GDPR tegevusplaan #1 – Rollide kaardistus

Posted by

Käesolev postitus on osa väikeettevõtetele suunatud tegevusjuhendist “GDPR tegevusplaan”, mis koosneb peatükkidest:

  • Sissejuhatus
  • #1 Rollide kaardistus
  • #2 Isikuandmete kaardistus
  • #3 Privaatsuspoliitika koostamine
  • #4 Andmekaitsepoliitika koostamine
  • #5 Isiku nõusoleku küsimine
  • #6 Töötajate koolitus ja kommunikatsioon
  • #7 Turvalisuse tagamine
  • #8 Lepingute sõlmimine

Peatüki eesmärk

Oskad oma ettevõttes:
1) kindlaks määrata äriprotsessid, kus toimub isikuandmete töötlemine ja
2) omistada andmekaitse rollid kõigile protsessis osalejatele.

Parema arusaamise huvides kasutan näidisettevõtet, mille peamine tegevusala on e-poe pidamine. Näidet võib laiendada suvalisele veebiteenusele, kus külastajad tulevad etttevõtte veebilehele sooviga mõnda toodet või teenust osta ja sisestavad sel otstarbel veebis oma isikuandmed.

Meie näidisfirma nimeks on “Nutikodu OÜ”, mis müüb läbi e-poe erinevaid nutiseadmeid kodusesse majapidamisse. Firmal on 5 töötajat ja koostööpartnerid, kes aitavad tellitud kaupa kohale toimetada. E-poe arendamiseks ostab Nutikodu vastavalt vajadusele teenust ühest veebifirmast, samuti on sisseostetud raamatupidamise teenus.

STEP 1 – Millised on sinu ettevõttes isikuandmete töötlemisega seotud äriprotsessid?

Kõigepealt vaata üle, millised andmed on isikuandmed. Kui sinu füüsilisest isikust kliendid (juriidilised isikud klientidena GDPRi alla ei kuulu) annavad sinu ettevõttele isikuandmeid, siis pane kirja äriprotsessid, mille käigus nad seda teevad.

Meie Nutikodu firma näitel on äriprotsessideks:

  • Toodete müük – toodete müük e-poes, alates ostust kuni kauba kättetoimetamiseni
  • Uudiskiri – teavituste saatmine oma kliendibaasile ja teistele huvilistele
  • Personal – töötajate andmete haldamine, sh töötasu maksmine, uute töötajate värbamine

STEP 2 – Mis on sinu ettevõtte roll ja vastutus nendes protsessides?

Järgmisena on oluline põhjalikult aru saada peamistest andmekaitse rollidest, sest neist sõltub otseselt sinu ettevõtte seaduslik vastutus andmekaitse valdkonnas.

Ülevaate erinevatest andmekaitse rollidest ja vastutusest leiad siit:

Seejärel tuleb võtta iga äriprotsess eraldi ette ja mõelda läbi, kes selles osalevad ja tulemused kaardistuse tabelisse kirja panna. Olen GDPR kaardistuse jaoks teinud näidistabeli, milles on olemas näidisandmed ettevõtte Nutikodu OÜ jaoks. Tabeli registrite osa tugineb enamasti AKI poolt loodud näidistabelitele, olen seejuures veidi formaati kohendanud ja lisanud selgitavad märkused.

On päris sage olukord, kus üks ettevõte võib olla samal ajal korraga nii vastutav töötleja kui volitatud töötleja, aga rollid võivad erineda siiski eri äriprotsessides.

Tee-ise juhendmaterjal

  1. Ava tabel “Isikuandmete kaardistus ja andmetöötlusregister (Nutikodu näidis)” aadressil  bit.ly/isikuandmete-kaardistuse-naidis-tabel
  2. Kui oled Google Drive kasutaja, siis kopeeri tabel omaenda Drive-i:
    Kui oled Exceli/OpenOffice vm kasutaja, siis laadi tabel alla:
  3. Lehel “Ülevaade” täida ära oma ettevõtte andmed
  4. Lehel “Äriprotsessid” kirjelda iga protsessi kohta eraldi, kes selles osalevad ja mis on nende GDPR rollid.

Ära muretse liialt, kui sa ei oska kohe esimese korraga kogu tabelit täita, pane kõigepealt kirja niipalju kui oskad ja hiljem võid korraldada oma meeskonnaga ühise koosoleku ja täita ära ülejäänud. On tõenäoline, et sul on vaja suhelda ka oma koostööpartneritega ja uurida nende GDPR valmisoleku kohta.

Nutikodu toote müügi kohta on kaardistuse tulemusena olemas tabel sellisel kujul:

Tegevusplaani järgmises osas asume tabeli ülejäänud lehtede – andmetöötlusregistrite täitmise juurde.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.