Artikkel

Kuidas GDPR sind puudutab?

Posted by

GDPR ja eraisik
GDPR ja suurettevõte
GDPR ja väikeettevõte

GDPR ja eraisik

GDPRi eesmärk on kaitsta üksikisiku – sinu ja minu – isikuandmeid. Seaduse mõte on anda igale inimesele kontroll selle üle, mis sinu andmetega tehakse ning juhul kui sulle see tegevus ei meeldi ja sa pole sellega nõus, siis on sul õigus nõuda see tegevus lõpetada. See kõlab ju hästi?

Muidugi ei ole sul oma andmete üle täielikku ja absoluutset õigust, siin on omad seadustest tulenevad piirangud nagu nt politsei, meditsiini jm riiklikud tegevused. Lihtsustatult võib öelda, et seadustest tulenevad nõuded jäävad lõviosas samaks ehk seadused on nö GDPR-ist tugevamad, aga kõik mis toimub inimeste andmetega erasektoris on nüüd palju rangematele reeglitele allutatud kui varem. Põhimõte eraisiku andmeid läbipaistvalt ja turvaliselt kasutada kehtib aga ühtlaselt kõigile – nii avalikule kui erasektorile.

Näiteks on politseil, maksuametil jt endiselt täielik õigus sinu andmetega tegeleda kui nad järgivad oma tegevusele kehtestatud seaduseid. Sul ei ole kuidagi võimalik end uhke kaarega kõikjalt riigi infosüsteemidest kustutada, see oleks absurdne.

Küll aga saad sa väga palju ette võtta selles osas, mida teevad sinu andmetega sulle eri teenuseid pakkuvad ettevõtted: poed ja e-poed, telekommunikatsiooni firmad, turundusfirmad, reisifirmad, jne.

Inimestena me tavaliselt ei soovi, et firma, kellele ma oma andmed usaldasin, müüks või saadaks need valimatult ükskõik kellele edasi, käituks nendega hooletult ja muudaks need kurjategijatele lihtsaks saagiks, hakkaks sind massiivselt otsepostitustega pommitama ja muud sellist, mida sa nö pole tellinud.

Inimeste privaatsuse piirid on igaühel erinevad ja sul on õigus neid piire ise seada. Mulle meeldib siinkohal Euroopa Komisjoni presidendi Jean-Claude Junckeri tsitaat:

“Privaatsus on Euroopas oluline. See on inimväärikuse küsimus.”

Naine salliga

GDPR seaduse järgi on sul füüsilise isikuna teenusepakkuja juures õigus nõuda järgmiseid tegevusi:

  1. tutvuda oma andmetega (saada koopia) ja infoga, kuidas neid töödeldakse (Art 15)
  2. oma andmete parandamist (Art 16)
  3. oma andmete kustutamist nii, et neid ei saa enam sinu isikuga siduda (Art 17)
  4. oma andmete töötlemise peatamist nii et andmed jäävad alles, aga neid ei kasutata (Art 18)
  5. andmete muutumisest tuleb teavitada ka neid ettevõtteid, kellele on andmeid edasi saadetud (Art 19)
  6. oma andmete eksporti masinloetaval kujul (Art 20)
  7. vastuväite esitamist (Art 21)
  8. ei tohi teha sinu suhtes suure mõjuga otsuseid automatiseeritult, nt profiilianalüüsi põhjal (Art 22)

Oluline on tähele panna, millises rollis sa parajasti oled: eraisik ja ettevõtte esindaja on kaks erinevat rolli ja ettevõtte esindajale (ega üldse ettevõtetele) GDPR õigused ei kehti. Kui kasutad mingist teenust firmana ja mitte eraisikuna, siis GDPR sind teenusepakkuja suhtes ei puuduta. (Küll aga puudutab seadus sind kui tööandjat, aga sellest räägin hiljem põhjalikumalt.)

GDPR ja suurettevõte

GDPR loob inimestele õigused ja ettevõttetele ja organisatsioonidele kohustused. Mida suuremas koguses ja mida tundlikumaid isikuandmeid ettevõte töötleb, seda suuremad on kohustused.

Uusi andmekaitse seadusi hakati looma sellepärast, et vanad oli aegunud, Euroopa riikide kaupa erinevad ja jõuetud suurkorporatsioonide omavoli vastu.

Võib julgelt öelda, et suurettevõtted kes hoiavad massiivselt eraisikute andmeid, on GDPRi peamine murelaps. Kuidas tagada, et suurkorporatsioonid sinu andmetega ei omavolitse? Kas nad tõesti võivad mu andmetega teha kõike mis vähegi pähe tuleb? Kuidas ma saan täpselt teada mida nad teevad? Kes vastutab andmelekete eest mis minu privaatsed andmed kogu maailmale kättesaadavaks muutuvad?

Neid ja teisi privaatsusega seotud muresid püüab GDPR Euroopa kodanike jaoks reguleerida ja teha seda maksimaalselt jõuliselt. Tõtt-öelda oli selleks ka viimane aeg, sest meie meedia on täis uudiseid, kus inimeste andmeid on jõhkralt kuritarvitatud erinevaks manipuleerimiseks ja inimesed on selle vastu kaitsetud.

Kuna tegu on Euroopa Liidu seadusega ja globaalsed suurettevõtted asuvad väljaspool Euroopat, siis nõuab GDPR spetsiaalselt, et seadus kehtib ka neile firmadele, kes pakuvad oma teenust Euroopa Liidu kodanikele, ükskõik kus nad maailmas tegelikult asuvad – sh Facebook, Google, Apple jt.  Nii et kui suurettevõtted ei taha oma Euroopa turgu kaotada (osad on ähvardanud siit GDPRi pärast lahkuda küll), siis nad peavad end viima GDPR seadusega kooskõlla. Enamus globaalseid suurfirmasid (jah, isegi Facebook) on oma peatsest vastavusest (GDPR compliance) ka juba teatanud.

GDPR ja väikeettevõtja

GDPR seaduse loojad on oma sõnul vähemalt püüdnud teha väikeettevõtjate kohustused võrreldes suurettevõtetega kergemaks, aga reaalsuses see paraku tõele eriti ei vasta. Väikeettevõtete jaoks on andmekaitsega seotud kohustuste hulk kasvanud hüppeliselt suureks, mis paneb nad kahtlemata keerulisse olukorda.

Sellest hoolimata tasuks meeles hoida, et uue seaduse mõte on kaitsta eraisikuid, sh ka sind – väikeettevõtte omanikku – olukordades, kus sa tegutsed mitte firma esindajana vaid eraisikuna. See mõte võiks õigustatud nördimust halduskoormuse kasvu üle natuke leevendada ja sellest võiks ka oma tegevustes lähtuda.

Inimestel on täiesti õigustatud ootus, et sa püüad ettevõtte omanikuna nende andmeid hoida nii hästi ja turvaliselt kui sa suudad, ei tee nend selja taga “pätti” ja isetegevust ning annad neile avatult teada, mida ja miks sa nende andmetega teed. Siinkohal väikeettevõtted lihtsalt peavad oma mõtteviisi muutma, sest inimeste andmed ei ole automaatselt nende omand vaid inimeste endi omad. 

Jah võib mõelda, et “ah, mina siin pingutan ja teen asjad korralikult ära, kulutan aega ja energiat, aga vaata – need teised teevad ju mida ise tahavad?!”

GDPR seadus annab aga väga võimsa jõustamismehhanismi ehk maakeeli – trahvid on megasuured. Eesti peab isegi oma Karistusseadustikku muutma ja juriidilise isiku trahvi ülempiiri tõstma, seniselt 20 000 eurolt 20 miljonini.

Minu nõuanne väikeettevõtte omanikele ja juhtidele on uue seadusega end põhijoontes kurssi viia ja teha ära minimaalne hädavajalik kogus andmekaitse tegevusi. Kogu teema ignoreerimine on kõige kehvem valik mida sa teha saad. Mis puudutab teisi, siis nagu öeldakse – Igal oinal oma Mihklipäev 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.