GDPR sundis meid sulle kirjutama

Isikuandmete kaitse üldmäärus (GDPR) hakkab tänasest päriselt õigusi looma ja kohustusi tekitama. Kaks aastat on möödunud ajast, kui see õigusakt vastu võeti – ja kuigi see on nüüdseks saanud üsna palju tähelepanu, kipub seni peale jääma ettevõtjate lootus seda eirata.  Massiline andmete uuendamise päringute laine näitab aga pigem paanikat, mis tuleneb puudulikust andmetöötluse ülevaatest ettevõttes.

Uute andmekaitsenõuetega kaasneb palju rohkemat kui nõusoleku uuendamise võimalik vajadus uudiskirjade saatmiseks. Ulatuslik nõusolekute üleküsimine ei ole ilmtingimata igas olukorras vajalik. Seda tehakse praegu pigem igaks juhuks, sest tõenäoliselt ei omata ülevaadet, kas ja kuidas on varasem nõusolek saadud.

Veelgi omapärasemaks läheb olukord siis, kui andmete uuendamise teavitus saadeti kasutajale näiteks kaks päeva tagasi. Selline lähenemine ei jäta mitte ainult liiga vähe aega huvi korral uute privaatsusreeglitega tutvumiseks, vaid võib tekitada kliendis hoopis trotsi, mille tulemusena ta lihtsalt ei reageeri päringule ja kirja saatnud ettevõte temaga enam pärast 25. maid 2018 ühendust võtta ka ei tohiks.

Seega ühelt poolt on küll hea, et need ettevõtted on teadvustanud isikuandmete kaitse üldmäärust, teisalt ei pruugi kogu isikuandmete haldamise loogika siiski lõpuni läbi mõeldud olla.

Inimesed jagavad ise oma isikuandmeid siia ja sinna ning üldjuhul ei tekita nad suuremat kära oma eraelu maailmale serveerimisest. Ühe inimese seisukohalt ehk polegi midagi hullu. Suurte andmemahtude pinnalt on aga võimalik inimeste eelistustega ärieesmärkidel manipuleerida – ehk kas siis on tegemist osava turunduse või ebaeetiline ärakasutamisega. Võib isegi riikide poliitikat mõjutada. Suures plaanis on see küsimus tasakaalust eri huvide vahel, mille suhtes täiendav regulatsioon on tekkinud.

Euroopa Liit on isikuandmete kaitse valdkonnas loomas laiemat standardit ja võimaldamas inimestele rohkem kontrolli oma andmete üle. Selliselt on vähemalt teoreetiliselt loodud piisavad eeldused tasakaaluks inimeste õiguste ja ärihuvide vahel. Kaheks võtmeteguriks selle kõige juures on see, kuidas inimesed hakkavad oma õigusi kasutama ning kui mõtestatult järelevalveasutused oma tööd teevad.

Mõnes mõttes on isikuandmete kaitse määrus ise jäämäe tipp, sest selle nõuete ja printsiipide taga on mitmesugused konkreetsed protsessid, mille (ümber)kujundamine ei pruugi olla lihtne ülesanne eelkõige nende mahu tõttu. Kui näiteks IT-süsteemid ja äriloogikad hakkavad toetuma andmekaitselisele taustale, siseneb valemisse ka töötaja, kes on inimene, mis tähendab, et ta teeb vigu ja on seetõttu riskiallikaks. Õiguslikud nõuded tuleb seega inimlikuks tõlkida.

Uues määruses on palju halle alasid. Isegi kui lõplik selgus alles kujuneb aja jooksul, tuleks isikuandmete kaitse üldmäärust vaadata tervemõistuslikkusega ning mitte takerduda ainult detailidesse. Isikuandmete kaitse üldmääruse rakendamine praktikas pole juuraküsimus ega infotehnoloogia, ka mitte projektijuhtimise küsimus. See on kombinatsioon neist kõigest ja muustki.

Õiguslike kohustuse täitmise kõrval on kaalukausil võrdsena – kui mitte tähtsamana – ka ettevõtte maine. Hirmsad ei ole mitte isikuandmete kaitse üldmääruse sätted, vaid see, kui uut õigusraamistikku ei kasutata võimalusena maandada andmekaitselisi riske ettevõttes. Tegemist on ka vastutusega oma klientide ees, sest nemad saavad enda kasutusse terve rea tööriistu. Kui klient vihaseks ajada, võib andmekaitsest saada üks hea võimalus ettevõttele peavalu valmistada, kui endal tuba korras pole.

Andmekaitse on valdkond, mida võiks võrrelda veepiisaga, milles peegeldub meri: ta on valdkondadeülene ja võib ootamatutest vaatenurkadest ettevõtte nõrkusi välja tuua. Uusi nõudeid ei peaks vaatlema kui takistusi äritegevusele ja innovatsioonile, vaid kui võimalusi teha protsesse efektiivsemaks. Andmekaitsest võib kujuneda ja tõenäoliselt ka kujuneb uus kvaliteedimärgis äritegevuses.

Autor: Kristjan Aruoja