Avaldatud Äripäevas 4. november 2025.
Igal ettevõttel, kes töötleb isikuandmeid, lasub kohustus tagada nende kohane turvalisus. See kohustus laieneb ka ettevõtte poolt kaasatud teenuseosutajatele, mh IT-teenuste osutajatele, nt serveri-, pilve- või küberturvalisuse teenuseosutajale. On põhjendatud arvata, et hulk ettevõtteid ei tegele andmeturbega ise vaid kasutab selleks pädevat teenuseosutajat. Samas ei vabane ettevõte ise küberründe tõttu toimuva andmelekke korral automaatselt andmekaitsealasest vastutusest, isegi kui ta on andnud alltöövõtu raames isikuandmete töötlemise turvalisuse tagamise kohustuse täitmise teisele teenuseosutajale. Kogu Euroopas muutub puudulike turvameetmete eest isikuandmete kaitse üldmääruse (inglise keeles lüh GDPR) alusel trahvide tegemine järjest sagedasemaks – ühe hiljutise näitena määrati trahv Poolas tegutsevale McDonalds restoraniketile summas 4 022 773 eurot ning eraldiseisvalt trahviti 43 680 euroga ka tema teenusepakkujat.
Ka Eestis on märkimisväärsemad GDPR trahvid määratud andmeturbe meetmetega seonduvalt. Vaid kuu aega tagasi määras Andmekaitse Inspektsioon (AKI) Apotheka ja PetCity kliendiandmete haldajale 3 miljoni euro suuruse trahvi isikuandmete töötlemise turvalisuse nõuete rikkumise eest. Varasemalt on AKI trahvinud summas 85 000 eurot ettevõtet Asper Biogene, heites ette mh turvameetmete rakendamise puudujääke. Asper Biogene kaasus on tänaseks siiski kohtu poolt lõplikult lahendatud ettevõtte kasuks ning trahv tühistati terves ulatuses (loe täpsemalt siit).
Need juhtumid panevad ilmselt ettevõtjaid enda andmeturbe riskide ja võimaliku vastutuse peale mõtlema. Kuidas teenuseosutajaid peaks valima, et vastavad riskid ei realiseeruks? Nimelt nõuab GDPR, et ettevõte teeks teenuseosutaja valikul informeeritud ja läbimõeldud otsuseid, mh, et teenuseosutaja rakendaks piisavaid turvameetmeid. Samas puuduvad selged reeglid ja kohustuslikud standardid, millele valiku tegemisel toetuda.
GDPR näeb ette, et kõik isikuandmete töötlejad peavad võtma meetmeid isikuandmete turvalisuse tagamiseks, kuid määrus ei selgita, mida need meetmed tegelikult praktikas tähendavad. Näiteks võivad ISO 27001 tüüpi infoturbe juhtimissüsteemi sertifikaadid viidata sellele, et teenuseosutaja turvameetmed on üldjoones paigas, aga see ei pruugi tagada andmekaitsealastele nõuetele vastavust, kuivõrd sertifitseerimine on enamasti piiratud konkreetsete protsessidega. Samas teenuseosutaja sellise sertifikaadi olemasolu, ei vabasta teda kaasanud ettevõtet andmekaitsealaste rikkumiste korral võimalikust vastutusest. Mida suuremas mahus ja tundlikumaid isikuandmeid töödeldakse, seda enam tuleb pöörata tähelepanu isikuandmete turvalisuse tagamisele.
Kuigi teenuseosutajalt nõutavate turvameetmete tähenduse osas valitseb õiguslik ebakindlus, soovitame ettevõtetel teenuseosutajate kaasamisel riskide maandamiseks astuda järgmiseid samme:
- Kaardista riskid ning hinda teenuseosutajat
Kaardista ära, milliseid isikuandmeid teenuseosutaja hakkaks töötlema, mis on potentsiaalselt kaasnevad riskid ning hinda teenuseosutaja poolt võetavaid turvameetmeid, sh milliseid sertifikaate ning standardeid ta jälgib. Pööra tähelepanu teenuseosutaja andmeturbe poliitikale, sh andmete krüpteerimisele, juurdepääsu kontrollidele, turvaaudititele ning andmete varundamise ja taastamise protsessidele. Uuri ka, et kas teenuseosutaja kasutab teenuse osutamisel omakorda alltöövõitjaid ning kui jah, siis kus riigis need asuvad ja kus riigis nende andmetöötlus toimub, milline on alltöövõtja kaasamise ning kontrollimise protsess.
Täiendavalt hinda nende varasemat kogemust ning mainet. Uuri, kas teenuseosutajal on varasemaid andmekaitsealaseid rikkumisi. Kindlasti ei tohiks rikkumisi automaatselt ohu märgina võtta. Oluline on sel puhul aru saada, kas ja kuidas on nende tulemusena turvameetmed teenusepakkuja poolt ajakohastatud ja vastavusse viidud. Reeglina võetakse varasemate intsidentide järel kõrgendatud turvameetmete rakendamist märksa tõsisemalt ja seetõttu on tegemist turvalisema teenusepakkujaga.
- Sõlmi teenuseosutajaga kirjalik andmetöötlusleping
GDPR sätestab kohustuslikud elemendid, mida andmetöötlusleping peab sisaldama, mh töödeldavate isikuandmete liigid, töötlemise kirjeldus ja kestus, töötlemise juhised, poolte õigused ja kohustused isikuandmetega seotud andmelekete ja muude rikkumiste puhuks ning ka minimaalsed turvameetmed, mida teenuseosutaja kasutama peab. Täiendavalt soovitame lepingusse sätestada ka lepingu rikkumisega kaasnevad tagajärjed.
- Auditeeri teenuseosutajat
Peale lepingu sõlmimist ei tohiks jääda passiivseks. Regulaarsed auditid aitavad tagada, et teenuseosutaja järgib lepingut ja kasutab vajalikke turvameetmeid. Auditeerimise käigus tuleks kontrollida nii turvameetmete tegelikku rakendamist ning toimimist kui ka seda, kas teenuseosutaja on viinud läbi vajalikke turvaauditeid ning kas nende tulemused vastavad kehtivatele standarditele. Auditeerimine võib olla tähtis eriti pikaajaliste partnerite koostöötäpsuse hoidmisel.
- Ajakohasta turvameetmeid
Turvameetmed, mis olid eile piisavad, võivad homme olla ebapiisavad. Kuivõrd turvameetmed peavad arenema koos tehnoloogia ja uute ohtudega, tuleb turvameetmeid regulaarselt ajakohastada. See võib tähendada uute krüpteerimismeetodite kasutuselevõttu, juurdepääsu kontrollide karmistamist või andmete varundamise ja taastamise protsesside täiustamist. Jälgi perioodiliselt, et ka teenuseosutaja hoiaks oma turvameetmeid vastavuses muutuvate nõuete ja ohtudega.
Lisatud Asper Biogene juhi Hardi Tamme kommentaar:
Mõistlike valikute tegemiseks tuleks kasutada nii GDPR poolt etteantut kui lihtsaid kogemusest tulenevaid soovitusi. Lihtsamast alustades, tuleks arvestada pika GDPR loendi kõrval tõsiasjaga, et pahandus võib tulla ka üksiku detaili unustamisest ehk kett on nii tugev kui oli kõige nõrgem lüli. Aga vastutust tuleb kanda ühtemoodi. Samuti võib oletada, et AKI otsuste tühistamine kohtu poolt peegeldab alles kujunevat keskkonda, kus reeglite nappuses võib tõlgenduses eksida ka AKI. Samas oleks iga selline juhtum ettevõtte tööd segav, mistõttu on ettevaatav hool andmeturbe korraldamisel kindlasti põhjendatud. Vajadus andmete paremaks kaitseks ainult kasvab.
Ettevõtte juhtimissüsteemis on andmeturbele lisaks veel palju ülesandeid. Seetõttu soovitan leida endale aeg ja teha selgeks hädavajalik integreerituse ulatus, et lihtsad tegevusjuhised ja keerulised protseduurid omavahel koostööd teeksid. Kui kõige paremini töötab lihtne juhis, tuleb ka detailirohke protsessi kontrollimiseks sobiv juhis vormida. Selleks kulutatud aeg osutub pärast heaks investeeringuks.
