IMPACT 80/20: Mida peab teadma GDPR-ist?

10.01.2018 / Karolin Kondrat

Ilmselt oled teadlik, et 25. mail 2018 jõustub isikuandmete kaitse üldmäärus (GDPR), mis hetkel tekitab päris palju peavalu kõikidele ettevõtjatele ja turundajatele.

Selleks, et seda teemat veidi selgemaks teha, käsitlesime GDPR-i (General Data Protection Law) ka IMPACT 80/20 saates. Nimelt käis saatejuht Kristjan Raude Best Marketingi vastavateemalisel seminaril ja küsitles seal Soraineni vandeadvokaati Mihkel Miidlat. Toome sellest saatest peamised mõtted välja ka siin blogis. Saadet saad vaadata siit.

VAATA SAADET!

10 asja, mida peab teadma GDPR-ist

1. CRM läheb andmete töötlemise alla

Väga paljud ettevõtted kasutavad CRM-i (inglise keeles customer relationship management). Kuigi uus määrus puudutab ainult füüsiliste isikute kohta käivat andmete töötlemist, on ka äriühingute esindajad füüsilised isikud. Seega, kuna CRM andmebaas ja CRM protsessid sisaldavad isikuandmeid, läheb ka CRM andmete töötlemise alla.

2. Mida tähendab definitsioon „privaatsed isikuandmed”?

Üldiselt ei lähe e-posti aadress nagu privaatsete isikuandmete alla, kuna sellise nime järgi pole inimene tuvastatav. Siiski, kui mingite teiste andmeallikate kaudu on võimalik töötlejal tuvastada, et selle konkreetse aadressi kasutaja on konkreetne tuvastatud isik, võib ka taolise e-posti aadressi töötlemine muutuda isikuandmete töötlemiseks.

3. Trahvi saab vastutav töötleja GDPR-i nõuete rikkumise eest

Võib-olla oled kuulnud kopsakatest trahvidest, mis GDPR-i nõuete rikkumisega kaasnevad. Osade rikkumiste eest on määratud kangemad trahvid, kuid mõned on loetud lihtsamateks rikkumisteks ja seega on need ka väiksema trahviga. Trahvi ülempiir sõltub aga sellest, kas 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest on suurem.

4. Veendu, et sul on õiguslik alus kliendi andmeid kasutada

Päris paljud ettevõtted kasutavad reklaamikanalina Facebooki, kuhu saab inimese andmed lihtsasti üles laadida, et näidata talle väga sihitud reklaame. Selleks, et üldse oleks mõeldav taoline käitumine, tuleb eelnevalt veenduda, et on olemas õiguslik alus selliselt kliendi andmeid kasutada. Samuti peab sellest nõuetekohaselt teavitama andmesubjekti ja täidetud peavad olema ka teised isikuandmete kaitset puudutavad põhitõed. Ehk peab väga selgelt kaardistatud olema, kas ja mida sa võid kliendi andmetega teha.

5. Andmesubjektidel on õigused, mida nad saavad kasutada

Ainus vastuväide, millel on absoluutne iseloom ja mida andmesubjektid saavad esitada isikuandmete töötlemisel, on „palun ärge kasutage minu isikuandmeid otseturunduslikel eesmärkidel”. Sellise vastuväite vastu ei saa vaielda. Teised andmesubjekti õigused on tavaliselt seotud täiendavate kriteeriumitega või rakenduvate eranditega.

IMPACT 80/20: mida peab teadma GDPR-ist?

6. Andmesubjektil on juurdepääsuõigus

Andmesubjektil on juurdepääsuõigus peaasjalikult vaid ühel eesmärgil. See eesmärk on kontrollida, kas kõik isikuandmete kaitse alaseid reeglid on täidetud.

7. Andmete töötlemise registrid

Kuna ühel ettevõttel, kes kasutab digi, on päris palju erinevaid kokkupuutepunkte, kust andmeid kogutakse, võib nende taasesitamine olla üsna keeruline. Mihkel Miidla sõnul aitab selle vastu andmete töötlemise registrite koostamine. Ehk tuleks ära kaardistada, kuidas andmeid kogutakse. Siis on ka oma andmetöötlusprotsessidest detailsem ülevaade.

8. Isikuandmeid kogutakse ja töödeldakse alati kindlal eesmärgil

Vastavalt eesmärgipärasuse piirangule kogutakse ja töödeldakse andmeid alati mingil kindlal eesmärgil. Ehk teatud eesmärgiks kogutud andmeid tohibki hoida ja töödelda ainult selle kohustuse täitmiseks. Kuigi andmebaasi värskusele ja nõusolekute uuendamisele ei ole otseselt seaduse poolt määratud tingimusi, siis tasub mõelda, miks andmeid alles hoida peale eesmärgi saavutamist.

9. Esmene samm: kaardista ära ettevõtte hetkeolukord

Paljudel ettevõtetel on juba praeguseks hetkeks kogutud üsna palju andmeid. Selle asemel, et kärmesti hakata kõikidelt nendelt inimestelt oma andmete töötlemiseks nõusolekut küsima, soovitab Mihkel Miidla kaardistada ära oma ettevõtte hetkeolukord. Mõistlik on üldpilt ette saada ja tasub veenduda, et ka see nõusoleku küsimine on tehtud nõuetekohaselt.

10. Mihkel Miidla soovitus

Mihkel Miidla soovitus on asi lihtsalt käsile võtta. Tuleb asjaga alustada, teha ära kaardistus, vaadata, mis on valesti ja valed asjad ära parandada. Selline on tema lihtne protsessikirjeldus. Samuti tunnistab ta, et ka osaline valmisolek on parem kui mitte midagi.

 

VAATA SAADET!

Turundussaade IMPACT 80/20!

25. mail 2018 jõustub uus isikuandmete kaitse direktiiv (GDPR), millest peavad teadlikud olema kõik ettevõtjad ja turundajad. Käsitlesime antud teemat ka IMPACT 80/20 saates, kus saatejuht Kristjan Raude küsitles vandeadvokaati Mihkel Miidlat. Loe saatest kokkuvõtet!

LOE SAATEST KOKKUVÕTET!

©2017 WWW Marketing OÜ