Isikuandmete kaitse üldmääruse mudeli täiustamine: haldustrahvide vaatenurk

Date

2019

Journal Title

Journal ISSN

Volume Title

Publisher

Abstract

Isikuandmete kaitse üldmääruse (2016/679/EL; edaspidi ÜM) nõuetele vastamiseks vajavad organisatsioonid raamistikku, mis võimaldab hinnata oma äriprotsesside vastavust ÜM-ile. Sel eesmärgil on Tartu Ülikooli Arvutiteaduste Insituudi teadurid loomas tarkvaralist lahendust, mis võimaldab äriprotsesside vastavust ÜM-ile pool-automatiseerida. Lahenduse nimeks on hetkel pakutud Data Protection Observation Engine (edaspidi DPOE). Seni tehtud teadustöö on loonud DPOE kontseptuaalse mudeli, mis katab üldisi ÜM-i nõudeid UML formaadis kirjeldades peamisi olemeid, artefakte ja suhteid nende vahel (edaspidi DPOE Mudel). DPOE Mudel vajab aga valideerimist ÜM-i täielikkuse aspektist (st. kui palju ÜM-st on kaetud DPOE Mudeliga). Käesolev magistritöö täiendab olemasolevat teadustööd DPOE Mudeli õigusliku valideerimise näol. Valideerimine toimub ÜM artiklite 83(4) ja 83(5) baasil, mis kirjeldab võtmeartiklid, mille rikkumine võib kaasa tüüa rahatrahvid. Selline valideeriline võimaldab DPOE peamistel kasutajatel – andmekaitseametnikel – saada kindlust, et DPOE poolt genereeritud tulemused ja tõstatatud võimalikud mittevastavused on olulised, kuna need puudutavad võtmeartikleid. See omakorda tagab DPOE tulemuste terviklikkuse. Sellega luuakse ka võimalus võrrelda DPOE Mudeli hetkeversiooni täiustatud DPOE Mudeliga õigusliku täielikkuse (s.t. ÜM artiklite katmise) vaatest. DPOE Mudeli hetkeversiooni ja täiustatud versiooni rakendatakse äriprotsessile (ÕIS2 sisselogimine), et võrrelda, kui palju ÜM-i artikleid Mudelid katavad. Valideerimise ja mudelite rakendamisel äriprotsessile suurendatakse lõpptulemusena DPOE Mudeli küpsust.
To meet the requirements of the General Data Protection Regulation (2016/679/EU; herein-after GDPR), organizations need a framework for assessing compliance of their business processes. For such purpose, a Data Protection Observation Engine (hereinafter DPOE) – a software tool enabling business process GDPR compliance check semi-automatically – is created by the researchers of Institute of Computer Science of University of Tartu. Current research on the DPOE has produced a conceptual model covering general GDPR require-ments in an UML format describing the key entities, artefacts and relationships between these (hereinafter DPOE Model). The DPOE Model, however, requires validation in terms of legal completeness (i.e. GDPR coverage). The thesis adds to the existing research by legally validating the DPOE Model from the perspective of Article 83(4) and 83(5) of the GDPR concerning administrative fines. These articles describe key GDPR requirements which’ infringement bring about fines up to 20,000,000 EUR. Thus, these are the require-ments every organization must treat with special attention in order to be compliant with the GDPR. This validation also enables the prime users of DPOE, the data protection officers, to trust the results generated by the DPOE as they know the potential incompliance issues raised are of key importance. This in turn ensures the integrity of the output of the DPOE. As such, the basis for comparing the current version of the DPOE Model to the refined DPOE Model in terms of legal completeness (i.e. GDPR article coverage) is created. In order to measure how legal completeness has in fact improved, the results generated by the refined DPOE Model are compared to the results generated by current version of the DPOE Model on an actual business process (ÕIS2 login process). As a result of the validation and the comparison of the current version of the Model to the refined Model, the maturity of the Model is enhanced.

Description

Keywords

Citation