Menu

Kas andmekaitse on Eestis ebaõnnestunud?

Autor: Karolin Kondrat

GDPR (General Data Protection Regulation) ehk uus EL-i isikuandmete kaitse üldmäärus tuli maikuus suure hurraaga ja vallandas e-kirjade laviini, kus ettevõtted küsisid isikuandmete edaspidiseks töötlemiseks nõusolekuid ja andsid teada privaatsustingimuste muudatustest. Viis kuud on sellest ajast möödunud ja nüüdseks on asi maha rahunenud. Või siis on asi lihtsalt ära unustatud …

Aga GDPR on endiselt jõus ja kõik ettevõtted peavad selle eest hoolt kandma, et igasugune isikuandmete töötlemine oleks legaalne. Enamus ettevõtetest on tublid ja rakendavad seatud reegleid. Kuid on ka neid, kellel (vähemalt nii tundub) on üsna ükskõik ja kes pole isikuandmete töötlemise kaitseks veel midagi ette võtnud.

Otseturunduslike teadete saatmine on täiesti okei, aga …

Hiljuti märkasime kolleegidega, et üks Eesti tuntud ettevõte sõna otseses mõttes spämmib meie kõigi postkaste. Hakkasime siis mõtlema, et kuidas me üleüldse nende listi sattunud oleme? Ja veelgi enam – miks me isegi listist (korduvalt) lahkudes neid samu kirju edasi saame.

Kindlasti ei tähenda GDPR, et otseturunduslike teadete saatmine e-kirja või SMSina on nüüdsest keelatud. Kindlasti mitte. Taoliste teadete saatmine on endiselt lubatud. Aga enne, kui seda teed, kontrolli kindlasti üle, kas Sinul kui ettevõttel ikka on selleks õigus.

Üldjuhul on otseturunduslike teadete saatmiseks vajalik inimese nõusolek. See peab olema nõuetekohaselt saadud. Õnneks on Andmekaitse Inspektsioon loonud hea küsimustiku, mille abil on seda võrdlemisi lihtne kontrollida (vaata siit lisa 2). Näiteks on üheks tingimuseks, et oma nõusolekut peab olema igal ajahetkel võimalik tagasi võtta ja see peab olema sama lihtne kui nõusoleku andmine.

Elektroonilise side seadus ütleb, et füüsilistele isikutele võib saata otseturunduslikke teateid siis, kui need isikud on eelnevalt ostnud ettevõttelt tooteid-teenused. Kuid seda võib teha ainult juhul, kui ostjale saadetakse samasuguste toodete-teenuste otseturundust. Veelgi enam – elektroonilise side seadusest tulenevad nõuded peavad sellegipoolest täidetud olema. Ka siin on üheks tingimuseks, et ostjale antakse iga kord, kui tema isikuandmeid otseturustuseks kasutatakse, selge ja arusaadav võimalus keelduda oma andmete kasutamisest. See tähendab, et peab olema võimalus unsubscribe’ida ehk listist lahkuda.

Ülalpool nimetatud näite puhul jääb aga mulle ja mu kolleegidele arusaamatuks, kuidas me antud ettevõtte listidesse sattunud oleme, sest nõusolekut ei ole me selleks keegi andnud. Ehk oleme mõnel turundusüritusel osalemise kaudu nendelt midagi ostnud? Kuigi sel juhul oli ostjaks tegelikult ettevõte. Seega on otseturunduslike teadete (uued turunduskonverentsid ja muud valdkonna üritused) saatmine lubatud. Kuid miks me saame kutseid näiteks logistikaseminaridele? On see ikka samasugune toode-teenus, mida me neilt varasemalt ostsime? Meie silmis mitte.

How many times I have to unsubscribe to really unsubscribe?!

Okei, sain logistikaseminariteemalise kirja. Parim viis on listist lahkuda, kuna logistika on minu jaoks pigem kauge teema. Samal õhtul saan ma aga sellelt samalt ettevõttelt raamatuklubi uudiskirja … Kas mitte GDPR ei ütle, et nõusoleku tagasivõtmine või otseturunduslikest teadetest keeldumine peab olema lihtne? Miks ma pean siis igast listist eraldi lahkuma? Ja isegi, kui ma seda teen, ei saa ma olla kindel, kas olen ikka kõigist listidest eemaldatud.

Antud olukord paneb mõtlema, kas Eestis on andmekaitse ebaõnnestunud? Kas ettevõtted võivad andmekaitsealaseid seaduseid nõndamoodi väänata? Võib-olla mängib siinkohal rolli ka Andmekaitse Inspektsiooni hoiak – nende seisukoht on olla ettevõtetele nõustajaks. Veelgi enam, Riigikogu pole ju veel vastu võtnud uut isikuandmete kaitse seadust, seega teostab Andmekaitse Inspektsioon järelevalvet kehtiva isikuandmete kaitse seaduse alusel.

Paras segapudru siin e-Estonias! Samal ajal on mujal Euroopas juba mitmeid soolaseid trahve määratud. Näiteks sai Heathrow lennujaam 120 000 naelase trahvi oma puuduliku andmekaitse tõttu. Asjaolu, et Eestis (hetkel) asi leebem tundub, ei anna kindlasti ettevõtetele õigust seadustest mööda vaadata!

Läbipaistvus = suurem usaldus

TrustArci tehtud uuring näitab, et peamine motivaator miks andmekaitsega tegeletakse, on klientide ootustele vastamine, mitte hirm trahvide või kohtuprotsessi pärast. Tegelikult on kolm peamist motivaatorit seotud usaldusega ning trahvide ja kohtuprotsessi hirm platseerus antud nimekirjas alles neljandaks. Samast uuringust ilmnes, et ettevõtted, kes on võtnud andmekaitse käsile, näevad GDPR-is positiivset mõju oma äritegevusele. Vaatamata rangetele nõuetele vastas nõnda 65 protsenti uuringus osalenud ettevõtetest.

Samasugune suhtumine peaks olema ka Eesti ettevõttetel. GDPR ei ole takistus, vaid võimalus. Võimalus olla oma tegevustes ja plaanides läbipaistvam ja suurendada seeläbi klientide silmis ka ettevõtte usaldusväärsust. Otseturunduse vaatevinklist on see võimalus saata oma ettevõttest huvitatud inimestele just seda, mida nad soovivad.

Kui minna hetkeks tagasi antud loo näite juurde, siis pealtnäha on nende andmekaitsealane tegevus legaalne – kõik vajalikud andmekaitsealased dokumendid on olemas ja kättesaadavad. Samas ei piisa GDPR-i puhul ainult dokumentide olemasolust, andmekaitset on vaja ka rakendada. Esiteks oleksid nad võinud mind lisada vaid turundusega seotud teadete listi, mitte kõikidesse listidesse. Ja teiseks, isegi, kui nad mind mingi reegli alusel kõikidesse listidesse lisasid, siis peaks mul olema võimalikult lihtne sealt lahkuda. Sellega, et nad mind spämmima hakkasid ja listidest lahkumise pealtnäha võimatuks tegid, ei ole nad minu usaldust kindlasti ära teeninud. Pigem vastupidi.

Mõistagi on GDPR uudne teema meie kõigi jaoks. Kui Sa enda nõu ja jõuga hakkama ei saa, siis küsi abi. Võta meiega ühendust, kui Sul on tarvis oma veebileht ja turundustegevused andmekaitse reeglitega kooskõlla viia.

 

PS. Blogipostituse autor on Karolin Kondrat.