Euroopa Liidu kõrged standardid andmekaitsele seavad ettevõtetele rangeid nõudeid isikuandmete kasutamisel. Oluline on teadvustada, et GDPR nõuetele vastavus ei ole tähtis mitte ainult seaduste täitmise ja trahvide vältimise seisukohast vaid ka ettevõtte väärtuse ja maine perspektiivist.
GDPR trahvidest kordades rohkem on kaasuseid, kus järelevalveasutus on teinud ettekirjutuse mõne tegevuse lõpetamiseks või ärimudeli muutmiseks. See võib olla kohati suuremagi mõjuga kui rahatrahv. Lisaks tuleb arvestada võimalusega, et juhtunust puudutatud isikud esitavad ettevõttele kahjunõudeid. Näiteks iduettevõtete puhul, kes sageli on huvitatud väliste investeeringute kaasamisest, võivad sellised riskid tuua kaasa tõsiseid tagajärgi.
Investorid vaatavad ennetavalt aina detailsemalt olemasolevate riskide taset. Samuti ettevõtte potentsiaalse omandamise korral ei jää täna enam due diligence’ist välja GDPR nõuetele vastavus ja sellega seotud riskide hindamine. Andmekaitse regulatsioonidele vastavus on saanud investeeringu riski ja ettevõtte väärtuse hindamise osaks. Vaadatakse täpselt, milline on isikuandmete koosseis, kehtestatud dokumentatsioon, kasutatavad teenusepakkujad ja asukohariigid ning isegi intsidentide juhtimise võimekust.
Kuidas siis selliseid riske ennetavalt maandada?
Suureks väljakutseks on osutunud nö köögipoole koristamine. Mittevajalik andmestik kustutada, juurdepääsud vajaduspõhiselt piirata ja turvameetmed väliste rünnakute vastu rakendada. Pilt sellest, milliseid andmeid milleks kasutatakse, peab igal ettevõttel olemas olema. Tarku otsuseid tuleb langetada ka teenusepakkujate valikul, sest ka nende kaudu võivad riskid realiseeruda.
Võttes aluseks mõned olulised andmekaitse põhimõtted ja nõuded, on võimalik juba tegevuste planeerimise käigus vältida enamlevinud vigu isikuandmete töötlemisel.
Ära alusta andmete kogumist nii, et pole päris selge, kas kõike ikka vaja on. Üleliigsed andmed ei too sind sinu eesmärkidele lähemale, kuid intsidendi korral suurendavad sinu rikkumise ulatust ja mõju isikute eraelu kahjustamisele. Isikuandmete kaitses tuntakse põhimõtet privacy by design ehk lõimitud andmekaitse, mis aitab toote/teenuse selliselt üles ehitada, kus arvestatakse andmete kaitse põhimõtetega.
Näiteks on teatud veebilahenduste puhul mõistlik kasutada isikute autentimist, andmete kogumisel vältida üleliigsete andmeväljade tekitamist ja kohustuslike ning vabatahtlike väljade selget eristamist. Ära unusta küsida ka võimalikke nõusolekuid kui neid tõesti vaja on.
Ka andmete automaatne kustutamine pärast nende vajaduse lõppemist on hea näide privaatsussõbralikust lahendusest ning aitab ka oluliselt kaasa andmelekke korral selle ulatuse vähendamisele.
Infoturve on üks olulisemaid andmekaitse komponente. Need peavad olema rakendatud kui räägime eraisikute eraeluliste andmete kasutamisest. Vastavalt andmete iseloomust tulenevatele ohtudele tuleb ka valida infoturbe meetmete tase.
Isikuandmete kasutamine kannab endas alati riske, kuid oluline on see, kuidas nendesse riskidesse suhtutakse. Euroopa menetluspraktika näitab selgelt, et järelevalveasutused võtavad sanktsioneerimisel olulisel määral arvesse ettevõtte poolseid pingutusi nii intsidendile eelnevalt kui selle lahendamise ajal.
Tänapäevased tooted ja teenused on sageli seotud isikuandmete töötlemisega ja seega tuleb lisaks andmetest saadavale kasule tegeleda ka kaasnevate kohustustega. Kogu maailmas kehtestatakse Euroopa eeskujul järjest tugevamaid andmekaitse reegleid ning rahvusvahelises konkurentsis tajuvad nii investorid kui kliendid isikuandmete kaitset toodete ja teenuste väärtuse osana.
