27.12.2021 Esmaspäev

Andmekaitse ekspert: GDPR ei sunni innovatsioonist loobuma

Advokaadibüroo Hedman isikuandmete kaitse eksperdi Andres Ojaveri sõnul ei sunni GDPR (General Data Protection Regulation) ehk andmekaitse üldmäärus innovatsioonist loobuma, kuid suurandmetel põhinevad tooteid, teenuseid ja tehnoloogiad peavad austama isiku põhiõigusi.
Advokaadibüroo Hedman isikuandmete kaitse eksperdi Andres Ojaver
Advokaadibüroo Hedman isikuandmete kaitse eksperdi Andres Ojaver Foto: RUP

Ojaveri sõnul ei tohi isikuandmeid vabalt kättesaadavaks teha inimese teadmata ning inimese õigust privaatsusele ei tohi ülemäära riivata. "Suurandmete kasutuselevõtu puhul näen ma lahendusena kahte võimalust. Esiteks saab kasutada anonüümseid andmeid. Teiseks saab kommunikeerida inimestele väga selgelt, mida andmetega on plaanis teha ning anda inimesele otsustamise õigus," märkis ta pressiteates.

Kui andmeanalüütikat või profiilianalüüse tehakse inimeste teadmata, võib see ettevõtjale tuua trahvid ja mainekahju. Nii juhtuski advokaadibüroo sõnul hiljuti kiirmoeketis H&M, kus töötajate isikuandmeid analüüsiti ulatuslikult nende teadmata. Töödeldavate andmete hulka kuulusid näiteks töötajate puhkused, haiguste diagnoosid ja meditsiinilised sümptomid, perekonnaseis ja usuline kuuluvus.

"Töötajate isikuandmete töötlemine  tõi ettevõttele 35,3 miljoni eurose trahvi, lisaks sai iga puudutatud töötaja kompensatsiooni ning ei saa muidugi arvestamata jätta ka ulatuslikku mainekahju," tõi Ojaver näite.

Isikuandmete kasutamisele kehtivad kogu Euroopas – aga üha enam ka kogu maailmas – teatud põhimõtted. "Näiteks ei ole lubatud ühel eesmärgil kogutud andmeid hakata kasutama uuel eesmärgil nii, et inimesel ei ole selle kohta teadmist. Teatud andmete ja nende kasutamise eesmärkide osas kehtib range nõusoleku küsimise nõue," rõhutas Hedmani isikuandmete kaitse ekspert.

Suurandmetega töötava ettevõtja jaoks tähendab see näiteks, et teatud analüütikat võib teha mitte kogu andmebaasi ulatuses, vaid selle osa põhjal. "Kui 20 protsenti inimestest annab andmete töötlemiseks nõusoleku, siis see tähendab, et vaid nende andmete põhjal tohib teha analüütikat, mitte kogu andmebaasi ulatuses," tõi Ojaver näite.

Lisaks tuleb tema sõnul arvestada ka andmete säilitamise nõuetega. Isikustatud andmed, mille hoidmise eesmärk on saavutatud, tuleb kustutada või anonümiseerida.

"Oma töös näen igapäevaselt, et kui GDPR-i nõuded seavad ettevõtjale takistusi, ei mõelda lahendusi, vaid loobutakse, et vältida riske. Minu hinnangul tuleks rohkem pingutada andmete anonümiseerimise ja andmemudelite loomise suunal. See võib täita lüngad, mis muidu GDPR-i tõttu tervikpilti sisse võivad jääda," soovitas Ojaver.

Isikuandmete kaitse eksperdi sõnul on ettevõtjad sageli hädas eeskätt inimestelt nõusolekute küsimisega. "Vahel küsitakse neid siis, kui tegelikult pole vaja, vahel küsitakse poolikult ja tuleb ette ka olukordi, kus neid üldse ei küsita. See on keerulise õigusraamistiku tagajärg, mitte ettevõtete huvipuudus või soov tahtlikult kliente petta," nentis ta.

Äri- ja ühinguõigusele spetsialiseerunud advokaadibüroo Hedman nõustab teenus- ja tootmissektorit digitaliseerimise protsessides ning kliente investeeringute kaasamisel, osanike- ja aktsionärisuhete korraldamises, tehnoloogiaõiguses, ühinemistel ja ülevõtmistel, äriühingute piiriülestel liikumistel, IT-õiguses ning andmekaitse, maksuõiguse ja intellektuaalomandi küsimustes.

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!