Blogi

GDPR

Täna jõustus Euroopa Parlamendi ja nõukogu isikuandmete kaitse üldmäärus ehk GDPR, mis loob ühtsed reeglid isikuandmete töötlemiseks, aitab tugevdada õigust eraelu puutumatusele internetis ja elavdada digitaalmajandust.

Mingil määral on vastu võetud regulatsioon justkui tagant järele tulekahjude kustutamine, kuna viimase paarikümne aasta jooksul pea muutumatuna olnud isikuandmete määrused on muutunud järjest digitaalsemaks muutuvale ühiskonnale jalgu jäämas. Jõustunud määrus asendab senist, 1995. aastal vastu võetut ning need muudatused on mitmes valdkonnas „mängumuutjad“.


Valitsuse poolt kinnitas justiitsminister Urmas Reinsalu oma pressiteates, et ärevus, mida saabuvad muudatused on tekitanud, on asjatu: „Ütlen selgelt – andmekaitse aluspõhimõtted jäävad samaks. Tavaliste inimeste jaoks väga palju ei muutu. Inimestel on lihtsalt tulevikus suurem kontroll oma andmete kasutamise kohta, sest kõik isikuandmeid töötlevad asutused peavad andma lihtsas ja arusaadavas keeles inimesele teada, mida nad täpsemalt tema isikuandmetega teevad. See, kas inimene lepingu läbi loeb ja sellega nõus on või ei ole, jääb inimese enda otsustada,” ütles ta.


Reinsalu sõnul on eriti oluline see, et laste isikuandmete töötlemisel peab kogu teave olema selgelt ja üheselt mõistetavalt kirja pandud.
Andmekaitse üldmääruse järgi peab laps olema selleks, et tema isikuandmeid saaks töödelda infoühiskonna teenuse pakkumisel, vähemalt 13-aastane. Eriline kaitse rakendub laste isikuandmete kasutamisel turunduse eesmärgil või sotsiaalmeediakonto loomisel, samuti laste isikuandmete kogumisel otse lastele pakutavate teenuste kasutamise puhul.

Andmekaitsereform puudutab kõiki asutusi ja ettevõtteid, kes eri liiki isikuandmetega kokku puutuvad – alates riigi- ja tervishoiuasutustest lõpetades pankade, sideettevõtete ja väikefirmadega. GDPR kehtib isikuandmete kohta, mis tähendab mis tahes teavet tuvastatava isiku kohta, keda võib otseselt või kaudselt identifitseerida mõne identifikaatoriga. See määratlus hõlmab isikuandmeid, sealhulgas nime, identifitseerimisnumbrit, asukohaandmete või veebi identifikaatorit, mitmesuguseid isikuandmeid, mis peegeldavad tehnoloogia muutusi ja seda, kuidas organisatsioonid koguvad inimeste kohta teavet. GDPR kehtib nii automatiseeritud isikuandmete kui ka käsitsi sisestatud andmete puhul, kui isikuandmed on kättesaadavad vastavalt konkreetsetele kriteeriumidele. Pseudonüümeeritud isikuandmed - nt kodeeritud võti - võivad kuuluda GDPR-i reguleerimisalasse sõltuvalt sellest, kui raske on pseudonüümi omistada konkreetsele isikule.



GDPR kaitse all olevad andmed:

  • Põhilised isikuandmed: täisnimi, kodune aadress, isikukood, dokumendi number.
  • Isiku geolokatsioon ja seadme andmed: hetkeasukoht, IP-aadress, küpsiste andmed, RFID-märgendid, brauseri küpsised.
  • Veebiandmed: hüüdnimed ja kasutajanimed, sotsiaalmeedia postitused ja pildid, e-mail.
  • Tervise- ja geneetilised andmed: füüsiline tervis, psüühiline tervis, haigused.
  • Biomeetrilised andmed: nägu, sõrmejäljed, allkiri.
  • Pangaandmed: krediitkaardi andmed.
  • Sõiduki ja juhi andmed: juhiloa number, auto andmed.
  • Rassilised või etnilised andmed.
  • Poliitilised arvamused.
  • Seksuaalne orientatsioon.

Organisatsioonid peavad tarbijatele andma väga selgelt teada, miks nad inimeste andmeid koguvad, kes neid andmeid kasutavad ja milliste kolmandate osapooltega neid andmeid jagatakse. Tarbija nõusolek peab edaspidi olema selge ja andmetöötlus läbipaistev. Seega ei ole tulevikus lubatud eeltäidetud kastikeste ega vaikimisi nõusolekute kasutamine.

Isikuandete töötlemine ja kogumine käib kindlate reeglite kohaselt. Kliendid ja partnerid mõistavad oma õigusi, sest müügimeeskonnal lasub kohustus seda tutvustada ning nõusolekut saab klient või partner anda ainult juhul kui ta on olukorda mõistnud ja ise andnud selgelt mõista nõustumisest. Klientidel on õigus masinloetavalt liigutada oma andmeid ühe teenusepakkuja käest teise teenusepakkuja kätte. Konkurents ei käi enam teenuse hinna, vaid andmete valdamise üle. Kõigil isikutel on õigus olla unustatud. Töötaja töölt lahkumisel või kliendisuhte katkemisel on inimesel õigus nõuda kõikide nende andmete, mida ei ole enam kohustus ettevõttes hoida, kustutamist.

GDPR puudutab ka isikuandmete kuvamist internetis. Näiteks domeenide otsingust tuttav WHOIS ei tohi uute reeglite kohaselt kuvada eraisikule registreeritud andmeid. Neid on võimalik pärida ning seda saab teha end identifitseeriv eraisik või ettevõte. Reeglimuudatus on seotud ainult eraisikute andmetega ning ettevõtete andmed WHOIS-otsingus jäävad ka peale GDPRi nähtavaks.

“Üldmääruse üheks eesmärgiks on juurutada ettevõtetes ja asutustes riskipõhist lähenemist – mida tundlikum on andmetöötlus, seda rangemad on reeglid. Ettevõtjad, kes koguvad ja kasutavad tundlikke isikuandmeid ja suuri andmemassiive, peavad oma töökorralduse ja andmetöötlusprotsessid läbi mõtlema. Ka andmete liigutamisel ühest riigist teise tuleb hinnata, kas tegevus on andmekaitsepõhimõtetega kooskõlas,” selgitas Reinsalu.

Euroopa Liit austab iga liikmesriigi põhifunktsioone, näiteks avaliku korra säilitamist ja riigi julgeoleku kaitsmist, mistõttu neis valdkondades jääb isikuandmete kaitse reguleerimine iga liikmesriigi pädevusse. Isikuandmete kaitse seaduse rakendamise seadusega viiakse lähiajal andmekaitse üldmäärusega vastavusse 130 õigusakti.


Mis saab, kui ettevõtted ei taga turvalisust andmete töötlemisel ja kasutamisel?


Kogu lahendus toimib pisut sellisel naabrivalve-põhimõttel ning oma valduses olevaid andmeid valesti kasutavale või lekitavale ettevõtte saab esitada kaebuse. Kaebuste osas saab Euroopa Liit määrata riigile trahvi ning riigi ülesandeks on see probleem kõrvaldada, ehk siis see trahv kandub edasi ka ettevõtetele. Flybe näitel, kus ettevõtte saatis välja 3,3 miljonit e-kirja (sh ka varasemalt oma andmete eemaldamist soovinud klientidele), oli karistusmääraks 70 000 inglise naela. Erinevaid juhtumeid on juba mitmeid ning kohtud töötavad efektiivselt - Honda, sai trahvi13 000 naela ning Morrisons 10 500 naela. Mõlemale ettevõttele heideti ette vähem kui 300 000 kasutajale (sh endistele kasutajatele) e-kirjade saatmine oma kampaaniate tutvustamisel.

Näited, millele tuleks tähelepanu pöörata.


Registreerimisvormid - kõige avalikumalt ja laialdasemalt kasutatav valdkond. Ideeliselt peaks iga uudiskirja registreerimisvormi juures olema kirjas, milleks isikuandmeid kogutakse ning kasutatakse. Peamised vormid, kus kasutatakse isikuandmeid, on nt uudiskirjadega liitumine, üritustele registreerimine jms.

Isikuandmete kogumiseks ja haldamiseks soovitatakse küsida neid andmeid, mida teil läheb reaalselt vaja, et kasutajaga kontakti saada. Näitena võib tuua registreerimisvormi, kus küsitakse lisaks nimele ja e-mailile ka telefoninumbrit, aadressi või isegi lemmikfilmi. Need on võimalik lisada juba kasutaja profiili ning kutsuda teda vabatahtlikult oma andmeid täiendama - sellisel juhul on andmete kogumine legaalne. Lisaks tuleks ettevõtetel leida tehniline võimekus kuvada kasutajale tema kohta kogutud andmed ning võimalus kõikide oma andmete eemaldamist teenusepakkuja haldusest.


Facebook Pixel - tundub küllaltki ohutu, kuid uue regulatsiooni kohaselt peab olema lehe külastajale öeldud, et leht kasutab Facebook Pixeli rakendust ning enne kui tema andmed kogujani jõuavad, peab ta saama valiku, kus on võimalusena kirjas ka oma andmete kogumisest loobumine.

Privaatsus poliitika (Privacy Policy) - määrab ära teie kaupade ja teenuste liikumise korra, ettevõtte õiguslikud suhted, müügiprotsessi korra jpm. Nüüdsest tuleks sellesse viia ka GDPR põhimõtted - mis andmeid inimeste kohta kogutakse ning mis on iga kogutud andmeliigi eesmärgiks. Lisaks tuleks kirja panna, kuidas toimuks teie ettevõttes protsess, kui inimene soovib oma andmete kuvamist või siis ettevõtte halduses olevatest listidest eemaldamist.
Kokkuvõtteks

See postitus on mõeldud GDPR regulatsiooni tutvustama ning võtab kokku peamised nõuded, ohud ja võimalused, millele turundajad, disainerid ning arendajad peaksid tähelepanu pöörama.

 

Ettevõtte juhi või liikmena on oluline:

Kaardistada ettevõtte valduses olev andmete kogum - mida kogutakse, kus hoiustatakse, milline on andmebaasi tehniline võimekus arvestades uut GDPR regulatsiooni.
Koolitada oma töötajaid, eriti müügipersonali - vii müügipersonal asjaga kurssi, kuna nende kaudu käib ettevõttest eeldatavasti läbi kõige suurem hulk kontakte.
Korrastada ettevõtte listid - võimalda GDPR nõuetest vajaminevaid tehnilisi lahendusi. Korrasta andmete kogumise viise ja vormi. Tutvusta külastajatele teie ettevõtte GDPR põhimõtteid. Suuremate listide juures on erinevates blogides ja portaalides soovitatud ka kõikidele inimestele kirjutada, teavitada neid listi sulgemisest ning edasise liikmena olemiseks palutakse uuesti liitumine teha.
Küsida nii vähe andmeid kui vaja - väiksem põhjenduste hulk tähendab ka jooksvalt väiksemat ajakulu.
 

Asjal on ka positiivsem külg: GDPRi peetakse ka heaks turundusvahendiks, mis võimaldab oma kasutajaskonda paremini tundma õppida. Kuigi kasutajal on võimalus nõuda tema kohta kogutud andmete esitlemist, on võimalus ka selle käigus pakkuda talle valikuid, mis võiksid teda loobumise asemel ettevõttega hoopis rohkem siduda. Korrektne ning läbipaistev andmete käitlemine tagab ka suurema usaldusväärsuse klientide hulgas, mis online ostude kasvu arvestades on vägagi hea valuuta.

Andmete kogumise asemel kasutage uudsemaid mooduseid nagu teavitused (Push Notifications), mille abil oma uutest kaupadest ja teenustest huvilistele märku anda.


Allikad:GDPR ehk isikuandmete kaitse üldmäärus - andmekäitluse kultuuri muutus
.ee Domeenireeglite muudatused seoses 25. mail jõustuva uue isikuandmete kaitse määrusega
Isikuandmete kaitse üldmäärus GDPR – Mis see on?
Don’t panic! How to be compliant with the new GDPR in 5 steps
GDPR for Marketing: The Definitive Guide for 2018
GDPR and Email Marketing

Jaga seda artiklit:
A picture of Erkki

Artikli autorist

Erkki on Sviitri asutaja ja AD, kes on olnud Sviitriga tema esimestest hetkedest. Erkki on majanduskraadiga kunstihing, kes on olnud mentoriks Ajujahis, vedanud Innovatsiooniaastat ning aidanud ehitada üles Haridusinnovatsiooni keskust Tallinna Ülikoolis.
erkki@sviiter.ee