Üldine

7 olulist asja, mida õppisime GDPR-i ettevalmistamise ajal

Isikuandmete kaitse üldmäärus (lüh. GDPR) jõustus 25. mail ning sellest ei saa üle ega ümber. Samal ajal, kui põhifookus on suunatud müügile ja turundustegevusele, saavad mõjutatud ka inimressursid.

GDPR-i nõuete täitmata jätmisele võivad järgneda trahvid suurusjärgus 20 000 000 eurot või 4% ülemaailmsest käibest.

GDPR-i eesmärk on kaitsta isikuandmeid. Mida peetakse isikuandmeteks? Lühidalt vastates on need kõik andmed, mis on seotud kindla isikuga.

Pikem vastus: isikuandmed on mistahes informatsioon, mis on seotud kindla või kindlaksmääratava füüsilise isikuga (andmesubjekt). Kindlaksmääratav füüsiline isik on inimene, keda saab otseselt või kaudselt tuvastada; konkreetsemalt öeldes viidata tema nimele, isikukoodile, asukohaandmetele, võrguidentifikaatorile või muudele faktoritele, nagu isiku füüsiline, füsioloogiline, geneetiline, vaimne, majanduslik, kultuuriline või ühiskondlik identiteet.

Seega võib eeldada, et 95% kõikidest andmetest personalitarkvarades on isikuandmed. Alates eelmisest aastast, mil Begin alustas GDPR-i ettevalmistamist, on meie meeskond selle nimel töötanud koos klientide, ekspertide ja kohaliku järelevalveasutusega. Ettevalmistamise ajal oleme teemast teadlikumaks saanud ja soovime sellest jagada mõningaid õppetunde. Kuigi me oleme tööaja arvestuse eksperdid, kinnitas andmekaitseametnik, et need nipid toimivad iga personalitarkvara puhul, mida kasutate. Siin on 7 valdkonda, mida peaksite GDPR-i osas meeles pidama, kui valmistate ette oma tööjõu ja isikuandmeid.

1. Ettekavandatud turvalisus on esmatähtis

See on üks peamisi põhimõtteid ja peaks olema iseenesestmõistetav. Iga vahend, mida isikuandmete töötlemiseks kasutate, peab olema ehitatud turvaliselt. Juurdepääsukontroll, krüptitud andmebaas, pilveturve jne. Kui teie süsteem on firmasisene, küsige oma infotehnoloogilt nõu. Kui süsteem on kolmanda isiku oma, siis küsige temalt. Ettekavandatud turvalisuse mittehindamine tähendab oma firma hooletusse jätmist. Hooletusse jätmine lõpeb trahvidega. Kui kasutate tööjõu seas vanu süsteeme, ei pruugi need olla väärt säilitamist ja vajavad väljavahetust. Planeerige vastavalt.

2. Õigust “olla unustatud” peab austama

Igal ajal võib teie endine või praegune töötaja paluda teil kustutada oma andmed või osa neist. Isegi raamatupidamise seadused ei nõua teilt kõikide isikuandmete igavesti säilitamist. See tähendab, et teil peab olema võimalus vajadusel andmetest vabaneda.

Näiteks, Begini mobiilirakendus salvestab töötajate GPS-koordinaate tööaja alustamisel ja lõpetamisel. Sellist infot vajatakse enamasti ainult mõne kuu jooksul. Kliendi soovil saab neid andmeid kustutada nii ühekordselt kui ka regulaarselt.

3. Juurdepääsuõigused valmistavad peavalu

Töötaja võib teid paluda anda talle informatsiooni oma isikuandmete kohta, mida olete kogunud ning selgitada, kuidas ja miks neid töödeldakse. Võib olla peate esitama kõik need andmed loetavas ja arusaadavas vormis.
See tähendab, et teie personalitarkvaras peaks olema “isikuandmete aruanne”, kust saab välja võtta iga töötaja kohta kogutud andmed. Kui süsteemis sellist aruannet ei ole, siis tuleb iga sellise taotluse korral teha palju tööd käsitsi. Küsimusele “Mitu töötundi tegin ma eelmisel aastal?” vastamine on nüüdsest kohustuslik ja kuulub ettevõtte GDPR-i järgimise juurde.

4. Selgesõnalist nõusolekut on raske saavutada (aga võib vahele jätta)

Teie töötajad peavad andma selgesõnalise nõusoleku oma andmete salvestamise ja töötlemise kohta, eriti juhul kui jagate infot kolmandate osapooltega. Näiteks tunnilehtede haldamiseks isikuandmete pilvepõhisesse rakendusse üleslaadimisel. Ideaalis peaksid partnerid andma teile dokumendi, kus on määratud, mis nende lahenduses juhtub. Siis saate seda informatsiooni oma töötajatele esitleda ja/või lisada selle nende töölepingusse.
Tõenäoliselt võite nõusoleku vahele jätta, kui selgitate oma töötajatele selgesõnaliselt, et mõned töötlemistehted on vajalikud töölepingu täitmiseks.

5. Valmisolek suhelda aitab PALJU

On võimalik, et teie praegused või endised töötajad võtavad päringute osas ühendust teie personalitarkvara partneritega. See tähendab, et teie partneri töötajatel peab olema isikuandmetekaitsealane koolitus ja protsess, millega andmesubjekti nõuetega tegeleda. Partner, kes ei suuda sellist nõuet korrektselt rahuldada võib teie ettevõttele kahju tuua. Seega on mõistlik uurida, milliseid pingutusi on teie partnerid teinud oma töötajate GDPR väljaõppes. Pidage meeles, GDPR-i kohaselt on enamik ettevõtetest andmekontrollijad ja nende personalitarkvara on andmetöötleja. Andmekontrollijad vastutavad selle eest, et nende määratud andmetöötlejad oleks GDPR-iga vastavuses.

6. Kes vajab andmekaitseametnikku? Meie…

Andmekaitseametnik on töötaja, kes vastutab isikuandmete kaitse ja ettevõtte GDPR-i järgimise eest. Kõik ei vaja andmekaitseametnikku, kuid enamikul personalitarkvara pakkujatest läheb teda tarvis, kuna töödeldakse suurtes kogustes klientide isikuandmeid. Andmekaitseametniku poole pöördutakse abi saamiseks mistahes GDPR-i puudutavate probleemide puhul. Seaduse järgi peab ettevõttel olema andmekaitseametnik, kes nende kontakte loendab. Küsige oma partneritelt nende andmekaitseametniku ja tema kompetentsuse kohta.

Begini andmekaitseametnikul on peaaegu 20 aastat infotehnoloogia-alast kogemust tööjõutehnoloogia alal ning lai arusaam küberturvalisusest. Ta on teinud läbi ja kuulanud ligi 50 GDPR-i koolitust/ettekannet viimase 12 kuu jooksul.

7. Kui nemad käki keeravad, vastutad ikkagi sina (Teame, et meie nii ei tee!)

Tööandjana oled sina alati vastutav oma töötajate heaolu ja nende isikuandmete turvalisuse eest. GDPR-i kohaselt oled sina vastutav ka protsessorite probleemide eest ja tõenäoliselt ei aita sind ükski piiratud vastutuse klausel GDPR-i lepingu lisas. Seda eriti juhul, kui sa ei ole toiminud hoolsalt ja oled eiranud kohustust kontrollida oma partnereid, enne nendega isikuandmete jagamist.

See on alles algus

Meie Beginis usume, et ainult partnerlus klientidega saab tagada täieliku GDPR-i järgimise. Kindlasti ootavad meid ees uued väljakutsed ja ilmutused, kuid oleme alati pühendunud oma lahenduste vastavuses hoidmisele isikuandmete kaitse ja ka teiste seadustega.

Kui soovite saada rohkem teavet Begini GDPR-i järgimise kohta, võtke ühendust meiliaadressil privacy@begin.ee

Vladimir Jelov
12.06.2018

Populaarsemad

Proovi ja säästa oma aega ja raha

Oled juba Begini kasutaja?

Logi sisse Proovi tasuta
Wave