Peatselt kehtima hakkav andmekaitsemäärus toob mitu põhimõttelist muudatust, mis keeravad senise olukorra, kus meie isikuandmed olid tegelikult üsna kaitsetud, pea peale.
Küllap on kõik puutunud kokku juhtumitega, kus isikuandmetega käiakse tahtlikult või kogemata ringi hoolimatult. Näiteks küsib haigla registratuuri vastuvõtja patsiendile kaebuste kohta nii valju häälega, et kuuleb kogu saal või on perearsti kabinetis arvuti ekraanile lahti jäänud eelmise patsiendi ravikaart. Sage juhus on ka see, et kord kogutud isikuandmeid kasutab ettevõtja aina uute pakkumiste tegemiseks ning ignoreerib palveid mitte enam ühendust võtta.
Mis on isikuandmed?
Selleks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Isikuandmeteks on inimese nimi, isikukood, aadress, võrguidentifikaator või füüsilise isiku puhul ka üks või mitu füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist või sotsiaalset tunnust. Neid andmeid tuleb kaitsta juhusliku või tahtliku volitamata muutmise, hävitamise,
töötlemise ning õigustamata isikule kättesaadavaks tegemise eest. Isikuandmete töötlemisega tegelevad väga mitmesugused teenustepakkujad kõikvõimalikel elualadel alates kaubandusest
lõpetades meditsiiniga. Kogutavad andmed ja nende kasutus on erinevad. Isikuandmete töötlejaks peetakse tavamõistes nende kogujat, kuid samamoodi läheb töötlemise alla ka andmete korrastamine, dokumenteerime, säilitamine, kohandamine, levitamine või muutmine. Muide, andmete töötlemiseks loetakse isegi nende vaatamist, seega niisama huvi pärast klientide andmeid vaadata ei tohi.
Mis andmeid milleks kogutakse?
Uus määrus sätestab, et see tuleb lahti kirjutada protsessipõhiselt ning iga isikuandmetega seotud toiming ja selle eesmärk peab olema tagantjärele programmis
näha. Teatud juhtudel tuleb määrata ettevõttesse andmekaitsespetsialist, kes tunneb vastavaid õigusakte ning kontrollib andmetöötlejat nende nõuete täitmisel. Seda spetsialisti ei pea ettevõttesse eraldi palkama, vaid tema teenuseid võib ka sisse osta või koolitada mõni oma töötaja vastavalt välja. Andmekaitsespetsialist tegutseb juhtkonna tasemel, peab tundma ettevõtte struktuuri ning seda, kes, kus ja milliseid andmeid töötleb.
Praegu on väga levinud praktika, kus näiteks kliendikaardi saamiseks tuleb täita põhjalik taotlusvorm. Mõni ettevõte küsib kliendi kohta kõikvõimalikke andmeid alates sünnipäevast lõpetades haridustaseme ja laste arvuni välja. Edaspidi kehtib isikuandmete kogumisel minimaalsuse printsiip ehk et ei tohi küsida rohkem andmeid, kui teenuse osutamiseks reaalselt vaja on. See tähendab, et lihtsalt niisama igaks juhuks kliendi aadressi küsida ei tohi. Näiteks kui veebipood toimetab kauba kätte vaid pärast makse laekumist ning ainult pakiautomaatide vahendusel, ei tohi
ta küsida isiku aadressi. Kõnekäänd ütleb, et ka vaikimine on nõusolek, kuid andmekaitsemääruse valguses on see täpselt vastupidi. Isikuandmete töötleja peab suutma tõestada, et ta on andmed saanud inimese nõusolekul määratud tegevusteks ning ta ei tohi kasutada neid muuks tegevuseks isegi mitte juhul, kui klient pole seda keelanud. See tähendab, et kui keegi on tellinud endale
ajalehe ning ei ole andnud nõusolekut samale kontaktaadressile saata uudiskirju, siis ei tohi pakkuja seda ka teha.
Unustatud kliendid
Üks olulisemaid muudatusi määruses on säte, mis ütleb, et kui klient tahab olla unustatud, siis teenusepakkuja peab seda austama. Paljudele on tuttavad olukorrad, kus andes mingil põhjusel oma kontaktid mõnele ettevõttele, tabab inimest sealt lõputu pakkumiste laviin, mida ei peata isegi pidev äraütlemine ja palumine, et ärge rohkem tülitage. Uue määruse järgi peab andmetöötleja kustutama subjekti andmed, kui isik on seda palunud.
Allikas: äripäev 19.03.2018