Praktikas taandub suur osa andmekaitsest kahele kesksele põhimõttele: eesmärgipärasus ja minimaalsus. See tähendab, et andmeid tohib koguda ainult selgel eesmärgil ning ainult nii palju, kui on selle eesmärgi saavutamiseks vältimatult vajalik. Näiteks lihtne olukord – kui ettevõte saadab kliendile paki, kas alati on vaja koguda täielikku elukoha aadressi või on võimalik kasutada vähem andmeid?

Sellised küsimused ei ole formaalsed, vaid määravad ära, kas andmetöötlus on tegelikult õiguspärane.

Tõhus andmekaitse ei alga keerukatest reeglitest, vaid lihtsatest ja ausatest küsimustest. Kas andmeid on päriselt vaja? Kas eesmärki saab saavutada väiksema andmemahuga? Kas andmesubjekti õigused on piisavalt kaitstud?

Organisatsioonid, kes suudavad nendele küsimustele järjepidevalt vastata, ei täida mitte ainult nõudeid, vaid loovad ka usaldust – ja see on infoturbe üks olulisemaid eesmärke.

Tänapäevane andmekaitse lähenemine eeldab, et turvalisus ja privaatsus on süsteemidesse sisse ehitatud juba algusest peale. Seda kirjeldavad kaks põhimõtet: vaikimisi andmekaitse ja lõimitud andmekaitse.

See tähendab, et organisatsioon ei lisa andmekaitset hiljem "juurde", vaid arvestab sellega kohe teenuste, protsesside ja IT-lahenduste loomisel. Sama oluline on inimfaktor – töötajate teadlikkus. Regulaarne koolitamine, sh uute töötajate puhul, ei ole pelgalt soovituslik, vaid praktiline vajadus, et vältida igapäevaseid eksimusi.

Isikuandmete töötlemine peab alati tuginema õiguslikule alusele. Praktikas kasutatakse sageli lepingu täitmist, seadusest tulenevat kohustust või õigustatud huvi.

Õigustatud huvi on üks paindlikumaid, kuid samas ka keerulisemaid aluseid. Selle kasutamine eeldab, et organisatsioon suudab näidata, et tal on tegelik ja põhjendatud huvi, et andmete töötlemine on selle huvi saavutamiseks vajalik ning et see ei riiva ülemäära andmesubjekti õigusi.

Tüüpilised olukorrad, kus õigustatud huvi rakendatakse, on vara kaitse, turvalisuse tagamine, pettuste ennetamine või õiguslike nõuete esitamine. Samas ei saa sellele alusele tugineda näiteks eriliigiliste andmete töötlemisel ning avaliku sektori puhul on selle kasutamine oluliselt piiratum.

Teatud andmeliigid, nagu terviseandmed, biomeetrilised andmed või poliitilised vaated, on oma olemuselt tundlikumad ning nende töötlemine on üldjuhul keelatud. Lubatud on see vaid erandjuhtudel, mis on seaduses selgelt määratletud.

Selliste andmete puhul on risk andmesubjektile oluliselt suurem ning seetõttu peab ka organisatsiooni vastutus ja ettevaatus olema vastavalt kõrgem.

Valvekaamerate kasutamine on levinud, kuid sageli alahinnatakse sellega kaasnevaid andmekaitsenõudeid. Kaamera kasutamine tähendab alati isikuandmete töötlemist ning eeldab selget eesmärki, näiteks vara kaitset.

Oluline on tagada läbipaistvus – inimesed peavad teadma, et neid filmitakse. Samuti tuleb kontrollida, kes pääseb salvestistele ligi, kui kaua neid säilitatakse ning kuidas toimub andmete väljastamine.

Eriti tähelepanelik tuleb olla olukordades, kus salvestisi jagatakse kolmandatele osapooltele. Sellisel juhul tuleb alati hinnata, kas andmete väljastamiseks on olemas õiguslik alus ning vajadusel piirata ligipääsu, näiteks andmeid hägustades.

Tehisaru lahenduste kasutamine on kiiresti kasvanud, kuid sellega kaasnevad ka uued riskid. Näiteks võib sisestatud info jõuda kolmandate osapoolteni või kasutatakse seda mudelite arendamiseks.

Lisaks tuleb arvestada, et tehisaru loodud sisu ei pruugi olla tõene, mis võib viia eksitavate või lausa valede otsusteni. Seetõttu peaks organisatsioon selgelt määratlema, kuidas ja millistel juhtudel tehisaru kasutatakse ning vältima isikuandmete sisestamist sellistesse süsteemidesse.

Hea andmekaitse praktika eeldab, et kõik olulised tegevused andmetega on jälgitavad. See tähendab, et organisatsioon peab teadma, kes andmeid vaatas, muutis või edastas ning mis alusel seda tehti.

Selline läbipaistvus ei ole oluline ainult sisemise kontrolli jaoks, vaid ka võimalike rikkumiste uurimisel ja järelevalveasutustega suhtlemisel.

Üks levinumaid eksimusi on andmete säilitamine "igaks juhuks". Tegelikkuses tuleb andmeid hoida ainult nii kaua, kui see on vajalik konkreetse eesmärgi täitmiseks.

Näiteks tuleb teatud finantsandmeid säilitada seadusest tulenevalt mitu aastat, kuid paljud muud andmed – näiteks vanad kasutajakontod või tööle kandideerimise dokumendid – tuleks kustutada oluliselt varem.

Teatud juhtudel on organisatsioonil kohustus määrata andmekaitsespetsialist, eriti kui töödeldakse suures mahus isikuandmeid või tundlikku teavet.

Tema roll ei ole ainult järelevalve, vaid ka organisatsiooni nõustamine, protsesside kujundamine ning rikkumiste ennetamine ja lahendamine.