Kas olete valmis andmekaitse reeglite muudatuseks? | KPMG | EE

Kas olete valmis andmekaitse reeglite muudatuseks?

Kas olete valmis andmekaitse reeglite muudatuseks?

2018. aasta mais jõustub isikuandmete kaitse üldmäärus (GDPR), mida kõik ettevõtted peavad järgima hakkama. Kui uue määruse nõudeid ei täideta, võib trahv ulatuda kuni 4 protsendini ettevõtte globaalsest kogukäibest.

1000

Seotud teemad

GDPR

Ehkki GDPR kehtestab isikuandmete töötlemisele ranged reeglid, ei kujuta see ettevõtte jaoks ainult ohte ja kohustusi. Oma tegevuse GDPR-i nõuetega vastavusse viimine on ka strateegiline eelis ja ärivõimalus. Me elame ajastul, mil andmed on ettevõtte peamine vara ning paljude ettevõtete äritegevus põhineb andmete kasutamisel ja nende töötlemisel.

Kuidas pöörata GDPR-i nõuded ettevõtte kasuks?

Ettevõtted peavad endale teadvustama, et isikuandmed on nende strateegilise tähtsusega vara. Iga äriprotsessi, mis isikuandmeid kasutab, tuleb analüüsida. Konkurentsieelise saab see, kes mõistab paremini  oma olemasolevate ja potentsiaalsete klientide soove ning ettevõtte töötajate vajadusi. Seda on võimalik saavutada andmete teadliku ja tervikliku haldamise abil. 

Isikuandmete töötleja loob strateegia ja koostab andmetöötluse privaatsuspõhimõtted, mis võimaldavad klientidel aru saada, mis otstarbel nende isikuandmeid kasutatakse. Kui isikuandmeid ei töödelda seaduslikul alusel või pole selles eelnevalt kokku lepitud, siis võib olla tegemist isiku õiguste rikkumisega. Kuna kliendid eelistavad tegelikult näha järjest rohkem vajaduspõhiseid pakkumisi, isikupäraseid tooteid ja individuaalseid hindasid, siis peavad andmetöötluse eesmärgid ja protsess olema kliendi jaoks võimalikult läbipaistvad.

Oma kogemuste põhjal soovitame GDPR-i juurutamisel kasutada järgmist viieetapilist lähenemist:

1. Ettevõtte privaatsusstrateegia

Esiteks tuleb sõnastada privaatsusstrateegia, mis aitab saavutada ettevõtte eesmärke. Tippjuhtkond peab strateegia läbi arutama ja kinnitama. Kui juhtkond initsiatiivi ei toeta, on muudatusi raske ellu viia.

2. Hetkeolukorra kaardistus

Teise sammuna tuleb mõelda erinevate valdkondade puuduste ja eesseisvate ülesannete peale. Ettevõtte seisundit ei saa hinnata pelgalt lihtsate kontrollküsimuste abil. Hinnangu andmiseks peab teadma, kus ja miks isikuandmeid vaja läheb ning kes neid kasutab. Privaatsuse rikkumise riske tuleb hinnata ettevõtte kõigis tegevusvaldkondades. Kõige suuremaid probleeme tekitab andmemahtude kasv ja väliste teenusepakkujate kontrollimatu kasutamine. Riskide kaardistamisel tuleks arvestada nii otseste kui kaudsete kahjudega, kaasa arvatud mainekahju.

3. Tegevuskava

Riskide maandamise tegevuskava peab toetama ettevõtte üldist äristrateegiat. Detailse tegevuskava loomine on vahend, mis aitab edu saavutada ja seda hoida. Lisaks suuremate riskide maandamisele tuleb kirjeldada isikuandmete koosseisu, nende kogumise ja töötlemise eesmärke, seotud osapooli ning andmete säilitamise aega. Soovitame pöörata tähelepanu veel ka intsidendihaldusele, lepingutele kolmandate osapooltega, töötajate koolitamisele ja küberturvalisusele.

4. Koordineerimine ja meetmete rakendamine

Alustada tuleb kõige olulisemate riskide maandamisest. Riski elimineerimise asemel tuleks need viia aktsepteeritava tasemeni. Oluline on see, et andmekaitse meetmed saaks üheks osaks  igapäevasest tööprotsessist. Selleks et meetmete juurutamine õnnestuks, on vaja kindlakäelist projektijuhti ja sageli ka täiendavaid ressursse.

5. Andmekaitse kui osa ettevõtte põhitegevusest

Sellest ei piisa, kui ettevõttes tehakse muudatusi vaid selleks, et olla kooskõlas määrusega. Protsessid peavad toimima järjepidevalt ka tulevikus. Alates 2018. aastast peab ettevõte tagama isikuandmete töötlemise vastavuse määrusele. Vastutuse ja aruandluskohustuse põhimõtte kohaselt peab ettevõte suutma tõestada, et tegeleb isikuandmete kaitsega piisaval määral. Selleks peavad kõik isikuandmete töötlemist ja nende kaitset käsitlevad otsused ja perioodilised tegevused olema dokumenteeritud.

Lisainfo:

Teet Raidma

IT nõustamisteenuste juht

tel 667 6814

traidma@kpmg.com

© 2017 KPMG Baltics OÜ, an Estonian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

Võta meiega ühendust

 

Küsi pakkumist

 

Täida vorm