Rikkumine juhtus – mis nüüd? Kuidas ja millal andmekaitse rikkumisest teavitada

Andmeturve kaitseb isikuandmeid volitamata juurdepääsu, muutmise, hävitamise, avalikustamise eest. Ettevõtte usaldusväärsus sõltub sellest, kuidas andmeid käsitletakse, ja õiguslikud tagajärjed võivad olla päris tõsised, kui andmeturvet eiratakse.

Rikkumised ei vali ettevõtte suurust - need võivad juhtuda igas organisatsioonis. Seekordses saates keskendume sellele, mis juhtub siis, kui andmeturvet ei järgita ega võeta kasutusele vajalikke turvameetmeid, millest rääkisime ka eelmises Andmehäälingu episoodis.

Mis on isikuandmete kaitse rikkumine?

Isikuandmete kaitse rikkumiseks loetakse igasugust turvanõuete rikkumist ehk kõrvalekaldumist organisatsiooni tavapärasest praktikast. See võib kaasa tuua töödeldavate isikuandmete juhusliku või õigusvastase edastamise, loata juurdepääsu neile, avaldamise, kustutamise või muu sarnase olukorra, kus isikuandmed on ohustatud.

Mis on rikkumisteade?

Rikkumisteade on järgmine samm pärast rikkumise tuvastamist - see on ametlik teavitamine juhtunust. Näiteks tuleb Andmekaitse Inspektsiooni teavitada 72 tunni jooksul pärast rikkumise toimumist. Rikkumiseks võib olla andmeleke, aga ka olukord, kus süsteem on rivist väljas ja see võib mõjutada isiku õigusi ja vabadusi. Teavitamisvorm on leitav AKI kodulehelt. Lisaks peab vajadusel teavitama ka puudutatud isikuid, et nad saaksid enda kaitsmiseks samme astuda.

Millal tuleb rikkumist käsitleda rikkumisena, mille kohta tuleb esitada rikkumisteade?

Rikkumist tuleb käsitleda ja sellest teavitada organisatsiooni siseselt kohe, kui see on toimunud - lähtudes nii suurest infohulgast, kui selleks hetkeks teada on.

Edasised sammud sõltuvad rikkumise ulatusest. Väiksema apsaka korral, mis on tingitud inimlikust eksimusest ega too kaasa isikuandmete ohtu, piisab sageli sellest, et juhtunust õpitakse. Kui aga selgub, et rikkumine puudutab isikuandmeid ja võib põhjustada kahju või ohtu, tuleb teavitada ka AKI-t.

Kõige olulisem on rikkumine võimalikult kiiresti tuvastada ja selle levik peatada. Suurema rikkumise korral tuleb lisaks AKI-le teavitada ka kliente või teisi puudutatud isikuid, et nad end vajadusel kaitsta saaksid.

Enne kui jõutakse järgmiste sammudeni, tuleb kõigepealt aru saada, mis juhtus ja kuidas organisatsioon üldse märkab, et midagi on valesti läinud. Oluline on mõelda, kuidas organisatsioonis rikkumiste tuvastamine üles ehitatud on.

Esimese sammuna tuleks vaadata süsteemilogisid: kas nende jälgimine toimub automatiseeritud tööriista abil või tehakse seda manuaalselt. Näiteks kui süsteemile hakkab saabuma ebatavaliselt palju päringuid ja see koormab süsteemi üle, võib logide kontrollimisel selguda, et mõni teenus ei tööta. Logid ja süsteemiandmed on seetõttu asendamatud ning neid ei tohiks rikkumise avastamisel kohe kustutada, sest just sealt võib tõde välja tulla.

Rikkumiste tuvastamisel on tähtis ka ennetus ja regulaarne monitooring - isegi kui midagi ei ole juhtunud, aitab pidev ülevaatus riske vähendada. Olulisem kui süüdlase otsimine on aga see, et kaitstud oleksid inimesed, kelle andmeid rikkumine puudutas.

Rikkumise ilmnemisel võivad abiks olla ka teised asutused, näiteks RIA CERT, vajadusel ka PPA ning loomulikult AKI.

Mis saab edasi, kui rikkumine on tuvastatud?

Kui organisatsioon on rikkumise tuvastanud, algab dokumenteerimise protsess. See tähendab riskide hindamist ja selgitamist, millised andmed olid mõjutatud - kas tegemist oli klientide andmete, makseandmete, paroolide või terviseandmetega. Eelkõige on AKI vaates oluline, kas rikkumine puudutas isikuandmeid.

Tuleb koostada ülevaade ja see sobivas formaadis fikseerida:

• millist andmestikku rikkumine mõjutas,
• keda rikkumine puudutas (töötajad, kliendid, kui palju inimesi),
• kuidas rikkumine toimus (esialgsed kahtlused võib samuti kirja panna).

Dokumenteerimine on protsess, mis võib aja jooksul täpsustuda, kuid see on hädavajalik, et rikkumist tuvastada, ennetada, kontrollida ja kahjusid piirata.

Rikkumisteade tuleks koostada võimalikult täpselt, et nii organisatsioon ise kui ka AKI saaksid selgelt aru, mis juhtus.

Mida teha, kui pole kindel, kas tegu on rikkumisega?

Dokumenteerida ja teavitada AKI-t.

Millised on kõige levinumad vead teavitamisel?

Teavitamisega venitatakse liiga kaua või ei tehta seda üldse, sest arvatakse, et tegemist on liiga väikese rikkumisega või polda kindel. Kindlasti ka see, et andmesubjektid jäetakse teavitamata.

Kes üldse aitab või kuidas peaks ettevõte rikkumise puhul toimima?

Aitavad andmekaitsespetsialist, õigusinimene, organisatsiooni juht. Lõppastme vastutus on juhtkonnal.

Kindlasti on olulisel kohal koolitused, üldine andmeturbe ja andmekaitse alane teadlikkus, ja organisatsioonis on vaja luua kultuur, kus rikkumistest rääkimine on normaalsus.

Andmehäälingu uus episood on valminud koostöös Euroopa Liidu CERV programmiga, mis toetab privaatsuse ja andmekaitseteadlikkuse arendamist Eestis.

Seotud viited