Kaustas olevad reeglid ja juhendid ei kaitse isikuandmeid!

Praeguseks on kindlasti enamus ettevõtteid korrastamas oma tegevust seoses 25. mail 2018 jõustuva üleeuroopalisest andmekaitse määrusest (GDPR) tulenevate nõuetega.

Tõenäoliselt on kaardistatud ettevõtte olukord ja tehtud vastav audit ning koostatud vastavad juhendid ja protsessid, mis on kenasti kausta pandud. Ehk selgeks on saanud see, kui suures ulatuses määrus ettevõttele kohaldub. Siinkohal tuleb rõhutada, et see protsess ei ole pelgalt formaalsuse järgimine. Isikute kohta käivate andmete kaitsmine on järjepidev protsess, mis on osaks ettevõtte igapäevasest tegevusest.

Juhend kaustas on mõttetu!

Isikuandmekaitse reeglite järgimise protsessidest ja juhenditest on vähe kasu, kui neid praktikas ei järgita. Seega tuleks neid kindlasti tutvustada töötajatele, kes puutuvad igapäevaselt kokku ettevõttes olevate isikuandmetega. Tutvustamine selles kontekstis ei tähenda kindlasti vaid juhendile allkirja andmist. Soovitatav on töötajaid koolitada, mille eesmärgk on, et töötaja oskab igapäevaselt juhenditest ja protsessidest tulenevalt isikuandmeid kaitsta. Samuti ära tunda olukorrad, millal andmed võivad lekkida ja mida sellises olukorras ette võtta. Kindlasti tasub töötajaid väga selgelt teavitada ka sellest, kuidas tööandja oma töötajate andmeid kaitseb. See võib hõlmata ka näiteks tööandja ligipääsu töötajale antud arvutisse või failidesse. Sellise koolituse võiks ettevõtte juhtkond korraldada ise või küsida abi asjatundjatelt.

Tähelepanu, personalijuhid!

GDPR määrus kohaldub ka isikuandmetele, mis käivad ettevõtte töötajate kohta. Seega on personalijuht isik, kes peab olema eriti ettevalmistatud küsimusteks seoses isikuandmete kaitsega. Töötajad saavad alati pöörduda personalijuhi poole, et küsida, milliseid nende kohta käivaid isikuandmeid tööandja kogub ja miks ta seda teeb. Näiteks võib juhtuda, et töötajale ei meeldi enam tema pilt ettevõtte kodulehel ja ta nõuab selle eemaldamist. Või palub veebist viite "lapsehoolduspuhkusel" eemaldamist, viidates mõlemal juhul isikuandmete kaitsele. Määruse järgi peab personalijuht olema valmis andma ja edastama töötajale vastavat teavet. Siinjuures tuleb teada, kas ja millist informatsiooni võib töötajatele edastada ning millisel turvalisel viisil.

Kokkuvõtvalt, kuna reeglite ja juhendite olemasolu ei taga isikuandmete kaitset ning andmete lekkimise fantaasial ei ole piire, tuleb need töötajatele väga selgelt ja arusaadavalt teatavaks teha.