Tegutsedes ettevõtjana tuleb paratamatult olla kursis ka seadusest tulenevate isikuandmete kaitse nõuetega. Põhjus on lihtne, nimelt endalegi sageli teadvustamata, puutuvad ettevõtjad peaaegu iga päev kokku isikuandmete töötlemisega. Ettevõtjate elu lihtsustamiseks on andmekaitse inspektsioon koostanud juhise, mis tutvustab seadusest tulenevaid nõudeid. Samuti annab juhis ettevõtjale väärt soovitusi, kuidas tagada parem andmekaitse.  

Mis on isikuandmed ja miks neid kaitsma peab? 

Isikuandmed on mis tahes andmed füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need on. Seega on isikuandmed näiteks klientide andmed ettevõtte kliendibaasis või töötajate andmed siseveebis. Olenemata andmete asukohast, näiteks arvutis, nutitelefonis või paberkandjal, on ettevõttel kohustus tagada nende andmete turvalisus. Seega peab ettevõte kasutusele võtma kõik vajalikud turvameetmed, mis tagaksid isikuandmete vajaliku kaitse.

Isikuandmete lubamatu leke võib kahjustada ettevõtte mainet. Samuti võib leke endaga kaasa tuua väärteo- või kriminaalkaristuse. Lisaks ei saa välistada ka tsiviilhagi korras esitatud kahjunõuet. Seega tasuks olla seadusest tulenevatest isikuandmete nõuetest teadlik ning neid praktikas ka järgida.  

Esmalt tuleks hinnata riskide mõju 

Andmekaitse inspektsiooni sõnul tuleb enne ettevõtte turvameetmete kindlaksmääramist veenduda, milliseid andmeid ettevõte töötleb. Siinkohal olgu öeldud, et isikuandmete töötlemine tähendab, mis tahes isikuandmetega tehtavat toimingut, sealhulgas näiteks andmete kogumist, salvestamist, korrastamist, säilitamist, muutmist, juurdepääsu võimaldamist jne. 

Pärast andmete koosseisu kindlaksmääramist tuleks kaardistada potentsiaalsed riskid, mis võivad andmeid ohustada. Samuti tuleb hinnata, kui väärtuslik, tundlik või konfidentsiaalne on teave on ning millist kahju või milliseid probleeme võib andmete leke põhjustada.  

Krüpteerimine tagab andmete turvalisuse 

Juhise kohaselt on krüpteerimine üks hea viis, kuidas tagada, et isikuandmed on kättesaadavad üksnes volitatud kasutajale. Krüpteerida on võimalik nii kogu kõvaketast (st kõik arvutis olevad andmed krüpteeritakse) kui ka ükskuid faile, näiteks faile, mis sisaldavad tundlikku infot. Juhis annab soovitusi, et lihtsaim võimalus failide lühiajaliseks krüpteerimiseks on kasutada DigiDoc3 krüpto tarkvara. Tegemist on ID-tarkvara osaga, mis paigaldatakse kasutaja arvutisse koos ID-tarkvara paigalduspaketiga. Antud meetod on hea viis tundliku info edastamiseks e-posti teel. 

Turvalisuse tagamiseks tuleb järgida mitmetasandilist turvapoliitikat 

Andmekaitse inspektsioon selgitab, et turvalisuse tagamise võti on mitmetasandiline turvapoliitika. See tähendab, et turvalisuse tagamiseks kasutatakse koos eri vahendeid ja tehnikaid. 

Esiteks tuleb tagada isikuandmete lekke füüsiline turvalisus, st ettevõte peab ära hoidma isikuandmeid sisaldavate seadmete varguse. Näiteks paberdokumente tuleks hoida seifis ja servereid eraldi ruumis.

Teiseks soovitab juhend ettevõtte arvutivõrku kontrollida viirus- ja pahavaratõrje programmide abil, et hoida ära või tuvastada ohte. Kindlasti tuleks programme regulaarselt uuendada, sest vastasel korral on kaitse kasutu. Samuti peaksid arvutivõrgud olema kaitstud ka tulemüüriga, et avastada ja peatada ründed võrgule enne, kui need tungivad põhjalikult ettevõtte võrku.

Kolmandaks rõhutab andmekaitse inspektsioon, et ettevõtte infosüsteemile peaksid juurdepääsu omama ainult usaldatud kasutajad ja allikad. Kindlasti peaks ettevõttel olema ülevaade, kes, millal ja milliseid infosüsteeme või seadmeid kasutab. Näiteks peaks igal kasutaja olema oma kasutajanimi ja salasõna. 

Kindlasti tuleks salasõna regulaarselt vahetada. Samuti ei tohiks salasõna olla liiga lühike, vaid minimaalne pikkus peaks olema vähemalt 8 sümbolit või tähemärki. Ühe võimalusena näeb inspektsioon pääsuõiguse tagamist ID-kaardi või Mobiil-ID abil. Samas möönab inspektsioon, et kuigi viimane meede tagaks kõige suurema turvalisuse, siis ometi kaasnevad sellega ka kõrgemad halduskulud. Siinkohal tuleks ettevõtjal hinnata andmete väärtuslikkust. Mida väärtuslikum on teave, seda tugevamad peaksid olema ka turvameetmed. 

Andmekaitse inspektsiooni juhis "Infoturve ja isikuandmete kaitse väikeettevõttes" on soovi korral leitav SIIT.