Võib-olla alustaks, et mis asi see on, et, et tõesti, et hästi palju on sellest räägitud, igaüks räägib mingi nurga alt. Et võib-olla alustaks sellest, et see ei ole midagi uut, ehk siis see sinu meeli üleldav sissejuhatus kõigist kollidest ja asjadest, et loomulikult, eks ta natuke vastab tõele, sest iga selline. Inglisekeelses sõnaga, ütleme siis compliance tegevuses ongi natuke nagu koll, on ju, eriti kui sa oled pank, siis sa tead seda, kui sa oled muu ettevõtte, siis sa väga ei pööra sellele tähelepanu. Aga ega see ei ole midagi uut, on ju, isikuandmete kaitse on olnud meiega juba sada aastat. Et inimõigustena on ta konventsioonides kaudselt olnud juba varsti üle poole sajandi. Kolmkümmend aastat on meil kehtinud direktiiv, mille alusel meil on olnud alates siis liiduga, Euroopa Liiduga ühinemisest olnud oma seadus, et. Ega see nüüd midagi nüüd meeletult u
jah. Jah, aga ilmselt see, mis muuta, see ongi see poliitiline situatsioon ja see, et me pöörame nüüd rohkem tähelepanu, et ühelt poolt öeldakse, et äkki siis just nende trahvide pärast, et nüüd järsku on sellised suured sanktsioonid. Aga teiselt poolt, kui vaadata ka, mis maailmas toimub, kui väga rohkem me tegelikult hoolime kas või siis hetkeks andmetest, et ilmselt selles on ka see põhjus. Et ka andmekaitse inspektsiooniga rääkides nad ütlevad, et neile helistatakse justkui on avastatud siis isikuandmed ja küsitakse, et vot, et selline ja selline kohustus, et mis ma pean tegema. Ja siis inspektsioon ütleb, et tore, aga tegelikult see kohustus oli juba kümme-viisteist aastat.
küll. Ja no ilmselt saab ikkagi loota sellele, et, et esimese hooga ikkagi suuri trahve ei tulda tegema, et pigem võib-olla konkurent teeb sulle teene, et maksab advokaadile selle kalli avalduse eest ja siis tuleb AK ja ütleb, et kuulge, et need paar asja oleks vaja korda teha. Mida sa võib-olla ise poleks teinud, et tõmbab sind trimmi, hea küll, me teeme siia pausi ja siis läheme juba konkreetsemalt selle GDPR-i sisu juurde. Restart läheb edasi ja me räägime advokaatide Karmen Turki ja Maarja Pildiga GDPR-ist ehk andmekaitse, isikuandmete kaitse üldmäärusest jah, näed, hakkab tulema juba vaikselt. Lähme selle sisu juurde, et kas, kas seda sisu on võimalik kuidagi loogiliselt jaotada, et ma ei tea, et A, mis kehtib kodaniku kohta ja B, mis kehtib, ma ei tea, firmade kohta või kuidas see, kuidas nüüd klassifitseeritakse neid asju?
Võib-olla kõige mõistlikum oleks nagu alustada niimoodi, et vaadata, et keda see üldse puudutab, on ju. Et võib-olla siin kõige mõistlikum vaadata, et mis, mis on need andmed, millele see üldse kehtib, on ju. Et kui ettevõte tegutseb näiteks big data valdkonnas, ehk siis tal on väga palju andmeid, aga need on kõik. Sellisel määral anonümiseeritud, et tegelikult pole isik, füüsilist isikut enam võimalik identifitseerida. Et meil on küll olnud hästi palju küsimusi, ettevõtted, et mis ma nüüd teen, mul on ju nii palju andmeid, aga see ei ole üldse enam mure siis. Et kui andmed on anonümiseeritud, siis GDPR ei kohaldu. Teine võib-olla oluline koht on see, et andme, isikuandmete defineerimise raskuskoht läheb sinna, et sul ei ole sellist objektiivset kriteeriumit. Et, et nii mulle kui sulle on seesama tükk, andmetükk, samamoodi mulle võib-olla isikuandmed, sulle mitte. Ehk siis näiteks, kui ma töötan liiklusregistris, mul on ligipääs argikõigile andmebaasidele, siis minu jaoks autonumber on isikuandmed minu jaoks tänavalt, sinu jaoks tänavalt ta ei ole. Et on alati natukene nagu see, see teeb selle keerukuse. Ja teine pool on siis see, et oleneb, kas andmed on üksinda, näiteks. Margus Tamm, lihtsalt nimena ei ole isikuandmed. Maarja Pilt ja Karmen Turk, tõenäoliselt on, sest ma tean, Karmen Turki vähemalt on Eestis üks. No mind on kaks. Teda on kaks, no et seal on kohe kõige küsimus, et kas siis on nimi isikuandmed, ehk siis ettevõte peab lihtsalt üsna palju alguses panustama eneseanalüüsi. Et mõelda läbi, kus ta neid hoiab, kas need konkreetsed, see andmekogu on tal isikuandmete, peaks mõtlema alates e-kirjadest, lõpetades siis tõesti. Andmebaasidega ja mitte ainult sellised väga tihedas kasutuses olevad andmebaasid, aga mõtlema ka igasugused pre-laiv. Platvormide arendused, mis on võib-olla kuskile unarusse jäänud, keegi ei mõtle, mida seal testkeskkonnas tegelikult võib-olla kunagi kasutati, aga seal on ju ka isikuandmed. Et lihtsalt natukene enda jaoks kaardistada, mina soovitan, et tõesti ettevõttega on väiksem ettevõtte, minge, tehke üks õhtune üritus. Arutage, kirjutage see maha, kirjutage see enda jaoks valmis, sest töötlemistöömingute register on üks selline kohustus, mis sealt justkui tuleb. Ja isegi, kui teatud ettevõttel ei ole seda kohustust, siis igatahes soovituslik seda pidada on mitmele, mitmel põhjusel, et see annab endale pildi. Sul on väga rihtne sellisel juhul suhelda AK-iga. Kui on see vajalik, suhelda andmesubjektiga, kui tal on küsimusi, kust tema andmeid kasutate, võtate lihtsalt selle lahti ja ütlete, et jah, me teame siin, siin ja siin.
No üheks näiteks, näiteks, et kui on selline disainer, ta käib, on ju kliendikohtumisel, käib seal ära, tuleb tagasi. Teil on tõenäoliselt, on nii-öelda disainer, kahel disainerilisel omavahel mingisugune, näiteks Exceli tabel on ju, kus nad jagavad seda omavahel infot, et kuule, käisin seal kliendikohtumisel, tegin sellise pakkumise. Kliendi office nägi välja selline, mulle tundub, et nende väärtused on sellised, seal töötavad need inimesed, et võib-olla saaks kuidagi niimoodi neile pakkuda kõige paremat teenust. Väga relevantne selle teenuse pakkumiseks, on ju. Nüüd, kui see teenus on pakutud Teenus on osutatud, klient on selle vastu võtnud, kas siis on enam oluline, et kuule, et seal klient, seal Pros töötas näiteks, ma ei tea, Karmen Turk või Maarja Pild, enam ei ole, võib-olla on ju. Siis teenus on osutatud ja klient on juriidiline isik. Et siis võiks mõelda, et kas need andmed näiteks on vajalikud. Nüüd, kui võtta teiselt poolt, et see disainer nüüd läheb sinna kliendi juurde, kliendi, klient võtab isiku vastu, disaineri siis pakub tal kohvi ja kirjutab kuskile ülesse omale. Näiteks CRM-i, mis on kõige tavalisem, et see, ettevõtjana on tema juhatuse liige, on ju, joob kohvikoorega, on ju. Hommikul on tal pigem halb tuju, on ju, õhtul on parem tuju, et. Et noh, kas see on alati relevantne? Noh, kui on, siis see ongi nüüd järgmine samm pärast seda, kui on analüüsitud, mis on need andmed, et.
arved on ka isikuandmed või?
Kui arve peal on eraisikuandmed, siis jah.
No nii palju on, et, et ega arve sa ju üldiselt vähemalt, kui sul on väiksem klient, siis sa saadad ka ju mingile isikule, on ju. Kui seal on eesnimi, perenimi, ettevõtte.ee, siis seal on isikuandmed. Aga nüüd ongi seesama järgmine samm, et kui sa nüüd tead, mis need andmed on, et saadad arve, on ju saadad näiteks mingi väike ettevõtte, eesnimi, punkt perekonnanimi, et koerad, punkt ee või midagi muud sellist. Et siis nüüd, kui teil on selge see pilt, mis sul on, siis hakata mõtlema, et mis alusel ma neid kasutan. Ega neid aluseid, kui meediat loed, siis tihtipeale võib jääda mulje, et nüüd mul on vaja võtta nõusolekuid, need kampaaniad ka, mis olid, ütleme. Kõik postkastid oli, umbes, et hästi palju kuidagi mõeldakse, et nii, nüüd mul on vaja nõusolekut ilmselt. No ei ole, tegelikult on kuus seaduslikku alust, millest sa pead ühe valima ja enda jaoks läbi mõtlema ja see ongi
Teine on nõusolek, loomulikult väga oluline, aga on avalike ülesannete täitmine, mis on võib-olla riigile rohkem. Siis on huvide kaitse väga selliste eluliste huvide näiteks mingi katastroofiennetus, mis on ka võib-olla vähem olulisem. Aga üks väga oluline on õigustatud huvi. Õigustatud huvi on siis selline seaduslik alus, kus on ärihuvid, mis võivad olla tõesti väga laiad, on ju. No võtame sihukese keskmise internetis isikute jälge, on ju, no tema ärihuvi on ju koguda kõike minu kohta. Et ma käisin seal beebikasju asju vaatamas ja siis ma käisin koera piinamislehti vaatamas, vaatamas ja kõike muud sellist. Tema huvi on muidugi see kõik kokku koguda. Aga nüüd küsimus ongi, et nüüd hakkab kaaluma, mul on need andmed, kas mul on minu ärihuvi väga selgelt olemas, mina tahan seda meelde jätta, et ma tean, et ma pakun talle mingi nõuandetelefoni ja mingeid muid asju tulevikus. Teisel pool, ta peab hakkama kaaluma, kaaluma, mis on nüüd minu huvi. Ta peab seda kaalumisülesande läbi tegema, kui see kaalumisülesanne ütleb, et jah, ma ikkagi võin neid andmeid hoida, siis ta võibki hoida. Et
GDPR-i üks kõige suurem muudatus ja nagu Maarja enne alustas, et tegelikult on see kontseptsiooni ja poliitika tulemus. Ongi see, et täpselt selline analüüs, nagu te siin olete oma ettevõttes siis vaikselt teinud. Ongi olnud see, mis on olnud probleem kakskümmend aastat, miks direktiiv ja meie vana isikukaitse seadus tööle ei läinud. Et kõik mõtlesid, aga no tegelikult ju posti viib kohale Omniva, on ju, raamatukidamist teeb seal Merit, mina ei teagi, kes seal on, pole minu asi, kui neil midagi juhtub, nende probleem, nemad usutasid mulle teenust. See on see, mida GDPR muudab, see on üks kõige suurem ja olulisem muudatus, ehk siis ta ütleb, et eelduslikult on olemas selline asi nagu solidaarvastutus, kole termin. Solidaarvastutus tähendab väga lihtsalt seda, et kui sa sõidad autoga täna tee peal ja tee pealt on maas kanalisatsiooniluuk ja sõidad sealt läbi oma telje katki, siis vastutab nii tee omanik kui ka kanalisatsioonitorustiku omanik. Ja sina ise valid, kas sa esitad nõude ühe vastu, mõlema vastu või esita üldse. Ja see ongi selliseid arvestuste mõte. Ehk siis, kui nüüd täna on ju näiteks Scor on halb näide, ta on Eesti ettevõte, võtame
muu. Google Analyticsist, kui teil on nüüd, Google Analyticsil on väiksem probleem, sest nad kasutavad üsna nagu abstraktsel tasemel, koguvad andmeid. Kui teil on see tasuline teenus, mis siis juba näitab nagu natuke kaugemale. IP aadressid, mis on siis teine GDPi muudatus, et ka IP aadressid võivad olla isikuanded, midagi siiani pole sellisena väga võib-olla käsitlenud. Et kui teil on selline teenus, siis kui nüüd seal midagi juhtub ja nende andmebaasiga midagi juhtub, kas ta kaob, kustub, häkitakse, läheb avalikuks, seda muudetakse niimoodi, et teie ei tea. Siis minul kui andmesubjektil on nõudeõigus Google'i vastu, mul on nõudeõigus geenius vastu ja mul on nõudeõigus mõlema vastu. Sinu jaoks on GDPR ette näinud, et sina ei või lubada volitatud töötlust siis tahes, kas pilveteenuse osutajate poolt või teiste tarkvarateenuste osutajate poolt või kelle tahes teiste isikute poolt. Kellega sa pole sõlminud lepingut, kellega, keda sa pole ära hinnanud, kas nad teevad seda vastavalt GDPR-ile ja nad on hoolsuskohustuse täitnud. Ja see ongi sinu kohustus, kui andmejate nii-öelda vastutav töötleja, ehk siis see, keda on andmesubjekt nii-öelda esmajärgus usaldab.
Minu töötajate kaitseks, kes mulle siin käivad, et, et isikuandmed on see, mis kell keegi tööle tuli ja uksest sisse välja
Sest logitakse reeglina ju vähemalt nimi, tihtipeale oleme avastanud, et ka näiteks isikukood ja mingid andmed, mis pole üldse haldusettevõttele vajalik, et. Uskumatu. Aga tehtav.
Ei noh, siin ongi jälle täpselt seesama nõuanne, et, et vaadata, et esiteks, et mida teised turul teevad ja kas või väljapoole midagi alustada. Ma usun, et andmekaitse inspektsiooni jaoks ka ju on see oluline, et, et midagi on alustatud ja midagi on tehtud ja. Ja näidata, et nii-öelda see projekt on kas või käimas, sest noh, nagu me oleme ka siin täna arutanud, et päris mõttetu see ju ka kõik ei ole. Seal on võimalusi, see on põhjus, me kaitseme ikkagi nii-öelda põhiõigust ja isikuandmeid kui selliseid, et, et ei ole päris selline suvaline teema.
[ TRANSKRIPTSIOONI LÕPP ]