Mida tähendab GDPR turundajate jaoks?

andmekaitseseadus

Maikuus toimus järjekordne Hommikukohvi vestlusring, kus arutlesime uue isikuandmete kaitse üldmääruse (GDPR) teemal ning küsisime mh, mida tähendab GDPR turundajate jaoks.

GDPR-i tutvustas meile kõigile Eversheds Sutherland Ots & Co jurist Erika Tuvike ja vestlusringi viis läbi Agentuur La Ecwadori tegevjuht Heily Aavik. Suurt huvi näitas kohaletulnute hulk ning vastuseid saime paljudele põletavatele küsimustele. Mõningad tähtsamad punktid toome siin artiklis ka teieni.

Nõusolek peab olema!

Uudiskirjade edastamiseks peab alati olema inimese eelnev nõusolek oma kontaktandmete selliseks kasutamiseks. Seejuures nõusoleku olemasolu peab tõendama isik, kelle nimel uudiskirju edastatakse. Nõusolek andmete töötlemiseks peab olema vabatahtlik, teadlik ja tegevusega nõustuv. Seega peab isikule olema arusaadav millele ta nõusoleku annab ning ühtlasi peab tal olema reaalne võimalus otsustada nõusoleku andmise või mitteandmise üle.

Eeltoodut arvesse võttes ei ole lubatud lahendus, mille kohaselt inimene annab nõusoleku uudiskirjade saamiseks koos privaatsuspoliitikaga nõustumisel. Tegemist on nn külgepoogitud nõusolekuga, mis on kehtetu, kuivõrd inimesel ei ole reaalselt võimalik otsustada nõusoleku andmise üle.

Selleks, et uudiskirjade edastamiseks küsitav nõusolek oleks kehtiv, tuleb see küsida eraldiseisvalt kõigest muust. Seega loetakse korrektseks lahenduseks seda, kui isik saab linnukesega anda eraldi nõusoleku nii privaatsuspoliitikale, teenuse tingimustele ning kolmandana nõustumuse uudiskirjade edastamiseks. Inimesele peab olema võimalik oma andmeid edastada ja teenusega liituda ka ilma uudiskirju saamata. Nõusoleku võtmine on nüüd veel tähtsam kui enne. Lühidalt öeldes, mida rohkem kaste, kuhu saab panna linnukesi, seda parem.

Õigus esitada vastuväiteid

Kui inimene on andnud meile kunagi õiguse, et me võime talle uudiskirju edastada, siis tegelikult on tal alati õigus see nõusolek igal ajal tagasi võtta. Nii peab e-posti vahendusel edastatavad uudiskirjad võimaldama alati sellest loobuda ehk unsubscribe’ida. Vastuväite esitamise õigus seda võimalust põhimõtteliselt tähendabki. Kui isik on ühe korra juba selle vastuväite esitanud, siis ei või tema andmeid enam töödelda. Näiteks, kui telefoni teel soovitakse midagi inimesele müüa, siis võib inimene küsida, et kust helistaja tema andmed sai. Samuti peab olema võimalus telefoni teel helistajale öelda, et enam ta pakkumisi sellisel kujul (telefoni teel) ei soovi.

Aga tarbijamängud?

Juhul, kui me ei ole küsinud eraldiseisvat nõusolekut uudiskirjade edastamiseks või mõne muu eesmärgi täitmiseks, siis tuleb tarbijamängu osalejate isikuandmed pärast mängu lõppemist kustutada. Seda eelkõige põhjusel, et isik on andnud oma andmed eesmärgil osaleda auhinna loosimises. Tarbijamängu lõppemisel langeb ära isikuandmete edasise töötlemise eesmärk. Kindlasti ei tohi tarbijamängus osalemist siduda automaatselt uudiskirja edastamiseks nõusoleku andmisega. Tarbijal peab jääma võimalus osaleda loosimises ka ilma, et ta uudiskirjaga liituks.

Need kardetud sanktsioonid

GDPR sätestab olenevalt rikkumise liigist trahvi kuni 20 000 000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Reaalsus on, et üüratud trahvimäärad on mõeldud eeskätt suurtele ülemaailmsetele ettevõtetele nagu Google ja Facebook, et neid kuidagi korrale kutsuda.

Eestis jäävad trahvid arvatavasti paari tuhande ringi. Ennekõike tehakse ikkagi ettekirjutisi või rakendatakse sunnirahasid ning alles siis alustatakse väärteomenetlust. Andmekaitse Inspektsioon on võtnud pigem suuna informeerimisele ja teadlikkuse tõstmisele, mitte suurte rahatrahvide määramisele. See on iseenesest väga tervitatav suhtumine, sest me kõik ju alles kohaneme ja õpime.

Vaata uue andmekaitseseaduse kohta lähemalt ka Erika Tuvikese esitlusest.

Kokkuvõte Hommikukohvist, Timo Tõnisson, ideekirjutaja

Jaga ka teistega:

Kommenteeri

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga