Andmetöötlustoimingute ülevaade – miks see on iga organisatsiooni jaoks hädavajalik?

See on ülevaade kõikidest isikuandmete töötlemise toimingutest. Seda nõuab tegelikult IKÜM ehk isikuandmete kaitse üldmäärus (täpsemalt artikkel 30), samas on sellel tegelikult ka hoopis laiem kasutusala. Kui asutusel on ülevaade oma andmetest, aitab see kaasa olulistele juhtimisotsustele, samuti ka näiteks teenuse disainile. Igal juhul on see organisatsioonis kasulik juhtimistööriist, mis on heaks abimeheks eri protsesside optimeerimise juures, mille abil luuakse organisatsioonile täiendavat väärtust.

See ülevaade on sarnane raamatupidamisega, mis peab igal ettevõttel olemas olema. Täpselt samamoodi on ka andmetöötlustoimingute ülevaatega isikuandmetest, ka juhul kui ettevõttes töötab vaid üks inimene või kui ettevõttel on vaid üks klient. Teisisõnu - ülevaate peavad koostama kõik, kelle andmetöötlus ei ole juhuslik. Igal juhul peab ühel korralikul organisatsioonil (ettevõttel/asutusel) olema ülevaade sellest, mida ta teeb. Alati saab seda ülevaadet muuta ja täiendada, kuid oluline on seda teha kohe alguses korrektselt ja hästi, et see oleks ka lihtsasti järgitav. See, kuidas hoitakse andmeid, on osa organisatsiooni üldkuvandist.

IKÜM nõuab, et ülevaates peab olema välja toodud, milliseid ja kelle isikuandmeid töödeldakse ja mis eesmärgil, kellele neid andmeid avalikustatakse, ehk kes on vastuvõtjad, ja kustutamise tähtajad. Samuti peavad olema välja toodud kõik kontaktandmed ja nimetatud ka kolmandad riigid, juhul kui neid andmeid edastatakse ka mujale. See on eriti omane väikeettevõtetele, kes edastatavad tihtilugu andmeid nt ka Ameerika Ühendriikidesse.

Tallinna linn on oma ülevaates välja toonud aga natuke enam andmeid ja seda just seetõttu, et tegemist on suure organisatsiooniga. Kui ei ole olemas seost mõne valdkonnaga ja selget õiguslikku alust ja ühendust andmekoguga, kus andmeid hoitakse, siis oleks sellises registris väga keeruline orienteeruda. Kasuks tuleb loomulikult ka otsingusüsteem. Tallinna linn käsitleb seda registrit kui ühte oma andmekaitsetingimuste osa. Kui register täidab ettevõtte vajadused, siis piisab tegelikult ka miinimumist, aga kui seda kasutatakse inimeste teavitamiseks või oma asutuse protsesside parema haldamise osana, siis on soovituslik tekitada ka lisaväljasid, mis sellele kaasa aitavad. See, millise detailsusega oma register luua, selgub konkreetsest vajadusest, aga vaja oleks kindlasti ka, et tegemist oleks väga lihtsasti täidetava tabeliga – sest registri ajakohasena hoidmine on pidev töö. Registrisse lähevad andmed, mis on pidevad.

Tallinna linna register on omapärane kuna sinna on koondatud erinevate vastutavate andmetöötlejate ülevaated.

Igal organisatsioonil on oma kontaktisik, kes selliste teemadega tegelema peab, teisel juhul on sisse tellitud teenus, nt mõni andmekaitsebüroo, kus konsultant aitab. See inimene peab ka teadma, mis andmeid sinna kanda tuleb. Näiteks võib tuua ka igapäevase infoliinile vastamise, kus kogutakse samuti isikuandmeid ja see on ka pidev tööprotsess, mis tuleks registrisse kanda, rääkimata kaamerate olemasolust.

Selle avalikustamine ei ole kohustuslik. Kui mõni organisatsioon seda teha soovib, siis võib see nende halduskoormust vähendada ja aitab kindlasti kaasa üldisele läbipaistvusele. Loomulikult on seal avalik ja kättesaadav ainult see informatsioon, mis peab olema avalik. Registrist ei saa vaadata infot, mis ei pea avalik olema ega saa seda olla.

Tee alguses hästi, siis on hiljem kergem!