Sinu, minu, meie andmed ehk vastutav ja volitatud töötleja

Postkaste tabanud kirjadelaviin hakkab vaibuma ning kõik, kes seni ilma mõistliku aluseta andmeid töötlesid, on loodetavasti vastuse küsimusele “Kas me oleme ikka päriselt sõbrad, ütle jah?” kätte saanud või andmed hoolsasti ära kustutanud. Projektiplaani on joonistatud suur roheline linnuke “GDPR – tehtud!” ning elu läheb vanamoodi edasi.

Oleks vaid asi meie suhtega niisama lihtne… sest meil on ju andmed! Minu andmed, Sinu andmed, meie andmed ning lisaks nendega seotud ootused, lootused ja lubadused. Kes vastutab, kes kamandab, kes otsustab, keda volitab andmetega tegelema? Me peame sellest rääkima!

Kui lugemine tundub igav, siis võid vaadata ka ettekannet, mille tegin 22. mail toimunud Andmekaitseinpsektsiooni ja TTÜ teabepäeval ja kus räägin enam-vähem sama juttu.

Mis andmetest Sa räägid?

Peamiselt isikuandmetest. Zone teenustega seoses võiks need jagada kolmeks:

  • kliendiandmed (üks sõna) – enamasti seotud kliendikonto ja registreeritud domeenidega ning vajalikud teenuste osutamiseks (nt kontaktisiku andmed ja kontoga seotud tegevused); Zone on vastutav töötleja;
  • kliendi andmed (kaks sõna, laiema mõistena kliendi infovarad) – kõik see, mille Zone klient on teenuste kasutamise käigus serveri(te)sse üles laadinud või mis on tekkinud serveri(te) kasutamise käigus, näiteks registreerunud kasutajad ja e-poe tellimused, suhtlus ja logid; klient on vastutav töötleja, Zone on volitatud töötleja;
  • kasutusandmed – Zone infrastruktuuri ja teenuste turvalisuse tagamiseks, analüüsiks või arenduseks kogutavad andmed, nt erinevad logid ja analüütikalahendused, mis võivad sisaldada andmeid kasutajate ehk otseselt või kaudselt tuvastatavate füüsiliste isikute kohta; Zone on vastutav töötleja.

Kliendiandmete ja kasutusandmetega on lihtne: Zone on vastutav töötleja, need käivad meie privaatsuspoliitika alla, meil on paigas infoturbe juhtimissüsteemi põhimõtted ning protsessid privaatsuse ja eraelu puutumatuse tagamiseks (nt ligipääs andmetele on rangelt piiratud töökohustuste täitmisega, iganenud andmed kustutatakse jne), meie poolt kasutatavad volitatud töötlejad on hoolega valitud ja nimekiri veebis näha ning keskkasutajalepingu ja teenuste üldtingimuste punktid 9 ja 10 on senisest veidi põhjalikumalt lahti kirjutatud kasutades üldmäärusega sobituvat sõnastust. Kui on mingi mure, võid kirjutada andmekaitse@zone.ee, see jõuab joonelt Peeter Marveti (andmekaitsespetsialisti rollis) ja Ardi Jürgensi (infoturbejuhi rollis) postkasti. Kõik asjassepuutuvad viited leiab zone.ee veebi jaluses viidatud Isikuandmete kaitse (s.h GDPR) lehelt, sealt asub ka mõnede suuremate organisatsioonide poolt vajalikuks peetava isikuandmete lisakokkuleppe vorm (meie hinnangul täidab ka keskkasutajaleping kõik nõudmised ning see pole tegelikult vajalik).

Kliendi andmete osas on lugu aga keerulisem – kuna andmed on salvestatud meie serverisse ja liiguvad meie võrgus, siis oleme paratamatult volitatud töötlejaks. Serveriteenuse olemusest lähtuvalt me aga ei tea, mis andmeid klient meie serveris töötleb ja käsitleme neid kui “potentsiaalselt isikuandmeid” (ehk ülima ettevaatlikkusega). Ja klient on vastutav töötleja.

Vastutav… mille eest?

Vastutav töötleja on see, kes “määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid” ning “rakendab […] asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas [isikuandmete kaitse üld]määrusega” (ehk GDPR-iga).

Kes tahab põhjalikumat ülevaadet, see vaatab AKI Isikuandmete töötleja üldjuhendit

Praktikas tähendab see ennekõike seda, et klient:

  • omab ülevaadet töödeldavatest andmetest: mida täpselt kogutakse, mis eesmärgil, millisel alusel, kaua säilitatakse, kuidas turvatakse ja kellele edastatakse;
  • paneb selle kõik “mehele Kopli trammis” arusaadavalt andmekaitsetingimustesse (“privaatsusteade”) kirja;
  • oskab vastata küsimusele “mis andmeid te minu kohta töötlete?” ning suudab need soovi korral masinloetavalt väljastada või ära kustutada;
  • on volitatud töötlejate valikul olnud hoolas ning nendega töötlemise tingimustes kokku leppinud (kirjalikult);
  • teab mida teha juhul, kui peaks juhtuma andmeleke.

Praktika läks vist ikka veidi teoreetiliseks – proovime veelkord…

Praktiline näide: WordPress ja kontaktivorm

Üldistame ühe reaalse kliendiküsimuse, mis puudutas enam-vähem sellist olukorda:

  • Zone Virtuaalserver
  • paigaldatud WordPress
  • kontaktivorm: Gravity Forms (või Contact Form 7)
  • privaatsuspoliitika veebis olemas
  • kogutud kontaktid eksporditakse perioodiliselt turundus-assistendi poolt ja imporditakse kliendihaldustarkvarasse (nt Pipedrive) ja nõusoleku-linnukese olemasolul ka e-posti-turundus-lahendusse (nt Mailchimp)
  • samas Virtuaalserveris on ka üks vana kampaania-maandumisleht (Drupal, misiganes põhjusel)

Hakkame ülevalt pihta:

  • kasutajakonto loomisel nõustus klient Zone teenuste üldtingimustega ja sõlmis keskkasutajalepingu, see on kirjalik leping volitatud töötlejaga, milles on alati olnud punktid isikuandmete kaitse ning konfidentsiaalsuse kohta, uues versioonis oleme need ka täpsemalt lahti kirjutanud;
  • lepingu ja teenuse (eri)tingimuste alusel Zone poolt turvatav ja hallatav osa ulatub Virtuaalserveri puhul tarkvaraplatvormi ehk veebi- ja andmebaasiserverini ehk see “punane ala” on kaetud:

  • “halli ala” ehk WordPressi haldamine ja turvamine on aga tavapäraselt kliendi vastutus, loodetavasti on selleks tööks palgatud veebiagentuur või -meister ning vastutuse ja igakuise töömahu kohta leping sõlmitud;
  • ülejäänud teenused: Pipedrive kasutustingimused katavad üldmääruse nõuded kenasti ära ja tegu on EL ettevõttega, MailChimp on aga USAst ning nende puhul tasub veenduda Privacy Shield sertifikaadi olemasolus ning sõlmida andmetöötlust puudutava lisakokkulepe ehk data processing amendement.

Juriidiliselt peaks nüüd kõik korras olema, aga vaatame igaks juhuks ka sisulise/tehnilise poole üle:

Kuidas andmed liiguvad?

Kontaktivorm salvestab andmeid veebiga samasse andmebaasiserverisse:

  • andmed on näha WordPressis haldusliideses – kas sellele pääsevad ligi kõik kasutajad või ainult need, kellel on vaja?
  • andmed on WordPressiga samas andmebaasis – kas on kindel, et arendustööks WordPressi kopeerides ei satu need veebimeistri arvutisse?

Kontaktivorm saadab e-posti iga uue kontakti kohta:

  • kas e-postis sisaldub isikuandmeid või ainult teave uue kontakti kohta?
  • kas teavitus läheb ainult asjakohase töötaja e-postile või üldaadressile?

Kontaktid eksporditakse .csv faili ja imporditakse CRMi ja otseturunduslahendusse:

  • kas see tegevus on turvaline, mh assistendi arvutis viirusetõrje ja tugev parool?
  • kas allalaetud fail saab pärast importi kustutatud?
  • kas kontaktid kustutatakse pärast eksporti WordPressist (lõplikult, mitte ei satu “prügikasti”)?
  • kuidas on tagatud, et nt uudiskirjast loobumisel kajastub “nõusoleku tagasivõtmine” ka CRMis ja aadress nt mõne segmendi alusel uuesti otseturundust saama ei hakka?

Need sammud on hea meeles pidada, sest varem või hiljem tekib kellelgi küsimus:

Aga mis siis saab, kui juhtub andmeleke?

Tõepoolest, meil on ju varuks “must luik” ehk üks vana Drupal. Ilmselt on selles paikamata Drupalgeddon nime all tuntud haavatavus, see veeb häkitakse ühel päeval maha ja esilehele riputatakse ISISe lipp.

Kuna isikuandmed on sisuliselt “kõrvalkataloogis”, siis võib tegu olla ka isikuandmete lekkega ning tuleks hinnata selle mõju ning vajadusel teavitada Andmekaitseinspektsiooni ja lekkest puudutatud isikuid.

Veebiserveri puhul on seejuures üsna raske tuvastada, kas sissetungija midagi peale näotustamise veel tegi, aga üldmääruse kontekstis võiks kliendiandmete kopeerimine ja “tagasimüümine” olla kurjategijatele heaks lisateenistuseks.

Kuidas paremini teha?

Võimalusi on mitmeid – aga need kõik sisaldavad mingil moel avaliku veebi ja isikuandmete lahus hoidmist ning lepingut kellegagi, kes tagab turvalisuse:

  • alustame sellest, et levinud soov “paneme ühte Virtuaalserverisse kõik veebid kokku” ei ole riskide maandamise seisukohalt üldse hea mõte – kui häkitakse maha üks veeb on sisuliselt kompromiteeritud ka kõik ülejäänud ning nende puhastamine tükk tööd mille hind saab olema oluliselt suurem, kui eraldi Virtuaalserverite aastamaks;
  • kontaktide registreerimise saaks teostada ka nii, et veebilehel kuvatakse Pipedrive veebivormi (või Mailchimp’i oma) ning andmed lähevad otse nende vastutuse all olevasse serverisse – siis kaob kogu WordPressi ja veebiserveri probleem üldse ära;
  • … ning Pipedrive ning Mailchimpi ühendamisega tegeleb uus startup Outfunnel, mis on võtnud eesmärgiks lahendada ühelt poolt turunduse ja teiselt poolt andmekaitse küsimused.

Lisaks võib ka Zonega rääkida WordPressi (ja teiste veebirakenduste) haldamisest, aga selleks saab olema üks teine leping ning see on alles tegemisel 🙂

Küsida saab kommentaariumis – kui oskame, siis vastame (kui ei oska, siis õpime ja seejärel vastame).