GDPR ehk isikuandmete kaitse üldmäärus

Mis on GDPR ehk isikuandmete kaitse üldmäärus?

Mida peaks iga ettevõtja teadma isikuandmete kaitse üldmäärusest (GDPR) ja andmekaitsest?

Katsume nendele küsimustele selgust tuua…

Kui Sa juhuslikult just Kuul ei ela, oled Sa ilmselt juba kindlasti kuulnud EL-i andmekaitsealaste õigusnormide muudatustest, mida teatakse isikuandmete kaitse üldmäärusena (GDPR). Need muudatused jõustuvad 2018. aasta 25.mail ning need mõjutavad iga ettevõtet, olenemata sellest kas see  ettevõte on Euroopa Liidus või mitte. See tähendab, et see mõjutab ka Sind ja Sinu kliente. Mida peaksid teadma ja kuidas käituda?

 

Mis on isikuandmete kaitse üldmäärus (GDPR)?

Isikuandmete kaitse üldmäärus (GDPR) on kokkuvõttes seadus, mida Euroopa Parlament, Euroopa Liidu Nõukogu ning Euroopa Komisjon kasutavad selleks, et tugevdada ja ühendada andmekaitset kõikide Euroopa Liidu üksikisikute jaoks ning et eksportida isikuandmeid väljaspool Euroopa Liitu (EL).

Isikuandmete kaitse üldmäärus annab kodanikele ja asukaile kontrolli iseenda isikuandmete üle ning lihtsustab rahvusvahelise äritegevuse regulatiivset keskkonda, muutes selle määruse EL-i siseselt üheseks.

Määrus võeti vastu 2016. aasta aprillis ning jõustub 25.mail 2018 ning erinevalt direktiivist ei eelda see, et ühegi riigi valitsus peaks selle jaoks eraldi õigusakte vastu võtma, mistõttu on see koheselt siduv ning rakendatav.

 

Miks sellised muutused toimuvad?

Euroopa Liit tahab anda inimestele suurema kontrolli oma isikuandmete üle ning selle üle kuidas neid kasutatakse. Põhjus on selles, et praegune seadusandlus jõustus enne Internetti ning pilvetehnoloogia loob uusi viise, kuidas andmeid ära kasutada.

Samuti tahetakse anda äridele selgem õiguslik keskkond, milles tegutseda ning kogu turul loodetakse luua ühised andmekaitsealased õigusnormid.

Andmekaitse on kestev. See ei ole midagi, mis pannakse paika ja siis unustatakse – vajalik on pidev teadlikkus seadustest.

 

Mida tähendab see Sinu jaoks?

Sa pead isikuandmete kaitse üldmäärusest kinni pidama siis, kui töötled isikuandmeid oma ettevõtte jaoks. Sa pead oma klientidele selgitama ka seda, kuidas Sa seda teed ning pead määrusega töötades olema järelandlik.

See on tähtis seetõttu, et need uued muutused tähendavad seda, et nüüd oled Sina see, kes on vastutav töödeldavate andmete eest, mitte Sinu klient. GDPR viib vastutuse üle ka tarkvaralt turundajale (ja milline ettevõtja ei turunda enda ettevõtet?).  Seega pead teadma kus kohast need isikuandmed, millega töötad, tulevad ning kuidas andmesäilitus (sh erinevad erinevad CRM programmid, drive, dropbox, jmt) teenuste pakkujad neid andmeid Sinu eest säilitavad.

 

Näide 1

Kui saadad välja turunduse e-maile ning listis olev kontakt on saadud näiteks kas LinkedIn-ist või internetist ilma e-maili saava inimese enda nõusolekuta, oled Sina volitatud töötleja, seega oled Sina see, keda kaebuste korral süüdistama hakatakse.

Seega pead teadma, kuidas need kontaktid sinna e-maili listi said.

Andmekaitse üks suuremaid alasid ongi e-maili turundus, sest abonent peab konstantselt andma nõusolekut selleks, et see on sobilik, et ta konkreetses meililistis on.

Kui Sinu peamine aadress on Euroopa Liidus, on Sinu listid säilitanud eelneva nõusoleku topeltsüsteemi, kuid kui Sinu peamine aadress ei ole EL-is, pead ise selle süsteemi manuaalselt seadetes sisse lülitama.

 

Näide 2

Sa ei saa EL-i kodaniku „konkreetse kategooria andmeid“ säilitada väljaspool EL-i. Konkreetse kategooria andmed hõlmavad endas tervisesse puutuvat informatsiooni, poliitilisi või religioosseid uskumusi, seega kui töötad arstide või tervishoiutöötajatega, ei saa Sa neid konkreetseid andmeid Dropboxis säilitada.

Selliseid asju peab lihtsalt teadma.

 

Heaks uudiseks on see, et mitte ainult ei ole Sinu enda andmed veel suurema kaitse all, aga mida rohkem uutest määrustest tead, seda rohkem informatsiooni saad oma töötajatele, partneritele või klientidele edasi anda ning see läbi säästad neid pikemas perspektiivis peavalust.

 

Mis läheb isikuandmetena arvesse?

Isikuandmed on ükskõik milline informatsioon, mille järgi on isikut võimalik tuvastada, nagu näiteks nimi, e-mail, telefoninumber, aadress või ükskõik milline kontaktandmetest.

Seega ükskõik milline info, mille järgi on isikut võimalik tuvastada.

Kuid ma ju ei töötle isikuandmeid!

Jah, Sa töötled.

  • Kas EL-i inimesed külastavad Sinu veebilehte? (Jah, IP-aadressid lähevad isikuandmetena arvesse!)
  • Kas Sinul või Sinu klientidel on meililist, kuhu EL-i inimesed end kirja saavad panna?
  • Kas säilitad isikuandmeid USB-mälupulgal, välisel kõvakettal, automaatses varusüsteemis või vanas arvutis?
  • Kas Sul on telefonis kontaktid?
  • Kas Sa kasutad kliendisuhete haldussüsteemi?
  • Kas Sul on e-maili kontaktide nimekiri?
  • Kas Sa saad ja kasutad teiste inimeste nimesid ning kontaktandmeid?

Kui jah, pead uuest isikuandmete kaitse üldmäärusest kinni pidama.

 

Ei mina ega minu kliendid ei ole Euroopa Liidus

Kuna EL-i andmekaitsealased õigusaktid kehtivad ka kõigis välisriikides EL-i residentidega tegelevate ettevõtete puhul, mõjutab isikuandmete kaitse üldmäärus Sind ka siis, kui Sa ei ela Euroopa Liidus. Seega isegi kui asud riigis, mis ei ole Euroopa Liidus ning mitte ükski Sinu klientidest ei ole Euroopa Liidust, pead Sa siiski sellest EL-i seadusest kinni pidama.

Näiteks:

  • Mis juhtub, kui Su klient kolib?
  • Mis juhtub, kui Su klient elab USA-s, aga nende ettevõte on registreeritud Euroopa Liidus?
  • Mis juhtub, kui võtad endale uue kliendi, kes on Euroopa Liidust?
  • Mis juhtub, kui keegi Euroopa Liidust tellib Sinu uudiskirja?

 

 

Kuidas veenduda, et Sinu tegevus vastab isikuandmete kaitse üldmäärusele (GDPR)?

Allikas: creditinfo.ee
Millistel alustel tohib isikuandmeid koguda ja muul viisil töödelda?

Enne isikuandmete töötlema hakkamist tuleks kaardistada eeskätt:

  • milliseid isikuandmeid üldse töödeldakse ja kas nende hulgas on ka eriliigilisi (delikaatseid) isikuandmeid;
  • kelle isikuandmeid töödeldakse ehk kes on andmesubjektid (töötajad, kliendid, muud eraisikud);
  • mis eesmärgil isikuandmeid töödeldakse;
  • kas töödeldakse ainult neid isikuandmeid, mis on eesmärgi saavutamiseks vajalikud ja aja- ning asjakohased;
  • milliseid toiminguid isikuandmetega tehakse;
  • millisel õiguslikul alusel isikuandmeid töödeldakse.

 

Millised on need kuus õiguslikku alust, mille vahel valima peab:

 

1. Andmesubjekti nõusolek.

Isik, kelle andmeid töödeldakse, annab vabatahtlikult nõusoleku oma isikuandmete töötlemiseks kindlal eesmärgil. Isikul on õigus nõusolek igal ajal tagasi võtta.

  • Näiteks: Veebipoe eraisikust klient soovib saada igakuiseid uudiskirju ja sooduspakkumusi ning annab oma nõustumuse märgiks nõusoleku, pannes veebipoega lepingut sõlmides ristikese vastavasse lahtrisse. Veebipood peab tagama, et iga sooduspakkumuse saatmisega annab ta kliendile võimaluse edasistest pakkumustest loobumiseks (paljudele tuntud UnSubscribe).

 

2. Lepingu täitmine.

Kui ettevõttel on vaja oma kliendi andmeid töödelda selle kliendiga sõlmitud lepingu täitmiseks, võib ta isikuandmeid töödelda ilma kliendi nõusolekuta.

  • Näiteks: Kindlustusselts võib töödelda kindlustusvõtja varalist seisundit puudutavaid andmeid, et hinnata kindlustusjuhtumi läbi kindlustusvõtjale tekkinud kahju suurust ja täita oma lepinguline kohustus – maksta välja kindlustushüvitis.

 

3. Juriidilise kohustuse täitmine. 

Kui isikuandmete töötlemine on vajalik juriidilise kohustuse täitmiseks, ei ole samuti vaja küsida andmesubjekti nõusolekut.

  • Näiteks: Pangal on seadusest tulenev kohustus järgida vastutustundliku laenamise põhimõtet. Selle kohustuse täitmiseks on pank enne laenulepingu sõlmimist kohustatud koguma ja säilitama andmeid kliendi rahaliste kohustuste suuruse ning täitmise kohta ja kasutama neid andmeid kliendi jaoks mõistliku laenukoormuse arvutamiseks.

 

4. Eraisiku eluliste huvide kaitsmine.

Väga erandlikel juhtudel võib isikuandmeid töödelda andmesubjekti enda või mõne muu eraisiku eluliste huvide kaitsmiseks. Seda tavaliselt siis, kui isik ise ei ole võimeline ei õiguslikult ega füüsiliselt oma andmete töötlemiseks nõusolekut andma.

  • Näiteks: Inimene satub raske liiklusõnnetuse tagajärjel haiglasse ja ei ole võimeline suhtlema. Et arstid saaksid tema opereerimise ja edasise ravi suhtes otsuse langetada, on selle inimese haigusloo avaldamine arstidele põhjendatud tema eluliste huvide kaitsmiseks.

 

5. Avalik huvi.

Isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks.

  • Näiteks: liikluspolitseil on õigus töödelda kiiruskaamerate salvestisi, et kiiruseületajaid trahvida – politsei töötleb siin isikuandmeid talle seadusega pandud avalike ülesannete täitmiseks.

 

6. Õigustatud huvi.

Õigustatud huvi alusel isikuandmete töötlemine on andmetöötlejate jaoks suhteliselt uus õigus. Kui andmetöötlejast ettevõttel ei ole vaja töödelda isikuandmeid kitsalt ei lepingu täitmiseks ega seadusest tulenevate kohustuste täitmiseks, aga ettevõttel on siiski põhjendatud huvi isikuandmete töötlemiseks – eeskätt et täita oma äritegevusega seotud ülesandeid, võib ta seda teatud tingimustel teha. Õigustatud huvi tähendab tasakaalu kahe isiku vahel – ühel pool on andmeid töötleva isiku huvid ja teisel pool selle isiku, kelle andmeid töödeldakse, huvid ja õigused. Andmetöötleja peab enne isikuandmete õigustatud huvides töötlema asumist seda tasakaalu hindama. Kui hindamise tulemusena selgub, et andmesubjekti õigused kaaluvad andmetöötleja huvid üles, ei tohi andmetöötleja enda õigustatud huvides andmesubjektide isikuandmeid töödelda.

  • Näiteks: Iga ettevõte soovib arendada oma teenuseid ja tooteid, parendada kasutatavat veebikeskkonda ja suhtlust oma klientidega – ka selle eesmärgi täitmiseks on vaja ettevõttel töödelda oma klientide isikuandmeid. Ettevõtte kliendid on pigem huvitatud ning eeldavad, et ettevõte töötleb nende andmeid vajalikus ulatuses parema klienditeeninduse huvides.
  • Või teine näide: Tööandja motivatsioonipaketti kuulub ka töötajate sporditreeningute hüvitamine. Selleks töötleb tööandja treeningutes osalevate töötajate isikuandmeid, näiteks et hankida töötajatele spordiklubi kuukaardid. Selline isikuandmete töötlemine ei ole vajalik ei seadusest ega töölepingust tulenevalt. Töötlemine toimub siin tööandja õigustatud huvi alusel ja tööandja ei vaja töötlemiseks ka töötaja nõusolekut. Võib üsna kindel olla, et töötajad pigem eeldavadki, et selles kontekstis nende isikuandmeid töödeldakse.

 

Oluline tähelepanek:

Kui töötlemise eesmärk on selgelt sõnastatud ja töötlemise õiguslik alus määratletud, ära unusta hinnata, kas kõiki neid isikuandmeid, mida töötled, on tõepoolest selle eesmärgi saavutamiseks vaja?

 

 

Kui see artikkel oli Sulle kasulik, siis kliki “Meeldib” ja kui võiks ka sinu sõpradele huvitav olla, siis kliki “Jaga”

Aitäh tagasiside eest!