Autor: Indrek Kald • 11. november 2021

Andmekaitse nõunik: kui GDPR takistab Eesti firmat, ei mõelda lahendusi, vaid loobutakse

Kui GDPRi nõuded seavad Eesti ettevõtetele takistusi, siis ei mõelda lahendusi, vaid loobutakse riskide vältimiseks teatud tegevustest, ütles advokaadibüroo Hedman Partners andmekaitsenõunik Andres Ojaver.

Hedman Partnersi andmekaitsenõunik, jurist Andres Ojaver.
Autor: Hedman Partners

Näen seda oma töös igapäevaselt, kommenteeris 8. detsembril suurandmete konverentsil esinev jurist ELi isikuandmete kaitse üldmääruse (GDPR) mõju.

Intervjuu Andres Ojaveriga:

Palun tooge näiteid vastuoludest suurandmete võimaliku kasutamise ning andmekaitse vahel!

Pikalt on räägitud suurandmetest ja nende laialdasema kättesaadavuse vajadusest. Samal ajal kehtib aga tingimus, et isikuandmeid ei tohi vabalt kättesaadavaks teha. Näen lahendusena kahte varianti, kas kasutada anonüümseid andmeid või kommunikeerida isikule, mida tema andmetega on plaanis teha ning anda teatud olukordades ka isikule otsustamise õigus.

Ka Eestis on loodud andmeplatvorme ja nn data marketplace'e, kus isik saab ise otsustada, kellega ja milliste eesmärkide raames ta oma isiklikke andmeid soovib jagada.

Kui andmeanalüütikat ja/või profiilianalüüse tehakse inimeste teadmata, siis võime jõuda kaasusteni nagu hiljuti H&Mis, kus töötajate isikuandmeid nende teadmata ulatuslikult analüüsiti (sh puhkused, meditsiinilised sümptomid, haiguste diagnoosid, perekonnaseis, usuline kuuluvus). See kaasus lõppes 35,3 miljoni eurose trahviga, iga puudutatud töötaja kompensatsiooniga ja mainekahjuga.

Mis isikuandmete kaitsele mõeldes takistab kõige rohkem big data põhjal uute äride-teenuste loomist?

Isikuandmete kasutamisele kehtivad kogu Euroopas – aga üha enam ka kogu maailmas – teatud printsiibid. Näiteks ei ole lubatud ühel eesmärgil kogutud andmeid hakata kasutama täiesti uuel eesmärgil nii, et isikul ei ole selle kohta mingit teadmist. Teatud andmete ja nende kasutamise eesmärkide osas kehtib range nõusoleku küsimise nõue.

See võib tähendada, et saad teatud analüütikat teha vaid 20 protsendi kliendibaasi osas, mitte 100% ulatuses, sest vaid 20% inimestest annab sulle nõusoleku. Samuti on GDPR konkreetne andmete säilitamise osas. Isikustatud andmed, mille hoidmise eesmärk on saavutatud, tuleb kustutada või anonümiseerida.

Kuidas hindate Eesti ettevõtete valmisolekut ning ka oskust andmeid äris ära kasutada?

Tehnoloogilise võimekuse osas ei ole ma pädev hindama, aga seda näen oma töös igapäevaselt, et kui GDPRi nõuded seavad takistusi, siis ei mõelda lahendusi, vaid loobutakse teatud tegevustest, et vältida riske.

Minu hinnangul tuleks rohkem pingutada andmete anonümiseerimise ja andmemudelite loomise suunal. See võib täita lüngad, mis muidu GDPRi tõttu tervikpilti sisse võivad jääda.

Kuivõrd on mõne aasta eest rakendunud GDPR Eestis ettevõtete tegevust takistanud või soodustanud?

Väga sageli ollakse hädas inimestelt nõusolekute küsimisega. Vahel küsitakse neid siis, kui tegelikult pole vaja, vahel küsitakse poolikult ja tuleb ette ka olukordi, kus neid üldse ei küsita. See on keerulise õigusraamistiku tagajärg, mitte ettevõtete huvipuudus või soov tahtlikult kliente petta.

Suurandmete ja andmeanalüütikaga seoses näen pigem takistusena ettevõtete vähest valmisolekut innovatsiooniks, mitte GDPRi raame.

Ettevõtted tegelevad raskuste kiuste andmekaitsega rohkem kui varem ja pidevalt näen ka selle pingutuse vilju, kui ettevõtet soovib omandada mõni suurkorporatsioon või proovitakse leida Euroopast suuri kliente. Nendes olukordades enam GDPRi vastavushindamisest ei pääse.

Mida kasulikku suurandmete konverentsile tulevad ettevõtjad ja firmajuhid Teie ettekandest saavad?

GDPRi eesmärk ei ole ettvõtlust takistada või lennukaid ideid kärpida. Eesmärk on soodustada privaatsussõbralikke ja isiku põhiõigusi austavaid tooteid, teenuseid ja tehnoloogiaid.

Ettekanne püüab aidata mõista, miks täna kehtivad reeglid kehtestatud on ning kuidas nendele praktikas läheneda. Samuti püüan anda ideid, kuidas GDPRi reeglitega vähem tegeleda ehk kuidas kasutada rohkem anonüümseid andmeid.

Andres Ojaver töötas enne Hedman Partnersiga liitumist Telia Eesti andmekaitseametnikuna, veel varem on ta olnud andmekaitse inspektsiooni järelevalvedirektor ning KPMG Balticsi jurist.

8. detsembril räägib Andres Ojaver suurandmete konverentsil punastest joontest isikuandmete kaitses. Konverentsil arutatakse suurandmetega seotud probleemide ja lahenduste üle ning otsitakse tunnustatud asjatundjate abil vastust küsimusele, kuidas järgmisel aastal andmetest ettevõtte omaniku või juhina rohkem kasu saada.

Lisainfo ja registreerumine:

Jaga lugu
Ituudised.ee toetajad:
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Erkki VilippReklaamimüügi projektijuhtTel: 517 7736
Kertu KarnerIT konverentside projektijuhtTel: 553 7112