Iga tegutsev ettevõte kogub füüsiliste isikute kohta ühel või teisel moel andmeid. 2018. aastal jõustub Eestis uus isikuandmete kaitse üldmäärus ehk GDPR, mis hakkab andmete kogumist reguleerima. Toomas rääkis, millised on põhilised protsessid, mis tuleks ettevõtte siseselt üle vaadata, muuta või luua, et tagada valmisolek ja kooskõla uue isikuandmekaitse määrusega. Millised tehnoloogilised lahendused peavad olema paigas, et tagada GDPR-iga rakenduv nõue “õigus olla unustatud“, kuidas ja miks kaardistada andmevood ning avastada andmeid.

1. Pilves pole piire!

2. Toomas Mõttus
• Microsoft Certified Technology Specialist:
• Administering Office 365 for Small Business
• Designing, Assessing, and Optimizing Software Asset
Management (SAM)
• Volume Licensing Specialist, Large Organizations
• Configuring and Deploying a Private Cloud with System
Center 2012
• Muu:
• ITIL v3 Foundation Examination

3. Seame end GDPR tulemiseks
valmis
GDPR
Compliance
GDPR
Compliance
GDPR
ja andmed
Valime välja õiged
tööriistad
Kaardista andmed
ja riskid
Kasuta spetsialistide
abi

4. Hoia süsteem lihtsana
Halda andmeid, teosta järelevalvet ja klassifitseeri ühest kohast
Kasuta tugevaid krüptoalgoritme ja teenuseid, mis hoiavad
tarkvara pidevalt ajakohasena.
Kasuta teenuseid, mis on juurutanud rahvusvaheliselt
tunnustatud standardid, et paremini ise nõudeid täita
Kasuta turvalisi lahendusi
Tsentraliseeri andmete haldamine
Kasuta sertifitseeritud teenuseid

5. Kuidas isikuandmed ettevõttesse
jõuavad
• Veeb
• Konverentside kontaktid
• Tellimused
• Partnerite kolleegid
• Veebi kasutajad

6. Probleemsed kohad: asukohad
ISIKUANDMED
Varu-
koopia
E
Varu-
koopia
T
Varu-
koopia
K
Varu-
koopia
N
Varu-
koopia
R
Varu-
koopia
L
Varu-
koopia
P
VARUKOOPIAD
Protsess

7. Probleemsed kohad: turunduse
näitel
ISIKUANDMED
ANONÜÜMSED
PROFIILID
VEEBIPOOD
SOOVITUSMOOTOR

8. Probleemsed kohad
• Palju erinevaid kohti isikuandmete salvestamiseks – ülevaade puudub
• Turunduse otstarbega väljavõtted jäävad laokile
• Andmete varundamine ja arhiveerimine
• Töötajate juhendamine
• Väike tähelepanu IT süsteemide nõrkustel

9. Millised protsessid
peavad olema
juurutatud?

10. Protsessid
• Isikuandmete avastamine (kus asuvad)
• Kuhu andmed koguda analüüsiks ja arhiveerimiseks
• Isikuandmeid sisaldavate dokumentide markeerimine
• Isikuandmeid sisaldavate dokumentide säilituspoliitikate
seadistamine:
• Kui kaua dokumente peab vähemalt hoidma
• Millal peab dokumendid automaatselt kustutama
• Kuidas aidata töötajatel vältida andmelekke tekitamist
• Kuidas üle ehitada füüsiliste isikute andmete töötlemise päringuid
• Isikuandmete selekteerimine õigustatud huvi v parem teenus
• Isikute ja Andmekaitseinspektsiooni teavitamise kava

11. Ettevõte kogub järgmisi andmeid:
- isiku nimi
- töökoht
- telefon (isiklik mobiil)
- e-mail
- meilt ostetud teenused
- osaletud üritused / kampaaniad
- veebipoe lehitsemise ajalugu
Tuvastame koos
Primendiga J
isikuandmed
Andmed asuvad:
- isiklikes seadmetes
- pilveteenustes
- teenusepakkujate juures
- kohalikus serveris
- väljatrükitult riiulis
NÄIDE
Otsustamine, kas
andmed säilitatud
õigustatud huvi alusel
Otsustamine:
millistest seadustest
lähtuvalt ja kui kaua
peab säilitama
JAH
Otsustamine: millised
andmete töötlemise,
kustutamise reeglid
seame
EI
Andmete sildistamine:
konfidentsiaalsuse aste,
isikuandmed
Turundusprofiilile:
- isikuandmed
Kliendikaebused
- isikuandmed
- konfidentsiaalne
Siseauditi reeglid
Sertifitseerimine
Töötajate koolitamine
Praktilised sammud
isikuandmete halduse
korraldamiseks

12. Rakenda tehnilised võimalused
tööle
Office 365 EMS Andmebaas
Krüpteeri andmed
teenuses
Krüpteeri andmed
seadmetes
Krüpteeri andmed
andmebaasides
Avasta isikuandmed ja
määra aegumisreeglid
Avasta isikuandmed ja
markeeri, halda ligipääsu
Avasta isikuandmed ja
halda ligipääsu
Logi tegevused
isikuandmetega
Logi tegevused ja
tuvasta kõrvalekalded
Logi tegevused ja
tuvasta kõrvalekalded

13. Kokkuvõte

14. Kordame:
GDPR
Compliance
GDPR
Complian
ce
GDPR
ja
andme
d
Vali välja õiged
tööriistad, hoides süsteemi lihtsana Kaardista andmed
ja riskid
Kasuta spetsialistide
abi
Seame end GDPR-iks valmis!
• Tehniline (IT süsteemid,
protsessid, andmete
sildistamine jne)
• Õigusalane (millisel määral
GDPR mõjutab teie ettevõtet,
millised on erandid jne)
• IT lahendused
• Protsessid
• Töövood
• Koolitused
• jne
• Tee kindlaks, kus andmed
asuvad (pilv, kohalik
server, isiklik seade,
teenusepakkuja jne)
• Määra andmete klassid,
kustutamise tingimused
jne.
• Koolita
• Auditeeri regulaarselt

15. Tänan!
Mõtleme läbi, liigume kiiresti!

16. Kuidas Office 365 kaasa aitab?
• Kasuta eDiscovery teenust isiku-
andete avastamiseks
• Avasta, klassifitseeri ja sea
poliitikad isikuandmetele
kasutades Advanced Data
Governance funktsionaalsust
Tuvasta
personaalsed
andmed
Halda
ligipääse
Kaitse
keskonda
Sea säilitus-
poliitikad
Reageeri
ohtudele
Auditeeri.
kontrolli
Klassifitseeri
andmed
Pea logi
• Kasuta Advanced eDiscovery
funktsionaalsust, et kustutada
andmeid Exchange ja Sharepoint
teenustest
• Arhiveeri ja säilita andmeid kõigis
Office 365 teenustes
• Kaitse automaatselt juhusliku
andmete lekke vastu rakendades
andmelekkekaitse poliitikaid
• Kaitse e-maili kaasaegsete pahavara-
rünnakute eest Advanced Threat
Protectionit.
• Takista tundlike andmete kasutamist
kasutades Data Loss Prevention
andmelekkekaitset.
• Tuvasta ohud ja kaitse kasutades
Threat Intelligence and Advanced
Security Management võimalusi
• Hinda riske kasutades Service
Assurance Dashboard tööriistasid
• Jälgi ja loo aruandeid kasutajate
tegevustest Audit Logs logide alusel
Avasta Halda Kaitse Raporteeri

17. Kuidas EMS aitab?
• Tuvasta tundlik info kiiresti
kasutades Azure Information
Protection teenust
• Tuvasta pilveteenused, mida
töötajad kasutavad
• Uuri, mida töötajad oma
seadmetega teevad
Tuvata isiku-
andmed
Kaitse
andmeid,
identiteete,
seadmeid ja
andmeid
Tuvasta ohud
ja tõkesta
Logi ja
raporteeri
• Kaiits andmeid Azure Information
Protection teenusega
• Kaitse isikuandmeid tingimusliku ligipääsu
süsteemiga ja piira administraatorite
tegevust
• Kaitse andmeid mobiilsetes seadmetes ja
mobiilsetes rakendustest Intune’iga
• Tuvasta võimalikud andmelekked töötajate
käitumise analüüsi ja tavalisest
kõrvalekallete tuvastamine
• Keera logimine peale ja avasta
andmelekked kiiremini
• Jälgi dokumentide kasutamist ja
sulge vajadusel ligipääs kasutades
Azure Information Protectionit
Klassifitseeri ja
sildista
• Määra klassifitseerimise nõuded
paremaks andmete halduseks
• Kasuta Azure Information
Protection teenuste
klassifitseerimise siltide
seadistamiseks ja isikuandmete
kaitsmiseks
Avasta Halda Kaitse Raporteeri

18. Andmebaasi võimalused ?
• Päri andmebaasist, kas seal on
isikuandmeid
• Lisa isikuandmetele juurde vastav
märgis kasutades Extended
Properties funktsionaalsust
Tuvasta ja
jälgi isiku-
andmeid
Kaitse
andmeid
Reageeri
riketele
• Krüpteeri andmeid nii
andmebaasis, kettale salvestades
kui internetikanalites
• Logi andmebaasi päringute ajalugu
ja tuvasta võimalikud ohud ja
turvareeglite rikkumised
• Kasuta õppivaid algoritme
normaalselt kõrvalekalduvate
tegevuste tuvastamiseks
• Jälgi kõiki andmebaasi tegevusi
auditeerimisvõimalustega
• Kasuta turvalisis isiku tuvastamise
meetodeid andmebaasidele
ligipääsu andmisel
• Kasuta granuleeritud ligipääsu
• Piira kasutajate ligipääs andmete
maskeerimise ja andmerea
turvaseadistustega
Kontrolli
ligipääsu
Pea logi
Avasta Halda Kaitse Raporteeri