Me ei saa rääkida sisulisest andmekaitse tagamisest, kui veebipoest pakiautomaati tosse tellides pean sisestama koduse aadressi või spaasse sisenedes kuvatakse teave häälsalvestusega videovalvest.

Segadus ja tulekahjud

Lisaks sellele, et regulatsioone on palju, on need sedavõrd üldsõnalised, et ettevõtjad ei tea, mida teha tuleb ja kuidas täpselt uusi nõudeid täita. Selged ja üheselt arusaadavad juhised puuduvad. Sellest tulenevalt on ettevõtjad võtnud tihtipeale ärilise riski ehk ei tegele ennem kui „keegi küsib“ või „muud üle ei jää“. Miks tegeleda millegagi, mis tekitab mitteproduktiivset kulu ning mille üle järelevalve on puudulik.

Samas, kui klient kaebab, andmekaitse inspektsioon hakkab küsimusi esitama või koostööpartner regulatsioonidele vastavust kontrollima, siis on tulekahju tarvis kustutada. Kiirelt hakatakse spetsialiste värbama või kalli tunnihinnaga teenust advokaadibüroodelt sisse ostma.

Kõigile ei jagukski

Suurettevõtete pinnalt näeme trendi, kus iga lisanduva regulatsiooni või aruandluskohustusega on ettevõttesse värvatud eraldi tiimid, andmekaitsejuhid ja -spetsialistid, jätkusuutlikkuse juhid ja -spetsialistid, koordinaatorid jne. Lisaks GDPR-le on heaks näiteks andmekaitsega vahetult seotud AI määrus või kestlikkusaruandluse direktiiv (nn ESG raport).

Iga uue regulatsiooniga tuleks mõelda, milline oleks kõige mõjusam, kestlikum ja rahaliselt mõistlikum lahendus nõuete täitmiseks nii, et sellel oleks ka positiivseid tagajärgi ettevõtte äritegevuse ja protsesside edendamisel. Regulatsioonid üldiselt tulevad ja jäävad, seega oleks nutikas näha neis võimalust.

Kaugeltki kõigil ei ole otstarbekas värvata eraldi andmekaitsespetsialisti. Eesti turu väiksus seab piirid ka ekspertide arvule – kõigile lihtsalt ei jätku.