Andmestrateegia on osa ettevõtte üldisest äristrateegiast, eriti ettevõtlusega alustades. Juba esimestel sammudel tuleb läbi mõelda, milliseid andmeid ettevõttel vaja on, kuidas neid kogutakse ja hoitakse, kuidas andmed ettevõttes liiguvad, kes nendega töötavad, mis eesmärgil neid kasutatakse ning kui kaua neid säilitatakse. Need on põhilised küsimused, millele tuleks enne ettevõtlusega alustamist vastused leida.
Praktika näitab aga sageli, et alustavatel ettevõtetel on teemaga kiire ning andmekogumisega seotud riske ja vajadusi ei osata ette näha. Just seetõttu on teadlikkus ja läbimõeldud planeerimine äärmiselt oluline – vastasel juhul tekib oht, et sama kiiresti, kui ettevõtlusega alustatakse, tuleb sellega ka lõpetada.
Millest alustada ja millele tähelepanu pöörata?
Esimene soovitus on lihtne: kui endal puudub vajalik teadmine ja eesmärk ei ole vaid ühekordne dokument, vaid jätkusuutlik andmestrateegia ning selge arusaam, kuidas asjad ettevõttes toimivad, tasub teha koostööd ekspertidega. Oluline on panustada teadlikkuse loomisse ja hoida strateegiat järjepidevalt aja- ja asjakohasena.
Tänapäeval on palju andmekaitsele spetsialiseerunud inimesi ja organisatsioone, kelle eesmärk on toetada ettevõtteid just esimestel sammudel ning teadlikkuse kasvule kaasa aidata. Loomulikult mängib olulist rolli ka Andmekaitse Inspektsioon, kes aitab ettevõtteid andmekaitsealase teadlikkuse tõstmisel.
Ettevõtjana peab sul olema selge ülevaade kõigist ettevõttes toimuvatest protsessidest. See aitab mõista, kas ja kus isikuandmeid üldse töödeldakse. Andmekaitse seisukohast on selleks suurepärane tööriist andmetöötlustoimingute ülevaade – see annab sisuliselt koondülevaate sellest, mida ettevõttes tehakse ja kuidas andmeid kasutatakse.
Kui selline ülevaade on olemas, toimib see justkui spikrina: see annab kiire ja selge ülevaate tegevustest, andmete liikumisest ja vastutustest. Vajaduse korral – näiteks mõne konkreetse olukorra või küsimuse tekkides – on võimalik kohe ja kiiresti vajalik info kätte saada. Teatud mõttes on andmetöötlustoimingute ülevaade ettevõtjale ka hea viis ettevõtet teadlikult ja süsteemselt juhtimist.
Üheks heaks lähtepunktiks on teenuse selge määratlemine: kui on teada, millist teenust soovitakse arendada või pakkuda, tasub kohe läbi mõelda, mida see teenus täpselt sisaldab. See tuleks lahti kirjutada justkui äriplaanina, mille käigus saab juba varakult aru, kus ja millisel määral hakatakse andmeid töötlema. Nii selgub kiiresti, kas teenuse osutamiseks on vaja isikuandmeid või muud teavet.
IT-turvalisus, andmekaitse, ärisaladuse kaitse ja turvanõuded moodustavad tegelikult ühe terviku. Oluline ei ole üksnes andmete kaardistamine, vaid ka see, et juba alguses mõeldakse läbi, kuidas andmeid hoitakse, kus neid logitakse ja kuidas nende turvalisus tagatud on. Kui nendele küsimustele hakatakse tähelepanu pöörama alles hiljem, võib see ettevõttele väga kulukaks osutuda.
Kogu andmekogumise juures ei ole vähem oluline ka IKÜM-ist tulenevate põhimõtete – nagu minimaalsus, eesmärgipärasus ja õiguslik alus – järgimine. Juba eos tuleks läbi mõelda, kas andmete kogumine on üldse vajalik ning milliseid andmeid konkreetselt vaja on. Siin ei tööta „igaks juhuks ja võimalikult palju“ kogumise mentaliteet lootuses, et äkki läheb kunagi tarvis. Heaks ja lihtsasti mõistetavaks näiteks on e-poed, kus andmete kogumise vajadus ja ulatus peaks olema selgelt seotud konkreetse teenuse osutamisega.
Näiteks e-poe puhul on arusaadav, et kliendilt küsitakse nime ja telefoninumbrit, et tellitud kaup saaks pakiautomaati saadetud. Kui aga lisaks hakatakse küsima ka koduaadressi ja muid andmeid, mida teenuse osutamiseks tegelikult vaja ei ole, on tegemist üleliigsete andmete kogumisega. Kui andmed on juba kogutud, kaasneb sellega ka vastutus: ettevõtja peab tagama nende andmete turvalise töötlemise. See omakorda suurendab ettevõtte riske. Seetõttu ongi läbimõeldud tegevus, teadlikkus ja turvalisus andmekaitses võtmetähtsusega.
Raudreegel: Kui hakkad midagi uut tegema, siis tee enda jaoks ära ka kaardistus ning ülevaade, mõeldes juba aastaid ette.
Andmekaitse ei ole pidur, vaid kvaliteedimärk – kui sellega kõik korras on!
Episoodi aitas salvestada Euroopa Liidu CERV (Citizens, Equality, Rights and Values) programm, mis toetab privaatsuse ja andmekaitseteadlikkuse arendamist Eestis.
