Autor: Indrek Kald • 5. mai 2021

Intervjuu Andres Ojaveriga:

Millised on põhivead, mida andmete kasutamise ehk töötlemisega seoses tehakse?

Sageli alustatakse andmetöötluse korrastamisega valest otsast ehk kirjutatakse valmis privaatsusteade jms avalikud dokumendid, kui tegelikult oleks õige alustada andmetöötluse kaardistusest ning töötlustoimingute ülevaate koostamisest. Alles seejärel on võimalik koostada klientidele suunatud tekstid tegeliku andmetöötluse detailide kohta.

Ka andmete kustutamisega esineb sageli probleeme. Põhiliselt just selliselt, et andmete kustutamise reeglid puuduvad kas osaliselt või täielikult. See tekitab aga hilisemaid probleeme andmekvaliteedis ning riskide halduses, kuna n-ö vanu andmeid koguneb palju, kuid eesmärki nende hoidmiseks enam ei ole.

Kuivõrd kasutavad Eesti ettevõtted andmeanalüütikat, näiteks turunduses ja müügis?

Andmeanalüütika kasutus on kasvutrendis ning ettevõtted ja riigiasutused näevad selles aina enam kasu ja efektiivsuse tõstmise võimalusi. Tõenäoliselt jätkub see kasv ja pigem kiireneb. Samal ajal on aga oluline kasvatada ka andmekaitse teadlikkust ja andmekaitse protsesside juurutamist organisatsioonis, et säiliks tasakaal efektiivsuse ja privaatsuse kaitse vahel.

Milliste GDPRi sätetega ollakse kõige vähem kursis või teisisõnu – mis teie kliente tavaliselt üllatab?

Enim pakub üllatust isiku õigus andmeid üle kanda ning see, et kõikidel andmetel peab olema töötlemise eesmärk ja sellest tulenev kustutamise tähtaeg.

Andmete ülekandmine ehk data portability tähendab seda, et kliendil on teatud isikuandmete puhul õigus need ühe teenusepakkuja juurest masinloetaval kujul teise juurde üle kanda. See konstruktsioon põhineb loogikal, et andmed, mille isik on ettevõttele andnud või oma käitumisega tekitanud, kuuluvad inimesele ja tal peab olema võimalus "oma vara" vabalt käsutada.

Kuivõrd on Eestis juurdunud andmekaitseametnike institutsioon ning kui tõsiselt seda võetakse?

Koolitades ka ise andmekaitseametnikke saan ütelda, et iga aastaga tuleb meil Eestis juurde kümneid kvalifitseeritud andmekaitseeksperte, kes otsivad oma teadmistele ka praktilist rakendust. Märgata on ka tööturu kasvavat vajadust selliste teadmiste järele.

Ühelt poolt on neid organisatsioone, kellele andmekaitseametniku ametikoht on seadusega kohustuseks tehtud, kuid jätkub ka neid, kes kohustuse puudumisest hoolimata soovivad oma klientide andmeid kaitsta kõrgemal tasemel.

Seega võib ütelda, et organisatsioonid tunnevad aina enam huvi andmekaitseametnike vastu ning jätkub ka inimesi, kes soovivad oma teadmisi selles valdkonnas tõsta eksperdi tasemele.

Miks pole Eestist veel teada suuri trahve GDPRi rikkumiste eest nagu mõnes muus ELi riigis? Kas see praktika peaks ka Eestis muutuma?

Eestil on GDPRi rakendumisest alates olnud probleem trahvide määramisega ning see tuleneb meie kohalikust seadusandlusest. Nimelt puudus meie õiguskorras haldustrahvi instrument ning seetõttu ei ole võimalik määrata trahve otse GDPRi alusel.

Kohaldada tuleb väärteomenetlust ning see tekitab omakorda mitmeid probleeme. Justiitsministeerium tegeleb selle probleemi lahendamisega ja lähitulevikus on oodata olukorra muutumist.

Pigem arvan, et Eesti andmekaitse inspektsioon ei ole trahvimisele orienteeritud asutus. Ma isiklikult pooldan seda lähtekohta, sest trahv peaks olema vahend selleks, et karistada pahatahtlikku või korduvat hoolimatut käitumist inimeste andmete kasutamisel. Kui aga eesmärk on korrigeerida, parandada või harida, siis on selleks olemas mitmeid tõhusamaid vahendeid.

Kui ettevõte on siiralt palju vaeva näinud andmekaitse tagamisega ning siiski juhtub inimlik või tehniline eksimus, mille parandamisega asutakse koheselt tegelema, siis ei pea tingimata järgnema rahalist karistust, eriti kui võtta arvesse, et ettevõte võib intsidendi tagajärjel juba nagunii kannatada suurt käibenumbrite langust.

Samal ajal peab aga selline mõjutusvahend nagu toimiv trahvimise õigus olemas olema, et ükskõiksust ja hoolimatust vähendada.

Milline on reeglina IT-ettevõtete roll isikuandmetega seotud probleemide lahendamises?

IT-ettevõtetel on selles tervikus väga oluline roll, sest just nemad on sageli need, kes loovad töövahendeid, infosüsteeme, pakuvad serverimajutust jne. Ehk siis lisaks organisatsiooni poliitikatele ja tööprotsessidele ning ärimudelitele sõltub nõuetekohane andmekaitse vältimatult ka sellest, kuidas tehnoloogia võimaldab andmeid töödelda.

Kui ehitada tarkvara, mis sunnib sind seadust rikkuma, siis ei olegi võimalik ka parima tahtmise juures reeglitekohaselt käituda. Seetõttu on oluline, et IT-partner oleks teadlik GDPRi nõuetest ning oskaks ka oma klienti suunata toodete ja teenuste disainimesel õiges suunas.

Mida peate ELis juba kolm aastat kehtiva isikuandmete kaitse üldmääruse suurimaks mõjuks?

Esiteks on GDPRil globaalne mõju. Näiteks USA ettevõtted, kes suunavad oma digiteenused ELi kodanikele, peavad vastama GDPRi nõuetele. Varem sellist asja ei olnud.

Teiseks on GDPR võrreldes varasema seadusandlusega orienteeritud andmete töötleja kohustusele aktiivselt demonstreerida oma vastavust GDPRi nõuetele. Ehk kui varem oli nii, et süüdistades ettevõtet reeglite rikkumises, pidid sa ära tõendama, kuidas ta reegleid rikub, siis nüüd peab iga ettevõte suutma väga mitmete GDPRi nõuete täitmist dokumentaalselt demonstreerida ja seda igal ajahetkel. Vastasel korral saab väita, et ettevõte ei täida GDPRi nõudeid.

Ning kindlasti on mainimist väärt ka trahvimäärade oluline tõstmine ning sidumine ettevõtte käibenumbritega. See aitab lahendada olukorda, kus ettevõte planeerib trahvid juba toote kuludesse ning inimeste andmete kaitse ei saa prioriteeti.

Täna on kindlasti GDPRi trahvid enamuste suuremate andmetöötlejate riskikaardil ning see tähendab, et selle riski maandamisega tegeletakse aktiivselt.

Kuidas muuta isikuandmed IT toel konkurentsieeliseks, räägib Hedman Partnersi andmekaitse nõunik Andres Ojaver 11. mail toimuval veebiseminaril. Lisainfo ja registreerumine: