Isikuandmete töötlemine ja turvalisus müügiettevõttes
| dc.contributor.advisor | Murulaid, Tiia | |
| dc.contributor.author | Murumaa, Karin | |
| dc.date.accessioned | 2024-05-13T10:51:47Z | |
| dc.date.available | 2024-05-13T10:51:47Z | |
| dc.date.issued | 2024-05-13 | |
| dc.description.abstract | GDPR jõustus juba 2018. aasta mais ja sellest ajast alates peaksid kõikide ettevõtete ja asutuste isikuandmete töötlemistoimingud olema vastavuses üldmäärusega. GDPR-il on kõigi Euroopa Liidus tegutsevate ettevõtjate jaoks olemas ühtsed andmekaitsenormid, olenemata nende asukohast. Isikute kohta käivate andmete kaitsmine on järjepidev protsess, mis on osaks ettevõtte igapäevasest tegevusest. 1. novembrist 2023 jõustus Eestis seadusemuudatus, mis loob Andmekaitse Inspektsioonile (AKI) senisest tõhusama õigusliku aluse võtta vastutusele ettevõtted, kes rikuvad andmekaitsenõudeid. Varem sai seaduse silmis vastutusele võtta ettevõttes töötavat füüsilist isikut, mille tõendamine on keerukas või ka ebamõistlik. Alates novembrist 2023 on aga võimalik vastutusele võtta juriidilist isikut. Lõputöö uurimisobjekt oli müügiettevõte, mis tegeleb transpordivahendite rentimise ja müümisega. Lõputöö eesmärk oli välja selgitada, kuidas peetakse kinni isikuandmete töötlemisega ja andmete turvalisusega seotud nõuetest müügiettevõttes ja selle raamatupidamise korraldamisel, ning teha vajaduse korral ettepanekuid nende vastavusse viimiseks õigusaktidest tulenevate nõuetega. Uuringu läbiviimiseks koguti andmeid kvalitatiivsel meetodil, kvantitatiivse meetodina viidi ettevõttes läbi dokumendivaatlus ja poolstruktureeritud intervjuud juhatuse liikme ja raamatupidajaga. Teoreetilises osas anti ülevaade isikuandmete töötlemise teoreetilistest alustest. Lõputöö käigus selgus, et ettevõttes ja selle raamatupidamises on olemas privaatsuspoliitika. Privaatsuspoliitikat uurides selgus, et tekst oli enamasti väga raskesti loetav ja mõistetav, teksti võiks muuta lihtsamaks, et see oleks kõigile arusaadavam ja üheselt mõistetavam, sest mida selgem on sõnum, seda paremini jõuab see kõikide lugejateni ega tekita lisaküsimusi. Privaatsuspoliitika võiks ümber nimetada andmekaitsetingimusteks. Ettevõttes ja selle raamatupidamises tuleks koostada puudu olevad dokumendid. Raamatupidamise sise-eeskirjas tuleks välja tuua raamatupidamisprotsessid, lisaks kõigele tuleb selles ka välja tuua dokumentide säilitustähtajad, tagamaks nende õigeaegne säilitamine ning vajaduse korral hävitamine. Andmetöötlusregister tagab läbipaistvuse ja selgitava teabe kõigi isikuandmete töötlemistoimingute kohta ja sisaldaks tähtaegu eri andmeliikide kustutamiseks ning üldist kirjeldust tehniliste ja korralduslike turvameetmete kohta. Ettevõte ei ole kokku puutunud küberintsidentidega, see on hea, kuna need võivad seada ohtu ettevõtte digitaalsed dokumendid ja isikuandmed. Ettevõtte arvutites on kasutusel viirustõrjeprogrammid, mis aitab hoida tervel süsteemil ööpäev läbi silma peal. Kaheastmeline autentimine on üks parimatest viisidest, mida ettevõte kasutab sisselogimistel. Ettevõttes ja raamatupidamises tuleks rohkem tähelepanu pöörata paroolide uuendamisele ja vahetamisele, et vältida volitamatut ligipääsu andmetele. Ettevõttes tuleks kasutusele võtta spetsiaalne andmete kustutamise tarkvara või meetod, mis tagab andmete püsiva kustumise, kuna praegu kasutatakse elektrooniliste dokumentide puhul lihtsat kustutamist, see ei pruugi olla piisav. Ettevõttes tuleks koostada jälgimisseadmete teavitusteave ja nõusolekuprotseduurid selgelt ja arusaadavalt, need peavad tagama klientidele piisava teabe ja kontrolli isikuandmete kasutamise üle. Ettevõttes tuleks koostada ja kasutusele võtta GPS-seadmete kasutamistingimused, sildid ja kleebised jälgimisseadmete kohta. Ettevõttele koostati valvekaamerate kasutamise tingimused (Lisa 3, lk 50) lähtuvalt seadustest ja GDPR-ist. Analüüsi tulemustest lähtuvalt tehti ettepanek, et ettevõttes tuleks üle vaadata ja parendada privaatsuspoliitikat. Privaatsuspoliitika võiks ümber nimetada andmekaitsetingimusteks. Ettevõttes tuleb koostada andmetöötlusregister koos selgitava teabega kõigi isikuandmete töötlemistoimingute kohta, mis sisaldaks tähtaegu eri andmeliikide kustutamiseks ning üldist kirjeldust tehniliste ja korralduslike turvameetmete kohta. Vaja on ka raamatupidamise sise-eeskirja, kus oleks muuhulgas välja toodud dokumentide säilitustähtajad. Raamatupidamises ja ettevõttes tuleb tihedamini uuendada paroole. Tuleb kasutusele võtta spetsiaalne andmete kustutamise tarkvara või meetod, mis tagab elektrooniliste andmete ja dokumentide kustumise. Tehti ka ettepanek koostada jälgimisseadmete teavitusteave ja nõusolekuprotseduurid selgelt ja arusaadavalt, et tagada klientidele piisav teave ja kontroll isikuandmete kasutamise üle. Ettevõttele koostati valvekaamerate kasutamistingimused, see tuleks ettevõttes ka kasutusele võtta. Uuringut peetakse vajalikuks, sest selle tulemusena saadi teada, mis on probleemid ja puudused ettevõttes ja selle raamatupidamises isikuandmete töötlemisel ja andmete turvalisusega seotud nõuetest kinnipidamisel ning milliseid dokumente oleks vaja koostada ja muuta. Ettepanekutega arvestamine aitaks parandada ettevõttes ja selle raamatupidamises isikuandmete töötlemist ja andmete turvalisusega seotud nõudeid. | |
| dc.description.abstract | The rapid technological advancement over the past 20 years has created new challenges in protecting personal data. The scope of data sharing and collection has exponentially increased, sometimes on a global scale, with individuals increasingly disclosing their personal information (Euroopa Ülemkogu Euroopa Liidu Nõukogu, 01.09.2022). As the digital economy continues to progress, there is a need to ensure high-level protection of personal data while also allowing for the free movement of data. Andres Ojaver, an expert in data protection at the law firm Hedman, has highlighted that in just the first six months of 2022, the total amount of fines imposed has doubled compared to the same period last year. Data protection breaches are most commonly discovered in sectors such as commerce, media and telecommunications, financial services, healthcare, and the public sector. This is understandable as these sectors inevitably use the most personalized data (Andmekaitse nõuete rikkumise trahvid tegid uue rekordi, 2022). The aim of the thesis is to determine compliance with the requirements for processing and handling the security of personal data in the organization of accounting in a sales company, and if necessary, to make proposals to bring them into compliance with the requirements arising from legislation. To achieve the objective of the thesis, the following tasks have been set: • work through the literature and legislation in the field in order to establish a theoretical basis for analysing the personal data processing and data security requirements of a company and its accounting; • develop the methodology for an empirical study and identify an appropriate method for data collection and analysis; • map out the activities related to the processing and security of personal data in the sales company and in accounting; • analyze compliance with requirements related to the processing and security of personal data in the sales company and in accounting; present conclusions based on the analysis results and, if necessary, proposals on the sales company and its accounting for bringing compliance with legal requirements. In the course of the thesis, it became clear that there is a privacy policy in place in the company and its accounting. Examining the privacy policy, it was found that the text was mostly very difficult to read and understand, and could be simplified to make it clearer and unambiguous for everyone, as the clearer the message, the better it reaches all readers and does not raise additional questions. The privacy policy could be renamed as data protection terms. Missing documents should be drafted for the company and its accounting department. The internal accounting rules should set out the accounting processes and, in addition, the retention periods for documents to ensure that they are retained in a timely manner and, if necessary, destroyed. The data processing register would ensure transparency and explanatory information on all processing operations of personal data and would include time limits for the deletion of different types of data and a general description of technical and organisational security measures. The company has not encountered cyber incidents, which is good because they could jeopardize the company's digital documents and personal data. The company's computers are equipped with antivirus programs, which help keep an eye on the entire system around the clock. Two-factor authentication is one of the best methods the company employs for logins. More attention should be paid to password updating and changing in the company and accounting, to prevent unauthorized access to data. The company should implement specialized data deletion software or methods that ensure permanent data erasure, as currently, simple deletion is used for electronic documents, which may not be sufficient. The company should create clear and understandable notification and consent procedures for tracking devices. This should ensure that customers have sufficient information and control over the use of their personal data. The company should develop and implement terms of use for GPS devices, as well as labels and stickers regarding tracking devices. Conditions for the use of surveillance cameras were drafted for the company (Appendix 3, page 50), based on laws and GDPR regulations. Based on the analysis results, a proposal was made to review and improve the privacy policy within the company. The study is considered necessary because it revealed the problems and shortcomings in the processing of personal data and compliance with data security requirements within the company and its accounting department. Additionally, it identified the need to draft and amend various documents. | |
| dc.identifier.uri | https://dspace.tktk.ee/handle/20.500.12863/5124 | |
| dc.language.iso | et | |
| dc.publisher | Tallinna Tehnikakõrgkool | |
| dc.subject | Majandus and ärijuhtimine | |
| dc.subject.other | Majandusarvestus | |
| dc.title | Isikuandmete töötlemine ja turvalisus müügiettevõttes | |
| dc.title.alternative | Personal Data Processing and Security in the Sales Company | |
| dc.type | lõputöö |