Ettevõtja ja GDPR – kuidas seadusega mitte pahuksisse minna?

Teemat ajendas mind kirjutama paar kuud tagasi olnud juhtum, kui üks Eesti suuremaid turundusega tegelevaid väljaandeid saatis mulle järjekordse e-maili, kutsumaks mind ühele kindla valdkonna konverentsile. Mind väga huvitas, et kust nad teavad, et ma seal sihtrühmas olen. Selle peale vastati:

GDPR_iga vastusolus olev e_mail — GDPR-iga vastusolus olev e-mail

Teema pakkus juba hasarti ja palusin Tõnu Metsäärelt (GDPR24) kommentaari. Ta leidis kirjast viis vastuolu:

Ja sellele sain vastuse:

GDPR-iga vastusolus oleva e-maili vastus

Jah, jääb mulje, et ajan pilli lõhki ja norin tüli. Aga mind reaalselt ka huvitas, et kas see kõik on õiguspärane. Tahtsin saada pilti ette, sest ääri-veeri aitan ka oma klientidel seaduspäraselt käituda.

Kuid nüüd siis teema juurde.

Juba neli aastat on Eestis kehtinud Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR).

Määruse eesmärk on tagada ELi kodanike isikuandmete turvaline töötlemine ja kaitse. Kuigi kontrollimehhanismid pole veel täiuslikud, on oodatavad trahvid drastilised: 4% käibest või kuni 20 miljonit eurot.

Millised reeglid GDPR kehtestab? Ja mida saavad ettevõtjad teha, et nende ettevõte järgiks GDPR-i?

Mis on GDPR ja kellele kohaldub isikuandmete kaitse üldmäärus?

EL isikuandmete kaitse üldmäärus GDPR (General Data Protection Regulation) kohaldub ainult füüsiliste isikute andmetele. Füüsilised isikud võivad olla nt kliendid, töötajad, partnerid, koolitatavad, patsiendid, mittetulundusühingu liikmed, naabrid – ehk inimesed.

Isikuandmeteks klassifitseeruvad järgmised nimetajad:

Ees- ja perekonnanimi (v.a pseudonümiseerimine)
Kodune aadress
E-maili aadress
Isikukood
Passinumber
IP aadress / MAC aadress
Autonumber
Biomeetriline informatsioon
Kasutajanimi, hüüdnimi
Juhiloa number
Nägu, sõrmejälg, käekiri
Krediitkaardi number
Digitaalne identiteet
Sünniaeg
Sünnikoht
Geneetiline informatsioon
Telefoninumber

Mida tähendab isikuandmete töötlemine?

Isikuandmed on mistahes andmed, mis võimaldavad isiku tuvastada. Isikuandmete töötlemine on mistahes isikuandmetega tehtav toiming. Ehk siis ettevõtte seisukohalt ei ole tehingut, mida saaks teha ilma isikuandmete töötlemiseta, sest vajalik on ju arve väljastamine.

Kuid mitte ainult. Kui küsid klientidelt tagasisidet, sul on neist pilte või turvakaamerate salvestused, püsikliendiprogrammid, töötajate CV-d jne ja muud sellised andmed, on määrus ettevõtte puhul igal juhul kohaldatav. Pane tähele, et füüsilised isikud on sisuliselt kõik EU kodanikud olenemata rollist (töötaja, klient, partner jne).

Mida peab sisaldama privaatsuspoliitika?

Andmetöötluspõhimõtteid sisaldav dokument või veebilehel avaldatud privaatsuspoliitika peab sisaldama vastuseid näiteks järgmistele küsimustele:

Milliseid isikuandmeid kogutakse?
Millistel eesmärkidel neid isikuandmeid kasutatakse? (Tellimuste töötlemine, toodete kohaletoimetamine, raamatupidamine, turundus.)
Kellel veel on juurdepääs kogutud isikuandmetele? (Raamatupidamisfirma)
Millistel juhtudel võib isikuandmeid jagada kolmandate osapooltega (ja milliste osapooltega)? (Partnerid, õiguskaitseorganid, jne)
Kuidas isikuandmeid säilitatakse ja kaitstakse?
Kui kaua isikuandmeid säilitatakse?
Millised on andmesubjektide õigused?

Teave peab olema hästi struktureeritud ja esitatud lihtsas keeles, vältides võimalusel juriidilisi ja muid kitsalt erialaseid termineid.

Kodulehe küpsised_ei ole ok — Kodulehe küpsised ei ole ok – hakkab kohe jälgima, ilma nõusolekut andmata

Kuidas on ettevõtetega? Kas info@ e-mail on GDPR-ile kohalduv?

Ei kuulu. Andmekaitse Inspektsiooni vastus nende kodulehel:

“Kuna isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta, siis on isikuandmeteks ka juriidilise isiku esindaja andmed (nt nimi, isikukood, sünniaeg). Andmekaitsereeglid ei kohaldu aga juriidilise isiku nimele ja kontaktandmetele. Kui juriidilise isiku kontaktandmetena kasutatakse aga isikuandmeid ( füüsilise isiku nime) sisaldavaid e-posti aadresse, siis peale esindusõiguse lõppemist tuleb e-posti aadress sulgeda või kustutada.“

NB! Kas sina oled juba Milose uudiskirjas? Kui ei, vaata siia!

Kui ma suhtlen teise ettevõtte töötajaga, kas siis pean järgima ka GDPR-i reegleid?

Jah pead. Kui tema e-mail sisaldab nime, nagu ülemises AKI näites toodud, siis sa võid suhelda tööalaselt ametikohustuste täitmiseks (helistamine, kirjutamine, lepingu allkirjastamine). Kuid niipea, kui siin on mängus teised huvid, rakendub GDPR. Seega mida vähem andmeid kogud vajaliku nt tehingu sooritamiseks, seda turvalisem võiks olla sul edaspidi andmetega ringi käimisel. Sul ei ole vaja teada, kas partner on parema või vasakukäeline lepingu sõlmimiseks 🙂

Ja nagu ülal mainitud, kui su töötajatel on enda nimelised e-mailid, on mõistlik need peale töösuhte lõppemist sulgeda.

Ja nagu ka esimeses näites, millest lugu alguse sai, on ka isiku nimega ettevõtte e-maili aadressitele turunduslikku e-maili saates vajalik võimalus meilidest loobuda. Klassikaline “Lahku uudiskirjast” jms.

NB! Loe ka artiklit teemal, miks ei ole hea oma ettevõtte töötajatel lasta kasutada personaalseid e-maile töö tegemiseks!

Ettevõtte vanad e-mailid ja GDPR seadus? On neil seost?

GDPR artikli 5 punktis on sätestatud, et isikuandmeid võib säilitada „mitte kauem, kui see on vajalik nende eesmärkide saavutamiseks, milleks isikuandmeid töödeldakse”. Andmete kustutamine on ka üks GDPR-i artiklis 17 kaitstud isiklikest õigustest, see kuulus “õigus olla unustatud”. „Andmesubjektil on õigus nõuda vastutavalt töötlejalt teda puudutavate isikuandmete põhjendamatu viivituseta kustutamist. Viimasest nõudest on mõned erandid, näiteks avalik huvi. Kuid üldiselt on sul ettevõtjana kohustus kustutada isikuandmed, mida sa enam ei vaja.

Mida see e-mailide puhul tähendab?
Kas sa oled ka üks neist, kes põhimõtteliselt ei kustuta kirju? No pole nagu mõttesse tulnud. Mina olen. Vaid siis kui liiga suured failid on kaasas kaalun kustutamist. Iial ju ei tea, millal sul jälle vaja vanu suhteid üles soojendada ja siis on mõnus toetuda varasemale suhtlusele. Kuid mida rohkem andmeid oma meilboksis säilitad, seda suurem on vastutus andmetega seotud rikkumise korral, sest sa nt ei ole kustutanud mingeid vanu, mittevajalikke isikuandmeid. Seetõttu peaksid GDPR-i tõttu perioodiliselt üle vaatama oma organisatsiooni e-kirjade säilitamise eeskirjad, et vähendada andmete hulka, mida töötajad oma postkasti talletavad. GDPR määruse kohaselt pead suutma tõestada, et su ettevõttel on poliitika, mis tasakaalustab sinu õigustatud ärihuvid GDPR-ist tulenevate andmekaitsekohustustega.

Tehnilisest vaatenurgast võib meiliandmete kustutamine olla üsna lihtne ja sageli saab seda automatiseerida. Näiteks vali aeguv meilivalik, mis võimaldab sul määrata sõnumid teatud aja möödudes kustutamiseks. Ma ise seda aga ei kasuta, no äkki läheb ju kunagi vaja. Ma ei kasuta isegi rämpsposti puhul, ikka viskan enne pilgu peale. No nii igaks juhuks.

Aga ükskõik, millise meili säilitamise strateegia osas otsustad, nõuab see kindlasti veidi harjumist, kuid vähendab oluliselt GDPR-iga kokkupuudet.

Millal on teisele ettevõttele turundusliku sõnumi saatmine keelatud?

Esiteks muidugi siis, kui vastava e-maili saaja on teavitanud, et ta ei soovi sinult kirju saada. Ma ütlen jumal ausalt, ma ei saa kinnitada ega ümber lükata, et avalikult netis olevale brit@milos.ee meilile sa reklaamkirja saata võid / ei või esimest korda ka ilma mu nõusolekuta. Kuid nagu ikka, selgitan selle välja, sest küsimusi tekitas siin paljudel! 🙂

Kuid sain nii palju aru, et kui sa saadad mulle kirja stiilis “Brit, siin on sulle vinge turundusprogramm, tule osta ära!” siis võib, sest tegelengi ju turundusega ta saatis mulle kui ettevõtte töötajale.

Aga kui sa saadad mulle “Brit, loetud tunnid kõik stringid -30%!” siis see ei ole OK! 🙂

Vale uudiskirjaga liitumise vorm - puudub privaatsustingimustega nõustumine — Uudiskirjaga liitumisel tuleb nõustuda privaatsustingimuste reeglitega

GDPR ja uudiskirja listiga liitumine_õige — GDPR ja uudiskirja listiga liitumine, õige, nõustun tingimustega

GDPR ja korduma kippuvad küsimused

E-post vs tekstsõnumid: kas kehtivad samad GDPR-i eeskirjad?
Jah. SMS-turundust reguleerib GDPR samamoodi nagu e-kirju.

Kas saate ettevõtte üksikisikule meili saata?
Jah, eeldusel, et sul on selleks seaduslik alus, näiteks nõusolek või õigustatud huvi. Üleval kirjutasin täpsemalt.

Kas ma saan potentsiaalsetele klientidele meili saata?
Nagu ülalpool, kui sul on võimalik tõestada, et sinu potentsiaalsel kliendil on õigustatud huvi sinu tootest või teenusest kuulda ja sellel pole tema privaatsusele vastuvõetamatut mõju. Loe selle kohta lähemalt siit.

Kas e-posti aadresse käsitletakse GDPR-i kohaselt isikuandmetena?
Lühidalt, kui isik on tuvastatud või on tuvastatav tema meiliaadressi järgi, siis jah. Kui meiliaadress on info@milos.ee, siis ei. Kui meiliaadress on brit.mesipuu@milos.ee, siis jah. Kui meiliaadress on brit@milos.ee, siis võib-olla, kui mina, kui Brit Mesipuu, olen selle e-posti aadressi järgi tuvastatav.

Kas ma saan olemasolevatele klientidele e-maili saata?
See sõltub sellest, mille kohta soovid neile meili saata. Kui see on teenusemeil toote või teenuse kohta, mille nad sinult on saanud, siis sobib. Kui see on turundusmeil uue toote/teenuse müügiks, pead järgima selles artiklis sätestatud reegleid.

Kas ma saan e-posti aadresse jagada?
Jah, aga ainult siis, kui sul on selleks nn seaduslik alus. Kui klient on registreerunud teatud teenuste kasutamiseks ja nende teenuste osutamiseks on vaja e-posti aadressi jagada, näiteks kullerfirmaga, siis on selline jagamine vajalik kliendiga sõlmitud lepingu täitmiseks ja et on kehtiv õiguslik alus. Muudeks õiguslikeks alusteks on nõusolek ja õigustatud huvid.

Mis siis, kui saadan meili valele inimesele?
Isikuandmeid sisaldava meili saatmine valele isikule on GDPR-i kohaselt andmerikkumine.

Kui kaua ma võin e-kirju säilitada?
GDPR-is ei ole meilide säilitamiseks ette nähtud minimaalset ega maksimaalset aega, kuid neid ei tohi säilitada kauem, kui on vajalik isikuandmete kogumise või töötlemise eesmärgi saavutamiseks.