Kliendihalduse kasutamine ja uus EL andmekaitsemäärus

Uus EL andmekaitsemäärus puudutab kõiki ettevõtteid ja organisatsioone, kes kasutavad isikuandmeid puudutavaid andmebaase (Kliendibaase). Määrus võeti vastu 14.4.2016 ja see hakkab kehtima 25.5.2018, pärast seda võidakse vastavate ametiasutuste poolt trahvida neid, kes seda määrust rikuvad. Nimetatud määrus puudutab neid isikuandmeid, mille puhul on isikud identifitseeritavad.

Kliendihalduse logoEttevõtted kes veel täna ei kasuta Kliendihaldust või mõnda muuda CRM lahendust, on viimane aeg hakata selle peale mõtlema.

Käesolevas teadaandes kirjeldame lühidalt, kuidas uus andmekaitsemäärus puudutab Kliendihaldust kasutavaid kliente ja kasutajaid. Uus andmekaitsemäärus suurendab kohustusi Kliendibaasis oleva info haldamisel. Uue määruse kehtima hakkamiseni on veel aega, kuid seda ettevalmistava tegevusega tasuks alustada juba aegsasti.

Andmekaitsemäärus toob muutusi klientidele järgmistes valdkondades, mida kirjeldatakse täpsemalt teadaandes:

  • Andmete töötlemise leping
  • Kliendihaldust kasutavate klientide dokumenteerimiskohtustus
  • Aruandekohuslus, andmekaitsemäärus ja andmekaitse eest vastutava isiku määramine
  • Isiku õigus kustutada teda puudutavad andmed
  • Isikuandmete loovutamine ja edasiandmine
  • Sanktsioonid

Klienditugi OÜ aitab klientidel oma tegevuse vastavusse viimisel uue andmekaitsemäärusega. Saadame ka edaspidi lisateavet tulevate muutuste kohta ja seda puudutava koolituste ja nõustamiste kohta.

Andmetöötlusleping

Uue tuleva määruse esimene konkreetne muutus puudutab andmetöötluslepingut. See sõlmitakse Klienditugi OÜ ja kliendi vahel ning see määrab vastavalt tulevale määrusele endisest täpsemalt ära selle, kes vastutab Kliendihalduses mingi andmete osa töötluse eest. Klienditugi OÜ saadab klientidele andmetöötluslepingu tutvumiseks enne 15.08.2017.

Selles määratakse muu hulgas ära Kliendihalduse töötajate ligipääs Kliendihalduse süsteemi ja andmebaasi, tugiteenuste andmise täpsustatud viis ning muud andmekaitset puudutavad asjad.

Mida tuleb arvesse võtta Kliendihalduse kasutamisel?

Kliendihalduses sisalduvad andmed on alati kliendi omand ja nii vastutab alati klient igas suhtes oma Kliendihalduses leiduvate andmete, nende eri eesmärkidel töötlemise, nende edasiandmise, nende kasutusõiguste ja selle eest, et kõik see vastaks EL andmekaitsemääruse ja kohalike seadusandlike aktide nõuetele. Klient on andmekaitsemääruses niinimetatud registrihaldaja rollis kogu selle info suhtes, mis sisaldub Kliendihalduse süsteemis.

Klient peab oma vastutuse osas arvesse võtma ka oma Kliendihalduse süsteemi puutuvate väljaspoolsete kasutajate tegevustanaloogiliselt iseenda omale. Nendeks väljaspoolseteks kasutajateks võivad olla näiteks kliendi ettevõtte suhtes väljaspoolsed kasutajad (näiteks Klienditugi OÜ oma Kliendiotsingu teenusega) või integratsioonipindade kaudu kliendi Kliendihaldusesse pääsevad kolmandad osapooled.

Klient peab arvestama oma Kliendihalduse andmete puhul nende kasutusaega ja eemaldama süsteemist vananenud andmed. Näiteks raamatupidamisdokumente peab säilitama 6 aastat, aga selle nõudmise täidab sageli juba raamatupidamine ise oma raamatupidamisprogrammi abil. Kliendi kohustustesse kuulub oma Kliendihalduse süsteemist niisuguste isikuandmete eemaldamine, mida seadusandlikud aktid ei luba säilitada.

Klient peab arvesse võtma ka seda, et kord juba antud kasutajatunnuseid ei tohi enam teistele süsteemi kasutajatele anda. Iga kasutaja peab olema identifitseeritav isiku tasemel.

Kliendibaasi haldaja dokumenteerimiskohustus

Oma organisatsioonis tuleks arvesse võtta piisav andmekaitseohutuse tase ja ennetav riskide äratundmine. Kliendibaasi haldajal on kohustus dokumenteerida andmete kasutamine ja töötlejad. Selles dokumentatsioonis peavad sisalduma võimalikud koopiad, edasiantud materjal, väljaprintimised jne, mis sisaldavad andmekaitsealast infot. Kliendibaasi haldaja peab olema teadlik sellest, kuhu süsteemis sisalduvat infot on loovutatud, ta peab edastama kliendiandmeid puudutavad muudatuste soovid edasi kõigile asjaosalistele nii siis, kui nende soovijaks on konkreetne isik kui ka siis, kui seda soovib mingi riigiasutus.

Kliendibaasi haldaja vastutab oma Kliendihalduse väljastpoolt üleslaaditud andmete eest samamoodi nagu oma andmete eest. Klient peab ise kontrollima, mis andmeid välistest allikatest Kliendihaldusesse on laetud ja ka vastutama nende eest.

Aruandekohuslus ja andmekaitsemäärus

Aruandekohuslus tähendab seda, et Kliendibaasi puudutavaid tegevusi peab suutma tõestada. Klienditugi OÜ on koostöös arendajaga CRM-service Oy kohustuslikus korras liitnud igale Kliendihaldus lahendusele nn jälitusahela funktsiooni (audit trail). Selle meetmega on kindlustatud kõigi Kliendihalduses tehtud toimingute registreerimine: kes on vaadanud, muutnud või kustutanud andmeid. Jälitusahela loetavust peakasutaja aruandluse kaudu parandatakse 2017. aasta jooksul veelgi. Kliendihalduse tarnija osalt on seega aruandekohustus tagatud. Klient vastutab selle eest, et tema oma Kliendihalduse süsteemis pääsevad Kliendihalduse kasutajad ja kolmandad osapooled ligi ainult nendele andmetele, millele neil on õigus oma tegevuse iseloomu arvesse võttes õigus.

Klient peab oma tegevuses ja protsesside juures arvesse võtma seda, et ta on registri (Kliendibaasi) haldaja roolis ja et tema ettevõttes peab olema andmekaitse eest vastutav isik. Vajadusel tuleb ettevõttel palgata PDO (Data Protection Officer) juhul, kui mõni järgmistest kriteeriumidest on täidetud:

  • Tarnija on avalik-õiguslik asutus, v.a. kohtud
  • Tema tegevusse kuulub isikute massiline jälgimine/jälitamine
  • Tema tegevusse kuulub isikuandmete massiline töötlemine (NB! EL käsitab muu hulgas ka IP aadresse isikuandmetena)

Andmekaitsemäärus puudutab ka andmekaitseeeskirjade rikkumisest teatamise kohustust: “Isikuandmeid puudutavatest andmekaitseeeskirjade rikkumisest tuleb teatada andmekaitseorganeid hiljemalt 72 tunni jooksul.”. See ajavahemik hakkab kehtima hetkest, kui andmekaitse-eeskirjade rikkumine on avastatud.

Andmekaitse-eeskirjade rikkumised võivad olla nende häkkimine või nende väärkasutamine kliendi organisatsiooni poolt. Häkkimised saab jagada selle järgi, kas Kliendihalduse kasutajatunnuseid kasutati väljaspoolse isiku poolt seadusevastaselt või oli tegemist kogu süsteemi puudutava häkkimisega.

Kliendi kohustus on tagada oma kasutajatunnuste ning nende kaitse ja seadusekohane kasutamine.

Klienditugi OÜ koostöös arendaja CRM-service Oy-ga tagab Kliendihalduse andmete kaitse tehniliselt ja kui nendele toimub rünne, teavitab sellest koheselt ka oma kliente. Klientide kohus registri (Kliendibaasi) haldajatena on teatada niisugustest rünnetest vastavatele ametiisikutele.

Isiku õigus kustutada teda puudutavad andmed

Andmekaitsemäärus puudutab ka isiku õigusi kustutada teda puudutavad andmed. Klient vastutab alati ise kõigi andmete kustutamise eest süsteemis isikutasemel vastavalt andmekaitsemäärusele. Tuleb meeles pidada, et kustutatud andmed lähevad alati enne prügikasti ega ole nii veel lõplikult kustutatud. Kliendibaasi haldaja peab, kui isik seda soovib, andma talle kõik tema andmed, mis Kliendihalduses leiduvad. Klient peab alati ise välja selgitama kõik tema tegevusega seoses olevad õigused ja võimalikud erijuhused.

Klient peab tagama ka andmekaitse-eeskirjade järgimise kõigi Kliendihaldus süsteemist prinditud andmete, Kliendibaaside ja muude andmebaaside ning koopiate osas nii enda kui ka kolmandate osapoolte poolt, kellel on ligipääs Kliendihalduse süsteemi.

Isikuandmete loovutamine ja edasiandmine välismaale

Klienditugi OÜ Kliendihalduse andmebaasid (kaasaarvatud Kliendibaasid) asuvad EL territooriumil (Soomes). Juhul kui klient annab andmed edasi mujale, peab ta ise tagama ka andmekaitsemääruse nõuete järgimise.

Andmete siirdamine Euroopa Liidust Ameerika Ühendriikidesse Safe Harbor kokkuleppe kohaselt on keelatud.

Lisainfot Safe Harbor kokkuleppe kohta >>

E-maili turundus ja ePrivacy Directive (2002/58/EC)

Klient vastutab selle eest, et kõigi tema Kliendihalduses olevate andmete osas järgitakse ePrivacy-direktiivi. Selles direktiivis käsitletakse muu hulgas ka andmete kasutamise praktikaid Internetis käitumise ning turunduse ja reklaamimise osas.

Lisainfot ePrivacy direktiivi kohta >>

Sanktsioonid

On ametlikult ära määratud, et andmekaitse-eeskirjade rikkumise eest võib määrata trahvi. Selle maksimumsuurus on 20 miljonit eurot või 4% eelneva aasta käibest.

Väikesed alla 250 töötajaga ettevõtted võivad saada järeleandmisi andmekaitse osas, aga need peavad kliendid ise välja selgitama.

Andmekaitse tagamine Kliendihalduse pakkujana ja tarnijana

Klienditugi OÜ ning Kliendihalduse arendaja CRM-service Oy on lepingu järgi kohustatud pidama kõiki kliendi Kliendihalduses olevaid andmeid delikaatsetena ning mitte kasutama ja loovutama neid edasi.

CRM-service Oy töötajad on läbinud Soome Kaitsepolitsei andmekaitsekontrolli.

Klienditugi OÜ ning Kliendihalduse arendaja CRM-service Oy töötajatel, kes osutavad teenusi kliendi Kliendihalduse keskkonnas, on ligipääs kliendi Kliendihalduse salvestatud andmetele vastavalt vajadusele, mis tähendab seda, et tugiteenust osutades peavad nad kasutama ka kliendi süsteemis olevaid andmeid ja tegevusi. Seda puudutavat osa täpsustatakse uues andmetöötluslepingus.

EL andmekaitsemääruse ametlik tekst leidub siin >>

Klienditugi OÜ 17.11.2017

Võta ühendust

Jäta siia oma kontaktandmed ning kirjelda millist abi meilt ootad ning võtame sinuga ise ühendust.

Klienditugi OÜ

Telefon: +372 53 4000 30
E-post: kontakt@klienditugi.ee
Aadress: Tondi 51, Tallinn 11316, Eesti

Registrikood: 11091789
KMKR. nr: EE101235282