Eesti ametnikud on uute euromääruste kohaldamisel keskendunud liigselt kontrollimisele ja karistamisele, selle asemel, et olla ettevõtjatele abiks, leiab Inbanki juhatuse esimees Jan Andresoo.
Inbanki juht: ametnikud, ise ka saate aru, mida teete?! (2)
«Pangandus on ülireguleeritud valdkond ning andmekaitse on meie valdkonnaga seotud olnud aegade algusest. Pangasaaldus, delikaatsed isikuandmed – kõik see on meie jaoks tavaline. Kui ma vaatan aga praegust regulatsioonide pealevoolu, siis hoian kahe käega peast kinni ja küsin: kas need inimesed ise ka saavad aru, mida nad teevad? Kas nad tegelikult ka mõistavad, kuhu see kõik välja viib ja kellele neid tegelikult tehakse?» küsis Jan Andresoo tänasel andmekaitse teemalisel seminaril Infoturbe Summit.
«See ongi meie tänane päev: oleme nii truult valmis kulpi lööma ja kõike läbi karistusloogika vaatama. Mina vaatan seda teistmoodi, mina olen ettevõtja, kes tahab teha väga head teenust, pakkuda inimestele seda, mida nad vajavad, mitte petta oma klienti ja mitte olla nõme, vaid väärikas partner. Kogu see uute regulatsioonide saaga seab aga kogu selle tegevuse kahtluse alla ja vaatab mind kui veidi kahtlast tegelast,» lisas Andresoo.
Pangajuhi sõnul on ta pidanud viimasel ajal väga palju läbirääkimisi järelevalvega ning see on mõnikord olnud väga koormav.
«Sa tegelikult ei saa aru, mida sult tahetakse. Paistab, et kellegi eesmärk ongi vaid näpuga järge ajada ja leida lõpuks, et sa oled süüdi,» leidis ta.
Kõige olulisem uute regulatsioonide kohaldamise valguses on tema sõnul hoopis motiveeritud, kaasamõtlev, sisust aru saav ametnik, kellega asju arutada. «Vastasel juhul teeme lihtsalt head äri konsultantidele.»
Euroopa Liidu uut isikuandmete kaitse üldmäärus (GDPR) on infoturbe viimase 20 aasta olulisim muudatus ja see puudutab kõikide organisatsioonide kõiki äriprotsesse.
Eelmisel kevadel Euroopa Parlamendi ja Euroopa Liidu Nôukogu poolt vastu võetud ja juba 2018. aasta kevadel rakenduva üldmäärusega luuakse ühtlane andmekaitse tase kogu Euroopa Liidus.
Infoturbe Summiti korraldaja Security Software tegevjuhi Üllar Gustavsoni sõnul toob uus määrus nii era- kui ka avaliku sektori ettevõtetele kaasa mitmeid täiendavaid kohustusi ja reeglitele mittevastav tegevus võib viia suurte trahvide ning kohtuvaidlusteni.
Kui praegu võivad ettevõtted pidada klientidelt saadud andmeid justkui enda omaks, siis järgmise aasta maist situatsioon paljuski muutub. Inimesel on õigus küsida, milliseid andmeid tema kohta on kogutud, milleks neid kasutatakse ning kuidas on tagatud nende turvalisus. Samuti on õigus nõuda mittevajalike andmete kustutamist.
Gustavsoni sõnul peavad ettevõtted oma infosüsteeme analüüsima ja mõistma, kas nende kätte usaldatud andmed on kujul, mis võimaldaks need vajadusel inimesele kättesaadavaks teha ja ühest infosüsteemist teise üle kanda. Andmete elektrooniline liigutamine ühe teenuse pakkuja juurest teise, kui andmete omanik seda nõuab, on samuti määrusega kaasnev kohustus.
«Praegu ei kujuta ettevõtjad veel ette, kas ja kui kiiresti oleks võimalik inimesele vastata tema andmete kohta. Tõenäoliselt on andmed mitmes erinevas dokumendis ja osakonnas laiali ning nende kokku otsimine võtab omajagu aega. Aga mis saab siis, kui oma andmete kohta soovivad infot kõik töötajad korraga? Ettevõtetel on viimane aeg asuda analüüsima olemasolevaid andmeid ja selgitada välja, milliseid muudatusi on vaja ellu kutsuda. Oluline on teadlikkus, prioriteet ning plaan,» rääkis Gustavson.