Isikuandmetekaitse seaduse uus määrus turunduse kontekstis: MILLEKS? KELLELE? MIDA TEHA?

{VAR:blog_title}

Isikuandmetekaitse uue määruse ümber on palju ärevust, külvatakse infot trahvidest, uutest seadusepügalatest ning teatud ringkondades on juba kerget paanikat tunda. Koondasime oma blogisse kõige olulisemad küsimused-vastused, mida iga turundaja selle teema kohta teadma peaks.


Milleks see vajalik on?

Isikuandmete kaitse üldmäärus asendub 25. maist 2018 hetkel Eestis kehtiva isikuandmete kaitse seadusega. Selle eesmärgiks on anda nutiajastul kodanikele parem kontroll oma andmete üle. Räägitakse ka väga suurtest trahvidest jms, aga siiski ei tule isikuandmete töötlemise nõudeid järgida mitte trahvihirmus, vaid selleks, et olla oma klienti, koostööpartnerit, töötajat ja seadusandjat austav ettevõtja.


Kellele kohaldub?

Määruse kohaldatavus ei piirdu vaid Euroopa Liiduga ja nii nagu täna, peavad turundajad oma igapäevatöös arvestama isikuandmete hoolsa käitlemisega. Kindlasti kohaldub uus määrus aga järgmistel juhtudel:

  • kui pakud Eestis oma teenuseid ja kaupu e-kaubanduse teel;

  • kui uurid tarbijate käitumist ehk profileerid ja liigitad otseturustamise mõttes sihtrühmasid kindlate tunnuste järgi (sugu, vanus, huvialad jms);

  • kui ettevõttes töötab üle 250 inimese ning kui tegeletakse profileerimise või tundlike andmetega, näiteks terviseandmed.

Loe lisaks siit.


Mõjuhinnang ja privaatsuspoliitika

Määrus näeb ette, et enne kõrge riskiga andmete töötlemist tuleb viia läbi mõjuhinnang, mille käigus on vaja vaadelda ja kirja panna, milliseid isikuandmeid ja milliste vahenditega oma tegevuse eesmärkide täitmiseks töödeldakse ning milliseid turvameetmeid rakendatakse. Kõrge riskiga andmed on need, mille avalikuks tulemisel on võimalik otsene kahju isiku mainele ja konfidentsiaalsusele, sh nii füüsiline, materiaalne ja mittemateriaalne kahju. Mõjuhinnang on vajalik teha, kui isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt isiku õigustele ja vabadustele suur oht.

Mõjuhinnangus tuleb välja tuua tegevuste ja eesmärkide süstemaatiline kirjeldus, vajalikkuse kirjeldus, andmesubjekti õiguste seisukohast võimalikud ohud ja nende käsitlemine ettevõttes. Mõjuhinnangu kontrollnimekirja leiad siit

Kui mõjuhinnang on vajalik eeskätt ettevõttesiseseks kasutamiseks, siis privaatsuspoliitika peab olema kättesaadav kõikidele, kelle andmeid töödeldakse. Sisuliselt on see infoleht nt ettevõtte kodulehel. Kõige tähtsam on selgus ja läbipaistvus andmete töötlemisel ehk pane arusaadavalt ja lihtsalt kirja, milliseid andmeid kogutakse ja mis eesmärkidel neid Sinu ettevõttes kasutatakse. See lihtne kirjatükk ongi privaatsuspoliitika dokumendina käsitletav ning väga oluline on, et see info on klientidele kättesaadav ja ligipääsetav. Privaatsuspoliitika kohta saad lähemalt lugeda siit. Millist teavet ja kuidas inimestele anda, vt kontrollnimekirjast siin


Vastutav töötleja või volitatud töötleja?

Vastutav töötleja on ettevõte, kes määrab eesmärgid ja vahendid isikuandmete töötlemisel. Kui teha seda koos teise ettevõttega, saavad mõlemad osapooled kaasvastutavateks töötlejateks. Kui aga teie ettevõtte andmetega teeb tööd kolmas osapool, nt teenusepakkuja, siis on tema volitatud töötleja. Kõikidel juhtudel tuleb panna kirja kokkulepe, kus on määratud igaühe vastutusvaldkond isikuandmetekaitse üldmääruse täitmiseks. Lisainfot vastutuse kohta leiad siit.


Kas on vaja eraldi andmekaitsespetsialisti?

Andmekaitseinspektsioon (AKI) kirjeldab oma kodulehel, et isikuandmete vastutav ja volitatud töötleja on kohustatud määrama andmekaitsespetsialisti järgnevatel juhtudel:

  • Isikuandmeid töötleb avaliku sektori asutus või organ, sh avalikke ülesandeid täitvad eraõiguslikud isikud;

  • Isikuandmete töötlemisega toimub ulatuslik isikute korrapärane ja süstemaatiline jälgimine;

  • Andmetöötleja põhitegevuseks on andmete eriliikide või süütegudega seotud isikuandmete ulatuslik töötlemine.

Olulised märksõnad on siin korrapärane ja süstemaatiline jälgimine, mis turunduse kontekstis tähendab, et kui igakuiselt teha otseturustust profileeritud listidele ehk kindla valimi põhjal turundada (sh e-post, SMS, MMS teavitused), siis peab olema eraldi määratud andmekaitsespetsialist. See võib olla ka turundaja ise, peaasi, et info on avalik (kodulehel kirjas koos muu infoga, kuidas andmeid töödeldakse).

Loe lisa AKI kodulehelt.

 

Jaga e-mailiga
Tagasi Vaata postitusi samal teemal