Kommentaar

Ats Miller | Mis on GDPR ja mida toob kaasa 25. mai (4)

Ats Miller, kolumnist, 22. mai 2018 17:48
Foto: Dado Ruvic
Need, kellel on mõni sotsiaalmeedia konto on küllap märganud kirja, mis nõuab uute reeglitega nõustumist enne 25. maid. Sõnastatud on need nii, et ega muud üle jää, kui leppida, ja nagu ikka, ei loe enamik inimesi neist ridagi.

25. mail rakenduv GDPR (General Data Protection Regulation) on Euroopa Liidu kohustuslik määrus. Seega ei saa liikmesriigid valida, kas seda vastu võtta või mitte. Peale selle on määrus ülimuslik kõigi varem eksisteerinud sellealaste õigusaktide suhtes.

GDPR peaks tugevdama, ühtlustama ja isegi lihtsustama ELi elanike andmete kaitset. Määruse eesmärk on anda inimestele tagasi kontroll nende isikuandmete üle. Tegelikult aga on määrus keerukas ja kallis bürokraatlik luupainaja.

Mida meilt küsitakse?

Kõigepealt teatatakse, et sinu seksuaalseid eelistusi, usulisi vaateid jne (kui sa need kirja oled pannud) kasutatakse ainult sulle reklaamide valimisel. Noh, aitäh sellegi eest. Kui keegi ka kinnitab, et ei müü neid edasi, siis see on ju loomulik – tulusam on ise kasutada.

Teiseks teatatakse möödaminnes, et kogu su tegevust netis jälgitakse, ja mitte ainult sinu oma – ka kõigi sinuga seotud inimeste tegevust, et ikka kohasemat reklaami saata.

Kolmas, paljus teadvustamata punkt puudutab fotode äratundmist. Jällegi justkui küsitakse luba, kuid kui natuke järele mõelda, küsitakse ainult, kas sulle öeldakse, et sind ära tunti.

Mõelgem positiivselt

Me elame sajandil, kui privaatsust enam ei eksisteeri. Lihtsalt ei eksisteeri. Punkt! Oleks viimane aeg sellega harjuda. Varem võis minna teise linna elama ja ollagi kadunud. Praegu nõuaks see väga tõsist pingutust, millega igaüks hakkama ei saa.

Teisalt ei saa lubada ka suhtumist, mille halvim näide oli nn superandmebaas siinsamas Eestis – suvalistest halvasti valvatud riiklikest ja äriandmebaasidest kokkupandud andmekogum, mis sisaldas pea kõigi Eesti elanike kohta üsna palju andmeid, alates aadressist ja lõpetades liiklustrahvidega. Selles mõttes on GDPR tervitatav, kuna sellega seatakse kõigile isikuandmetega tegelevatele ettevõtetele ja võimustruktuuridele reeglid ja kaitsenõuded. Alates sellest, et piiratakse, mida üldse tohib küsida (hoopis teine asi on vabatahtlikult antud info).

Üldise teadlikkuse kasv andmekaitse vajadusest ja vastavatest mehhanismidest on võib-olla määruse kõige positiivsem mõju. Sul on õigus nõuda, et su andmetesse suhtutaks lugupidavalt, ja sul on õigus nõuda, et sinu andmed kustutataks kommertsandmebaasidest. Arusaadavalt ei kustutata neid rahvastikuregistrist. Samuti pole ühelgi andmeid koguval ja töötleval ettevõttel enam võimalik lolli mängida – isikuandmete hooletult või vääralt kasutamine on kuritegu, millega kaasnevad rängad trahvid.

Ja muidugi pahupool

Kindlasti kasvab bürokraatia. Tekivad ametnikud, kellel on õigus toppida oma nina ettevõtte andmetöötlusprotsessidesse ja trahvi teha, kui neile miski ei meeldi.

Eraisikut peaks GDPR küll ainult kaitsma, aga definitsioon on lootusetult segane. Võib välja lugeda, et kui sa müüd kas või kirjaklambri oma sotsiaalmeedia sõbrale, võib sulle lajatada määruse kogu raskusega. Kui see lohutab, siis võtab muidugi aega, enne kuni ülereageerivad bürokraadid sinuni jõuavad.

Arvud on siiski märkimisväärsed. USA on leidnud, et 68% nende ELis tegutseval ettevõttel kulub määruse nõuetega vastavusse viimisele tõenäoliselt üks kuni kümme miljonit dollarit.

Nii neil kui ka meil siin tabab kuluhaamer paraku kõige valusamalt seda sektorit, kus asub suurem hulk isikuandmetega kokku puutuvaid Eesti ettevõtteid – keskmisi ja väikesi. Nende suhtelised kulud ja riskid on kõige suuremad, samas pole üldjuhul võimalik andmetöötlust EList välja viia.

Suurkorporatsioonid korraldavad oma töö ümber nii, et ELi ametnikel pole võimalik seda kontrollida. GDPR küll reguleerib ELi kodanike andmete kasutamist kogu universumis, aga ameeriklased leiavad üles kõik seaduseaugud ja kusagil Indias, Hiinas või Venemaal sellele lihtsalt vilistatakse.

Mida inimene ise teha saab?

Raudreegel võiks olla, et ära tegutse võrgus oma õige nime all. Kasuta varikontosid ja asenda need umbes iga viie aasta tagant uutega. Kauem kasutamisel on kõik seosed lõpuks näha ja eri kontod saab kokku viia. Aga kui paljud seda teevad? Endagi kontod on juba üle kümne aasta samad.

Ära postita sotsiaalmeediasse midagi isiklikku! Seda on, muide, äärmiselt lihtne teha – isegi keskmine põhikooli lõpetanu saab hakkama kodulehe tegemisega. Pane asjad hoopis sinna üles ja sotsiaalmeediasse ainult link.

Mis juhtub 25. mail?

Kohe mitte midagi. Andmekaitse Euroopa Liidus siiski tasapisi paraneb. Aga tuleb harjuda, et ainult riik küsib nüri järjekindlusega kõiki andmeid – korporatsioonid teavad peale su aadressi ja pangakonto numbri ka su jalanumbrit ja vanemate põetud haigusi.

Samal teemal

25.05.2018
Brüsseli katse tõhustada isikuandmete kaitset külvab segadust

REKLAAM JA KUULUTUSED

reklaam@ohtulehtkirjastus.ee