Lugejate soovil: ärisaladuse ja andmete turvalisusest lähemalt
Pärast eelmise kuu infokirja, milles kirjutasime ärisaladuse kaitsmise viisidest, palusid meie lugejad meil teemat detailsemalt selgitada ning on ainult meie poolne rõõm sellisele palvele vastu tulla!
Seekordses uudiskirjas käsitleme järgnevaid teemasid:
- Juriidilise ettevalmistuse olulisus
- Käitumine andmelekete korral. Selle eest vastutate Teie!
- Videod, pildid ja vajalikud load
- Mida peavad teadma Teie töötajad
- Miks on oluline tagada enda riist- ja tarkvara turvalisus
- Turvalekked, millest Teil ei olnud aimugi
- Järelevalveasutused ja vastavusnõuete täitmine erinevates valdkondades;
-
Milliseid
ettevalmistusi Te teha saate
1. Juriidiline ettevalmistus – miks see oluline on?
Eelmisel korral me selgitasime, kuidas Teie ettevõttes käibel olevate lepingute ja sise-eeskirjade täiendamine ärisaladust kaitsvate klauslitega võib Teid päästa erinevate andmelekete korral.
Õiguskaitseorganid ja järelevalveasutused reageerivad Teie poolsetele taotlustele kiiremini ja efektiivsemalt, kui Teie dokumentatsioon on korras. Näiteks on Teil oluliselt lihtsam paluda kohtult Teie endise töötaja kohustamist Teie ärisaladuse avaldamisest hoiduda, kui sellele on sätestatud alus juba töölepingus.
Teiste ennetavate meetmete hulgas võib loetleda näiteks Teie töös kasutatavate andmete auditeerimist ja kaardistamist, Teie IT- infrastruktuuri ja ressurssidest ülevaate tegemist, tegevusplaanide koostamist küberturvalisuse tagamiseks ning juhiste koostamist, mis reguleerivad andmeleketele reageerimise korda.
Kiire tegutsemine on äärmiselt oluline. Mitte ainult ei jää te ilma oma ärisaladusest ja vajalikest andmetest, vaid Te kaotate aega ja raha iga mööduva tunniga. Juhul, kui Teil ei ole selget ettekujutlust, kuidas edasi minna, olete Te raskustes ja seda eriti olukorras, kui Teie ettevõttes ei ole sätestatud reegleid, kuidas teavitada andmelekkest asjakohaseid järelevalveasutusi ning lepingulisi partnereid.
2. Andmelekke korral vastutate otseselt Teie
Turvaleke kätkeb endas palju elulisi tagajärgi. Kui Teie ettevõttes on toimunud turvaleke, siis suure tõenäosusega toob see kaasa Teie poolse kohustuste rikkumise Teie klientide ja koostööpartnerite ees.
Kui ettevõttest satub välja informatsioon, mis puudutab mitte ainult Teid, vaid ka Teie äripartnereid, vastutate Te võimaliku kahju eest, mis sellega kaasneb. Otseloomulikult, Teil on võimalik tugineda vääramatu jõu vastuväitele küberrünnaku toimumise korral, kuid sellegi poolest – küberrünnaku tagajärgedele see vastutust välistav asjaolu ei laiene ning selle vabanduse taha peitumine ei ole võimalik.
Teatud juhtudel on isegi võimalik ettevõtte juhtide isiklik vastutus kui selgub, et juhatus pole oma ülesandeid täitnud vajaliku hoolsusega. Nii võivad ettevõtte osanikud juhatuse vastu nõude esitada, kuid ei ole välistatud ka töötajate nõuded, kui töötajatel on võimalik Teile ette heita vajalike turvanõuetega mitte arvestamist.
See tähendab, et sellisteks olukordadeks peate Te olema väga hästi ettevalmistunud. Kuigi küberturvalisuse tase Eestis võib olla ehk isegi parem kui mujal, on siiski suur hulk ettevõtteid, kellel puudub jätkusuutlik tegevusplaan turvaleketele reageerimiseks.
Kujutage korraks ette, et Te olete laeval, mis ületab Läänemerd ning sellel puudub turvavarustus: Teie jaoks päästevest puudub. Ei ole just tore mõte, ega ju?
Vaatleme võimalikke probleeme lähemalt. Käsitleme alljärgnevalt videosalvestisi ning kindlasti jätkake lugemist, kuivõrd hiljem räägime ka riist- ja tarkvarast, tagavarakoopiate tegemisest ja paljustki muust.
3. Turvavalve, videod ja pildid
Te ei taha ju kaasa aidata pahatahtlikele jälitajatele, kas pole? Samas see on täpselt see, mida paljud ettevõtjad teevad: seades üles enda territooriumile turvakaameraid, ei kulutata eriti palju aega tegelikule turvalisusele, seda eriti osas, mis puudutab kaamerasalvestisi ja nende säilitamist.
Teie turvakaamerate süsteemil on mõte üksnes juhul, kui Te reguleerite täpselt ka ligipääsu sellele. Ei ole vahet, kas Te võtate selleks tööle eraldi töötajad või kasutate välise teenusepakkuja teenuseid. Lepingud isikutega, kelle ülesandeks on selle vastutusrikka töö tegemine, ei tohi olla puudulikud.
Selle valdkonna probleemid võivad alata pealtnäha ohutust olukorrast. Ütleme, et Te olete just kolinud uude kontorisse ning korraldate enda klientidele soolaleivapeo. Või soovite enda külalistele näidata Teie juhitud tehase tootmisosa. Kõigil nendel kõrvalistel isikutel on mobiiltelefonid, mida nad saavad hõlpsasti kasutada fotode tegemiseks.
Mida Te neile täpselt pildistada lubate, on oluline! Kas Te olete meediaettevõte? Hoidke nad eemal müügitabelitest! Teil on suur töökoda, milles pakute autode renoveerimisteenust? Ärge laske neil pildistada Teie klientide tehnikat! Te kutsusite fotograafi pildistama enda kontorit? Jälgige, et ta ei oleks juurdepääsu Teie märkmestendide, kliendikaustadedele ja muule sarnasele.
Iga ettevõtte tegevuses on olemas riskid, mis võivad realiseeruda juba üksnes nõrga visuaalse turvataseme tõttu. Olge täiesti veendunud, et inimesed või teenusepakkujad, keda Te enda ettevõtte toimimiseks kasutate, saavad sellest aru ning on õiguslikult kohustatud järgima Teie reegleid.
4. Teavitage teisi Teie tegevusest
Lihtsalt niisama ei ole Teil võimalik inimesi filmida ja nende liikumist jälgida. See vajab ka hoolikat õiguslikku ettevalmistust. Te peate olema teadlikud sellest, millal ja kus Te võite isikuid filmida ning sellest vajadusel neile ka teada andma.
Ülaltoodu vajab selgeid eeskirju. Isikud, keda see puudutab, on muidugi Teie enda töötajad, aga samuti ka Teie koristajad, töölised, keda Te mõnikord vajate ja nii edasi. Kõik lepingud, mis Teil nendega on sõlmitud, peavad sätestama nende konfidentsiaalsuskohustuse, samuti peate Te neile teada andma, et jälgite nende tegevust turvakaameratest.
5. Teie riist- ja tarkvara turvalisuse tagamine
Kas Te lubate enda töötajatel kodus töötada kasutades ettevõttele kuuluvat tehnikat? Tõenäoliselt küll, mis mõte sellel muidu oleks. Kuidas on tagatud nende seadmete turvalisus?
Seda saab reguleerida näiteks kaheastmelise autentimise või ekraanilukustuse ja paroolipoliitikate kaudu. Lubades enda töötajatel kasutada Teie vara ka mujal, on Teie ettevõte avatud erinevatele ohtudele. Varastatud iPhone’ilt või lukustamata sülearvutilt avatud kontori tüüpi laual on mitmeid riske, mida Te olete kohustatud maandama.
Need riskid ulatuvad ka kasutatava tarkvara ja liideste osas. Kas Te lubate enda töötajatel teha tööarvuti ekraanilt kuvatõmmiseid? Mitte kunagi ei ole garanteeritud, et kuvatõmmisele ei jää kogemata näha ka konfidentsiaalne informatsioon. Milliseid suhtluskanaleid Teie töötajad kasutada tohivad? Millist informatsiooni nad tööarvuti vahendusel edastada tohivad? Kuidas Te seda kontrollite? Küsimusi on lõpmatult.
Kõik see vajab detailseid eeskirju, kui Te soovite hoida enda vastutuse mõistlikul tasemel.
6. Turvalekked, millele Te ei osanud isegi mõelda
Ühes Euroopa riigis asuv politseijaoskond, mille kohta täpsemaid andmeid ei saa me avaldada, on korduvalt pälvinud erinevaid tunnustusi nende kõrgetasemelise IT-võimekuse tõttu. Tegemist oli 21. sajandi eesrindlikuima õiguskaitse organisatsiooniga, mida toodi sageli näiteks riiklikul tasemel tipptehnoloogia kasutusele võtmise vallas.
Seda kõike seni, kuni selle organisatsiooni kontrolli käigus avastati mitte üksnes andmeleke, vaid massiivne turvaauk. Seni, kuni igapäevaselt kasutatavad seadmed oli viimase vindini turvatud, hoiti kõikidest andmetest varukoopiaid 15 aastat iganenud serverites, mille turvatase oli olematu.
Täpselt nii: kui ülemistel korrustel asuvatesse süsteemidesse sissemurdmiseks oleks tarvis olnud üliinimlikke võimeid omavaid arvutihäkkerit, siis samaaegselt võis ka iga koristaja mugavalt pääseda keldrisse, kust kõik vajalikud andmed kaasa võtta. Kas me mainisime, et seal puudusid isegi turvakaamerad?
Ülaltoodust nähtub, et üksnes turvaeeskirjade koostamise protsess võimaldab Teil avastada võimalikud olemasolevad lüngad. See, omakorda, võib tagada Teie seadmete turvalisuse, mis on muuhulgas oluline ka järgmises punktis:
7. Riiklikud järelevalveasutused ja vastavusnõuete täitmine
Lisaks igapäevasele tegevusele ning sellega seotud riskidele, peate te järjepidevalt arvestama seadusest tulenevate nõuetega Teie tegevusele ning aruandluskohustusega järelevalveasutuste ees. Selliseid reegleid on tohutult ning need sisalduvad erinevates õigusaktides - alates Euroopa Liidu direktiividest kohalike järelevalveasutuste juhenditeni.
Näiteks peate arvestama isikuandmete kaitse üldmäärusega (GDPR), mis kohustab teid rakendama meetmeid, millel on võime “tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus.”
Samuti kehtivad väga valdkonnaspetsiifilised standardid, näiteks sisaldab selliseid makseasutuste direktiiv (PSD2), mis nõuab makseasutustelt tegevus- ja turvariskide maandamist. See näeb ette ranged reeglid isikutuvastusele ning seab Teile kohustuse intsidentide raporteerimiseks.
Mõelge sellele viimasele punktile. Lisaks turvalisusele, on Teil ka aruandluskohustus hulgalisel arvul juhtumite korral, eriti olukorades, kus Teie ettevõtte on langenud küberrünnaku ohvriks.
Näiteks, kui Teie ettevõtte asub Eestis, siis küberrünnaku korral olete Te kohustatud andma sellest teada Riigi Infosüsteemi Ametile (RIA) ning Andmekaitseinspektsioonile.
Järelevalveasutuste informeerimine, süsteemide sulgemine ja taaskäivitamine, samuti ka Teie lepingulised kohustused klientide ees, mis eeldavad Teie pidevat töövalmidust, kõik see lausa karjub konstruktiivse ja juriidiliselt korrektse käitumise järele. Siiski – enamus käesoleva asja lugejatest ei ole ilmselt võimalikule aruandluskohustusele kunagi mõelnud.
Kas Te saaksite vajadusel selle kõigega hakkama piisavalt kiiresti?
8. Mida Te teha saate, et tagada enda valmisolek parimal tasemel?
Kõik eelnev tähendab, et Teie ettevõtlusega seotud turvariskid on siin selleks, et jääda ja need on tõsised. Siin on kolm peamist valdkonda, millega Te peate tegelema võimalikult kiiresti:
- Võtke
tarvitusele vajalikud õiguslikud
meetmed (auditid, kaardistamine, lepingud, sise-eeskirjad, nende sisseviimise
protseduurid);
- Määrake vastutavad isikud kohtades, kus see on nõutud;
- Koolitage enda personali ning järgige, et nad oleksid teadlikud Teile kohalduvatest nõuetest ja Teie poolt kehtestatud reeglitest.
Kui Teil on mistahes küsimusi seoses ärisaladuste ja selle kaitsmiseks tarvitusele võetavate meetmetega, siis hea meelega aitab Teid nendes küsimustes advokaadibüroo Glikman Alvin LEVIN vandeadvokaat ja partner Paul Keres. Temaga saab ühendust võtta telefonil + 372 686 0000 või kirjuta e-kiri aadressil: paul.keres@levinlaw.ee.
Paul Keres külastas BECC kaubandusdelegatsiooni liikmena Londonit ja Cambridge’i
Advokaadibüroo GLIKMAN ALVIN partner ja vandeadvokaat Paul Keres külastas Briti-Eesti Kaubanduskoja kaubandusdelegatsiooni liikmena Londonit ja Cambridge’i.
Paul Keres: Anname linnadele ja valdadele õiguse kehtestada oma makse
Paul Keres arutleb Päevalehes ääremaastumise teemal ning pakub välja lahendusi. Arvamuslugu on välja antud sarjas "Räägime põhiseadusest".
Paul Keres arutleb inimõiguste olukorrast
Paul Keres arutleb inimõiguste olukorrast ja arengust Eestis. Seda 34. Eesti õigusteadlaste päevadel ning koos auväärsete kolleegidega.
Paul Keres: Eesti kuulsaima maletaja pojapoeg kaitseb kahte kõmulist tegelast
Paul Kerese persoonilugu Eesti Ekspressis
Kredex Krediidikindlustuse AS-i võit ka Ringkonnakohtus
Advokaadibüroo GLIKMAN ALVIN nõustas Eesti Krediidipanga osaluse võõrandamist
Advokaadibüroo GLIKMAN ALVIN nõustas Eesti Krediidipanga suuraktsionäri JSC BM-Bank (endine Moskva Pank) oma osaluse võõrandamisel.
CEE Legal Matters tõi esile Advokaadibüroo GLIKMAN ALVINi tööd Krediidipanga osaluse võõrandamisel
Tartu Ülikooli õigusteaduskonna tudengid külastasid meie bürood
Advokaadibüroo GLIKMAN ALVIN on pälvinud Chambers Globali kõrgeima järgu tunnustuse
Maailma üks mainekamaid õigusbüroode väljaandeid Chambers Global andis advokaadibüroole GLIKMAN ALVIN taas kord kõrgeima hinnangu.
GLIKMAN ALVIN esindas edukalt AS-i KredEx Krediidikindlustust kindlustusvaidluses
Advokaadibüroo GLIKMAN ALVIN esindas edukalt AS-i KredEx Krediidikindlustus kindlustusvaidluses Eesti klaasfassaadide tootjaga AS-iga Windoor, mahuga ligi 14 miljonit eurot.
Advokaadibüroo GLIKMAN ALVIN vandeadvokaat Paul Keres kaitses edukalt Eesti kahtlemata kõige kõmulisemat kirjanikku Kaur Kenderit
Oleme valitud European Tax Award nominentide lõppnimekirja ja tunnustatud kõrgeima auhinnaga Legal 500 poolt
Paul Keres küsitles Briti-Eesti kaubanduskoja juhatuse liikmena erakondade esindajaid
Vandeadvokaat Paul Keres, kes kuulub Briti-Eesti kaubanduskoja (BECC) juhatusse, küsitles koos BECC juhatuse esimehe James Oates’iga teisipäeval, 10.oktoobril 2017, Viru Hotellis peetud paneeldiskussioonil mõningaid erakondade esindajaid.
Paul Keres nimetati Aasta Advokaadiks!
Meil on suur au ja heameel teatada, et meie partner vandeadvokaat Paul Keres nimetati Eesti Advokatuuri poolt Aasta Advokaadiks. Tegemist on juba teise Advokaadibüroo GLIKMAN ALVIN meeskonnas töötava Aasta Advokaadiga – aastal 2002 valiti selleks vandeadvokaat Leon Glikman.
Paul Keres leiab, et riiklikku süüdistust võiks riik advokaatidelt teenusena osta
Vandeadvokaat Paul Keres käis seoses „Aasta Advokaat“ aunimetuse saamisega külas R2 saates „Agenda“, kus mh peatus teemal, miks võiks prokuröride asemel riik kasutada riikliku süüdistuse funktsiooni täitmiseks hoopis advokaate.
Laupäevases Arteris ilmus suur intervjuu Paul Keresega
Paul Keres selgitas Postimehe lisas Arter ajakirjanik Priit Pullerits poolt läbi viidud intervjuus oma maailmavaadet ja avas veidi oma isiklikku elu.
Paul Keres kommenteeris Postimehes RB Raili tegevjuhi umbusaldamisega seonduvat
Homme Tallinnas kogunev RB Raili nõukogu kaalub aktsionäride umbusu alla sattunud tegevjuhi ja juhatuse esimehe Rubesa volitusi. Veebruaris avaldasid RB Raili aktsionärid Eesti ja Leedu Rubesale umbusaldust, Läti jäi erapooletuks. RB Rail kiirustas aga teatama, et juhatuse esimees ei kavatse tagasi astuda. Postimees palus nimetatud teemal Paul Kereselt kommentaari.
Neli abinõu, millega saad end kaitsta ärisaladuse varguse eest
Enamik inimesi oskavad ja sama võiks öelda ka paljude ettevõtete kohta. Isegi kui Sa pole sellele seni erilist tähelepanu pööranud, sõltub ka Sinu käekäik paljuski hästi hoitud saladustest.
Advokaadibüroo Glikman Alvin LEVIN nõustas edukalt klienti Fakto Auto AS
Advokaadibüroo Glikman Alvin LEVIN nõustas klienti Fakto Auto AS aktsiate müümisel Eesti Talleks AS´le. Fakto Auto AS on Nissani volitatud edasimüüja Eestis, kelle 2017.a. aasta käive oli 11,4 miljon eurot.
GDPR ja töölepingud – ohukohad, mida vältida
Valdavale osale meist seostub GDPR veebilehtede ja e-kirjadega, võimalik, et Internetiga üleüldiselt. Kuid tegelikult võib see Teid palju tugevamalt mõjutada väljaspool virtuaalmaailma, sellises tagasihoidlikus olukorras nagu seda on töölepingute koostamine ja sõlmimine.
Paul Keres ja Artur Sanglepp käisid Riigikogu sotsiaalkomisjonis
Kohus mõistis vandeadvokaat Paul Kerese kaitsealuse Vello Kunmani õigeks
Glikman Alvin LEVIN 2020. aastal The Legal 500 parimate seas
advokaadibüroode hulka tuues eelkõige välja nende professionaalsuse.
Riigikohus ei näe kogumispensioni reformis vastuolu põhiseadusega
Punamonumentide seadus on kooskõlas põhiseadusega
Justiitsministeeriumi tellimusel analüüsisid vandeadvokaat Paul Keres ja advokaadid Joonas Põder ning Aleksander Muru advokaadibüroost LEVIN 15.02.2023 Riigikogus vastu võetud seaduse, mis loob aluse punamonumentide eemaldamiseks avalikust ruumist, kooskõla põhiseadusega.