Sirvides Autor "Murumaa, Karin" järgi

Näitamisel1 - 1 1-st
  • Pisipilt
    NimetusAvatud juurdepääs
    Isikuandmete töötlemine ja turvalisus müügiettevõttes
    (Tallinna Tehnikakõrgkool, 2024-05-13) Murumaa, Karin; Murulaid, Tiia
    GDPR jõustus juba 2018. aasta mais ja sellest ajast alates peaksid kõikide ettevõtete ja asutuste isikuandmete töötlemistoimingud olema vastavuses üldmäärusega. GDPR-il on kõigi Euroopa Liidus tegutsevate ettevõtjate jaoks olemas ühtsed andmekaitsenormid, olenemata nende asukohast. Isikute kohta käivate andmete kaitsmine on järjepidev protsess, mis on osaks ettevõtte igapäevasest tegevusest. 1. novembrist 2023 jõustus Eestis seadusemuudatus, mis loob Andmekaitse Inspektsioonile (AKI) senisest tõhusama õigusliku aluse võtta vastutusele ettevõtted, kes rikuvad andmekaitsenõudeid. Varem sai seaduse silmis vastutusele võtta ettevõttes töötavat füüsilist isikut, mille tõendamine on keerukas või ka ebamõistlik. Alates novembrist 2023 on aga võimalik vastutusele võtta juriidilist isikut. Lõputöö uurimisobjekt oli müügiettevõte, mis tegeleb transpordivahendite rentimise ja müümisega. Lõputöö eesmärk oli välja selgitada, kuidas peetakse kinni isikuandmete töötlemisega ja andmete turvalisusega seotud nõuetest müügiettevõttes ja selle raamatupidamise korraldamisel, ning teha vajaduse korral ettepanekuid nende vastavusse viimiseks õigusaktidest tulenevate nõuetega. Uuringu läbiviimiseks koguti andmeid kvalitatiivsel meetodil, kvantitatiivse meetodina viidi ettevõttes läbi dokumendivaatlus ja poolstruktureeritud intervjuud juhatuse liikme ja raamatupidajaga. Teoreetilises osas anti ülevaade isikuandmete töötlemise teoreetilistest alustest. Lõputöö käigus selgus, et ettevõttes ja selle raamatupidamises on olemas privaatsuspoliitika. Privaatsuspoliitikat uurides selgus, et tekst oli enamasti väga raskesti loetav ja mõistetav, teksti võiks muuta lihtsamaks, et see oleks kõigile arusaadavam ja üheselt mõistetavam, sest mida selgem on sõnum, seda paremini jõuab see kõikide lugejateni ega tekita lisaküsimusi. Privaatsuspoliitika võiks ümber nimetada andmekaitsetingimusteks. Ettevõttes ja selle raamatupidamises tuleks koostada puudu olevad dokumendid. Raamatupidamise sise-eeskirjas tuleks välja tuua raamatupidamisprotsessid, lisaks kõigele tuleb selles ka välja tuua dokumentide säilitustähtajad, tagamaks nende õigeaegne säilitamine ning vajaduse korral hävitamine. Andmetöötlusregister tagab läbipaistvuse ja selgitava teabe kõigi isikuandmete töötlemistoimingute kohta ja sisaldaks tähtaegu eri andmeliikide kustutamiseks ning üldist kirjeldust tehniliste ja korralduslike turvameetmete kohta. Ettevõte ei ole kokku puutunud küberintsidentidega, see on hea, kuna need võivad seada ohtu ettevõtte digitaalsed dokumendid ja isikuandmed. Ettevõtte arvutites on kasutusel viirustõrjeprogrammid, mis aitab hoida tervel süsteemil ööpäev läbi silma peal. Kaheastmeline autentimine on üks parimatest viisidest, mida ettevõte kasutab sisselogimistel. Ettevõttes ja raamatupidamises tuleks rohkem tähelepanu pöörata paroolide uuendamisele ja vahetamisele, et vältida volitamatut ligipääsu andmetele. Ettevõttes tuleks kasutusele võtta spetsiaalne andmete kustutamise tarkvara või meetod, mis tagab andmete püsiva kustumise, kuna praegu kasutatakse elektrooniliste dokumentide puhul lihtsat kustutamist, see ei pruugi olla piisav. Ettevõttes tuleks koostada jälgimisseadmete teavitusteave ja nõusolekuprotseduurid selgelt ja arusaadavalt, need peavad tagama klientidele piisava teabe ja kontrolli isikuandmete kasutamise üle. Ettevõttes tuleks koostada ja kasutusele võtta GPS-seadmete kasutamistingimused, sildid ja kleebised jälgimisseadmete kohta. Ettevõttele koostati valvekaamerate kasutamise tingimused (Lisa 3, lk 50) lähtuvalt seadustest ja GDPR-ist. Analüüsi tulemustest lähtuvalt tehti ettepanek, et ettevõttes tuleks üle vaadata ja parendada privaatsuspoliitikat. Privaatsuspoliitika võiks ümber nimetada andmekaitsetingimusteks. Ettevõttes tuleb koostada andmetöötlusregister koos selgitava teabega kõigi isikuandmete töötlemistoimingute kohta, mis sisaldaks tähtaegu eri andmeliikide kustutamiseks ning üldist kirjeldust tehniliste ja korralduslike turvameetmete kohta. Vaja on ka raamatupidamise sise-eeskirja, kus oleks muuhulgas välja toodud dokumentide säilitustähtajad. Raamatupidamises ja ettevõttes tuleb tihedamini uuendada paroole. Tuleb kasutusele võtta spetsiaalne andmete kustutamise tarkvara või meetod, mis tagab elektrooniliste andmete ja dokumentide kustumise. Tehti ka ettepanek koostada jälgimisseadmete teavitusteave ja nõusolekuprotseduurid selgelt ja arusaadavalt, et tagada klientidele piisav teave ja kontroll isikuandmete kasutamise üle. Ettevõttele koostati valvekaamerate kasutamistingimused, see tuleks ettevõttes ka kasutusele võtta. Uuringut peetakse vajalikuks, sest selle tulemusena saadi teada, mis on probleemid ja puudused ettevõttes ja selle raamatupidamises isikuandmete töötlemisel ja andmete turvalisusega seotud nõuetest kinnipidamisel ning milliseid dokumente oleks vaja koostada ja muuta. Ettepanekutega arvestamine aitaks parandada ettevõttes ja selle raamatupidamises isikuandmete töötlemist ja andmete turvalisusega seotud nõudeid.