Eelmine andmekaitseregulatsioon Euroopas hakkas kehtima aastal 1995, mil polnud olemas tänapäevaseid pilveteenuseid, igapäevaselt kasutatavat internetti ja äppe, mis sinu andmeid kusagil andmekeskuses töötlevad. Uus direktiiv aga on loodud selleks, et üle-Euroopaliselt ühildada isiklike andmete käitlemise kord ja turvalisus. Ühtlasi annab see nutiseadmete kasutajatele, kes laevad erinevate äppidega ühendatud serveritesse oma isiklikke andmeid, paremad võimalused oma andmete haldamiseks ja nende saatuse kontrollimiseks. Sama kehtib ka sotsiaalmeedia, internetipankade, foto- ja videokeskkondade, blogide, pilveteenuste ja muude platvormide kohta.

Trahvid lähevad karmimaks

Määrusega muudetakse ka osa seniseid seaduseid ja nõudeid, mille mitte täitmisel võib ettevõtet oodata kopsakas trahv – kuni 20 000 000 eurot või neljakordne ettevõtte aasta kasum. Igale ettevõttele kehtib lähenemine, mis sisuliselt karmistab reegleid ka koos andmete isiklikumaks muutumisega. Näiteks kui ettevõte hoiustab kasutajate muusikaeelistusi, ei pruugi reeglid olla nii karmid kui siis, kui salvestatakse inimeste asukohainfot, fotosid või muid tundlikke isikuandmeid.

Uuendus: võta andmed ühe teenusepakkuja juurest ära ja vii teise juurde

Ühe muutusena just erasektoris võib käsitleda kasutajate võimalust viia oma andmed täielikult üle ühest ettevõttest teise. See eeldab ka ettevõttelt aga võimekust kasutaja andmeid korrektselt ja kindlalt väljastada. Nii muutub teoreetiliselt hõlpsamaks näiteks andmete ülekandmine ühest pilveteenusest teise või kogu oma videokogu Youtubest Vimeosse transportimine.

Avaliku sektori ettevõtted peavad uue määruse kohaselt tööle võtma andmekaitsespetsialisti, kes vastutab infoturbe, andmete turvalisuse ja nende korrasoleku eest, nii et neid oleks hõlbus näiteks transportida või ettevõttel oleks võimekus vastu võtta suuri andmebaase. Lisaks tuleb ettevõttel luua infopagas andmetele ligipääsu osas – kes palus andmeid muuta või kustutada, ning mil viisil neile ligi pääseti ning teha seda kõike nii, et andmed jääksid endiselt konfidentsiaalseks ja võõrastele kättesaamatuks.

Samuti on igaühel õigus nõuda oma andmete täielikku kustutamist – see on õigus olla unustatud ehk right to be forgotten. See tähendab seda, et peale kasutaja palvet tuleb ettevõttel kustutada kõik soovitud andmed kujul, mis ei võimalda mitte mingil moel nende taastamist.

Kõik need muudatused, mida määrus endaga koos kaasa toob, tuleb läbi viia mitte ainult Euroopas asuvates ettevõtetes, aga ka teiste riikide ettevõtetes, kelle andmekeskused on Euroopas. Samuti peavad andmekaitse määrusele vastama ettevõtted, kes käitlevad Euroopa Liidu kodanike andmeid. See tähendab aga omakorda, et tõenäoliselt kasutad sa ka praegu juba mõnd teenust, mis peab olema vastav Euroopa isiklike andmete kaitse määrusega.

Mis saab pilvest?

Amazoni Web Services (AWS) on üks populaarsemaid pilveserverite pakkujaid maailmas ja ilmselt töötab sinu lemmikäpp või veebiteenus just sellel platvormil. Seega mida teeb AWS, see mõjutab paljusid. Sellepärast püüabki Amazon muuta oma klientidel andmekäitlemise määrusega kooskõlla astumist lihtsamaks.

2017. aasta alguses liitus AWS Euroopa pilvetaristu pakkujate assotsiatsiooniga CISPE, mille eesmärk on aidata Euroopa ettevõtetel määruses nõutut rakendada. AWS pakub klientidele informatsiooni ja juhiseid, kuidas oma ettevõte andmekäitlemise seisukohast tänapäeva tuua.

CISPE on loonud selleks isegi eraldi andmekaitse tegevusjuhendi, mis aitab kontrollida, kas ettevõte on uue määrusega vastavuses. Amazon teatas ka, et enamik nende pilveteenuseid (näiteks Amazon Elastic Compute Cloud, Amazon Simple Storage Service jne) on andmekaitse juhendiga kooskõlas.

Dropbox tõi määruse pärast andmed Euroopasse

Ka populaarse pilveketta pakkuja Dropbox on jalad kõhu alt välja võtnud ja oma tegevust eurooplaste seadustele kohandanud. Dropbox kolis eelmise aasta lõpus osad oma andmed Saksamaal asuvatesse andmekeskustesse, et määruse poolt nõutavaid nõudeid paremini täita.

Määrus ei luba nimelt andmeid Euroopa Liidust välja saata mujale, kui ainult riikidesse, kus kehtivad sarnased nõuded. Ameerika Ühendriigid ei ole nende riikide hulgas, seega tuleb andmeid Euroopa Liidus hoiustada.

Siin tehakse koostööd Amazon AWSiga, kelle andmekeskusi  Dropbox Euroopas oma Dropbox for Business klientide tarbeks kasutab. Dropboxi 500 miljonist kasutajast ligi 70% ei asu Ameerikas, mistõttu on sääraseid ettevalmistusi määruse jõustumise hetkeks vaja teha.

Microsoft aitab sul määruse nõutut täita

Microsoft on välja töötanud põhjaliku kodulehe oma klientidele, kes saavad kodulehelt informatsiooni nii määruse põhiliste punktide osas kui ka selle osas, kuidas määruses nõutut oma ettevõttes Microsofti toodete abil kõige lihtsamini ellu viia. Microsoft jagab ka informatsiooni sellest, kuidas määrata vajalikke rolle oma ettevõttes, näiteks infoturbe, andmekaitse ja privaatsuse alaseid eksperte. Lisaks sellele on ettevõte lubanud, et kõik nende teenused ja tooted on 2018 aasta maikuuks, mil määrus jõustub, sellega kooskõlas.

Probleemid väikeettevõtetega

Isiklike andmete kaitse määrus annab parema eelise suurtele pilveettevõtetele nagu Google, Microsoft, Dropbox ja Amazon, kuna nende tohutu infrastruktuur tagab ka võimekuse muutusi laiemalt sisse viia. See võib kaasa tuua aga olukorra, kus väiksemad ettevõtted jäävad tagaplaanile.

Mullu juulis analüüsis uuringufirma Elastica Cloud Threat Labs enam kui 15 000 ettevõtte pilvestruktuuri ning 108 miljonit dokumenti nende pilveketastel ning avastas, et vaevalt kaks protsenti kõigist uuritutest vastavad Euroopa peagi kehtima hakkavale määrusele. Ja nende hulka on juba arvatud näiteks Microsoft Office 365, Google Drive, Box või Dropbox. 25% ettevõtetest olid osaliselt valmis Euroopa isiklike andmete käsitlemise määruseks, kuid vajasid veel tööd, et täielikult määrusega kooskõlas olla.