Uus mõttelaad isikuandmete kaitses

25. mail 2018 jõustus isikuandmete kaitse üldmäärus, mis vahetas välja kõikide EL-i riikide isikuandmete kaitse reeglid. Peamine muutus ettevõtetele on isikuandmete töötlemise teadvustamine ja selle protsessiline kirjeldamine. Lihtsamalt – kus on andmetöötluse algus, kus on lõpp ja kes ning mida vahepeal toimetab. Viimast peab oldama valmis ka väljapoole näitama. Lisaks on ka mõnesid tehnoloogiliselt keerukaid väljakutseid, nagu õigus kanda teatud isikuandmed üle ühest ettevõttest teise või peatada nende töötlemine ajutiselt.

Arvukalt väiksemaid täiendusi

Paljude täienduste tegemine, mis organisatsioone ees ootavad, sõltuvad eelkõige nende suurusest, profiilist ja praegusest seisust. Väiksemaid täiendusi tuleb teha arvukalt.

Paanikaks ei ole põhjust, aga käed rüpes oodata ei ole ka võimalust. Puudused isikuandmete töötlemise korralduses on laialt levinud ja süstemaatilised. Nende põhjus on eelkõige see, et teema ei ole sageli olnud prioriteetne, seda käsitletakse äriplaanis ühe juriidilise nüansina, millega tuleb ehk esimese hoiatuse järel tegeleda.

Seda mõttelaadi püüab EL-i uus määrus muuta. Koostöö ettevõtete ja järelevalve vahel peab tõhustuma ja aktiveeruma, seda eeldab nii riskihindamise nõue, eelkonsulteerimine kui ka rikkumistest teavitamise kohustus.

Ka sanktsioneerimine on viidud täiesti uuele tasemele. Kui äriplaan peab arvestama 20 miljoni eurost või neljaprotsendilist käibeosa trahviriskina, siis tõenäoliselt pühendutakse privaatsuse teemadele juba plaani algfaasis oluliselt enam.

Et poleks halbu üllatusi

Kui keskenduda idufirmalikumale vaatele, siis isikuandmete kaitses on üks kõige olulisem moment ajastus. Kui disainida tooted ja teenused juba algselt nii, et need arvestavad andmekaitse reeglitega, on selge, et sellised projektid omavad turul edaspidi tohutut konkurentsieelist.

Oletame, et sul on geniaalne idee, mis hõlmab endas mingit laadi äppi, mis kuvab isikutele olulisi või vähemolulisi ülevaateid nende saavutustest elus. Seda muidugi kliendile täiesti tasuta. Raha plaanid sa aga saada kas reklaamimüügist sellesse äppi, kogutud isikuandmete täiendavatel eesmärkidel töötlemisest või edasimüügist.

Mõne kuuga saavutab leiutis tohutu allalaadimiste arvu ja nüüd võib terendada juba selle müük mõnele suurkorporatsioonile. Suur võib olla aga üllatus, kui selgub, et ostja lasi teema üle vaadata ka oma andmekaitse eksperdil ja selgub, et kuna andmete seesuguseks müügiks ja täiendavaks kasutamiseks puudub õiguslik alus (näiteks kliendi nõusolek), siis lihtsa tehte järel – geniaalne idee miinus riskide hind võrdub väheväärtuslik toode – ei olegi soovitud müük enam võimalik.

Vajatakse uusi asjatundjaid

Just andmekaitse eksperte/spetsialiste vajab Euroopa järgnevatel aastatel suures koguses, sest uus määrus muudab need ametikohad teatud tüüpi ettevõtetele ja kogu avalikule sektorile kohustuslikuks.
Juba on ka Eestis loomisel võimalused nende inimeste väljakoolitamiseks, näiteks Tallinna Ülikoolis. Nad peavad tagama, et äri ehitatakse üles juba idee tasandil andmekaitse reeglitega kooskõlas, seega tunduvalt väärtuslikumana ja elujõulisemana.

Vaatasin andmekaitse eksperdina selle aasta Ajujahi TOP 30 idee tutvustust. Silma jäi kolm, kelle puhul tundub isikuandmete kaitse väga olulise teemana, et otsustada, kas seda üleüldse äriks on võimalik muuta.

Vaatasin kõigi ettevõtmiste kodulehti ja ei selgunud, kuidas on lahendatud või plaanitakse lahendada selliste toodete/teenuste puhul kohalduvad ulatuslikud nõuded isiku õigustele oma andmete suhtes. Tuleb ju meeles pidada, et olenemata valdajast on andmete omanik siiski isik ise.