Uus andmekaitsemäärus võib ettevõtetelt viia kontakti tuhandete klientidega
Reedest jõustuv EL-i uus andmekaitsemäärus on pannud ettevõtteid oma klientidele massiliselt andmete töötlemise nõusoleku e-kirju saatma. Ilma nõusolekuta enam infokirju ja pakkumisi kliendile saata ei tohi, mistõttu võivad nad ilma jääda tuhandetest otsekontaktidest oma klientidega.
Viimase paari nädalaga on inimeste e-postkastid ummistunud andmete töötlemise nõusoleku küsimise kirjadega kõikidelt ettevõtetelt, kelle kliendiks nad end kunagi registreerinud on, alates suurtest tanklakettidest ja toidupoodidest, lõpetades rahvusvaheliste veebipoodide ja koduste kommunaalteenuste pakkujatega.
EL-i isikuandmete kaitse määrus näeb ette, et ilma kinnitust saamata klientidele edaspidi enam infokirju ja pakkumisi saata ei või, mistõttu meelitavad ettevõtted oma kliente nii piitsa kui präänikuga nõusolekut andma, et mitte väärtuslikest kliendiandmetest ilma jääda: mõni ähvardab ära võtta seni kliendikaardile kogunenud boonuspunktid, teine lubab kõigi nõustujate vahel loosida välja paari uusi tosse.
"Üldmäärus on eelkõige mõeldud isikule tema eraelu privaatsuse kaitseks ning oma isikuandmete kasutamise paremaks kontrollimiseks. Seega reaalselt mõjutab üldmäärus suuremal või vähemal määral pea kõikide ettevõtete, asutuste ja organisatsioonide tööd," selgitas andmekaitse inspektisooni koostöödirektor Maarja Kirss.
Seejuures on oluline küsida nõustumist, mitte võtta vaikimist nõusolekuna, nagu on samuti praktikas mitme ettevõtte või organisatsiooni pöördumises oma klientide poole välja tulnud. Sellisel juhul on nad üldmääruse mõttest valesti aru saanud.
"Nõusolek on selge kinnitus ja vaikimist või tegevusetust nõusolekuks ei peeta. Samuti on andmete eest vastutaval töötlejal kohustus hiljem nõusoleku olemasolu tõendada," rõhutas Kirss.
Intellektuaalomandi ja IT ekspert, advokaadibüroo Eversheds Sutherland Ots & Co partner ja vandeadvokaat Tambet Toomela ütles "Terevisioonis", et mingit revolutsiooni EL-i uus andmekaitse määrus endaga kaasa ei too ning inimesed nõusoleku andmata jätmise pärast ülearu muretsema ei pea.
Kliendikaardid mittenõustumisel siiski kehtivust ei kaota, üksnes sooduspakkumisi jm infot teenusepakkujad meili peale enam saata ei tohi. Seega on igaühel vaba valik, kas annab loa oma andmete töötlemiseks või ei, keeldumisel teenuste saamine ei lõppe.
"Väga suur tõenäosus on, et kui teil täna on mõne kaubandusketi kliendikaart olemas, lojaalsusprogramm olemas, siis te olete kunagi varem juba selle nõusoleku andnud, ja see, kui te jätate praegu selle uuendamata, siis see võib lihtsalt tekitada mingisuguseid küsimusi ja probleeme mingites üksikutes aspektides, aga kindlasti te ei kaota oma staatust," selgitas Toomela. "Eraisikutel tasub vast kõige rohkem teada seda, et nüüdsest on neil väga kõrgetasemelise õigusaktiga manifesteeritud õigused. Mitte niivõrd kohustused, aga just õigused."
Muuhulgas sätestab üldmäärus, et inimesel on õigus teada, milliseid andmeid ettevõte tema kohta töötleb ja soovi korral nõuda nende andmete kustutamist.
"Kui te mõne uue teenusega liitute, küsige julgelt nende privaatsuspoliitika kohta küsimusi: milliseid andmeid nad teie kohta koguvad, mis eesmärgil kasutavad, kuhu nad edastavad neid," soovitas Toomela, selgitades, et kui ettevõte näiteks töötleb andmeid mõnes sellises riigis, kus andmekaitse pole nii tugev kui EL-is - näiteks Venemaal või mõnes offshore-riigis, kus on esinenud laialdasi andmelekkeid -, tasub mõelda, kas on mõistlik oma isiklikke andmeid sellisele ettevõttele usaldada.
Ka nutiseadmetes äppidel põhinevaid teenuseid pakkuvad ettevõtted peavad edaspidi juhinduma minimaalsete isikuandmete nõudest, st kliendilt tohib küsida nii vähe andmeid, kui teenuse osutamiseks hädapärast vaja. Näiteks tuleb ettevõttel kliendi asukohaandmete kasutamiseks eraldi nõusolek küsida.
Määrus sündis mitme tähendusliku kohtulahendi tulemusel.
Eesti seadused ei jõua järele
Samas ei jõua Eesti seadusandlus EL-i isikuandmete üldmääruse (GDPR) kehtestamise ajaks täielikult valmis, kuivõrd paljud seadused, mida muudatus puudutab, on uute põhimõtetega kooskõlla viimata, nii et riigikogu teeb viimase hetkel jõupingutusi, ent reedeks kõik Eesti seadused kindlasti uutele nõuetele veel ei vasta.
Riigikogul vaja võtta vastu isikuandmete kaitse rakendamise seadus, mis viib sisse muudatused veel umbes sajasse praegu kehtivasse Eesti seadusesse, milles puudutatakse isikuandmete kaitset. Isikuandmete kaitse rakendamise seadus on aga alles loomisel ning riigikogu jõuab selle vastu võtta tõenäoliselt eeloleval suvel.
"Kuigi riigikogu võtab uue, üldmääruse põhimõtetega kooskõlla viidud isikuandmete kaitse seaduse vastu tõenäoliselt 30. mail ja see jõustub alles juunis, peavad Eesti ettevõtted ja organisatsioonid hakkama siiski alates 25. maist GDPR-i nõudeid järgima," lisas advokaadibüroo Ellex Raidla juhtivpartner, andmekaitse inspektsiooni nõukoja liige Ants Nõmper.
Advokaat selgitas, et GDPR-i puhul tuleb meeles pidada, et määruses sätestatud reeglid ei ole soovitus, vaid kohustus, mille järgimata jätmine võib tuua äriettevõtetele kaasa karmi rahalise karistuse.
"GDPR-i järgimine on kohustuslik kõikidele ettevõtetele, kes mistahes moel puutuvad kokku isikuandmetega, sealhulgas oma töötajate isikuandmetega. Seejuures ei ole piisav, kui ettevõte on sätestanud üksnes formaalsed reeglid isikuandmete töötlemiseks. Tagada tuleb GDPR-i proaktiivne järgmine. See tähendab, et ettevõte peab omama täielikku ülevaadet kõigest, mis ettevõttes isikuandmete töötlemisega toimub," selgitas Nõmper.
Ta soovitas nõuete järgimisse suhtuda täie tõsidusega: potentsiaalsed trahvid ulatuvad kuni 20 miljoni euroni või kuni nelja protsendini rikkumise toime pannud ettevõtte käibest, kuigi maksimummääraga trahvide määramine on vähetõenäoline.
Igal juhul tuleb ettevõtetel ja asutustel reedest valmis olla selleks, et väljastada inimestele taotluse korral teavet nende kohta käivate andmete koosseisu, töötlemise eesmärgi ja täpsema sisu kohta. Samuti võib eeldada päringuid GDPR-iga kooskõlla viidud privaatsuspoliitikate ja veebilehtede kasutustingimuste kohta.
Nõmperi sõnul on sarnane olukord ka Lätis ja Leedus, kus kohalik isikuandmete kaitse seadus on samuti alles menetluses ja võetakse vastu ilmselt enne jaanipäeva.
Toimetaja: Merilin Pärli