17. mai 2010

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Oluliseks on muutunud isikuandmete nõuetekohane töötlemine ja kaitse. Eraelu kui isiku põhiõiguse kaitseks on paljudel riikidel olemas andmekaitset puudutavad regulatsioonid, mis kohustavad andmeid töötlevaid üksusi, sealhulgas ettevõtteid, tagama nende konfidentsiaalse ja eesmärgipärase kasutamise. Muuhulgas kohustab seadus üldjuhul ettevõtet küsima isiku nõusolekut tema kohta käivate andmete töötlemiseks ja võimaldama andmetele juurdepääsu. Nõusolekut ei küsita erandjuhtudel, mis on loetletud isikuandmete kaitse seaduse § 14 lõikes 1. Nõusoleku andmete töötlemiseks saab ka tagasi võtta. Juhul kui andmed osutuvad valeks või nende töötlemine on seadusega keelatud, peab ettevõtte võimaldama andmed kustutada. Andmete töötlemise eest on ettevõttes tavaliselt määratud vastutama vastava valdkonna spetsialist. Näiteks personaliandmete töötlemise eest vastutab personalijuht, kliendiandmete töötlemise eest müügijuht jne.

Isikuandmed on mistahes andmed tuvastatud või tuvastatava inimese kohta, sealhulgas inimese nimi, sünniaeg ja isikukood. Juriidilise isiku andmeid andmekaitse seaduse tähenduses isikuandmeteks ei loeta. Isikuandmed jaotuvad isikuandmeteks ja delikaatseteks isikuandmeteks. Delikaatseteks isikuandmeteks loetakse andmed poliitiliste vaadete, usuliste veendumuste, tervisliku seisundi jms kohta. Täpne loetelu on ära toodud isikuandmete kaitse seaduse § 4 lõikes 2. Delikaatsete isikuandmete töötlemisel kehtivad oluliselt karmimad nõuded kui tavaliste isikuandmete puhul.

Isikuandmete kasutamisel tuleb muuhulgas lähtuda minimaalsuse põhimõttest. Selle kohaselt tuleb andmete kogumisel ja kasutamisel piirduda ainult selle osaga andmetest, mis on oluline kasutuseesmärgi saavutamiseks. Isikuandmete edastamine ettevõttevälistele kolmandatele isikutele on lubatud ainut isiku, kelle kohta andmed käivad, nõusolekul või seadusest tuleneva kohustuse alusel. Koopiad isikuandmetest on lubatud teha vaid nende eesmärgipäraseks kasutamiseks. Töötajate isikuandmed, mida säilitatakse paberkandjal, peaksid asuma ruumis, kuhu tohib olla juurdepääs ainult ettevõtte juhil, prokuristil või teistel juhi poolt volitatud isikutel. Personaliandmebaasi kandidaatide, töötajate ning töösuhte lõpetanud isikute kohta peab tavaliselt personalijuht nii digitaalselt kui paberikandjal. Kui tööpakkumist ei tehta, kustutatakse kandidaadi andmed kohe. Andmed säilitatakse edaspidise kohataotlemise otstarbel kandidaadi nõusolekul. Töösuhte lõpetanud isiku andmeid tuleb töödelda samade üldiste reeglite alusel kui töösuhte ajal, tagades andmete täieliku konfidentsiaalsuse.

Reeglitele vastav andmetöötlus peaks olema osa ettevõtte igapäevatööst. Seejuures ei tohiks unustada, et seadusest tulenev vastutus andmetöötlusel laieneb ka digitaliseeritud andmetele. Ettevõttel peaks olemas olema infotehnoloogia turvalisuspoliitika eeskiri, mida kõik töötajad järgivad.

 Arvutiga töötamisel tuleb andmete turvalisuse huvides silmas pidada järgmiseid reegleid:

- Kasutaja peab hoidma saladuses kõiki arvutivõrguga seotud paroole ja kasutajatunnuseid. Viimased tuleks meeles pidada. Kindlasti tuleb vältida üles kirjutatud kasutajatunnuste ja paroolide hoidmist arvuti läheduses;

- Keelatud peaks olema isiklike paroolide ja kasutajatunnuste edastamine kolmandatele isikutele;

- Kasutaja peab peale töö lõpetamist või oma tööruumist lahkudes alati oma arvuti lukustama;

- Faile või muud olulist informatsiooni ei ole soovitav saata läbi MSN-i või Skype’i, kuna failide saatmisega läbi interneti kaasnevad turvariskid;

- Kasutaja peab hoidma põhifaile oma arvutivõrgus, kusjuures faile ja muud olulist informatsiooni tuleb varundada;

- Elektronposti kaudu saadetud manuseid ega internetilinke ei tohiks avada ega rakendada, kui töötaja ei ole kindel, et need pärinevad usaldusväärsest allikast;

- Arvutiviirustarkvara tuleks igapäevaselt uuendada;

- Isikliku eemaldatava meedia kasutamine peaks olema lubatud vaid siis, kui eelnevalt ollakse veendutud selle ohutuses ning selleks on saadud eriluba asutuse IT spetsialistilt;

- Kasutaja peaks vältima P2P ühenduste kasutamist;

- Internetist tasuta tarkvara allalaadimine peaks olema ilma IT spetsialisti nõusolekuta keelatud.

Isikuandmete võimalikult tõhus kaitse on iga ettevõtte eetiline ja seadusest tulenev kohustus. Isikuandmete lekkimine tekitab kahju ettevõtte mainele. Kord kaotatud usaldust on väga raske tagasi võita, rääkimata võimalikest õiguslikest meetmetest andmekaitseregulatsioonide rikkumise korral. Seetõttu oleks mõistlik investeerida andmeturvalisusesse ja tõsta töötajate teadlikkust sellel alal. Andmekadude ja lekete tagajärgede likvideerimisest soodsam ja lihtsam on turvariskide ennetamine ja maandamine.

Autor: Urve Vilk, Annika Visnap