Autor: Indrek Kald • 28. juuli 2019

Järgneb advokaadibüroo Njord advokaadi Siiri Kuusiku ja praktikandi Stephanie Arnoldi kommentaar:

Tänapäeval tuginevad enamik ettevõtteid enda reklaamimiseks Google Analyticsi ja Facebook Custom Audience´i abile. Need online-turunduse tööriistad aitavad digitaalset reklaami kuluefektiivselt pakkuda õigele sihtgrupile. Samas nõuab kasutamine aga ettevõtetelt privaatsuse ja andmekaitse standarditele ja reeglitele vastavust.

Euroopa Liidu andmekaitse üldmääruse jõustumisest alates on kohtud juba korduvalt hinnanud Google Analyticsi ja Facebook Custom Audience´i kooskõla andmekaitse reeglitega.

Saksa kohtud on tuvastanud ettevõtete vastutuse andmekaitse reeglite rikkumise osas olukorras, kus kasutusel on olnud Google Analytics ja Facebook Custom Audience, kuid nende sätetest on valimata jäetud üldmäärusega kooskõlas olevad seaded.

Oluline on teada, et Google´i toodete kaudu andmekaitse reeglite rikkumiste korral ei ole süüdlaseks vaid Google. Google Analytics on laialdaste kasutusviisidega analüüsitööriist, mis annab kasulikke andmeid ja väärtuslikke vihjeid veebilehe toimimise osas ja on sellisena ettevõtete seas väga populaarne.

Hetkel, mil ettevõte võtab veebilehel Google Analyticsi kasutusele, saadetakse Google´ile külastajate IP-aadressid, mida seejärel analüüsitakse. Google Analytics tagastab hindamise tulemusel tekkinud andmed krüpteeritult ja koondatud vormis. Kuid sõltuvalt veebilehe sätetest, võib Google need andmed saada kas anonümiseeritult või mitte.

Nüüdseks on Saksa kohus pidanud Google Analyticsit kasutavat ettevõtet vastutavaks olukorras, kus edastati krüpteerimata IP-aadressid, lülitamata sisse IP-aadresside anonümiseerimist. Kohus selgitas, et õiguspärane IP-aadresside anonümiseerimata edastamine nõuab kasutajate spetsiifilist nõusolekut, kuivõrd üldine nõusolek, mis on antud üldtingimustega, ei ole sellises olukorras piisav.

Sarnaselt peavad ettevõtted olema isikuandmetega hoolikad juhul, kui nad kasutavad Facebook Custom Audience´i (FCA) võimalusi. Facebooki võimas turundustööriist võimaldab ettevõtetel üles laadida klientide andmeid, nagu näiteks e-posti aadresse või telefoninumbreid, ettevõtte Facebooki kontole. Facebook sobitab antud andmed kasutajate profiilidega ja võtab arvesse mujalt saadud informatsiooni, et suurendada ettevõtte suunatud reklaamide efektiivsust.

Taaskord on seisukoha andnud Saksa kohus, mis leidis, et andmesubjektid peavad andma spetsiifilise nõusoleku, et nende andmeid tohib FCA jaoks kasutada. Kohus leidis, et isikute andmete kaitse õigused kaaluvad üles ettevõtte õigustatud huvi suunatud reklaamide tegemiseks.

Lisaks pidasid kohtunikud ettevõtet sellises olukorras andmete FCA eesmärkidel kasutamise osas ainsaks vastutavaks töötlejaks ning Facebooki kolmandaks isikuks, mitte volitatud töötlejaks. See aga tähendab, et just FCAd kasutav ettevõte on rikkumise eest vastutav, ja mitte Facebook.

Kokkuvõtteks peab iga ettevõte, kes oma turundustaktikas kasutab Google Analytcsi või Facebook Custom Audience´i abi, tagama, et klientide andmete kogumine ja töötlemine on üldmäärusega kooskõlas, sest ainult selliselt on võimalik nende turundus tööriistade ja andmekaitse reeglite kooseksistents.

Kontroll hõlmab endas ka Google Analyticsi ja Facebook Custom Audience´i sätete ükshaaval hindamist. Juhul, kui sätted ei ole üldmäärusega kooskõlas või vajalikke nõusolekuid ei ole klientidelt saadud, võib see kaasa tuua märkimisväärsed trahvid ja maine kaotuse.