Ettevõtja ja GDPR – kuidas seadusega mitte pahuksisse minna?
Teemast ajendas mind kirjutama paar kuud tagasi olnud juhtum, kui üks Eesti suuremaid turundusega tegelevaid väljaandeid saatis mulle järjekordse e-maili, kutsumaks mind ühele kindla valdkonna konverentsile. Mind väga huvitas, et kust nad teavad, et ma seal sihtrühmas olen. Selle peale vastati:
Teema pakkus juba hasarti ja palusin Tõnu Metsäärelt (GDPR24) kommentaari. Ta leidis kirjast viis vastuolu:
Ja sellele sain vastuse:
Jah, jääb mulje, et ajan pilli lõhki ja norin tüli. Aga mind reaalselt ka huvitas, et kas see kõik on õiguspärane. Tahtsin saada pilti ette, sest ääri-veeri aitan ka oma klientidel seaduspäraselt käituda.
Kuid nüüd siis teema juurde.
Juba viis aastat on Eestis kehtinud Euroopa Liidu isikuandmete kaitse üldmäärus (s.o IKÜM või ing.k GDPR ).
Määruse eesmärk on tagada ELi kodanike isikuandmete turvaline töötlemine ja kaitse. Kuigi kontrollimehhanismid pole veel täiuslikud, on oodatavad trahvid drastilised: 4% käibest või kuni 20 miljonit eurot.
Millised reeglid GDPR kehtestab? Ja mida saavad ettevõtjad teha, et nende ettevõte järgiks GDPR-i?
Sisukord
Mis on GDPR ja kellele kohaldub isikuandmete kaitse üldmäärus?
EL isikuandmete kaitse üldmäärus GDPR (General Data Protection Regulation) kohaldub ainult füüsiliste isikute andmetele. Füüsilised isikud võivad olla nt kliendid, töötajad, partnerid, koolitatavad, patsiendid, mittetulundusühingu liikmed, naabrid – ehk inimesed.
Isikuandmeteks klassifitseeruvad näiteks järgmised andmed:
- Ees- ja perekonnanimi
- Kodune aadress
- E-maili aadress
- Isikukood
- Passinumber
- IP aadress / MAC aadress
- Autonumber
- Biomeetriline informatsioon
- Kasutajanimi, hüüdnimi
- Juhiloa number
- Nägu, sõrmejälg, käekiri
- Krediitkaardi number
- Digitaalne identiteet
- Sünniaeg
- Sünnikoht
- Geneetiline informatsioon
- Telefoninumber
Eeltoodu on ainult näidisnimekiri. Isikuandmete mõiste on lai ja tegelikkuses loetakse igasugust teavet tuvastatud või tuvastatava füüsilise isiku kohta isikuandmeteks (vt GDPR art 4).
Mida tähendab isikuandmete töötlemine?
Isikuandmed on mistahes andmed, mis võimaldavad isiku tuvastada. Isikuandmete töötlemine on mistahes isikuandmetega tehtav toiming. Ehk siis ettevõtte seisukohalt ei ole lihtne leida tehingut, mida saaks teha ilma isikuandmete töötlemiseta, näiteks võib juba arve väljastamisel olla vajalik kasutada koostööpartneri töötaja e-posti aadressi või ongi arve füüsilise isiku nimele.
Lisaks, kui küsid klientidelt tagasisidet, sul on neist pilte või turvakaamerate salvestused, püsikliendiprogrammides teave, töötajate CV-d jne ja muud sellised andmed, on määrus ettevõtte puhul igal juhul kohaldatav. Pane tähele, et füüsilised isikud on sisuliselt kõik EL kodanikud olenemata rollist (töötaja, klient, partner jne).
Üks huvitav näide loata e-maili “kompenseerimiseks”. Osta ikka, anname sulle natuke soodustust. Mis sest, et tavasoodustus oli -30% 😀
Mida peab sisaldama privaatsuspoliitika?
Andmetöötluspõhimõtteid sisaldav dokument või veebilehel avaldatud privaatsuspoliitika peab sisaldama vastuseid näiteks järgmistele küsimustele:
- Milliseid isikuandmeid kogutakse?
- Millistel eesmärkidel neid isikuandmeid kasutatakse? (Tellimuste töötlemine, toodete kohaletoimetamine, raamatupidamine, turundus.)
- Kellel veel on juurdepääs kogutud isikuandmetele? (Raamatupidamisfirma)
- Millistel juhtudel võib isikuandmeid jagada kolmandate osapooltega (ja milliste osapooltega)? (Partnerid, õiguskaitseorganid, jne)
- Kuidas isikuandmeid säilitatakse ja kaitstakse?
- Kui kaua isikuandmeid säilitatakse?
- Millised on andmesubjektide õigused?
Teave peab olema hästi struktureeritud ja esitatud lihtsas keeles, vältides võimalusel juriidilisi ja muid kitsalt erialaseid termineid. Euroopa Andmekaitse Nõukogu on võtnud vastu ka siduva otsuse WhastApp osas, kus tuuakse välja ja selgitatakse nõudeid privaatsuspoliitikale (ing.k leitav siit).
Kuid nt hädavajalikud (tehnilised lehe toimimiseks vajalikud või õigustatud alus) võivad kohe träkkima hakata.
Mis on küpsised?
Järgnev küpsiste osa on algselt kirjutatud Roland Kivitare (Rolevants) poolt.Küpsis on väike tekstifail, mille veebisait paigaldab sinu arvutisse või mobiilseadmesse, kui see veebisaiti külastad. Selle tekstifailiga on võimalik koguda tegelikult hunnitu hulk infot sinu kohta. Ja “vanasti” toimus see kõik veebilehe taustal nii, et sa ise seda ei teadnudki. Üldiselt on küpsistel veel eraldi liigitus:
- esimese osapoole küpsised – reeglina sinu veebilehe või selle osade poolt paigaldatud küpsis – näiteks kasutaja eelistuste meeles pidamiseks, aga ka analüütika küpsised mõnel juhul.
püsiküpsised – teie arvutis salvestatud küpsised, mida ei kustutata automaatselt, kui te brauseri sulgete
kolmandate osapoolte küpsised – Mis tahes muu saidi, näiteks reklaamija või sotsiaalmeedia saidi poolt paigutatud küpsis on kolmanda osapoole küpsis.
Küpsiste liigid. Parim on seadistada küpsiste teavitus nii, et külastaja saab valida, millistele küpsistele ta loa annab!
- Vajalikud -veebisaidi põhifunktsioonide jaoks hädavajalikud ja ilma nendeta ei toimi veebisait ettenähtud viisil. Need küpsised ei salvesta isikuandmeid.
- Funktsionaalsed – aitavad täita teatud funktsioone, näiteks jagada veebisaidi sisu sotsiaalmeedia platvormidel, koguda tagasisidet ja muid kolmanda osapoole funktsioone. Võivad salvestada isikuandmeid.
- Analüütilised – kasutatakse selleks, et mõista, kuidas külastajad veebilehega suhtlevad. Need küpsised aitavad anda teavet külastajate arvu, liikluse allika, jms kohta.
- Jõudlus (Performance) – kasutatakse veebisaidi peamiste tulemuslikkuse näitajate mõistmiseks ja analüüsimiseks, mis aitab külastajatele pakkuda paremat kasutuskogemust.
- Turunduslikud – kasutatakse selleks, et edastada külastajatele kohandatud reklaami vastavalt nende poolt eelnevalt külastatud lehekülgedele ja analüüsida reklaamikampaania tõhusust. Reeglina koguvad ka isikuandmeid.
- Liigitamata – muud liigitamata küpsised on need, mida analüüsitakse ja mida ei ole veel kategooriasse liigitatud.
Kuidas on ettevõtetega? Kas info@ e-mail on GDPR-ile kohalduv?
Ei kuulu. Andmekaitse Inspektsiooni vastus nende kodulehel:
“Kuna isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta, siis on isikuandmeteks ka juriidilise isiku esindaja andmed (nt nimi, isikukood, sünniaeg). Andmekaitsereeglid ei kohaldu aga juriidilise isiku nimele ja kontaktandmetele. Kui juriidilise isiku kontaktandmetena kasutatakse aga isikuandmeid ( füüsilise isiku nime) sisaldavaid e-posti aadresse, siis peale esindusõiguse lõppemist tuleb e-posti aadress sulgeda või kustutada.“
NB! Kas sina oled juba Milose uudiskirjas? Kui ei, vaata siia!
Kui ma suhtlen teise ettevõtte töötajaga, kas siis pean järgima ka GDPR-i reegleid?
Jah pead. Kui tema e-mail sisaldab nime, nagu ülemises AKI näites toodud, siis sa võid suhelda tööalaselt ametikohustuste täitmiseks (helistamine, kirjutamine, lepingu allkirjastamine) eeldusel, et töötluseks on olemas sobiv alus (vt GDPR art 6). Seega mida vähem andmeid kogud vajaliku nt tehingu sooritamiseks, seda turvalisem võiks olla sul edaspidi andmetega ringi käimisel. Sul ei ole vaja teada, kas partner on parema või vasakukäeline lepingu sõlmimiseks 🙂
Ja nagu ülal mainitud, kui su töötajatel on enda nimelised e-mailid, on mõistlik need peale töösuhte lõppemist sulgeda.
Ja nagu ka esimeses näites, millest lugu alguse sai, on ka isiku nimega ettevõtte e-maili aadressidele turunduslikku e-maili saates vajalik võimalus meilidest loobuda. Klassikaline “Lahku uudiskirjast” jms.
Ettevõtte vanad e-mailid ja GDPR seadus? On neil seost?
GDPR artiklis 5 on põhimõte, et isikuandmeid võib säilitada „mitte kauem, kui see on vajalik nende eesmärkide saavutamiseks, milleks isikuandmeid töödeldakse”. Andmete kustutamine on ka üks GDPR-i artiklis 17 kaitstud isiklikest õigustest, see kuulus “õigus olla unustatud”. Andmesubjektil on õigus nõuda vastutavalt töötlejalt teda puudutavate isikuandmete põhjendamatu viivituseta kustutamist.
Viimasest nõudest on mõned erandid, näiteks avalik huvi või seadusest tulenev kohustus isikuandmeid töödelda (nt töölepinguseaduse vms kohaselt). Kuid näiteks nõusoleku alusel isikuandmeid töödeldes on sul vastava nõude saamise korral kohustus kustutada isikuandmed.
Mida see e-mailide puhul tähendab?
Kas sa oled ka üks neist, kes põhimõtteliselt ei kustuta kirju? No pole nagu mõttesse tulnud. Mina olen. Vaid siis kui liiga suured failid on kaasas kaalun kustutamist. Iial ju ei tea, millal sul jälle vaja vanu suhteid üles soojendada ja siis on mõnus toetuda varasemale suhtlusele. Kuid mida rohkem andmeid oma meilboksis säilitad, seda suurem on vastutus andmetega seotud rikkumise korral, sest sa nt ei ole kustutanud mingeid vanu, mittevajalikke isikuandmeid. Seetõttu peaksid GDPR-i tõttu perioodiliselt üle vaatama oma e-mailid. Nii vähendad andmete hulka, mida äkki sina või su ettevõtte töötajad loata töödelda võivad. Iga õigustatud huvi kohta tuleb teha eraldi hinnang.
Tehnilisest vaatenurgast võib meiliandmete kustutamine olla üsna lihtne ja sageli saab seda automatiseerida. Näiteks vali aeguv meilivalik, mis võimaldab sul määrata sõnumid teatud aja möödudes kustutamiseks. Ma ise seda aga ei kasuta, no äkki läheb ju kunagi vaja. Ma ei kasuta isegi rämpsposti puhul, ikka viskan enne pilgu peale. No nii igaks juhuks.
Aga ükskõik, millise meili säilitamise strateegia osas otsustad, nõuab see kindlasti veidi harjumist, kuid vähendab oluliselt GDPR-iga kokkupuudet.
Millal on teisele ettevõttele turundusliku sõnumi saatmine keelatud?
Esiteks muidugi siis, kui vastava e-maili saaja on teavitanud, et ta ei soovi sinult kirju saada. Ma ütlen jumal ausalt, ma ei saa kinnitada ega ümber lükata, et avalikult netis olevale brit@milos.ee meilile sa reklaamkirja saata võid / ei või esimest korda ka ilma mu nõusolekuta. Kuid nagu ikka, selgitan selle välja, sest küsimusi tekitas siin paljudel! 🙂
Kuid sain nii palju aru, et kui sa saadad mulle kirja stiilis “Brit, siin on sulle vinge turundusprogramm, tule osta ära!” siis võib, sest tegelengi ju turundusega ta saatis mulle kui ettevõtte töötajale.
Aga kui sa saadad mulle “Brit, loetud tunnid kõik stringid -30%!” siis see ei ole OK! 🙂
Uudiskijadega liitudes on on üleliigne ja vale küsida privaatsus tingimustega nõustumist:
Teenusetingimustega tuleb alati nõustuda, priv tingimuste puhul selle peale nõusolekut võtta ei või („luban eelolevate tingimustel kirju saata“).
Klientide “vanad” meiliaadressid ja nendele turundussõnumite saatmise õigus
Juhtum elust enesest. Mul on klient, kellel on 20 000+ klientide meiliaadressi, mis on kogutud tellimuste võtmisega. Kuid mitte kusagil ei ole seda kohta, et ja andke tuld ja saatke mulle edaspidi kõikvõimalikku reklaami. Uurisin AKI-lt, mida või kas üldse ma nende meilidega teha võin. Kas võin hakata neile saatma Smaily kaudu uudiskirju? Üldteadmine on ju see, et mitte mina ettevõttena ei küsi, kas tahad olla listis vaid klient peab mulle essana ütlema, et jah, ma tahan kirju saada. Kuidas õige on? Kas võime neile saata kirju? Nad on kliendid (olnud) ja seega kokkupuude olemas aga kui keegi peaks küsima, kust saime meiliaadressi, ma julgeks väita et mei ei tea seda kliendile öelda.
Ja minu, kui turundaja jaoks, oli rõõmustav vastus osaliselt…
Seega jah, me saame neid meile kasutada aga mitte 100% nii nagu mina sellist baasi maksimaalselt rakendada tahaks. Ehk siis minu teine küsimus oli, et kui nüüd sooviks kasutada seda meililisti ka sihitud reklaami saatmiseks Facebookis, siis tuleb ette teine GDPR koht – ei ole nõusolekut, et võiksime neid jälitada. Seega GDPR järgi ju ei tohi seda Metasse üles laadida? Metas saab teha ka Lookalike sihtrühmi, kes baseeruvad olemasolevatel andmetel. Seda sihtrühma ju ka ei tohiks siis teha?
Et siis sel eesmärgil tõesti kasutada ei saa.
GDPR ja korduma kippuvad küsimused
- E-post vs tekstsõnumid: kas kehtivad samad GDPR-i eeskirjad?
Jah. SMS-turundust reguleerib GDPR samamoodi nagu e-kirju, kuid lisaks peab arvestama veel elektroonilise side seaduses (ESS) toodut.
- Kas saate ettevõtte üksikisikule meili saata?
Jah, eeldusel, et sul on selleks seaduslik alus, näiteks nõusolek või õigustatud huvi. Üleval kirjutasin täpsemalt.
- Kas ma saan potentsiaalsetele klientidele meili saata?
Nagu ülalpool, kui sul on võimalik tõestada, et sinu potentsiaalsel kliendil on õigustatud huvi sinu tootest või teenusest kuulda ja sellel pole tema privaatsusele vastuvõetamatut mõju. Loe selle kohta lähemalt siit.
- Kas e-posti aadresse käsitletakse GDPR-i kohaselt isikuandmetena?
Lühidalt, kui isik on tuvastatud või on tuvastatav tema meiliaadressi järgi, siis jah. Kui meiliaadress on info@milos.ee, siis ei. Kui meiliaadress on brit.mesipuu@milos.ee, siis jah. Kui meiliaadress on brit@milos.ee, siis võib-olla, kui mina, kui Brit Mesipuu, olen selle e-posti aadressi järgi tuvastatav.
- Kas ma saan olemasolevatele klientidele e-maili saata?
See sõltub sellest, mille kohta soovid neile meili saata. Kui see on teenusemeil toote või teenuse kohta, mille nad sinult on saanud, siis sobib. Kui see on turundusmeil uue toote/teenuse müügiks, pead järgima selles artiklis sätestatud reegleid.
- Kas ma saan e-posti aadresse jagada?
Jah, aga ainult siis, kui sul on selleks nn seaduslik alus. Kui klient on registreerunud teatud teenuste kasutamiseks ja nende teenuste osutamiseks on vaja e-posti aadressi jagada, näiteks kullerfirmaga, siis on selline jagamine vajalik kliendiga sõlmitud lepingu täitmiseks ja et on kehtiv õiguslik alus. Muudeks õiguslikeks alusteks on nõusolek ja õigustatud huvid.
- Mis siis, kui saadan meili valele inimesele?
Isikuandmeid sisaldava meili saatmine valele isikule on GDPR-i kohaselt andmerikkumine.
- Kui kaua ma võin e-kirju säilitada?
GDPR-is ei ole meilide säilitamiseks ette nähtud minimaalset ega maksimaalset aega, kuid neid ei tohi säilitada kauem, kui on vajalik isikuandmete kogumise või töötlemise eesmärgi saavutamiseks. - Kas isikuandmete kaitse reeglid aitavad ainult füüsilistel isikutel saada privaatsuse kaitset?
- Ei. Kui füüsiline isik esindab juriidilist isikut nt juhatuse liikmena või ka töötajana, täidab ta juriidiliselt isikult saadud ülesannet ega saa selles olukorras arvestada, et isikuandmete kaitse reeglid talle kohalduksid, sest ta tegutseb sellisel juhul juriidilise isiku esindajana mitte füüsilise isikuna. Samas tuleb juriidilise isiku rollis arvestada, et tal lasub vastutus tema kasutuses olevate eraisikute isikuandmete õiguspärase töötlemise eest.Olukorras, kus eraisik on töösuhtes, võib sõltuda tema õigus privaatsusele nii ülesannetest, mida ta töötajana täidab, kokkulepetest tööandjaga kui ka avalikust huvist tingituna.Näiteks avaliku elu tegelaste privaatsfäär kujuneb sageli väiksemaks, kui autojuhil või õpetajal, kellel on oma tööandjaga lihtsam kokku leppida isikuandmete töötlus vaid konkreetsete ülesannete tarbeks ja tööandja juriidiliste kohustuste täitmiseks.
- Kas geen kui pärilikkustegur kuulub isikuandmete hulka?
- Jah, sest kõik inimese ja tema eksistentsiga seonduv teave on kirjeldatav isikuandmetena. Tavaliselt peame isikuandmete hulka kuuluvateks näiteks nime, aadressiandmeid, tervislikku seisundit, teavet varandusliku seisukorra kohta jne. Geenis sisaldub info inimese pärilikkuse kohta, mis on loetav siiski väga kitsale inimeste ringile, näiteks neile, kes töötavad Geenipangas. Seega, igapäevaelus ei kanna geenid kui DNA osakesed meie jaoks infot isikute kohta, kuid vastavate vahendite olemasolul on võimalik inimese kohta teavet saada.
- Kas nõusolekut isikuandmete töötlemiseks peab andma kirjalikult?
- Ei. Nõusolek isikuandmete töötlemiseks tuleb võtta taasesitavas vormis, aga see ei pea olema kirjalik, vaid ka näiteks suuline salvestis, aga siis tuleb vaadata, et nõusolek on selle andja kohta tõendatav. Oluline on, et see on antud selget nõusolekut väljendava tegevusega.
AKI Õppevideod
Testi oma andmekaitse teadmisi sellel lingil!
Brit Mesipuu
Tegevjuht
MILOS OÜ
tel.+372 521 5511
brit@milos.ee
www.milos.ee
https://www.facebook.com/milosreklaam
https://ee.linkedin.com/in/britmesipuu