hours24
← Tasuta tööriistad

Tasuta - GDPR + IKS

GDPR kontrollnimekiri.

17 punkti, 7 valdkonda - andmetöötluse alus, töötaja informatsioon, säilitamine, turvalisus, õigused, partnerid, intsidendid. Märgi, mis on paigas ja mis vajab tööd. Lõpus skoor 0-100 ja PDF-aruanne, mille saad juhtkonnale või juristile saata.

Vastavuse skoor

0/ 100

Kõrge risk - GDPR rikkumine on suure tõenäosusega

Vastatud

0 / 16

Andmetöötluse alus

  • Kõrge

    Õiguslik alus iga andmetöötluse jaoks

    Kas iga personaliandmete töötlemise juures on selgelt määratletud GDPR artikli 6 alus (leping, õigustatud huvi, nõusolek, juriidiline kohustus)?

    GDPR Art. 6, IKS § 6

  • Kõrge

    Eriliigilised andmed eraldi käsitletud

    Kas eriliigilised isikuandmed (tervis, isikukood Eestis ei loeta eriliigiliseks, ametiühingu kuuluvus, kriminaalandmed) on töödeldud Art. 9 alusel täiendava õigusliku alusega?

    GDPR Art. 9

  • Keskmine

    Värbamisandmete õiguslik alus

    Kas kandidaadi CV ja muude värbamisandmete kogumiseks on aluseks kas kandidaadi nõusolek või lepingu sõlmimiseks vajalikud sammud (Art. 6 lg 1 p b)?

    GDPR Art. 6, AKI soovitused

Töötaja informatsioon

  • Kõrge

    Töötajale antakse Art. 13 alusel teave

    Kas iga uus töötaja saab töölepingu sõlmimisel kirjaliku teabe, milliseid tema andmeid tööandja kogub, mis eesmärgil ja kui kaua säilitatakse?

    GDPR Art. 13

  • Keskmine

    Töötaja teab oma õigusi

    Kas töötajad teavad, kuidas paluda oma andmetele ligipääsu, parandust, kustutamist või andmetöötluse piiramist - ja kelle poole pöörduda?

    GDPR Art. 13 lg 2, Art. 15-22

Säilitamine ja kustutamine

  • Kõrge

    Säilitamise tähtajad kirjas

    Kas iga andmekategooria kohta on kirjas, kui kaua seda säilitatakse (näiteks tunnitabelid 7 aastat, värbamisandmed 6 kuud)?

    GDPR Art. 5 lg 1 p e

  • Keskmine

    Lahkujate andmed puhastatud

    Kas lahkunud töötajate andmetest säilitatakse ainult need, mille hoidmine on kohustuslik (lepingud, palgaarvestus 7 a), ja muud (e-kirjad, kalendrikutsed) kustutatakse?

    GDPR Art. 5 lg 1 p e

Turvalisus

  • Kõrge

    Juurdepääsud on piiratud

    Kas iga töötaja näeb ainult neid isikuandmeid, mis on tema tööülesannete täitmiseks vajalikud (näiteks kõik juhid ei näe kõigi palku)?

    GDPR Art. 32, Art. 5 lg 1 p f

  • Kõrge

    Lahkuja juurdepääsud eemaldatud viimasel päeval

    Kas lahkunud töötaja kõik juurdepääsud (e-post, sisemised süsteemid, VPN, võtmed, kaardid) eemaldatakse viimasel tööpäeval, mitte hiljem?

    GDPR Art. 32

  • Keskmine

    Süsteemid on krüpteeritud ja parooliga

    Kas kõik tööarvutid ja -telefonid on krüpteeritud ja parooliga kaitstud, ning kriitilistele süsteemidele (palk, HR) on 2-astmeline autentimine (2FA)?

    GDPR Art. 32

Andmesubjekti õigused

  • Keskmine

    30 päeva tähtaeg andmepäringutele

    Kas teil on protsess, kuidas töötaja või endine töötaja saab paluda enda kohta käivaid andmeid ja saab vastuse 30 päeva jooksul?

    GDPR Art. 15, Art. 12 lg 3

  • Keskmine

    Kustutamistaotluse protsess

    Kas teate, kuidas käituda, kui töötaja palub oma andmete kustutamist - millised andmed peavad jääma (seaduse järgi 7-10 a) ja millised tuleb kustutada?

    GDPR Art. 17

Kolmandad osapooled

  • Kõrge

    Andmetöötluse leping kõigi partneritega

    Kas palgaarvestuse, värbamise, raamatupidamise, IT-toe ja muude partneritega, kellele isikuandmed jõuavad, on sõlmitud Art. 28 alusel andmetöötluse leping (DPA)?

    GDPR Art. 28

  • Keskmine

    Andmed jäävad EL-i või samaväärsesse riiki

    Kas kõik isikuandmete töötlejad (sealhulgas pilveteenused) asuvad EL/EMP-s või Euroopa Komisjoni poolt piisava kaitsega tunnustatud riigis (näiteks UK, Šveits)?

    GDPR Art. 44-49

Intsidendid ja register

  • Kõrge

    Andmelekke plaan paigas

    Kas teil on plaan, mida teha andmelekkega - kes teavitab Andmekaitse Inspektsiooni 72 tunni jooksul ja kuidas töötajaid informeerida?

    GDPR Art. 33-34

  • Kõrge

    Andmetöötluse register peetakse

    Kas Art. 30 alusel on peetakse andmetöötluse registrit (vastutavad isikud, töötlemise eesmärgid, kategooriad, säilitusajad) ja seda värskendatakse iga muudatusega?

    GDPR Art. 30

Tasuta allalaadimine

Lae raport PDF-ina alla

PDF sisaldab skoori, kogu kontrollpunktide nimekirja ja iga puuduva juures konkreetse tegevussoovituse koos GDPR artikliviitega. Saad selle juhtkonnale või andmekaitse juristile saata.

Oled vastanud osale punktidest. Saad PDF-i ka praegu alla laadida - vastamata punktid kuvatakse vajakajäämistena.

Lae raport alla

Andmed jäävad ainult Hours OÜ-le. Kolmandatele osapooltele neid ei jagata.

Kontrollnimekiri põhineb GDPR-il (EL 2016/679) ja Andmekaitse Inspektsiooni juhistel. Tegelik vastavus sõltub konkreetsest töötlemiskontekstist - vajadusel konsulteeri andmekaitse juristiga.

GDPR Eesti tööandjale - mida peab teadma

GDPR (EL 2016/679) ja Eesti Isikuandmete kaitse seadus (IKS) kehtivad igale Eesti ettevõttele, kes töötajaid palkab. Põhipunktid:

  • Iga andmetöötluse juures peab olema õiguslik alus (Art. 6)
  • Töötajale antakse teave kogutavate andmete kohta (Art. 13)
  • Andmeid säilitatakse ainult vajalik aeg (Art. 5 lg 1 p e)
  • Turvalisus: 2FA, krüpteering, juurdepääsude haldus (Art. 32)
  • Töötaja õigus näha, parandada, kustutada oma andmeid (Art. 15-22)
  • Partneritega andmetöötluse leping (Art. 28)
  • Andmelekke korral 72-tunnine teavitamiskohustus (Art. 33)
  • Andmetöötluse register, mida värskendatakse (Art. 30)

Andmekaitse Inspektsioon (AKI): aki.ee - kontroll, juhised, kaebuste menetlemine.

Korduma kippuvad küsimused

Kas GDPR kehtib ka väikestele Eesti ettevõtetele?

Jah. GDPR kehtib igale ettevõttele, mis töötleb isikuandmeid - sõltumata suurusest. Töötajate ja klientide andmed on isikuandmed. Erand: andmetöötluse register (Art. 30) on rangelt kohustuslik üle 250 töötaja, kuid HR puhul ka väiksematele, kuna töötlemine on regulaarne.

Mis on suurim GDPR trahv, mille AKI on Eestis määranud?

Eesti Andmekaitse Inspektsioon on määranud trahve ettevõtetele alates mõnesajast eurost kuni mitmekümne tuhandeni. Teoreetiline maksimum on 20 mln € või 4% käibest. Praktikas on Eesti karistused leebemad kui Saksamaal või Itaalias, kuid trend on karmistuv.

Mida AKI kontrollil esimese asjana küsib?

Tüüpiline järjekord: 1) Art. 30 andmetöötluse register, 2) õiguslikud alused iga töötlemise juures (Art. 6), 3) töötajatele antud info (Art. 13), 4) säilitustähtajad, 5) andmetöötluse lepingud partneritega (Art. 28). Meie kontrollnimekiri katab kõik need punktid.

Kas vajan andmekaitseametnikku (DPO)?

Kohustuslik on DPO, kui (a) olete riigiasutus, (b) põhitegevus nõuab regulaarset ja süsteemset andmesubjektide jälgimist suures mahus, või (c) töötlete eriliigilisi andmeid suures mahus (Art. 37). Enamus Eesti SME-d ei vaja - aga vastutaja peab siiski olema määratud.

Mis on andmetöötluse leping (DPA) ja kellega seda vaja sõlmida?

DPA (Data Processing Agreement, Art. 28) on leping vastutava töötleja (teie) ja volitatud töötleja (näiteks palgaarvestaja, värbamisagentuur, SaaS-i pakkuja) vahel. Selles määratletakse, kuidas teie isikuandmeid töödeldakse. Iga kolmanda osapoole jaoks, kellele isikuandmed jõuavad, on vaja eraldi DPA-d.

Kui kaua tuleb tunnitabeleid ja palgaandmeid säilitada?

Tunnitabelid: 7 aastat (TLS § 28 ja raamatupidamise seadus). Palgalehed: 7 aastat. Töölepingud: 10 aastat pärast lõppemist. Üle nende perioodide säilitamiseks peab olema õiguslik alus - vastasel juhul tuleb kustutada (Art. 5 lg 1 p e).