Isikuandmete kaitse üldmäärus hakkab kehtima  25.mail – olete valmis?

Uus Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR – General Data Protection Regulation) hakkab kehtima 2018. aasta mais. Anname siin ülevaate GDPR’ist seoses Ektaco toodetega, CompuCash, CompuAccess ja Argos.

Mis on GDPR?

GDPR kohaldub väga paljudele ettevõtetele, kes omavad andmeid füüsiliste isikute kohta (sh kliendid, töötajad). GDPR ei muuda eelnevaid isikuandmete töötlemise nõudeid kehtetuks, vaid lisab reegleid ja kohustusi. GDPR-i eesmärk on kindlustada isikuandmete parem kaitse andes isikule suurema kontrolli oma andmete üle. GDPR reguleerib ainult füüsilisi isikuid puudutavate andmete töötlemist ja ei reguleeri juriidiliste isikute andmete töötlemist ehk teie klientettevõttel ei ole õigust nõuda oma ettevõtte andmete (näit e-mail: info ätt ettevõttenimi punkt ee) kustutamist.

Millised on põhilised muutused?

• Õigus olla unustatud – on kirjutatud õigusakti sisse ning see ei tulene enam vaid kohtupraktikast.
• Andmed kaasa – isikuandmed peavad olema isikutele ligipääsetavad ning neid peab olema võimalik isikule kaasa anda;
• Isiku nõusolek ei ole igavene – on loodud kindlad reeglid juhuks, kui isikuandmeid töödeldakse isiku enda nõusolekul;
• Tohib koguda ainult neid isikuandmeid, mis on põhjendatud ja andmed peavad olema korrektsed ning ajakohased;
• Andmekaitse põhimõtted – järgida tuleb andmekaitse põhimõtteid, et andmete turvalisus oleks tagatud kõigis tööprotsessides.

Nõuete täitmise üheks motivatsiooniks on kindlasti väga kõrged trahvid, mis on praegusega võrreldes u 8 korda kõrgemad. Lähem info siin. Kui isikuandmete vastutav töötleja on tuvastanud tõestatava rikkumise, mis tõenäoliselt kujutab endast ohtu füüsiliste isikute õigustele ja vabadustele, peab sellest teavitama Andmekaitse inspektsiooni 72 tunni jooksul. GDPR on Euroopa Liidu liikmesriikidele otsekohalduv ning vastuolud Eesti seadustega ei takista selle rakendamist.

Isikuandmete töötlemist puudutavad isikute õigused

GDPR annab füüsilisest isikust klientidele täiendavad õigused oma andmete andmise ning töötlemise osas.

• Igal inimesel on õigus saada unustatud ehk siis teie ettevõttel tuleb nende andmed kliendi soovi korral anonümiseerida ja/või kustutada. Viimane ei kehti, kui näiteks raamatupidamise või kehtivate lepingute haldamiseks on isikuandmed vajalikud.
• Igal inimesel on õigus võtta tagasi oma nõusolekut ja anda nõusolek miinimumvariandis ehk näiteks saada kliendikaart, aga mitte saada otseturunduslikke e-maile või sms-e.
• Inimene võib keelduda ka automaatsest profileerimisest (näiteks pakkumiste saatmine meestele, kes on vanuses 50-70) juhul kui see võib oluliselt kahjustada tema õigusi.
• Ebatäpne info inimese kohta tuleb parandada.

Teie ettevõte ja Ektaco

GDPRi mõttes on Ektaco piiratud ulatuses volitatud töötleja. Ektaco pakub teile oma toote litsentsi ühe osana platvormi kliendiandmete, sh füüsilisest isikutest klientide, hoidmiseks. Seejuures Ektaco ei oma ega töötle neid andmeid, vaid olenevalt konkreetsest olukorrast ning tarkvaraliste probleemide tekkimisel aitab teie volitatud esindajal neid lahendada. Teie ettevõte on andmete vastutav töötleja. Täpsema selgituse nende kahe termini osas leiate siit. Ektaco töötajad kohustuvad vastavalt oma töölepingule ja töökorralduse reeglitele hoidma saladuses temale töö käigus Ektaco klientide ning nende tegevust kajastavate kõikide andmete kohta teatavaks saanud informatsiooni, sh. finantsnäitajate, töökorralduse, isikuandmete  jm. kohta, kusjuures klientide andmebaasides olevaid isikuandmeid võib töödelda ainult seaduses sätestatud juhtudel ja ulatuses ning ainult liigutada üle krüpteeritud kanalite. Samuti kohustuvad nad hoidma konfidentsiaalsena ja mitte edastama kolmandatele isikutele temale tööülesannete täitmisel teatavaks saanud Ektaco klientide ning klientide klientide ja töötajate isikuandmeid,  informatsiooni tööandja töökor­ralduse, rahaliste ja teiste näitajate kohta, mida võiks käsitleda kui ameti-, äri- ja tootmissaladusi. Kui tekib kahtlusi edasiandmist vajava info iseloomus, kohustub töötaja konsulteerima tööandjaga enne vastava info väljastamist.

Mida tähendab GDPR Ektaco CompuCash, CompuAccess ja Argose klientidele?

GDPR, kohustab ettevõtteid rangelt järgima ja reguleerima isikuandmete töötlemist. See tähendab, et andmete kontrollija (st. ettevõte, kes kasutab CompuCash kassasüsteemi, broneerimissüsteemi või videosüsteemi või CompuAccess või Argos läbipääsu- või tööajaarvestuse süsteemi) vastutab GDPR rakendamise eest. Toome siin välja olulisimad punktid.

• Tohib koguda ainult neid isikuandmeid, mis on põhjendatud ja andmed peavad olema korrektsed ning ajakohased. Mittetäpsete andmete töötlemine on keelatud. Pidage seda selgelt silmas kliendikaardi jaoks andmete kogumisel ning samuti oma töötajate kohta käiva info kogumisel.
  • CompuCash’i kliendikaartide raportist saate eksportida klientide e-mailid, kelle kaardid on vanemad kui ... ning saata neile e-maili teel küsimuse, kas nende andmed on korrektsed;
  • CompuAccess’is ja Argoses saate töötajate andmeid kontrollida ja uuendada töötajate sisestamise menüü kaudu.
• Isikuandmeid tohib koguda ainult andmete omajaga (isikuga) kokkulepitud eesmärkidel, mille osas isik on andnud teadliku nõusoleku või seadusest tulenevate nõuete täitmiseks. Kui tekib täiendavaid eesmärke või eesmärgid muutuvad, siis peab küsima isikult uue nõusoleku. Delikaatsete isikuandmete puhul (sh. sõrmejälg, videovalve kasutamine, inimeste nimede kuvamine suurel ekraanil) ja otseturunduses kasutamiseks peab kindlasti küsima eraldi isiku nõusolekut. Kõigil ettevõtetel on kohustuslik vaadata läbi oma käsutuses olevad andmed GDPRi kontekstis ning uuendada või kustutada juhul, kui isiku nõusolek ei ole enam pädev. Lisainfot leiab siit.
  • CompuCash’is kliendiandmete anonümiseerimiseks kustuta kliendi nimi ja asemel kirjuta näiteks eesnimi.perenimi. Kliendi sünniaeg, e-mail, telefoninumber ja aadress tuleb kustutada, kui te neid olite kogunud.
  • CompuAccess’is ja Argoses  saate  töötajate registrist töötajate andmed kustutada, kui see ei ole vastuolus teiste seadustega, näit. raamatupidemise seadusega.
• GDPR annab õiguse kliendile nõuda tema andmete kustutamiseks ja anonümiseerimiseks. Enne selle tegemist kontrollige ehk kliendil ei ole teile võlgu,  maksmata arveid. Kui neid on, siis on see alus kliendi soovist keeldumiseks kuniks ta oma arved tasub.
• Kliendiandmete kustutamise ja anonümiseerimisega kaotab klient ka kogutud boonuspunktid ja muud kliendikaardiga seotud soodustused. Selle kliendi omanduses olevad anonüümsed kinkekaardid kehtivad endiselt. Andemete kustutamine ei kaota vajalikku infot teie koondraportitest, küll aga muudab need andmed seal anonüümseks.
• Töötajal on õigus tutvuda tema kohta kogutavate andmetega ja nõuda tegelikkusele mittevastavate andmete parandamist. Tööandja peab tagame töötaja isikuandmete töötlemise vastavalt isikuandmete kaitse seadusele.
• Isiku nõusolek ei ole igavene ehk seda peab nõusolekut võttes määratlema kas kuupäevaliselt või tingimuslikult. Kui vastav tähtaeg või tingimus saabub, siis tuleb kliendi andmed ka Ektaco toote sees  anonümiseerida.
  • CompuCash’i klient saab jälgida kaartide väljastamise aega ja viimast kasutamist kaartide kasutamise raportist.
  • CompuAccess’is ja Argoses saate  töötajate registrist töötajate andmed kustutada, kui see ei ole vastuolus teiste seadustega, näit. raamatupidemise seadusega.
• Kliendikaebustega tuleb tegelda kindlasti maksimaalselt 30 päeva jooksul.

Ettevõtted peavad teadma, kus nad isikuandmeid hoiavad ning tagama, et need ei lekiks, sh juhul, kui neid hoitakse või töödeldakse väljaspool Ektaco tooteid. Ektaco kliendid vastutavad ise isikuandmete töötlemise ja kogumise eest meie kõigis toodetes, sest nemad on vastutavad töötlejad. Delikaatsete isikuandmete kogumine Ektaco toodetes on keelatud. Delikaatsed isikuandmed on näiteks tervise andmed, seksuaalne orientatsioon, rassiline ja etniline kuuluvus, usk, arvamused, kuulumine ametiühingutesse, biomeetrilised andmed. Ektaco pakub sõrmejälje kasutamise võimalust CompuAccess tootes. Kasutame Suprema sõrmejälje tooteid, mis turvalisuse tagamiseks ei salvesta sõrmejälje pilte ehk on võimatu taasluua sõrmejälje pilt sõrmejälje mallist, mis on numbriliste andmete kogum. Sõrmejäljest koodi genereerimiseks töötajatelt on vaja nende kirjalikku nõusolekut. Samuti on vaja inimese nõusolekut, kui kasutate videovalvet oma töötajate jägmiseks või kuvate inimeste nimesid suurel ekraanil, näites tootmistsehhis. Ektaco toodetest isikuandmete mahalaadimisel või teise süsteemi ülekandmisel vastutate teie nende andmete eest. Palun tagage, et selliseid andmeid töötlevad ainult selleks koolitatud inimesed. Vastutav töötleja peab olema võimeline tõendama, et on täitnud isikuandmete töötlemise põhimõtteid.  Selliselt tohib töödelda ainult nende isikute andmeid, kes on selleks teadliku nõusoleku andnud. Kui te kasutate e-poodi, siis tuvastage, kas seonduv tarkvara tagab andmete turvalise käistlemise. Te peate kindlasti võimaldama oma klientidel sooritada oste ka ühekordselt ehk pärast antud ostu sooritamist peab saama kliendi andmed koheselt anonümiseerida. CompuCash’i põhifunktsionaalsuseks on müük ja ladu. CompuCash’i sees ei saa teha masspostitusi, vaid selleks tuleb e-mailid või telefoninumbrid CompuCash’ist alla laadida. CompuCash ise ei kogu aktiivselt kliendiandmeid vaid annab teile võimaluse neid lisada ja hoida. Teie ettevõttel endal on õigus saata uudiskirju, müügipakkumisi jne oma klientidele, sh koostöös kolmandate osapooltega. Teie kohustus on garanteerida, et teil on selleks kliendi teadlik nõusolek. CompuCash’is saab kassas kliendi andmete all ja kontporis: Müügijuht – kliendikaardid, märkida ära kliendi nõusolek saada infot ning reklaami e-maili ja/või SMSi teel.

Teie andmed on Ektaco toodetes turvaliselt hoitud

Ektaco klientide valduses olevad andmeid hoitakse Telia serverikeskuses (klass A serveriruum, mis asuvad Eestis) pilveserverite farmis https://www.telia.ee/ari/it/serverid/pilveserver. Teenustele on ligipääs ainult Ektaco hooldusinimestel konkreetse kliendi teenindamiseks ja ligipääs toimib vastavate autoriseerimiskoodidega. Telia turvainfot Ektaco programmi ja Telias serveri vahel toimuv andmeteliiklus on krüpteeritud.  Varukoopiaid tehakse Telia serveriruumis asuvasse tsentraalsesse kettapõhisesse andmehoidlasse (Pilvevarundus) ja võimalik on taastada maksimaalselt 3 kuu tagust seisu. Ektaco kliendid, kes hoiavad CompuAccess või Argosega seonduvaid andmebaase, mis sisaldavad isikuandmeid, oma serveris, vastutavad ise nende turvalise käistlemise eest. Ektaco jaoks on IT turvalisus oluline prioriteet. Sellest tulenevalt tellisime sõltumatult kolmandalt osapoolelt ka IT auditi ning oleme parandanud selle baasil oma IT turvalisust veelgi. Uuendame pidevalt oma töövahendeid võttes kasutusele ajakohased ja veelgi turvalisema tark- ja riistvara. Lisainfo: Rain Ruven 508 0090, 639 7944