Andmekaitse Inspektsiooni lehel on nüüdsest allalaaditav värske kokkuvõte andmekaitseaastast AD2018. Väärt ja soovituslik lugemine kõikidele nendele, kelle igapäevatöö osaks on isikuandmete kaitse temaatika. Sealt toomegi välja ühe vägagi praktilise ja 2019 aastasse ettevaatava soovitusnimekirja, mis mõeldud kõikidele Eesti ettevõtjatele, eeskätt siis adresseeritud ettevõtete juhtidele:
* Kehtesta selged, lihtsad ja arusaadavad andmetöötlustingimused – seda nii klientide kui oma töötajate jaoks.
* Veendu, et ettevõtte töötajad on saanud koolitusi, selgitusi ning (kirjalikke) juhendmaterjale, mis aitavad neil ettevõtte nimel isikuandmeid õiguspäraselt töödelda.
* Tee vajalikud infovarade kaardistamised, sh ka bilansi-laadne andmetöötluse register, mis annaks ennekõike ülevaate töödeldavatest isikuandmetest ning nende töötlemise õiguslikest alustest. Kui oled küberturvalisuse seaduses nimetatud teenusepakkuja, siis koosta riskianalüüs turvameetmete võtmiseks.
* Enne kui alustad ettevõtte jaoks sisuliselt uut laadi isikuandmete töötlemisega, vii läbi kirjalik andmekaitsealane mõjuhinnang. Kui see uut laadi isikuandmete töötlemine on seotud olukorraga, kus õigusaktide muudatuste tõttu toimub ettevõttele isikuandmete töötlemiseks lisaõiguste või võimaluste andmine, siis kontrolli, kas selles õigusakti eelnõu seletuskirjas on ka tehtud andmekaitsealane mõjuhinnang. Kui eelnõu seletuskirjas sellekohast analüüsi pole või see ei hõlma kõiki planeeritavaid isikuandmete töötlemise toiminguid, siis vii läbi andmekaitsealane mõjuhinnang.
* Ole valmis olukordadeks, kus andmesubjekt soovib tutvuda enda isikuandmetega, nõuab nende parandamist, kustutamist, töötlemise piiramist, soovib nende ülekandmist või soovib esitada vastuväiteid. Kui sa parandad, kustutad või piirad isikuandmete töötlemist, siis ole ka valmis nendest toimingutest teavitama vastuvõtjaid, kes on ettevõttelt isikuandmeid saanud.
* Uuri andmete edastamisel kolmandatesse riikidesse, kas selleks on olemas kohane õiguslik raamistik – nt on olemas Euroopa Komisjoni otsus piisava andmekaitsetaseme kohta, millal kasutatakse asjakohaseid kaitsemeetmeid, siduvaid kontsernisiseseid eeskirju või kuna edastatakse isikuandmeid erandlike tingimuste kohaselt. Arvestades hetkeolukorda, on see vajalik selgeks teha ka olukorras, kus isikuandmeid soovitakse edastada Ühendkuningriiki – eriti juhul, kui toimub leppeta-Brexit.
* Rakenda kohaseid ning vajalikke turvameetmeid isikuandmete kaitseks.
* Tee varasemalt selgeks, milliste isikuandmete töötlemise nõuete rikkumise korral pead 72 tunni jooksul teavitama Andmekaitse Inspektsiooni. Teatavates olukordades tuleb teavitada andmesubjekte ja Riigi Infosüsteemi Ametit.
* Kehtesta ning rakenda sisekontrolli mehhanisme, et avastada isikuandmete töötlemise nõuete rikkumisi oma ettevõtte sees.
* Valmistu koostööks ettevõtlusvaldkonna ühenduse või erialaliiduga praktilise hea tava ehk toimimisjuhiste loomiseks. Kui ettevõtte tegevusalal on andmekaitse osas lahtisi otsi, saab ühiselt koostada praktilise hea tava toimimisjuhise. Oma valdkonda kõige paremini tundes, saab nii materjalid, millest on kõige rohkem kasu. Inspektsiooni võimalused individuaaltasandil põhjalikumalt nõustada on kasinad, kuid sektoritasandil aitame meeleldi.
(Viide: AKI aastaraamat)