Menu

#16 „Mida peab teadma GDPR-ist?” Mihkel Miidla [Sorainen]

Seekord käsitleme äärmiselt olulist teemat kõikidele ettevõtjatele ja turundajatele. Nimelt rakendub 25. mail 2018 uus isikuandmete kaitse üldmäärus (GDPR), mis tekitab tänases päevas suhteliselt palju peavalu ja küsimusi. Saatejuht Kristjan Raude käis Best Marketingi vastavateemalisel seminaril küsitlemas advokaadibüroo Sorainen vandeadvokaati Mihkel Miidlat. Tema käest küsis ta väga konkreetseid ja olulisi küsimusi, millele iga turundaja peab vastust teadma. Seega vaata saadet, tee omad järeldused ja hakka pihta!

Enamus ettevõtteid ilmselt kasutavad CRM-i (inglise keele customer relationship management). Kas CRM läheb andmete töötlemise alla?

Kindlasti läheb. Sõltumata sellest, kas konkreetse organisatsiooni kliendid on peaasjalikult füüsilised isikud või äriettevõtted, CRM andmebaas ja CRM protsessid sisaldavad ikkagi isikuandmeid.

Seega, kui sul on CRM, siis tegelikult sa pead olema kooskõlas uue määrusega?

Just. Uus määrus küll puudutab ainult füüsiliste isikute kohta käivat andmete töötlemist, aga ka äriühingud ning nende esindajad on füüsilised isikud. Asjaolu, et keegi tegutseb ärisfääris või oma kutse majandustegevuses, ei võta ära tema õigust privaatsusele ja eraelu kaitsele.

Räägime veidi definitsioonist „privaatsed isikuandmed”. Sa ütlesid, et kui seal on nimi ja see on tuvastatav, siis käib see isikuandmete alla. Kui on e-posti andmebaasis selline aadress nagu , kus ees- ja perekonnanime ei ole, siis see sinna alla ei lähe?

Pigem mitte jah. Aga jällegi, küsimus taandub sellele, kui mingite teiste andmeallikate kaudu on võimalik konkreetsel töötlejal tuvastada, et selle konkreetse aadressi kasutaja on konkreetne tuvastatud isik, siis võib ka sellise e-posti aadressi töötlemine muutuda isikuandmete töötlemiseks.

Räägime IP aadressist. IP aadress on uue määrusega sätestatud kui isikuandmed?

Ta on üks identifikaator, mille kaudu võib olla isik tuvastatav. See ei tähenda seda, et igasugune IP aadress on automaatselt käsitletav isikuandmetena. See on ikkagi jällegi seotud konkreetse töötlejaga, kas selle IP aadressi järgi on isik tuvastatav või mitte. Kui me lihtsalt vaatame mõnda IP aadressi ilma time stamp’ita ja ma ise ei ole telekomi ettevõte, kes selle IP aadressi on väljastanud, siis on väga raske öelda selle IP aadressi kohta, et need on isikuandmed. Samas, kui ma olen üles ehitanud mõne veebiteenuse ja ma tean, kes on mu külastajad ning millistelt IP aadressidelt on nad teenust kasutanud ja ma suudan konkreetse IP aadressi kokku viia konkreetse kasutajaga, siis see IP aadress on ka isikuandmed.

Nii palju, kui ma olen lugenud, siis ma olen aru saanud, et sisuliselt e-pood, kus võib-olla ametlikult töötab vaid üks inimene ja e-poel on igasugused pixel’id, tracking’ud ja cookie’d peal ning andmeid töödeldakse, siis sisuliselt on neil vaja endale andmekaitseametnikku?

Kui nad on vastutava töötleja rollis ja tõesti nad ise suures ulatuses ning süstemaatiliselt jälgivad andmesubjekte kõikide nende nimetatud tehnoloogiate kaudu, siis küll jah.

Räägime trahvidest. Kes seda trahvi saab ja mille alusel?

Trahvi saab ikkagi vastutav töötleja GDPR-i (General Data Protection Regulation) nõuete rikkumise eest. GDPR-is on tohutult palju erinevaid nõudeid kehtestatud. Osade rikkumiste eest on määratud kangemad trahvid ja mõned on loetud lihtsamateks rikkumisteks, mis on natuke väiksema trahviga.

See 4% ja 20 miljonit. Põhi on see 4% ja 20 miljonit on see ülempiir siis?

Ei. Ülempiir on sõltuvalt sellest, kas 20 miljonit või 4% on suurem.

Päris paljud ilmselt kasutavad pilvetarkvarasid ja erinevaid turundustehnoloogiaid, mis tegelikult andmeid koguvad ja töötlevad. Oletame, et pilvetarkvarasse häkker häkib sisse ja varastab sinu kliendi andmed. Kes vastutab, kes trahvi maksab?

Selleks, et sellele küsimusele korrektselt vastata, pean ma tegema teatud eeldusi. See, kes andmed pilve üles laadis, ma loen vastutavaks töötlejaks. Pilveteenuse loen ma volitatud töötlejaks, kes siis töötleb isikuandmeid vastutava töötlejaga sõlmitud lepingu alusel. Küsimus taandub tegelikult ka sellele, kui hästi vastutav töötleja on suutnud end selles lepingus kaitsta. Tõsi on see, kui me räägime suurtest teenusepakkujatest, siis nendega on raske neid tingimusi läbi rääkida. Aga andmesubjekti ees igal juhul ikkagi esmajärjekorras vastutab vastutav töötleja.

Mida ikkagi sinna privaatsustingimustesse kirjutada? Lihtne näide –  suuremad tegijad nagu Google ja Facebook võimaldavad näidata reklaame nii, et sa laed oma kliendiandmed nende serveritesse üles, nad sobitavad ära need inimesed e-posti, telefoni või mingite muude andmete alusel ja sa saad väga sihitud reklaame neile näidata. Sellised asjad peab sinna tingimustesse üksikasjalikult kirja panema?

Jah. Selleks, et üldse oleks lubatud või mõeldav, et sa enda kliendi andmed sellisel eesmärgil mõne teenusepakkuja serverisse üles laed, tuleb eelnevalt veenduda, et on olemas õiguslik alus, nõuetekohased teavitused andmesubjektidele ja täidetud ka muud isikuandmete kaitset puudutavad põhinõuded. Peab ikka väga selge kaardistatud jada olema, mida ma võin teha ja kas ma võin seda teha.

Lihtne näide. Subjekt on kasutanud õigust olla unustatud (inglise keeles the right to be forgotten), kuid samas ostab ta mu e-poest midagi ning ma pean talle saatma tellimuse kinnituse e-posti teel ja võib-olla ka arve. Kas see on olukord või mitte?

See ei ole olukord. Andmesubjektidel on tõesti õigused, mida nad saavad kasutada. Mõnda saavad kasutada oluliselt efektiivsemalt kui teisi. Mainin ära, et üks vastuväide, mida andmesubjektid saavad esitada isikuandmete töötlemisel, on see, et „palun ärge kasutage minu isikuandmeid otseturunduslikel eesmärkidel”. See on ainus vastuväide, millel on absoluutne iseloom. Sellele ei saa vastu vaielda. Kõik ülejäänud andmesubjekti õigused, mida ta võib kasutada, on tavaliselt seotud täiendavate kriteeriumitega. Või siis rakenduvate eranditega.

Kui kasutatakse renditud e-posti listi. See on küll selline hääbuv trend, aga ikkagi on olemas e-posti listi haldurid, kellele ma ütlen, et palun 100 000 e-kirja välja saata minu nime alt sellisele sihtrühmale. Kes siis vastutab?

Seal on üsna selgelt vastutav töötleja listi omanik ja haldur. See maailm on mõnevõrra keeruline. Ühesõnaga see on vastutav, kes on sellise teenuse loonud, ja ta sulle osutab lihtsalt teenust. Sina võib olla kogu protsessi jooksul isikuandmeid ei töötlegi. Küll aga lepingus sellise teenusepakkujaga, oleks ääretult mõistlik kirja panna, mis juhtub siis, kui selle teenusepakkuja majandus ei ole päris nii korras, kui ta väidab.

Uus seadus määratleb ka seda, et kui subjekt soovib endaga seotud andmeid kätte saada, siis sul on kohustus talle need andmed avalikustada?

Andmesubjektil on tõesti juurdepääsuõigus. Küll aga see ei ole päris absoluutne. Täielik eesmärk on tal peaasjalikult ühel eesmärgil ja see eesmärk on siis sinu tegevuse kontrollimine, et sa täidad kõiki isikuandmete kaitse alaseid reegleid.

Kuidas on need andmed taasesitatavad? Tegelikult neid kokkupuutepunkte, kust neid andmeid kogutakse on sellisel ettevõttel, kes digi kasutab, üsna palju.

Jah, aga selle vastu ongi see rohi töötlemise registrite koostamine. Sa teed ära data mapping’u. Sa tead täpselt, kuidas su andmetöötlusprotsessid välja näevad, kust kuhu andmed liiguvad ja mis andmed liiguvad. Tõesti ilma kaardistamata on väga raske sellistele küsimustele vastata.

Kas on olemas ka seaduse poolt määratud tingimused andmebaasi värskusele või pidevale uuendamisele või nõusolekute uuesti küsimisele?

Nõusolekule otseselt sellist piirangut ei ole. Tähtaegade osas tuleks silmas pidada seda, et kui töötlemise eesmärk on saavutatud, siis kui kaua pärast seda võib veel neid isikuandmeid alles hoida ja töödelda. Nende tähtaegade määramine on mõneti keerulisem, aga see võib sõltuda ka eesmärgist. Isikuandmeid kogutakse ja töödeldakse alati mingil kindlal eesmärgil. Kui eesmärk on täidetud, miks siis veel neid alles hoida. Üldpõhimõtete järgi peaks peale eesmärgi täitmist need andmed ära kustutama või sulgema. Tõesti on mõned erijuhtumid, näiteks raamatupidamise algdokumendid, mida peab hoidma seitse aastat. Aga siinkohal silmas pidada seda eesmärgipärasuse piirangut. Ehk selliseid andmeid tohibki hoida ja töödelda ainult selle kohustuse täitmiseks. Neid andmeid ei tohi kasutada mingitel muudel eesmärkidel.

Tõenäoliselt on väga paljudel ports andmeid, mis on kuskil meilitarkvara serverites üleval. Otsustatakse, et hakatakse esimese sammuna neid nõusolekuid küsima. Kas see esimene e-post, mis ma nõusoleku saamiseks välja saadan, on seduslik või mitte?

Ma sellele küsimusele jätan täpsemalt vastamata. Aga, kui seda teha, siis ma soovitan seda teha enne GDPR-i kohalduma hakkamist. Ma ütleks, et esimene samm on ikkagi see, et kaardistage ära, mis teil organisatsioonis hetkel toimub. Enne seda mingeid samme astuda on võib-olla ennatlik. See üldpilt tuleb ette saada. Isegi, kui te sellise meili saadate ja küsite nõusolekut, siis tasub veenduda, et see on tehtud nõuetekohaselt.

Sinu nägemus või soovitus, kuhu suunas see valdkond ja uued seadused liiguvad ning mis on sinu soovitused sellega seoses turundajatele?

Üldmäärus on paigas. Seda, et see lähiajal kardinaalselt muutuks, ma ei usu. Mingisugust mõju annavad kindlasti siseriiklikud õigusaktid nendes küsimustes, mis on jäetud liikmesriikide otsustada. Siin on muudatusi oodata. Turundajatele on kindlasti see oluline võtmekoht, et mis saab uuest e-privaatsuse määrusest ja mis saab selle sisu olema lõplikul kujul. Ehk tuleb end nende kohalike nõuetega kurssi viima. Soovitus oleks, et tuleks lihtsalt asi käsile võtta. Isegi, kui praegu on tunne, et mitte kuidagi 25. maiks ei jõua, siis osaline valmisolek on parem, kui üldse mitte midagi. Alustage, tehke ära kaardistus, vaadake, mis on valesti, ja valed asjad parandage ära. See oleks selline lihtne protsessikirjeldus.