkides andmete kaardistamisest ja kitsaskohtadest ütles, et esimese asjana tuleb endale selgeks teha, millised andmed on isikuandmed teie organisatsioonis. Ta selgitas, et näiteks ka valeandmed on isikuandmed, kuid väljamõeldud andmed mitte. Samuti ei kehti andmekaitsenõuded anonüümsetele andmetele. Isikuandmete üheks tunnuseks on see, et nende alusel on võimalik isiku tuvastamine ning see peab olema teostatav ka praktiliselt, mitte ainult teoreetiliselt.
Kristi Toommmägi rõhutas, et andmesubjekti õigused on alati piiratud teiste isikute õigustega ning andmesubjekti õigused ei tohi kahjustada teiste õigusi! Lisaks on väga oluline ka andmete kontekst – sama info võib ühe inimese käes olla käsitletav isikuandmetena, teise inimese käes aga mitte – oluline on, kas ta suudab nende alusel isiku tuvastada. Kristi Toommägi tõi äärmusliku, aga üldse mitte erakordse näite, et te võite näiteks leida isikuandmed ühe oma töötaja arvuti desktopilt ning ta on ka ainus, kellel on kontroll nende säilitamise ja kustutamise üle.
Küsimused mõtlemiseks: kas teie organisatsioonis on olemas selgus, millised andmed on isikuandmed? Kas teil on olemas igakülgne ülevaade isikuandmete asukohast oma organisatsioonis?
Karl Erik Esko, advokaadibüroo RASK advokaat, tegi ettekande töösuhetega seotud andmete teemal „Mida peab tööandja tegema ja mida ei tohi teha?“ Asutusel tuleb luua protsessid andmete töötlemiseks ning kontrollielemente kirjeldades öelda ka nende täpne eesmärk. Isikuandmete kaitsele tuleb mõelda nii töötaja värbamisel, töösuhte kehtimise ajal kui ka töösuhte lõppemisel. Esko selgitas, et töösuhtes andmete kogumine seadusest tuleneval alusel ei vaja nõusoleku küsimist andmete töötlemiseks. Küll aga nõuab töösuhte eelne andmete kogumine andmesubjekti nõusolekut. Ning lisas, et kandideerimisdokumentide esitamisel eeldatakse, et isik on nõus oma andmete töötlemisega.
Ettekande tegija rääkis ka eriliigilistest andmetest (delikaatsed isikuandmed) ja rõhutas, et selliseid andmeid ei tohi töödelda, va seaduses sätestatud juhtudel kui see on rangelt vajalik. Karl Erik Esko ettekanne pani mõtlema, kas ja kuivõrd me teadvustame, kes on meie organisatsioonis isikuandmete töötlejad – on need raamatupidajad, personalitöötajad, sise- ja välisaudiitorid või veel keegi?
Küsimused mõtlemiseks: kas te võtate tööle kandideerijatelt nõusoleku nende andmete töötlemiseks? Teie organisatsiooni põhiprotsessid on kirjeldatud, aga kas töötajad neid kordasid ka teavad? Kas nad mõistavad kontrollielementide vajalikkust ja seost oma tööülesannetega?
Kaur Siruli Rahandusministeeriumist rääkis eurotoetustega seotud nõuetest ja bürokraatiast. Samas tõstatas ta ka selles valdkonnas andmekaitsega seotud küsimuse - kui palju liikmesriikides teatakse, mis teistes riikides seoses eurotoetustega toimub? Kuigi enamasti keegi ei taha, et nendega seotud rikkumiste infot teised teaksid, siis puht professionaalselt vaadates võiksid teemaga seotud ametkonnad seda praktikat jagada vältimaks samade vigade kordamist oma riikides eurotoetusi hallates ja kontrollides. Kaur Siruli pani osalejatele südamele, et osaledes andmekaitse teemalistel seminaridel ja konverentsidel on tark jagada kolleegidega oma parimaid praktikaid.
Küsimused mõtlemiseks: kas te jälgite oma valdkonna parimaid praktikaid ja jagate neid ka ise teistega?
Üldmääruse valguses peab isikuandmete töötlemine olema läbipaistev, see põhimõte on sama ka isikuandmete kaitse seaduses. Politsei- ja Piirivalveameti õigusbüroo jurist Eneli Nõmm selgitas, et PPA on üks nendest asutustest, kes töötleb väga palju erinevaid isikuandmeid, sh ka juurdepääsupiiranguga andmeid. Politsei saab inimestelt igapäevaselt päringuid andmete väljastamiseks, aga on tõenäoline, et uue seaduse valguses päringute hulk oluliselt kasvab. See aga tähendab selgituskohustuse mahu hüppelist kasvu selgitamaks inimestele, millal ja milliseid andmeid saab neile väljastada. Siseaudiitoritena saame nõuandjatena olla oma organisatsioonile toeks, et päringute vastused oleksid korrektsed ning turvalised.
Küsimused mõtlemiseks: kas teie organisatsioon on teadlik andmetega seotud juurdepääsupiirangutest? Kas kehtestatud piirangud on proportsionaalsed? Kuidas on tagatud andmete väljastamisel saaja isiku tuvastamine? Kas andmete väärkasutamise vältimiseks on päringule vastamisel andmed kaitstud nt krüpteerimisega?
Riigikontrolli nõunik Airi Mikli tõi välja andmekaitsega seotud kitsaskohti avaliku sektori korruptsiooni ennetuses - tehingud seotud isikutega on üks selline valdkond. Korruptsiooni ennetuses küsitakse juhtivatelt töötajatelt nendega seotud isikuid, sh sugulased, pereliikmed jne. Kuidas see nõue aga paistab AKI kontekstis? Ilmselt pole see asjakohane. Samas peab ettevõte avaldama tehingud seotud isikutega korruptsioonivastase seaduse nõude täitmise kontrolliks ning ühtlasi tagama majandusaasta aruandes avaldatud info õigsuse.
Airi Mikli tuletas meelde, et kuigi tööandjad võtavad oma töötajatelt nõusoleku koguda andmeid ka nende pereliikmete kohta, võib siiski juhtuda, et asutus on kogunud kolmandate isikute andmeid ilma nende teadmata.
Küsimused mõtlemiseks: kas teate, milliseid andmeid teie asutuses on kogutud nt töötaja pereliikmete kohta? Milleks neid andmeid kasutatakse või kas üldse keegi neid tegelikult kasutab?
Carri Ginter, advokaadibüroo Sorainen partner ja vandeadvokaat, rääkis oma vahetust kogemustest koostööst siseauditiga ja jagas tähelepanekuid koostööst juhatuse, nõukogu ja siseauditi vahel. Kogemuslugu pärines ajast, kui ta sattus ajutiselt juhtima Tallinna Sadamat mõned aastad tagasi. Juhatuses olles täheldas ta ühe ilminguna, et kuigi kõik olulisemad tegevused olid sise- ja töökordadega kaetud, oli probleemiks, et neid tegelikult ei järgitud. Ka sai ta aru, et siseaudit oli teinud aastate jooksul väga head tööd ja kogu olulise info ka nõukogusse viinud, kuid nõukogu ei teinud otsuseid vaid „võttis info teadmiseks“ ehk sisuline koostöö nõukogu ja siseauditi vahel kahjuks puudus. C. Ginter on seisukohal, et mida rangem on reegel, seda vähem seda vabatahtlikult täidetakse. Lisaks on selles oluline osa ka organisatsioonikultuuril ehk kas keskastme ja ka tippjuhid näitavad oma käitumisega head eeskuju.
Küsimused mõtlemiseks: kas teie organisatsioonis on olemas vajalikud töökorrad, sh andmekaitsega seotud reeglid ja kas neid ka täidetakse ja kui ei, siis mis põhjustel? Milliseid väärtusi teie juhtkond hindab ja järgib? Kas väärtuste süsteem hõlmab ka isikuandmete kaitset?
Konverentsi moderaator Oliver Gross alustas paneeldiskussiooni küsimusega, et soovides olla unustatud, siis kuidas saame kindlad olla, et meie andmed ikkagi on kustutatud. Arutelu fookusesse tõusis aga kohe järgmine küsimus, kas me ikka kindlasti tahame, et meie andmed kustutatakse? Näiteks kui pank kustutab kirjalikud nõusolekud, pangaülekannete info või muu sellise info, siis kuidas me ennast kaitseme võimalikes vaidlustes või tõestaksime oma võlanõuete täitmist. Seega, kuigi meil on teatud andmete osas õigus olla unustatud, siis mõelgem enne väga hästi järgi, kui seda õigust realiseerima asute. Olles ise andmete omanik, ärge unustage pöörata tähelepanu ka seadusest tulenevatele andmete säilitustähtaegadele.
Ka tõstatus küsimus, mis on tegelikult andmete töötlemine? IT-d kasutades töödeldakse serverites andmeid kogu aeg, et vastata andmepäringutele. Kas see on töötlemine või siiski mitte?
Kogu konverentsipäeva on hea kokku võtta Kristi Toommägi välja öeldud mõistega lõimitud andmekaitse – me kõik peame iga päev oma töös andmekaitsele mõtlema. See ei ole vaid andmekaitsespetsialisti ja juhtkonna ülesanne.