Sinu, minu, meie andmed ehk vastutav ja volitatud töötleja

Postkaste tabanud kirjadelaviin hakkab vaibuma ning kõik, kes seni ilma mõistliku aluseta andmeid töötlesid, on loodetavasti vastuse küsimusele “Kas me oleme ikka päriselt sõbrad, ütle jah?” kätte saanud või andmed hoolsasti ära kustutanud. Projektiplaani on joonistatud suur roheline linnuke “GDPR – tehtud!” ning elu läheb vanamoodi edasi.

Oleks vaid asi meie suhtega niisama lihtne… sest meil on ju andmed! Minu andmed, Sinu andmed, meie andmed ning lisaks nendega seotud ootused, lootused ja lubadused. Kes vastutab, kes kamandab, kes otsustab, keda volitab andmetega tegelema? Me peame sellest rääkima!

Kui lugemine tundub igav, siis võid vaadata ka ettekannet, mille tegin 22. mail toimunud Andmekaitseinpsektsiooni ja TTÜ teabepäeval ja kus räägin enam-vähem sama juttu.

Mis andmetest Sa räägid?

Peamiselt isikuandmetest. Zone teenustega seoses võiks need jagada kolmeks:

  • kliendiandmed (üks sõna) – enamasti seotud kliendikonto ja registreeritud domeenidega ning vajalikud teenuste osutamiseks (nt kontaktisiku andmed ja kontoga seotud tegevused); Zone on vastutav töötleja;
  • kliendi andmed (kaks sõna, laiema mõistena kliendi infovarad) – kõik see, mille Zone klient on teenuste kasutamise käigus serveri(te)sse üles laadinud või mis on tekkinud serveri(te) kasutamise käigus, näiteks registreerunud kasutajad ja e-poe tellimused, suhtlus ja logid; klient on vastutav töötleja, Zone on volitatud töötleja;
  • kasutusandmed – Zone infrastruktuuri ja teenuste turvalisuse tagamiseks, analüüsiks või arenduseks kogutavad andmed, nt erinevad logid ja analüütikalahendused, mis võivad sisaldada andmeid kasutajate ehk otseselt või kaudselt tuvastatavate füüsiliste isikute kohta; Zone on vastutav töötleja.

Kliendiandmete ja kasutusandmetega on lihtne: Zone on vastutav töötleja, need käivad meie privaatsuspoliitika alla, meil on paigas infoturbe juhtimissüsteemi põhimõtted ning protsessid privaatsuse ja eraelu puutumatuse tagamiseks (nt ligipääs andmetele on rangelt piiratud töökohustuste täitmisega, iganenud andmed kustutatakse jne), meie poolt kasutatavad volitatud töötlejad on hoolega valitud ja nimekiri veebis näha ning keskkasutajalepingu ja teenuste üldtingimuste punktid 9 ja 10 on senisest veidi põhjalikumalt lahti kirjutatud kasutades üldmäärusega sobituvat sõnastust. Kui on mingi mure, võid kirjutada andmekaitse@zone.ee, see jõuab joonelt Peeter Marveti (andmekaitsespetsialisti rollis) ja Ardi Jürgensi (infoturbejuhi rollis) postkasti. Kõik asjassepuutuvad viited leiab zone.ee veebi jaluses viidatud Isikuandmete kaitse (s.h GDPR) lehelt, sealt asub ka mõnede suuremate organisatsioonide poolt vajalikuks peetava isikuandmete lisakokkuleppe vorm (meie hinnangul täidab ka keskkasutajaleping kõik nõudmised ning see pole tegelikult vajalik).

Kliendi andmete osas on lugu aga keerulisem – kuna andmed on salvestatud meie serverisse ja liiguvad meie võrgus, siis oleme paratamatult volitatud töötlejaks. Serveriteenuse olemusest lähtuvalt me aga ei tea, mis andmeid klient meie serveris töötleb ja käsitleme neid kui “potentsiaalselt isikuandmeid” (ehk ülima ettevaatlikkusega). Ja klient on vastutav töötleja.

Vastutav… mille eest?

Vastutav töötleja on see, kes “määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid” ning “rakendab […] asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas [isikuandmete kaitse üld]määrusega” (ehk GDPR-iga).

Kes tahab põhjalikumat ülevaadet, see vaatab AKI Isikuandmete töötleja üldjuhendit

Praktikas tähendab see ennekõike seda, et klient:

  • omab ülevaadet töödeldavatest andmetest: mida täpselt kogutakse, mis eesmärgil, millisel alusel, kaua säilitatakse, kuidas turvatakse ja kellele edastatakse;
  • paneb selle kõik “mehele Kopli trammis” arusaadavalt andmekaitsetingimustesse (“privaatsusteade”) kirja;
  • oskab vastata küsimusele “mis andmeid te minu kohta töötlete?” ning suudab need soovi korral masinloetavalt väljastada või ära kustutada;
  • on volitatud töötlejate valikul olnud hoolas ning nendega töötlemise tingimustes kokku leppinud (kirjalikult);
  • teab mida teha juhul, kui peaks juhtuma andmeleke.

Praktika läks vist ikka veidi teoreetiliseks – proovime veelkord…

Praktiline näide: WordPress ja kontaktivorm

Üldistame ühe reaalse kliendiküsimuse, mis puudutas enam-vähem sellist olukorda:

  • Zone Virtuaalserver
  • paigaldatud WordPress
  • kontaktivorm: Gravity Forms (või Contact Form 7)
  • privaatsuspoliitika veebis olemas
  • kogutud kontaktid eksporditakse perioodiliselt turundus-assistendi poolt ja imporditakse kliendihaldustarkvarasse (nt Pipedrive) ja nõusoleku-linnukese olemasolul ka e-posti-turundus-lahendusse (nt Mailchimp)
  • samas Virtuaalserveris on ka üks vana kampaania-maandumisleht (Drupal, misiganes põhjusel)

Hakkame ülevalt pihta:

  • kasutajakonto loomisel nõustus klient Zone teenuste üldtingimustega ja sõlmis keskkasutajalepingu, see on kirjalik leping volitatud töötlejaga, milles on alati olnud punktid isikuandmete kaitse ning konfidentsiaalsuse kohta, uues versioonis oleme need ka täpsemalt lahti kirjutanud;
  • lepingu ja teenuse (eri)tingimuste alusel Zone poolt turvatav ja hallatav osa ulatub Virtuaalserveri puhul tarkvaraplatvormi ehk veebi- ja andmebaasiserverini ehk see “punane ala” on kaetud:

  • “halli ala” ehk WordPressi haldamine ja turvamine on aga tavapäraselt kliendi vastutus, loodetavasti on selleks tööks palgatud veebiagentuur või -meister ning vastutuse ja igakuise töömahu kohta leping sõlmitud;
  • ülejäänud teenused: Pipedrive kasutustingimused katavad üldmääruse nõuded kenasti ära ja tegu on EL ettevõttega, MailChimp on aga USAst ning nende puhul tasub veenduda Privacy Shield sertifikaadi olemasolus ning sõlmida andmetöötlust puudutava lisakokkulepe ehk data processing amendement.

Juriidiliselt peaks nüüd kõik korras olema, aga vaatame igaks juhuks ka sisulise/tehnilise poole üle:

Kuidas andmed liiguvad?

Kontaktivorm salvestab andmeid veebiga samasse andmebaasiserverisse:

  • andmed on näha WordPressis haldusliideses – kas sellele pääsevad ligi kõik kasutajad või ainult need, kellel on vaja?
  • andmed on WordPressiga samas andmebaasis – kas on kindel, et arendustööks WordPressi kopeerides ei satu need veebimeistri arvutisse?

Kontaktivorm saadab e-posti iga uue kontakti kohta:

  • kas e-postis sisaldub isikuandmeid või ainult teave uue kontakti kohta?
  • kas teavitus läheb ainult asjakohase töötaja e-postile või üldaadressile?

Kontaktid eksporditakse .csv faili ja imporditakse CRMi ja otseturunduslahendusse:

  • kas see tegevus on turvaline, mh assistendi arvutis viirusetõrje ja tugev parool?
  • kas allalaetud fail saab pärast importi kustutatud?
  • kas kontaktid kustutatakse pärast eksporti WordPressist (lõplikult, mitte ei satu “prügikasti”)?
  • kuidas on tagatud, et nt uudiskirjast loobumisel kajastub “nõusoleku tagasivõtmine” ka CRMis ja aadress nt mõne segmendi alusel uuesti otseturundust saama ei hakka?

Need sammud on hea meeles pidada, sest varem või hiljem tekib kellelgi küsimus:

Aga mis siis saab, kui juhtub andmeleke?

Tõepoolest, meil on ju varuks “must luik” ehk üks vana Drupal. Ilmselt on selles paikamata Drupalgeddon nime all tuntud haavatavus, see veeb häkitakse ühel päeval maha ja esilehele riputatakse ISISe lipp.

Kuna isikuandmed on sisuliselt “kõrvalkataloogis”, siis võib tegu olla ka isikuandmete lekkega ning tuleks hinnata selle mõju ning vajadusel teavitada Andmekaitseinspektsiooni ja lekkest puudutatud isikuid.

Veebiserveri puhul on seejuures üsna raske tuvastada, kas sissetungija midagi peale näotustamise veel tegi, aga üldmääruse kontekstis võiks kliendiandmete kopeerimine ja “tagasimüümine” olla kurjategijatele heaks lisateenistuseks.

Kuidas paremini teha?

Võimalusi on mitmeid – aga need kõik sisaldavad mingil moel avaliku veebi ja isikuandmete lahus hoidmist ning lepingut kellegagi, kes tagab turvalisuse:

  • alustame sellest, et levinud soov “paneme ühte Virtuaalserverisse kõik veebid kokku” ei ole riskide maandamise seisukohalt üldse hea mõte – kui häkitakse maha üks veeb on sisuliselt kompromiteeritud ka kõik ülejäänud ning nende puhastamine tükk tööd mille hind saab olema oluliselt suurem, kui eraldi Virtuaalserverite aastamaks;
  • kontaktide registreerimise saaks teostada ka nii, et veebilehel kuvatakse Pipedrive veebivormi (või Mailchimp’i oma) ning andmed lähevad otse nende vastutuse all olevasse serverisse – siis kaob kogu WordPressi ja veebiserveri probleem üldse ära;
  • … ning Pipedrive ning Mailchimpi ühendamisega tegeleb uus startup Outfunnel, mis on võtnud eesmärgiks lahendada ühelt poolt turunduse ja teiselt poolt andmekaitse küsimused.

Lisaks võib ka Zonega rääkida WordPressi (ja teiste veebirakenduste) haldamisest, aga selleks saab olema üks teine leping ning see on alles tegemisel 🙂

Küsida saab kommentaariumis – kui oskame, siis vastame (kui ei oska, siis õpime ja seejärel vastame).

Isikuandmete kaitse üldmäärus GDPR – Mis see on?

Seekordne kirjatöö käsitleb sellist kuuma teemat nagu isikuandmete kaitse üldmäärus ehk GDPR, mis puudutab kõiki ettevõtteid, organisatsioone ja füüsilisi isikuid Euroopas. Proovime sellest kirjutada paanikat külvamata.

Järgmise aasta 25. mail rakendub Euroopa Parlamendi ja nõukogu määrus 2016/679 (General Data Protection Regulation ehk GDPR). Ühe teooria kohaselt järgnevad sellele inimohverdused, kasside ja koerte kokku kolimine ning massihüsteeria. [1] Kui see ennustus valeks peaks osutuma, on alternatiiv keskpärane reede, vahelduva pilvisusega ilm ja uue ajajärgu algus isikuandmete kaitses.

Eelnev on loomulikult kirjutatud sõbraliku pilkega silmanurgas. Ma ei arva, et GDPR on senitundmatu apokalüpsise ratsanik ja mulle meeldib heita nalja müügimeeste üle, kes uue määrusega hirmutades meile juba tükk aega erinevat nodi maha müüa üritavad – alates tüüplepingutest, tulemüüridest ning lõpetades USB pulkadega. Nende entusiasm meenutab seda, mis toimus 90-ndate lõpus, kui kõikide IT-kaupmeeste keelel oli lühend Y2K 🙂

Isikuandmete kaitse määrus on oluline seadusandlik akt, millega peaksid ideaalis end kurssi viima kõik ettevõtjad. Aga suur osa selle nõudmistest eksisteerib juba olemasolevates seadustes. GDPR ütleb oma sõnumi välja senisest täpsemalt, konkreetsemalt, jõulisemalt ja seob võimalikud rikkumised kopsakate trahvidega. See võib tunduda üle pea käiv, aga ei maksa lasta ennast ehmatada.

Zone on uue määruse jaoks üks suuremaid sihtmärke, kuna meil on isikuandmete töötlemises kanda kaks rolli:

  • vastutav töötleja, kes kogub ja töötleb isikuandmeid puhtalt enda seaduslike eesmärkidel täitmiseks;
  • volitatud töötleja, kes säilitab ja töötleb teiste vastutavate töötlejate kogutud isikuandmeid, et ka nendel oleks võimalik täita oma seaduslikke eesmärke.

See tähendab, et ühilduvus GDPR-i põhimõtetega on meie jaoks vältimatu, vastasel juhul peaksime oma poe peagi kinni panema. Seepärast oleme ka pidanud vajalikuks end sel teemal harida, parandada protsesse, vaadata kriitilise pilguga otsa teenuste portfellile, kasutustingimustele jne. Üritame seda kõike teha kainelt kaalutledes.

Käesolevas ja järgnevates temaatilistes kirjutistes loodan anda põgusa ülevaate sellest, mida meie oleme jõudnud GDPR-i kohta õppida. See võiks huvitada meie kliente, aga miks mitte ka teisi väikeseid või keskmisi ettevõtteid.

Loomulikult ei tohiks minu kirjutisi võtta juriidilise nõuandena 🙂

Neil, kes töötlevad isikuandmeid suurel määral või omavad käideldavate andmete seas eriti tundlikke andmeid, soovitan kindlasti määruse sisusse väga põhjalikult süveneda ja konsulteerida oma õigusnõustajaga.

Eesmärgist ja haldusalast

Euroopa Parlament on seadnud määrusele väga kõrgelennulised eesmärgid. GDPR-ilt loodetakse nii kodanike õiguste tugevdamist, isikuandmete käitlemise turvalisuse parandamist, digimajanduse usalduse kasvu kui ka õiglasemat konkurentsikeskkonda.

Vorm, mis valiti uute reeglite kehtestamiseks, demonstreerib seda, kui tõsiselt Euroopas isikuandmete kaitsesse suhtutakse. Euroopa Parlamendi määrus on üks võimsamaid, kui mitte võimsaim, õigusliku ruumi kujundamise tööriist Euroopa Liidus – tegemist on seadusandja vastega Thori haamrile Mjölnirile. Sellise määrusena vastu võetud õigusakt hakkab jõustumise kuupäevast alates kehtima kõikides liikmesriikides korraga ja muutub koheselt ülimuslikuks kõikide teiste sama valdkonda käsitlevate seaduste suhtes.

Ka määruse mõjuala kujundamisel ei ole parlamentäärid end tagasi hoidnud, see hõlmab ei vähemat või enamat, kui tervet planeeti. Kõikidele ettevõtetele ja organisatsioonidele maailmas, kes koguvad, töötlevad või säilitavad Euroopa Liidu kodanike isikuandmeid, kehtivad järgmise aasta 25. maist ühed ja samad andmekaitse nõuded. Euroopa Liidus tuleb GDPR-iga kooskõlas töödelda kõikide füüsiliste isikute andmeid, mitte ainult liidu kodanike omi.

Definitsioonidest

Mis on isikuandmed? Isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Füüsiline isik võib andmete alusel olla tuvastatav otseselt või kaudselt. See viimane on meie teenuste kontekstis eriti oluline teada, sest füüsilise isiku kaudset tuvastamist võimaldab näiteks IP aadress ja seetõttu on ka IP aadressid käsitletavad isikuandmetena.[2]

Mis on isikuandmete töötlemine? Isikuandmete töötlemine on isikuandmete või nende kogumitega tehtav automatiseerimata või automatiseeritud toiming või nende kogum. Lasete füüsilisel isikul end veebis kasutajaks registreerida, müüte neile oma kaupa või teenust, saadate laiali oma uudiskirja? Kõikide nende toimingute raames töötlete tõenäoliselt füüsiliste isikute isikuandmeid ja olete seega nende vastutav töötleja.

Kui teete seda kõike koostöös kodulehe infosüsteemide halduspartneri, andmete majutaja või e-posti levitajaga, siis olete kaasanud oma tegevusse volitatud töötleja, aga isikuandmete töötlemise üldpõhimõtete täitmise eest jääte vastutama siiski teie. Teie kohustus on valida endale volitatud töötleja, kes annab piisava tagatise asjakohaste tehniliste ja korralduslike meetmete rakendamise kohta.

Üldpõhimõtted

Millised on üldised põhimõtted, mille järgimist GDPR nõuab? Lühidalt tahab GDPR, et ettevõtted ja organisatsioonid käitleksid isikuandmeid nagu äsja sündinud kassipoega – väga ettevaatlikult.

Teen siinkohal üldistest põhimõtetest kokkuvõtte ning võite selles ise veenduda:

  • igasugune isikuandmete töötlemine peab olema seaduslik, õiglane ja läbipaistev;
  • isikuandmeid tohib koguda ainult konkreetsetel, kokku lepitud, täpsetel, õiguspärastel eesmärkidel;
  • isikuandmeid tohib koguda ainult sellises ulatuses nagu sellise eesmärgi täitmiseks vaja;
  • isikuandmeid võib säilitada füüsiliste isikute tuvastamist võimaldaval kujul ainult seni, kuni see on eesmärgi täitmiseks vajalik;
  • eesmärgi seisukohast ebaoluliseks muutunud isikuandmed tuleb kustutada;
  • isikuandmed tuleb hoida õigetena, eesmärgi seisukohast ebaõiged isikuandmed tuleb kustutada või ilma asjatu viivituseta parandada;
  • isikuandmeid tohib töödelda ainult viisil, mis tagab nende turvalisuse, sealhulgas tuleb andmeid kaitsta loata või ebaseadusliku töötlemise, juhusliku kadumise, hävitamise või kahjustamise eest, kasutades asjakohaseid meetmeid.

Vastutus kõikide ülaltoodud põhimõtete järgimise suhtes on, nagu nimigi ütleb, vastutaval töötlejal ehk ettevõttel või organisatsioonil, kes oma eesmärgi täitmiseks kasutajalt andmed töötlemiseks küsis.

Seedige need tingimused läbi ja mõtelge isikuandmetele mida töötlete.

Seniks tsiteerin üht pöidlaküüdi reisijuhti: ärge sattuge paanikasse! Närvide rahustamiseks üks Dilbert:

Andmekaitse Inspektsioonilt must nimekiri rämpspostitatajatest

man_pointingToimunud on märkimist väärt areng võitluses kodumaise rämpspostiga. Andmekaitse Inspektsioon on tänasest asunud avaldama musta nimekirja retsidiivsetest rämpspostitajatest.

Musta nimekirja kantakse ettevõtted, kes on vähemalt 3 korda rikkunud elektroonilise side seaduse paragrahvi 103 lõiget 1 (“Elektrooniliste kontaktandmete kasutamine otseturustuseks”).

Nimekirjaga saab tutvuda aadressil http://www.aki.ee/et/menetluspraktika/rampspostitajate-nimekiri.

Rikkujad kantakse nimekirja aastaks!
Loe edasi “Andmekaitse Inspektsioonilt must nimekiri rämpspostitatajatest”