Lugejate soovil: ärisaladuse ja andmete turvalisusest lähemalt

Uudis Tagasi

Pärast eelmise kuu infokirja, milles kirjutasime ärisaladuse kaitsmise viisidest, palusid meie lugejad meil teemat detailsemalt selgitada ning on ainult meie poolne rõõm sellisele palvele vastu tulla! 

Seekordses uudiskirjas käsitleme järgnevaid teemasid: 

  • Juriidilise ettevalmistuse olulisus
  • Käitumine andmelekete korral. Selle eest vastutate Teie!
  • Videod, pildid ja vajalikud load
  • Mida peavad teadma Teie töötajad
  • Miks on oluline tagada enda riist- ja tarkvara turvalisus
  • Turvalekked, millest Teil ei olnud aimugi
  • Järelevalveasutused ja vastavusnõuete täitmine erinevates valdkondades;
  • Milliseid ettevalmistusi Te teha saate

1.   Juriidiline ettevalmistus – miks see oluline on? 

Eelmisel korral me selgitasime, kuidas Teie ettevõttes käibel olevate lepingute ja sise-eeskirjade täiendamine ärisaladust kaitsvate klauslitega võib Teid päästa erinevate andmelekete korral. 

Õiguskaitseorganid ja järelevalveasutused reageerivad Teie poolsetele taotlustele kiiremini ja efektiivsemalt, kui Teie dokumentatsioon on korras. Näiteks on Teil oluliselt lihtsam paluda kohtult Teie endise töötaja kohustamist Teie ärisaladuse avaldamisest hoiduda, kui sellele on sätestatud alus juba töölepingus. 

Teiste ennetavate meetmete hulgas võib loetleda näiteks Teie töös kasutatavate andmete auditeerimist ja kaardistamist, Teie IT- infrastruktuuri ja ressurssidest ülevaate tegemist, tegevusplaanide koostamist küberturvalisuse tagamiseks ning juhiste koostamist, mis reguleerivad andmeleketele reageerimise korda. 

Kiire tegutsemine on äärmiselt oluline. Mitte ainult ei jää te ilma oma ärisaladusest ja vajalikest andmetest, vaid Te kaotate aega ja raha iga mööduva tunniga. Juhul, kui Teil ei ole selget ettekujutlust, kuidas edasi minna, olete Te raskustes ja seda eriti olukorras, kui Teie ettevõttes ei ole sätestatud reegleid, kuidas teavitada andmelekkest asjakohaseid järelevalveasutusi ning lepingulisi partnereid.

 

2. Andmelekke korral vastutate otseselt Teie 

Turvaleke kätkeb endas palju elulisi tagajärgi. Kui Teie ettevõttes on toimunud turvaleke, siis suure tõenäosusega toob see kaasa Teie poolse kohustuste rikkumise Teie klientide ja koostööpartnerite ees.  

Kui ettevõttest satub välja informatsioon, mis puudutab mitte ainult Teid, vaid ka Teie äripartnereid, vastutate Te võimaliku kahju eest, mis sellega kaasneb. Otseloomulikult, Teil on võimalik tugineda vääramatu jõu vastuväitele küberrünnaku toimumise korral, kuid sellegi poolest – küberrünnaku tagajärgedele see vastutust välistav asjaolu ei laiene ning selle vabanduse taha peitumine ei ole võimalik.  

Teatud juhtudel on isegi võimalik ettevõtte juhtide isiklik vastutus kui selgub, et juhatus pole oma ülesandeid täitnud vajaliku hoolsusega. Nii võivad ettevõtte osanikud juhatuse vastu nõude esitada, kuid ei ole välistatud ka töötajate nõuded, kui töötajatel on võimalik Teile ette heita vajalike turvanõuetega mitte arvestamist.  

See tähendab, et sellisteks olukordadeks peate Te olema väga hästi ettevalmistunud. Kuigi küberturvalisuse tase Eestis võib olla ehk isegi parem kui mujal, on siiski suur hulk ettevõtteid, kellel puudub jätkusuutlik tegevusplaan turvaleketele reageerimiseks.  

Kujutage korraks ette, et Te olete laeval, mis ületab Läänemerd ning sellel puudub turvavarustus: Teie jaoks päästevest puudub. Ei ole just tore mõte, ega ju? 

Vaatleme võimalikke probleeme lähemalt. Käsitleme alljärgnevalt videosalvestisi ning kindlasti jätkake lugemist, kuivõrd hiljem räägime ka riist- ja tarkvarast, tagavarakoopiate tegemisest ja paljustki muust.

 

3. Turvavalve, videod ja pildid 

Te ei taha ju kaasa aidata pahatahtlikele jälitajatele, kas pole? Samas see on täpselt see, mida paljud ettevõtjad teevad: seades üles enda territooriumile turvakaameraid, ei kulutata eriti palju aega tegelikule turvalisusele, seda eriti osas, mis puudutab kaamerasalvestisi ja nende säilitamist.  

Teie turvakaamerate süsteemil on mõte üksnes juhul, kui Te reguleerite täpselt ka ligipääsu sellele. Ei ole vahet, kas Te võtate selleks tööle eraldi töötajad või kasutate välise teenusepakkuja teenuseid. Lepingud isikutega, kelle ülesandeks on selle vastutusrikka töö tegemine, ei tohi olla puudulikud.  

Selle valdkonna probleemid võivad alata pealtnäha ohutust olukorrast. Ütleme, et Te olete just kolinud uude kontorisse ning korraldate enda klientidele soolaleivapeo. Või soovite enda külalistele näidata Teie juhitud tehase tootmisosa. Kõigil nendel kõrvalistel isikutel on mobiiltelefonid, mida nad saavad hõlpsasti kasutada fotode tegemiseks.  

Mida Te neile täpselt pildistada lubate, on oluline! Kas Te olete meediaettevõte? Hoidke nad eemal müügitabelitest! Teil on suur töökoda, milles pakute autode renoveerimisteenust? Ärge laske neil pildistada Teie klientide tehnikat! Te kutsusite fotograafi pildistama enda kontorit? Jälgige, et ta ei oleks juurdepääsu Teie märkmestendide, kliendikaustadedele ja muule sarnasele. 

Iga ettevõtte tegevuses on olemas riskid, mis võivad realiseeruda juba üksnes nõrga visuaalse turvataseme tõttu. Olge täiesti veendunud, et inimesed või teenusepakkujad, keda Te enda ettevõtte toimimiseks kasutate, saavad sellest aru ning on õiguslikult kohustatud järgima Teie reegleid.

 

4. Teavitage teisi Teie tegevusest 

Lihtsalt niisama ei ole Teil võimalik inimesi filmida ja nende liikumist jälgida. See vajab ka hoolikat õiguslikku ettevalmistust. Te peate olema teadlikud sellest, millal ja kus Te võite isikuid filmida ning sellest vajadusel neile ka teada andma.  

Ülaltoodu vajab selgeid eeskirju. Isikud, keda see puudutab, on muidugi Teie enda töötajad, aga samuti ka Teie koristajad, töölised, keda Te mõnikord vajate ja nii edasi. Kõik lepingud, mis Teil nendega on sõlmitud, peavad sätestama nende konfidentsiaalsuskohustuse, samuti peate Te neile teada andma, et jälgite nende tegevust turvakaameratest.

 

5. Teie riist- ja tarkvara turvalisuse tagamine 

Kas Te lubate enda töötajatel kodus töötada kasutades ettevõttele kuuluvat tehnikat? Tõenäoliselt küll, mis mõte sellel muidu oleks. Kuidas on tagatud nende seadmete turvalisus? 

Seda saab reguleerida näiteks kaheastmelise autentimise või ekraanilukustuse ja paroolipoliitikate kaudu. Lubades enda töötajatel kasutada Teie vara ka mujal, on Teie ettevõte avatud erinevatele ohtudele. Varastatud iPhone’ilt või lukustamata sülearvutilt avatud kontori tüüpi laual on mitmeid riske, mida Te olete kohustatud maandama.  

Need riskid ulatuvad ka kasutatava tarkvara ja liideste osas. Kas Te lubate enda töötajatel teha tööarvuti ekraanilt kuvatõmmiseid? Mitte kunagi ei ole garanteeritud, et kuvatõmmisele ei jää kogemata näha ka konfidentsiaalne informatsioon. Milliseid suhtluskanaleid Teie töötajad kasutada tohivad? Millist informatsiooni nad tööarvuti vahendusel edastada tohivad? Kuidas Te seda kontrollite? Küsimusi on lõpmatult.  

Kõik see vajab detailseid eeskirju, kui Te soovite hoida enda vastutuse mõistlikul tasemel.

 

6. Turvalekked, millele Te ei osanud isegi mõelda 

Ühes Euroopa riigis asuv politseijaoskond, mille kohta täpsemaid andmeid ei saa me avaldada, on korduvalt pälvinud erinevaid tunnustusi nende kõrgetasemelise IT-võimekuse tõttu. Tegemist oli 21. sajandi eesrindlikuima õiguskaitse organisatsiooniga, mida toodi sageli näiteks riiklikul tasemel tipptehnoloogia kasutusele võtmise vallas.  

Seda kõike seni, kuni selle organisatsiooni kontrolli käigus avastati mitte üksnes andmeleke, vaid massiivne turvaauk. Seni, kuni igapäevaselt kasutatavad seadmed oli viimase vindini turvatud, hoiti kõikidest andmetest varukoopiaid 15 aastat iganenud serverites, mille turvatase oli olematu. 

Täpselt nii: kui ülemistel korrustel asuvatesse süsteemidesse sissemurdmiseks oleks tarvis olnud üliinimlikke võimeid omavaid arvutihäkkerit, siis samaaegselt võis ka iga koristaja mugavalt pääseda keldrisse, kust kõik vajalikud andmed kaasa võtta. Kas me mainisime, et seal puudusid isegi turvakaamerad?  

Ülaltoodust nähtub, et üksnes turvaeeskirjade koostamise protsess võimaldab Teil avastada võimalikud olemasolevad lüngad. See, omakorda, võib tagada Teie seadmete turvalisuse, mis on muuhulgas oluline ka järgmises punktis:

 

7. Riiklikud järelevalveasutused ja vastavusnõuete täitmine 

Lisaks igapäevasele tegevusele ning sellega seotud riskidele, peate te järjepidevalt arvestama seadusest tulenevate nõuetega Teie tegevusele ning aruandluskohustusega järelevalveasutuste ees. Selliseid reegleid on tohutult ning need sisalduvad erinevates õigusaktides - alates Euroopa Liidu direktiividest kohalike järelevalveasutuste juhenditeni.  

Näiteks peate arvestama isikuandmete kaitse üldmäärusega (GDPR), mis kohustab teid rakendama meetmeid, millel on võime “tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus.” 

Samuti kehtivad väga valdkonnaspetsiifilised standardid, näiteks sisaldab selliseid makseasutuste direktiiv (PSD2), mis nõuab makseasutustelt tegevus- ja turvariskide maandamist. See näeb ette ranged reeglid isikutuvastusele ning seab Teile kohustuse intsidentide raporteerimiseks.  

Mõelge sellele viimasele punktile. Lisaks turvalisusele, on Teil ka aruandluskohustus hulgalisel arvul juhtumite korral, eriti olukorades, kus Teie ettevõtte on langenud küberrünnaku ohvriks.  

Näiteks, kui Teie ettevõtte asub Eestis, siis küberrünnaku korral olete Te kohustatud andma sellest teada Riigi Infosüsteemi Ametile (RIA) ning Andmekaitseinspektsioonile.  

Järelevalveasutuste informeerimine, süsteemide sulgemine ja taaskäivitamine, samuti ka Teie lepingulised kohustused klientide ees, mis eeldavad Teie pidevat töövalmidust, kõik see lausa karjub konstruktiivse ja juriidiliselt korrektse käitumise järele. Siiski – enamus käesoleva asja lugejatest ei ole ilmselt võimalikule aruandluskohustusele kunagi mõelnud.  

Kas Te saaksite vajadusel selle kõigega hakkama piisavalt kiiresti?

 

8. Mida Te teha saate, et tagada enda valmisolek parimal tasemel? 

Kõik eelnev tähendab, et Teie ettevõtlusega seotud turvariskid on siin selleks, et jääda ja need on tõsised. Siin on kolm peamist valdkonda, millega Te peate tegelema võimalikult kiiresti:

  • Võtke tarvitusele vajalikud õiguslikud meetmed (auditid, kaardistamine, lepingud, sise-eeskirjad, nende sisseviimise protseduurid);
  • Määrake vastutavad isikud kohtades, kus see on nõutud;
  • Koolitage enda personali ning järgige, et nad oleksid teadlikud Teile kohalduvatest nõuetest ja Teie poolt kehtestatud reeglitest. 

Kui Teil on mistahes küsimusi seoses ärisaladuste ja selle kaitsmiseks tarvitusele võetavate meetmetega, siis hea meelega aitavad Teid nendes küsimustes advokaadibüroo Glikman Alvin LEVIN vandeadvokaat ja partner Paul Keres ja jurist Mari Anne Valberg. Nendega saab ühendust võtta telefonil + 372 686 0000 või kirjuta neile e-kiri aadressil: paul.keres@levinlaw.ee või mari.anne.valberg@levinlaw.ee.

Teised seonduvad uudised

Liitu uudiskirjaga