AI_pealkiri: Karmen Turk ja Maarja Pild Trinitist selgitavad, kuidas GDPR Eesti ettevõtjate elu muudab

Kas sina tead, miks püütakse kopeerida kõige rohkem just Laomaailma moodulriiuleid? Võin sulle öelda, miks, sest paremat süsteemi pole veel välja mõeldud. Laomaailma moodulriiulid on loogilise konstruktsiooniga vastupidavad

Täna saatejuht Henrik Roonemaa uudisteportaalist geenius.ee ja mul on kaks külalist, Karmen Turk ja Maarja Pild advokaadibüroost Trinity, tere. Tere. Me räägime täna teemal, millest me tegelikult oleks võinud rääkida viimase kahe aasta jooksul üle, üle nädala, mulle tundub, ja ja oleks võinud rääkida eelmisel nädalal ja üle-eelmisel nädalal ja ja tõenäoliselt veel väga-väga palju, selle nimi on GDPR, ehk siis Karmen, ütle mulle, kuidas see pikk nimetus on, Euroopa andmekaitse

Andmekaitse üldmääras, jah.

Jah, see on nüüd siis see koll, mida, mis, mis on ringi käinud mööda Euroopat, tegelikult mööda tervet maailma ja, ja see on see koll, mis on põhjustanud teile neid kirju postkastis, et. Klikki siia, et olla ikka meiega ja, ja see on see koll, millest räägitakse, kus teie ettevõte võib saada trahvi, mis tal oli, kaks või neli protsenti vist oma. Kogu globaalsest käibest ja, ja kohe tuleb Andmekaitse Inspektsioon ja paneb teie tegevuse kinni. Kui te ei vasta kolmesajale tuhandele tingimusele, mida isegi Andmekaitse Inspektsioon ise ei Hästi palju hirmu juttu ja segadust on selle GDPR-i ümber, aga me proovime täna siis kolme näedat tunni jooksul nii palju kui võimalik teha sellise sisse, sissejuhatava kursuse sellesse, et mis asi see on. Mis seal on tõsi sellest, mis meedias räägitakse ja nendest hirmudest ja mis ei ole tõsi. No mul on üks tuttav advokaat, ma räägin teda üks päev, sest ta oli väga väsinud näoga, kui ütles, et ta viimased kaks kuud iga jumala päev keskööni tööl olnud, sest GDPR, kas teil on sama?

Meil on isegi terve töögrupp, kus on viis inimest ja need viis inimest on viimase poole aasta jooksul keskööni tööl olnud. Nii et vist isegi paremini.

Aga miks, mis, mida te teete seal nii kaua?

No ei ole ju nii halvasti ka asjad ikkagi.

Tegelikult kõik on väga puhanud, kahekümne viies on möödas ja elu läheb edasi.

Siis ta hakkas kehtima, eks ole, see oli reede oli. Aga miks ikkagi, sa mõtlesid, mida, mis tööd see GDPR-i ühe regulatsiooni jõustumine nüüd siis pooltel Eesti advokaatidele niimoodi tõi?

Võib-olla alustaks, et mis asi see on, et, et tõesti, et hästi palju on sellest räägitud, igaüks räägib mingi nurga alt. Et võib-olla alustaks sellest, et see ei ole midagi uut, ehk siis see sinu meeli üleldav sissejuhatus kõigist kollidest ja asjadest, et loomulikult, eks ta natuke vastab tõele, sest iga selline. Inglisekeelses sõnaga, ütleme siis compliance tegevuses ongi natuke nagu koll, on ju, eriti kui sa oled pank, siis sa tead seda, kui sa oled muu ettevõtte, siis sa väga ei pööra sellele tähelepanu. Aga ega see ei ole midagi uut, on ju, isikuandmete kaitse on olnud meiega juba sada aastat. Et inimõigustena on ta konventsioonides kaudselt olnud juba varsti üle poole sajandi. Kolmkümmend aastat on meil kehtinud direktiiv, mille alusel meil on olnud alates siis liiduga, Euroopa Liiduga ühinemisest olnud oma seadus, et. Ega see nüüd midagi nüüd meeletult u

Eestis ka andmekaitseinspektsioon on tegutsenud, eks ole, ma ei tea, kakskümmend aastat või rohkem igavesti

jah. Jah, aga ilmselt see, mis muuta, see ongi see poliitiline situatsioon ja see, et me pöörame nüüd rohkem tähelepanu, et ühelt poolt öeldakse, et äkki siis just nende trahvide pärast, et nüüd järsku on sellised suured sanktsioonid. Aga teiselt poolt, kui vaadata ka, mis maailmas toimub, kui väga rohkem me tegelikult hoolime kas või siis hetkeks andmetest, et ilmselt selles on ka see põhjus. Et ka andmekaitse inspektsiooniga rääkides nad ütlevad, et neile helistatakse justkui on avastatud siis isikuandmed ja küsitakse, et vot, et selline ja selline kohustus, et mis ma pean tegema. Ja siis inspektsioon ütleb, et tore, aga tegelikult see kohustus oli juba kümme-viisteist aastat.

Ilus

seadus, hästi selge, lühike, mõnus, trükid välja, neliteist lehekülge pead taskusse, käid ringi, no proovid üldmäärust välja. Palju see on

kolmsada või midagi

sellist? Nad on sada lehekülge, sihukeses väikses trükis. Kaheksakümmend

kaheksa.

Mõnus, jah. Et niisugune mõnus lugemine, aga taga taskusse ei topi, eks ju. Ja noh, ongi, eks. Mis ongi see sunnivahend, on ju, kas sunnivahend on see, et andmekaitseinspektsiooni helistab, ütleb, et ärge rohkem nii, tehke või sunnivahend on siis seesama, millele sa viitasid, kuigi. Etteruttavalt juba, et, et see saade ei oleks selline hirmu jutulaadne, et Eesti on väga erinev. Tänaste plaanide kohaselt vähemalt Euroopa Liidus, kuna üldmääruse preambula punkt sada viiskümmend üks. Sätestab, et Eesti ja Taani võivad teha erandi. Trahvide, trahvide määramise sellisest olemusest, et meil, meie õigus ei võimalda seda. Sellel on mitu põhjust, et üks küsimus on halduskaristused ja teine on see, et meie väärteva menetluse maksimaalne trahv üldse saab olla nelisada kümme tuhat, täna. Et

meie ei saa neli protsenti aastakäivest määrata. Et

noh,

et, et meil nagu nüüd ikkagi öeldakse, tänane seaduseelnõu, mis meil on täna riigikogus teisele lugemisele kohe läheb. Et see ütleb, et need trahvid ikkagi jäävad, aga erinevalt kõigist teistest liikmesriikidest ei ole meil trahvide esimene meede, mida Euroopa Komisjon tegelikult nõuab kõigilt teistelt. Et, vaid esimene meede on see, et meil tehakse ettekirjutus, andmekaitse inspektsiooni poolt, kui midagi on. Järgmine meede. On see, et on sunniraha ja kui ka siis ei parane, alles siis määratakse trahv.

Vot ma just tahtsin mõelda selle, ma segan nüüd korra vahele, et, et maksuameti nii-öelda kliendina, eks ole, ma olen väga tänulik ja kodanikuna ja väga ka ära harjunud selle. Ma arvan, et see oli tõenäoliselt Marek Helmi juhtimise ajal, kui viidi sisse see loogika, et maksuamet ei ole nagu selline kuri karistusasutus. Vaid maksuamet tuleb ja ütleb sulle, et kuulge, meil on tunne, et teil on siin jama, on ju, et äkki teete korda. Et nad ikkagi esimesel hetkel tulevad ja proovivad noh, et nende eesmärk ei ole teha trahvi, vaid eesmärk on see, et maksud oleks makstud, on ju. Et, et ma nüüd lugesin, kas sul oli Urmas Reinsalu sõnavõtt, kui sa mingit artiklit lugesin, kus ta ütles, et andmekaitseinspektsioon põhimõtteliselt hakkab Eestis tegema samamoodi, et. Eesmärk ei ole teha trahvi, vaid eesmärk on teha asjad korda. Aga ma saan aru sinu jutust, et mujal Euroopas tuleb kohe esimese asja.

See on jah, Euroopa Komisjon on olnud välja pressiteataja, mis ütles, et mitte mingit rääkimist rohkem pole, rääkimist aega on möödas, on ju, et rääkida on ka kolmkümmend aastat, keegi pole aru saanud. Et nüüd on nagu konkurentsõigusega, on ju, sisuliselt nagu igasugused need vestlused erialaliitudes, et mingit rääkimist ei ole. Tuleb nii teha ja siis artikkel kakskümmend üheksa, kes on siis nõuande, nõuandeid väljatöötav, juhiseid väljatöötav organisatsioon. Ka nende siis trahvimise juhis on välja antud kolmkümmend leheküljel, kuidas neid trahve rak Eesti ongi nagu uus Iirimaa ja minu meelest on see väga teretulnud.

Ja no praktikas ma ei ole seda veel näinud, et me oleme näinud kõiki lubadusi, eks ministeeriumi poole pealt, me oleme näinud ka, et andmekaitseinspektsioon ja selle peadirektori on väga resoluutselt välja öelnud, et me kedagi trahvima ei hakka. Ja ka tegelikult see väljaütlemine, et jah, et kõik ongi segane, kõik ongi segane ka veel meie jaoks ja siis me ei saa ju teha kellelegi trahvi, nagu me ise ka aru ei saa, mis need reeglid on. Aga no eks siis nüüd on näha aasta jooksul või nii, et mis see rea

Aga põhimõtteliselt mina näiteks kiusliku kodanikuna või ka uudishimuliku kodanikuna võin võtta selle GDPR-i, kaheksakümmend kaheksa lehekülge, jalutada, ma ei tea, suurettevõttesse X. Otsida üles punkti, millele nad kindlasti ei vasta ja minna otsekohtusse, võin vä?

No ja, absoluutselt, sul on õigus minna nii ettevõtte vastu, küsida neilt, saada neilt vastus. Kui see vastus sulle ei meeldi või sul on kahtlus või sul on teadmine näiteks endiselt töötajalt või ka olemasolevalt töötajalt, et tegelikult see seal organisatsioonis nii ei ole. Siis andmekaitseinspektsioonil tõepoolest on antud üsna laialdased auditeerimise kontrolli õigused. Andmekaitseinspektsioon peab minema ja uurima ja kui see nii ei ole, jah, siis üks asi on trahv. Teine on alati andmesobjektil on eraldi, on ju, kahjuhüvitamise nõue.

Aga kas ma võin ka kodanikuna otse kohtusse minna, hakist mööda, põmm, hagi sisse neli protsenti aastakäibest.

No sina, kodanikuna ei saa trahvi nõuda, et kõik see veel ei ole, aga kindlasti ühe hetke.

Aga ma saan enda mingit.

Aga no need ei küündi kindlasti miljoniteni.

Väikestest summadest, et Eesti niisugune keskmine on kahesajast maksimaalselt kümne tuhandeni.

Okei, no ma vaatasin oma töö tõttu, ma jälgin Ameerika tehnoloogiapressi äärne ja nemad on täitsa. Üliõnnelikud, mulle tundub, selle GDPR-i üle, nad on nagu kahetised, kahetise suhtumisega, et ühest küljest nad nagu natuke kardavad seda GDPR-i ja noh, mis, mis jama see nüüd on. Aga teisest küljest nad ikkagi lõpuks arutavad, arutavad ja siis jõuavad sinna, et noh, paganaga, vaata, Euroopa Liit lõi nüüd ikkagi kanna maha. See on ikkagi nüüd väikse inimese kaitseks tehtud täiesti uue aja eeskiri, et, et kõik riigid peaksid nii tegema ja noh. Meie korrumpeerunud valitsus siin USA-s, vot ei tee midagi, et on ainult suurfirmade lõva otsas. Et kas see on siis niimoodi, et ta on selline väikse inimese kaitseks tehtud täiesti kahekümne esimese sajandi seadus?

Ei, see mõte on ju ilmselgelt õilis või see, mida tahetakse teha, et enne tõesti olid ka ju suurem osa neid õigusi olemas ja noh. Nii-öelda võisid justkui realiseerida, aga kui päriselt mõelda, et üks selline tavaline väike inimene tänavalt läheb siis suure korporatsiooni vastu. Või ka Eestis mõne suure ettevõtte juurde, siis seal tõenäoliselt tuleb lihtsalt vastuse, et me uurime. Ja, või siis tuleb veel hullem mõnelt advokaadilt vastuse, siis tundubki, et enam ei olegi midagi teha. Et mulle tundub ikkagi, et antakse mingid väga reaalsed vahendid ka nii-öelda tavalisele inimesele, et oma õigusi päriselt realiseerida. Sul on poliitiline jõud seal taga, sul on päris nii-öel Et enne ma usun, et sa jäidki natuke abitusse seisu, eriti suurte vastu ja sa ei osanud ka küsida seda kõike.

Ja nüüd, et nagu täitsa selgeks teha, et, et siis tõesti, et võib-olla Maarjale minul on natukene erinev. Maailmavaade ka sellele, et Maarja on andmekaitse-õiguse õppejutt Tartu Ülikoolis, mina olen internetivabaduse ekspert Euroopa nõukogusi. Minul on nagu täpselt vastupidine, jaa, eesmärk on olnud alati õilis, täiesti nõus Maarjaga, samas. Minu hinnangul selline, kui vaadata natuke laiemalt, kas või alustades Euroopa Liidu riikide konkurentsivõimest, mida see neile teeb, võrreldes ülejäänud maailmaga. Kust juba täna tuleb kogu innovatsioon, kas selline reeglistik nüüd pigem aitab sellele kaasa? Või pigem takistab, noh, siin ei ole isegi vaja nagu kaugele mõelda, kui me jätame korraks selle väikese inimese kaitse välja, mis on hea eesmärk. Ja noh, teine pool on see meie enda keskmine ettevõte Eestis on sama väike kui väike inimene lõpuks, üks inimene pluss heal juhul veel pool, pole sedagi. Et kuidas see üks inimene peaks suutma oma põhitegevuse kõrvalt, on ju, teha lumesaane või, või raske tööga teha vilja, on ju, kuni surmani sealt. Kedrata põllult, et kuidas ta peaks suutma leida selle aja, et ta läheb õhtul, kui päike looja läheb koju, siis mõtleb, ma pean töötlemistoimingute registrisse kandada ja.

Nojaa, aga Karmen vaata, no tegelikult need, need ei olegi need ettevõtted, kellega probleem on, et kui sa teed rasket tõelist maatööd, oled üks korralik põllumees, siis tõenäoliselt nemad seda GDPR-i kunagi ei vaatagi. Et küsimus on ju pigem selles, et ka Eesti nii-öelda väiksemad ettevõtted tegelevadki andmetega. Ja noh, mis seal salatega müüvad andmed ja andmed on äri ja vahel ka väga intiimsed andmed, et pigem on ju küsimus pigem sellise ettevõttega, kes selliste valgete käistega istub arvuti taga ja muudkui teeb kõike, et. Ei,

ega, ega ei saagi üldse vastu vaielda, aga noh, eks selliste regulatsioonide miinus ongi see, et kui kogu regulatsiooni lugedes sa saad kohe aru, et selle eesmärk on olnud püüda lõpuks võrku need kõige suuremad. Aga sa selle regulatsiooni käigus mõtledki ainult neist kõige suurematest, noh siis tulebki välja see, et sa unustad natuke ära, et mida need ülejäänud üheksakümmend üheksa koma üheksa protsenti teevad.

No aga nendega me võime siis äkki noh, vaadata taevasse ja loota, et jumal otsustab nii, et noh, et nad ikkagi ei saa esimeses Advokaat saab nii-öelda või noh, riigiametid ilmselt ei saa öelda, tal on keeruline, et me ei viitsi neile trahvi teha.

Mulle tundub, et natuke saab ka riigiametnike alt, arvestades, et AKil ikkagi nii palju, ehk siis andmekaitseinspektsioonil ei ole lihtsalt ressurssi, et käia ja kõiki kontrollida ja nad vaatavadki vastavalt kaebustele, vastavalt sellele, mis siis tõesti sõelale jääb. Et võib-olla ka ettevõtjatele siit soovitus, et, et püüda oma sektoris mitte jääda viimaseks või kuidagi silma paista, et ilmselt GDPR-iga probleem tekibki siis. Kuskil väga avalikult välja öelda, et mind see andmekaitse teema üldse ei huvita. Või siis üldse siis kas või oma kliente ja tööta

Aga kas tekib äkki ka siis, et kui mul on ainult tüütud konkurendid, ma tulen teie juurde ja siis teie saadete mõnusad hagid kuskile välja kohe.

Täna on kolmas päev, kui GDPR on kohalduma hakanud ja meil on teada vähemalt kahest juhtumist, kus ilmselgelt on taotlus kirjutatud konkurendi poolt.

Eestis või?

Eestis, meie kliendile.

Et saadame kraesse teile selle jah?

Ja noh, konkurent ei ütle, et ta on konkurent, konkurent ütleb, et ta on andmesubjekt, et eks selle vastu ongi ainuke kaitsemeede ikkagi tagada nii suures ulatuses enda nõuetele vastavus, et saad ise südamerahuga magada. Ettevõtte omanikuna, samas mõeldes ka tõesti sellele, et ega töötajaid ja oma andmesubjekte peabki kaitsma ja see on suuresti nagu ka maine küsimus, et. Lõpuks need trahvid ei ole need, mis peaksid võib-olla kõige väiksemad siin hirmutama. Et see on maine küsimus ja see, et lõpuks on tarbijatele võime hääletada jalgadega, noh, kui palju see näiteks Facebooki mõjutab, et keegi jalgadega hääletab, aga ma arvan väikest ettevõtet

küll. Ja no ilmselt saab ikkagi loota sellele, et, et esimese hooga ikkagi suuri trahve ei tulda tegema, et pigem võib-olla konkurent teeb sulle teene, et maksab advokaadile selle kalli avalduse eest ja siis tuleb AK ja ütleb, et kuulge, et need paar asja oleks vaja korda teha. Mida sa võib-olla ise poleks teinud, et tõmbab sind trimmi, hea küll, me teeme siia pausi ja siis läheme juba konkreetsemalt selle GDPR-i sisu juurde. Restart läheb edasi ja me räägime advokaatide Karmen Turki ja Maarja Pildiga GDPR-ist ehk andmekaitse, isikuandmete kaitse üldmäärusest jah, näed, hakkab tulema juba vaikselt. Lähme selle sisu juurde, et kas, kas seda sisu on võimalik kuidagi loogiliselt jaotada, et ma ei tea, et A, mis kehtib kodaniku kohta ja B, mis kehtib, ma ei tea, firmade kohta või kuidas see, kuidas nüüd klassifitseeritakse neid asju?

Võib-olla kõige mõistlikum oleks nagu alustada niimoodi, et vaadata, et keda see üldse puudutab, on ju. Et võib-olla siin kõige mõistlikum vaadata, et mis, mis on need andmed, millele see üldse kehtib, on ju. Et kui ettevõte tegutseb näiteks big data valdkonnas, ehk siis tal on väga palju andmeid, aga need on kõik. Sellisel määral anonümiseeritud, et tegelikult pole isik, füüsilist isikut enam võimalik identifitseerida. Et meil on küll olnud hästi palju küsimusi, ettevõtted, et mis ma nüüd teen, mul on ju nii palju andmeid, aga see ei ole üldse enam mure siis. Et kui andmed on anonümiseeritud, siis GDPR ei kohaldu. Teine võib-olla oluline koht on see, et andme, isikuandmete defineerimise raskuskoht läheb sinna, et sul ei ole sellist objektiivset kriteeriumit. Et, et nii mulle kui sulle on seesama tükk, andmetükk, samamoodi mulle võib-olla isikuandmed, sulle mitte. Ehk siis näiteks, kui ma töötan liiklusregistris, mul on ligipääs argikõigile andmebaasidele, siis minu jaoks autonumber on isikuandmed minu jaoks tänavalt, sinu jaoks tänavalt ta ei ole. Et on alati natukene nagu see, see teeb selle keerukuse. Ja teine pool on siis see, et oleneb, kas andmed on üksinda, näiteks. Margus Tamm, lihtsalt nimena ei ole isikuandmed. Maarja Pilt ja Karmen Turk, tõenäoliselt on, sest ma tean, Karmen Turki vähemalt on Eestis üks. No mind on kaks. Teda on kaks, no et seal on kohe kõige küsimus, et kas siis on nimi isikuandmed, ehk siis ettevõte peab lihtsalt üsna palju alguses panustama eneseanalüüsi. Et mõelda läbi, kus ta neid hoiab, kas need konkreetsed, see andmekogu on tal isikuandmete, peaks mõtlema alates e-kirjadest, lõpetades siis tõesti. Andmebaasidega ja mitte ainult sellised väga tihedas kasutuses olevad andmebaasid, aga mõtlema ka igasugused pre-laiv. Platvormide arendused, mis on võib-olla kuskile unarusse jäänud, keegi ei mõtle, mida seal testkeskkonnas tegelikult võib-olla kunagi kasutati, aga seal on ju ka isikuandmed. Et lihtsalt natukene enda jaoks kaardistada, mina soovitan, et tõesti ettevõttega on väiksem ettevõtte, minge, tehke üks õhtune üritus. Arutage, kirjutage see maha, kirjutage see enda jaoks valmis, sest töötlemistöömingute register on üks selline kohustus, mis sealt justkui tuleb. Ja isegi, kui teatud ettevõttel ei ole seda kohustust, siis igatahes soovituslik seda pidada on mitmele, mitmel põhjusel, et see annab endale pildi. Sul on väga rihtne sellisel juhul suhelda AK-iga. Kui on see vajalik, suhelda andmesubjektiga, kui tal on küsimusi, kust tema andmeid kasutate, võtate lihtsalt selle lahti ja ütlete, et jah, me teame siin, siin ja siin.

Mulle tundub, et see on üldse esimene päris hea samm ju ettevõtetele, et ega see andmete kogumine, noh hea küll, eeskirjad on olnud, aga noh, nagu te ka ütlesite, et nad on lihtsalt olnud, et. Et ega neid andmeid on kogutud ju ikka suhteliselt suvaliselt paljudes ettevõttes, paneme mingi logime seda, ma ei tea, jätke oma e-mail, tegema. Et võ Just.

Jah, ja me soovitame ka, et kui tõesti ei suuda ettevõte välja mõelda, miks tal neid andmeid üldse vaja on, siis see on lihtsalt äririsk, mis kuskil nurgas tolmab, et parem on alati siis nii-öelda lahti saada või mõelda läbi, et mida nendega teha. Et noh, teiselt poolt on ka ettevõtted leidnud uusi ärivõimalusi sellega, et kui sul on nii hea süstemaatiline ülevaade, mis andmed sul on. Ja näiteks sa saadki aru, et sa saad palju paremini tegelikult tarbija käitumist vaadata ja jälgida, kui sa arvasid, saad sealt näiteks uue toote teha. Et ega see päris nagu selline negatiivne ja ainult kulukas tegevus ka ei ole, et, et kui mõeldagi selle plaaniga, et hea küll, meil on GDPR projekt. Aga kuidas me saame seda äriks teha, siis ta võib ka nagu natuke teise maigu saada, et juhatust ära veenda näiteks, et sellega peab tegelema.

Aga kui võtaks mingi näite, et no võtame näiteks mingi. Hüpoteetilises firma, kus töötab kaks kujundajat, on ju, see on disainerid, eks, neil on Macid ja kuskil on mingi kontor ja koer on kontoris ja noh, nagu see on, osutavad klientidele mingeid teenuseid, teevad reklaame, saadavad välja, saadavad arveid. Kas neil potentsiaalselt on üldse midagi seal, noh, kas te oskaksite välja tuua, et mis need andmed siis on, mida nad hirmsasti koguvad?

No üheks näiteks, näiteks, et kui on selline disainer, ta käib, on ju kliendikohtumisel, käib seal ära, tuleb tagasi. Teil on tõenäoliselt, on nii-öelda disainer, kahel disainerilisel omavahel mingisugune, näiteks Exceli tabel on ju, kus nad jagavad seda omavahel infot, et kuule, käisin seal kliendikohtumisel, tegin sellise pakkumise. Kliendi office nägi välja selline, mulle tundub, et nende väärtused on sellised, seal töötavad need inimesed, et võib-olla saaks kuidagi niimoodi neile pakkuda kõige paremat teenust. Väga relevantne selle teenuse pakkumiseks, on ju. Nüüd, kui see teenus on pakutud Teenus on osutatud, klient on selle vastu võtnud, kas siis on enam oluline, et kuule, et seal klient, seal Pros töötas näiteks, ma ei tea, Karmen Turk või Maarja Pild, enam ei ole, võib-olla on ju. Siis teenus on osutatud ja klient on juriidiline isik. Et siis võiks mõelda, et kas need andmed näiteks on vajalikud. Nüüd, kui võtta teiselt poolt, et see disainer nüüd läheb sinna kliendi juurde, kliendi, klient võtab isiku vastu, disaineri siis pakub tal kohvi ja kirjutab kuskile ülesse omale. Näiteks CRM-i, mis on kõige tavalisem, et see, ettevõtjana on tema juhatuse liige, on ju, joob kohvikoorega, on ju. Hommikul on tal pigem halb tuju, on ju, õhtul on parem tuju, et. Et noh, kas see on alati relevantne? Noh, kui on, siis see ongi nüüd järgmine samm pärast seda, kui on analüüsitud, mis on need andmed, et.

Aga mulle tundus, et ikkagi teil oli ka natuke raskusi leida sellisest, sellist tüüpi ettevõttest mingit hirmsat andmekogu, et noh, mida nad peaksid vaatama.

Pigem ongi väiksemad asjad, et ehk neil on veel uudiskirjad, arvete väljasaatmine, kui selline. Kas

arved on ka isikuandmed või?

Kui arve peal on eraisikuandmed, siis jah.

Ei, aga te ise, ma saan teisele ettevõttele. Nii,

et

ettevõtete vahel see nagu ei kehti?

Ei, see on jah, füüsiline isik ikkagi.

No nii palju on, et, et ega arve sa ju üldiselt vähemalt, kui sul on väiksem klient, siis sa saadad ka ju mingile isikule, on ju. Kui seal on eesnimi, perenimi, ettevõtte.ee, siis seal on isikuandmed. Aga nüüd ongi seesama järgmine samm, et kui sa nüüd tead, mis need andmed on, et saadad arve, on ju saadad näiteks mingi väike ettevõtte, eesnimi, punkt perekonnanimi, et koerad, punkt ee või midagi muud sellist. Et siis nüüd, kui teil on selge see pilt, mis sul on, siis hakata mõtlema, et mis alusel ma neid kasutan. Ega neid aluseid, kui meediat loed, siis tihtipeale võib jääda mulje, et nüüd mul on vaja võtta nõusolekuid, need kampaaniad ka, mis olid, ütleme. Kõik postkastid oli, umbes, et hästi palju kuidagi mõeldakse, et nii, nüüd mul on vaja nõusolekut ilmselt. No ei ole, tegelikult on kuus seaduslikku alust, millest sa pead ühe valima ja enda jaoks läbi mõtlema ja see ongi

kõik.

Üks on näiteks lepingu täitmine, lepingu sõlmimiseks, täitmiseks vajalik, aga ka lepingu alusel kõikvõimalike vaidluste ennetamiseks, ehk siis vähemalt kolm aastat pärast lepingu lõppu sa võid justkui ju säilitada, sest sa ei tea kunagi, kuna kohtuasi

tuleb.

Teine on nõusolek, loomulikult väga oluline, aga on avalike ülesannete täitmine, mis on võib-olla riigile rohkem. Siis on huvide kaitse väga selliste eluliste huvide näiteks mingi katastroofiennetus, mis on ka võib-olla vähem olulisem. Aga üks väga oluline on õigustatud huvi. Õigustatud huvi on siis selline seaduslik alus, kus on ärihuvid, mis võivad olla tõesti väga laiad, on ju. No võtame sihukese keskmise internetis isikute jälge, on ju, no tema ärihuvi on ju koguda kõike minu kohta. Et ma käisin seal beebikasju asju vaatamas ja siis ma käisin koera piinamislehti vaatamas, vaatamas ja kõike muud sellist. Tema huvi on muidugi see kõik kokku koguda. Aga nüüd küsimus ongi, et nüüd hakkab kaaluma, mul on need andmed, kas mul on minu ärihuvi väga selgelt olemas, mina tahan seda meelde jätta, et ma tean, et ma pakun talle mingi nõuandetelefoni ja mingeid muid asju tulevikus. Teisel pool, ta peab hakkama kaaluma, kaaluma, mis on nüüd minu huvi. Ta peab seda kaalumisülesande läbi tegema, kui see kaalumisülesanne ütleb, et jah, ma ikkagi võin neid andmeid hoida, siis ta võibki hoida. Et

see ongi nii keeruline ka, et, et kuigi see alus oli ka varem olemas, siis Eestis me ei rääkinud sellest üldse mitte kunagi ja seda nii-öelda seaduses isegi väga ei kajastatud, et see oli selles vanas regulatsioonis ehk direktiivis. Ja õigustatud huvi ongi hästi kummaline nii-öelda siis. Kui ka ettevõtjatele seletada, näed, sul on selline alus, sest see on pigem väga midagi seminariruumi teemad või midagi, mida sa arutad õigustudengitega ja ka siis saab öelda, et võtad hinnati valesti või õigesti. Aga samas ta on ikkagi tunnetuslikult midagi sellist, kust sa saad aru, kas see on aus või mitte. Et tavaliselt ma toon sellise kaamerate näite, näiteks tööandja siis soovi oma töötajaid mingil eesmärgil jälgida.

Ja

siis seal näiteks õigustatud huvi vaadatakse selle järgi, et kas inimene teab, et seal see kaamera on või mitte. Ja kui inimene näiteks kuskil ka arvates, et ta on siis oma privaatsfääris, arvab, et noh, teda kunagi ei jälgita, siis on väga keeruline ka juba tunnetuslikult põhjendada, et seal on õigustatud huvi.

Et kui sa näiteks ikkagi vetsu paned selle ja inimestele ei ütle, et siis on natuke halvasti.

Või, või ka tegelikult see võib kuskil mujal olla, et inimene arvab, et ta on omaette näiteks, saaks nurga taha suitsu tegema, aga tegelikult on siis tööandja sinna salaja kaamera pannud, et nii-öelda vahele võtta. Aga siis, kui tööandja toob soovib seda reguleerida, soovib seda filmida, siis noh, vahel võib-olla tõesti see põhjendada ära selle, et miks ei saa kaamerat olla, kaameras seda silti olla. Ja või siis näiteks, et see on nii ilmselge või siis Aga kui tundub selline ruum, kus inimene peakski olema, tundma ennast hästi ja privaatselt ja ta ei tea, et seda jälgitakse, siis on väga keeruline põhjendada, et seal on see õigustatud huvi. See

kuklatunne on tegelikult see, mis annab.

Aga see ei pruugi muidugi sul kattuda inspektori

kuklatundega. See ongi üldmääruse võlu ja valu, et üks on see, et see kuklatunne tuleb ettevõttel dokumenteerida. Selleks, et ta saaks pärast hiljem näidata, et näete, ma hinda siin. Nüüd tuleb välja, et hindasid valesti. Nüüd siinkohal ongi võib-olla hästi asjakorral näide, et kui tavalised seadused on sellised juristidele hästi head lugeda, sul on õigusreegel, on ju. Ostate siin krundi, ehita, sul on, pind on kakssada ruutmeetrit, võite ehitada kahe korrussööri saad, ei tohtinud, on ju, kaks korrust maha, elu läheb edasi. GDPR või see oli üldmäärus, on nii-öelda selline nagu compliance akt, mis tähendab seda, et sa ostad krundi ja sulle öeldakse, et ehita selline maja, nagu sulle tundub, et sinna kohta sobib. Aga hinda see põhjalikult ära ja proovi mitte eksida. Hindadki mõtetud neljakorustani, minu arust sobib imehästi siia suvilate rajooni, ehitadki oma torni sinna valmis. Tõenäoliselt ei olnud see kooskõlas seadusega, on ju, aga kui sa seda suudad ära põhjendada. Et sa olid hoolas hindamisel, võtsid arvesse kõigi naabrite huvid, vaatasid, et kellelgi ei tule päike ette, kõike nagu kaalusid. Siis see võibki nii olla ja see ongi GDPR-i see nii-öelda võlu. Ehk siis, et rikkumine, see võib olla.

Jah, et, et isegi kui inspektsioon leiab, et tegelikult neljakorruselist ikkagi ei tohtinud ehitada, siis ta nüüd, kui sul on see hindamine tehtud, ei saa tagantjärgi tolle ütlema, et kuule, et mis mõttes, et sa pidid aru saama, et siia ei tohi neljakorruselist ehitada.

Pigem see tähendab seda, et vastutust ei järgne, rikkumine on, ehk siis tulevikus on see, et ei ole mõtet oma sõpradele, konkurentidele küsida, et noh, et kas teil on mõni siin rikkumine toimunud. Kui keegi ütleb ei, siis ta valetab, kõik. Kõigil toimub liikumisi ja see on okei, niikaua kui sa oled nii hoolas, kui sa suudad arvestada su oma suurust ja võimekust ja kõike seda.

Okei, ma toon teile teise näite, ma olen korteriist juhatuse liige, meie trepukohast läks üks päev jalgratas, kõige varast ära. Ja seekord ei ole tulnud, aga mõnikord, kui meil on ka garaažist midagi läinud, et siis on ikkagi kerkinud üles küsimus, et no paneme kaamerad. Ja kõik olid kohe juba kaameraid panemas sinna ja võeti hinnapakkumisi, on ju, et esimene takistus oli see, et see oli väga kallis. Aga teine oli see, et mina hakkasin, noh, et siis olid, paneme ise, noh, lähen poodi, ostame netikaamera, veebikaamerat, paneme ise, on ju. Ja siis, kui mina saatsin kirja ja küsisin, et aga, et kelle käest need siis noh, need mälukaardid on või, et kust see läheb? Et kellel tekib see õigus vaadata, mida see kaamera filmib, on ju. Kas me ikka kõik tahame, et noh, et keegi juhatusele IGX või ma ei tea, inimene vaataks, et mis kell kellega, mis k Kas, kas need muutuvad praeguse juures selle GDPR-iga, kas ma võin panna trepikotta valvekaamera või, või?

Mina ütleks, et kui on, on ka õigustatud huvi, meil toimub siin vargusil, me tahame, et meil oleks turvaline oma kodus elada, minu meelest üliõigustatud huvi, eks ju. Nüüd peab kaaluma, kaaluma peabki, on ju, aga me mõnikord on ju, võib-olla tuleme võib-olla mitte kõige sirgema sammuga koju, on ju, võib-olla tuleme inimesega, kellega ei pea erinevaid stsenaariumi. Mis nüüd siis need kaitsemeetmed on, mida me suudame inimestele pakkuda? Üks kaitsemeede on kindlasti teavitamine, on ju, et ukse ees on silt, siin on videovalve, esimene kaitsemeede. Teine on tõesti see, et kes kuna seda näeb. Et võib-olla olekski kõige mõistlikum kaitsemeedia siin tagada, et see videopilt ei olegi kellelegi jälgitav reaalajas, mitte kunagi, see salvestub automaatselt krüpteeritult. Ja krüpteeringu nii-öelda avamist siis logitakse ja seda tehakse ainult teatud juhtudel. Ja need juhud siis dokumenteeritakse.

Võib võtta vastu korra, et ma ei tea, et selleks on vaja vähemalt kahe juhatuse liikme kohalolekut või kolme, on ju, või midagi

sellist. Ja see õigustatud huvi tuleks pannud paberile, et see on sellisena kaalutud ja sellise. Aga see on vabas

vormis, ma saan aru, et lihtsalt tuleme kokku, kirjutame sinna või on seal mingi, kuskil on mingi blanket, mille me seal. Siis

pigem on blanketide teema ikka. Et mõned küsimused tuleb ära vastata.

Et noh, GDP-s on kirjas, millele sa pead vastama, see on sihuke kolmeastmeline test, mis ma ei nimeta neid juriidilisi asju rohkem. Aga sihuke kolmeastmeline test, mis tuleks nagu läbi viia, et kaaluda proportsionaalsust või seda, et kellelegi ülemäära kahju ei teha.

Noh, ma arvan, et suurettevõtetel on pigem hästi, et neil on jõudu ja raha minna kas oma juristi juurde või tuleb jurist teie juurde, et nad saavad hakkama, eks ole, et ma arvan, et me pigem peaksime keskenduma just nagu sa ütlesid, need mees ja koer või kaks disainerit tüü Kas see GDPR on, on nii arusaadav, et nad võtavad selle ette ja hakkavad lugema ja, ja oskavad seal vastata. Nii, ma

usun, et kui esimene kord, kes seal avab või seda selle poole vaatab või hingab või seal, kuidas ruumis on, siis on juba ebameeldiv. Et isegi juristidel ilmselt ka see, et noh, küsimus on ka natuke lugemisoskuses. Et kui arvata, et nii, et ma täna võtan selle GDPR-i ette, et mul on tööpäev, et kaheksa tundi laen läbi, kõik on hästi, siis see läheb juba väga keeruliseks. Sest kui algusest lugema hakata, siis seal on alguses preambula punktid, mida on üle saja seitsmekümne ja siis tulevad alles artikleid. Ehk siis seal peaks ka lugema niiviisi, et võtad esimese artikli ja siis vaatad, mis on preambulast relevantne. Et juba sellega võid natuke ära väsida, et alustad preambulast ja siis sa aru, mis seal on, ja nagu tavaliselt Euroopa Liidu akt. Laused on äärmiselt pikad, keerulised, eestikeelset versiooni ei julge üldse soovitada, et pigem lugeda koosseis paralleelselt, et vaadata, mis on näiteks inglise, saksa või prantsuse keeles. Ja siis eestikeelset juurde, et noh, inglise ja eestikeelset saab niimoodi paralleelselt ka vaadata. Sest muidu tõesti me oleme ka Karmeniga mitu korda lugenud mõnda lauset, nii mitu korda ja.

Eino pigem on selle tõlkega läks neil väga kiireks, see on esimene probleem, et me oleme ka tõlke osanud Euroopasse, esitanud nagu mitmeid ettepanekuid, et noh, näiteks, et. Kui tegemist on sellise aktiga, mis ei ole nagu seadus, seadus on ju hästi lihtsalt, õigusreegel, teed nii, tead, kõik on hästi. Kuna see ei ole nagu seadus, seal ei ole õigusreeglid, seal on kogu aeg nii, et tee endast parim, hinda, mõtle, ole. Eks, et ka pole, see pole nagu juristile hea tekst lugeda, sest ta pole üldse juriidiline tekst, on ju. Ehk siis seal on tõesti tõlkeprobleem, et üks näide on see, et see tegelikult on riski hindamise, kõige tüüpilisem on riski hindamise tekst. Aga eestikeelses tõlkes pole mitte ühtegi sõna mainitud sõna risk, vaid on mainitud sõna oht, mis on. Kui te, kui te olete mõne riskihindajaga elus rääkinud, siis risk ja oht ei ole isegi mitte sama kategooria terminid. Ehk siis, et see teeb seda raskeks ja teine, mis teeb seda teksti hästi raskeks, on see, et seda on läbi räägitud tänaseks kaheksa aastat. See on meeletu kompromisside summa. Ehk siis no, mis nad siis saab tulla, sealt saigi tulla selline tekst, et sellest ei ole võimalik tavainimesel nagu mõistlikult aru saada, aga selleks on nagu lahendus. Selleks on artikli kakskümmend üheksa töögrupp, mis siis koosneb erinevatest andmekaitseametnikest üle Euroopa, kes siis annab juhiseid erinevate kohustuste ja nõuete kohta. Üks näiteks on seesama õigustatud huvi hindamine, igal konkreetsel andmetöötluse juhul. Kui see läbi lugeda, see on inimkeeli, seal on palju näiteid, see on küll inglise keeles, aga andmekaitse. Mis

selle nimi on, ütle, kus selle saab?

Selle saab artikkel kakskümmend üheksa veebilehelt, kui te panete selle Google'isse, aga meil Andmekaitse Inspektsioon tõlgib jõudumööda neid nii palju kui võimalik. Seda veel ei ole, aga see kindlasti tuleb, et täna on ta inglise keeles olemas, kui panna. Nii et seal on

siis nagu lihtsamalt lahti kirjutatud see.

Näidetega niimoodi, et tõesti teaks, inimene saaks aru, mida ta peab tegema.

Siis kummaline, see määruse juures ongi see, et see määrus nõuab, et näiteks, et ettevõtjad siis teeksid oma privaatsuspoliitika selliselt, et isegi laps saaks aru. Ja siis hakkad lugema, mõtled, et isegi täiskasvanu ei saa sellest määrusest aru. Ja no artikkel kakskümmend üheksaga on ka ilmselt see, et pärast seda määrust tundub see selline kerge lugemine, aga ega ta nüüd päris nii mõnus ka pole.

Aga kas juba on äkki keegi jõudnud Amazoni müüki panna raamatu mingi GDPR Fordhammis või midagi sellist?

Kusjuures on täiesti olemas, täiesti olemas ja ka GDPR-i raamatuid tegelikult või selliseid juhiseid on päris palju, aga. Nad kipuvad jääma hästi pealiskaudseks, ongi sellel põhjusel, et lihtsalt ei ole väga palju praktikat ja praktika, kui on, siis see on pigem pangandussektorist ja juba varem hästi ülereguleeritud, siis ütleme, telekomi sektorist, aga see jääb ikka tava. Et kindlasti neid juhiseid tuleb, et meie oleme ka ühe koostanud varsti aru välja, et mis on niisugune kolmkümmend ühekülge tõesti ettevõtjale nii lühidalt ja lihtsalt kui võimalik.

Nii et seda saab siis Trinity kodukalt, millalgi? Ühel hetkel jah,

järgmine nädal näiteks.

Okei, no selge, teeme siia teise pausi ja siis jätkame. Restart jätkub ja viimane kolmandik GDPR-i saatest. Ma tõstaks nüüd teie ette ühe küsimuse, mis on väga omakosopüüdlik, sest me oleme ise siin geeniusetoimetuses mõelnud. Keegi ei ole viitsinud helistada ei Karmenile ega Maarjale ega kellelegi, et küsida, et mis värk siis on, aga me oleme siin ise proovinud nii-öelda terve mõistusega arutada. Ja me oleme jõudnud järeldusele, et meie oma geeniuseportaale tehes, oma teada ei kogu mitte midagi. On ju, et meil on, kõik on mingite väliste teenusepakkujate käes, kas olla, mailing list on Mailchimpis, analytics on Google'is, on ju. Facebooki grupp on Facebookis, arvemajandus kõik on Scoros, noh, et erinevad sellised pilveteenusepakkujad. Ja meil on kogu aeg tunne, et aga, et noh, see, et kuidas see neil seal hoitud on, on nagu nende mure, et me ei pea midagi tegema. Ei ole nii, jah?

GDPR-i üks kõige suurem muudatus ja nagu Maarja enne alustas, et tegelikult on see kontseptsiooni ja poliitika tulemus. Ongi see, et täpselt selline analüüs, nagu te siin olete oma ettevõttes siis vaikselt teinud. Ongi olnud see, mis on olnud probleem kakskümmend aastat, miks direktiiv ja meie vana isikukaitse seadus tööle ei läinud. Et kõik mõtlesid, aga no tegelikult ju posti viib kohale Omniva, on ju, raamatukidamist teeb seal Merit, mina ei teagi, kes seal on, pole minu asi, kui neil midagi juhtub, nende probleem, nemad usutasid mulle teenust. See on see, mida GDPR muudab, see on üks kõige suurem ja olulisem muudatus, ehk siis ta ütleb, et eelduslikult on olemas selline asi nagu solidaarvastutus, kole termin. Solidaarvastutus tähendab väga lihtsalt seda, et kui sa sõidad autoga täna tee peal ja tee pealt on maas kanalisatsiooniluuk ja sõidad sealt läbi oma telje katki, siis vastutab nii tee omanik kui ka kanalisatsioonitorustiku omanik. Ja sina ise valid, kas sa esitad nõude ühe vastu, mõlema vastu või esita üldse. Ja see ongi selliseid arvestuste mõte. Ehk siis, kui nüüd täna on ju näiteks Scor on halb näide, ta on Eesti ettevõte, võtame

panna

muu. Google Analyticsist, kui teil on nüüd, Google Analyticsil on väiksem probleem, sest nad kasutavad üsna nagu abstraktsel tasemel, koguvad andmeid. Kui teil on see tasuline teenus, mis siis juba näitab nagu natuke kaugemale. IP aadressid, mis on siis teine GDPi muudatus, et ka IP aadressid võivad olla isikuanded, midagi siiani pole sellisena väga võib-olla käsitlenud. Et kui teil on selline teenus, siis kui nüüd seal midagi juhtub ja nende andmebaasiga midagi juhtub, kas ta kaob, kustub, häkitakse, läheb avalikuks, seda muudetakse niimoodi, et teie ei tea. Siis minul kui andmesubjektil on nõudeõigus Google'i vastu, mul on nõudeõigus geenius vastu ja mul on nõudeõigus mõlema vastu. Sinu jaoks on GDPR ette näinud, et sina ei või lubada volitatud töötlust siis tahes, kas pilveteenuse osutajate poolt või teiste tarkvarateenuste osutajate poolt või kelle tahes teiste isikute poolt. Kellega sa pole sõlminud lepingut, kellega, keda sa pole ära hinnanud, kas nad teevad seda vastavalt GDPR-ile ja nad on hoolsuskohustuse täitnud. Ja see ongi sinu kohustus, kui andmejate nii-öelda vastutav töötleja, ehk siis see, keda on andmesubjekt nii-öelda esmajärgus usaldab.

No Mailchimp on võib-olla isegi parem näide, eks ole, sest et mul on seal tuhandete inimeste nimed ja e-mailid ja ma olen kogu aeg mõelnud, et see on noh, kuskil seal ära, see on nende mure, mis ma siis nüüd tegema pean, kas ma saadan mingi faksi neile mingi lepinguga või?

Et noh, lihtsam ongi ikkagi Eesti ettevõtetega, sest seal ongi arusaadav, kuidas seda määruse kohustust täita, et võtadki Omnivaga ühendust või GNLS-iga või kellegi sellisega, kellega sa tead, kust sa selle kontakti kätte saad. Kui mõeldagi Google'i ja selliste suurte peale, siis tekibki küsimus, et kellele ma sealt siis nüüd selle kirja saadanud, ilmselt see Google'i CEO ei ole see, kes GDPR-iga tegeles.

Ma pigem ootaks, et kõik need ettevõtted saadavad mulle selle kirja, sest minusuguseid kliente on neil ju, ma ei tea, miljoneid.

Ja täpselt. No,

ongi, et sellised, kes on siis üle Atlandi ettevõtted, et nende jaoks ongi GDPR-is täiesti eraldi pikk peatükk, kõige pikem üldse. Et kuidas siis toimub välisriigi, ehk siis nii-öelda Euroopa Liidust väljapoole andmete edastamine. Et seal on täna meil veel, on meil kehtiv selline koostöövorm Euroopa Liidu, noh, see läheb natuke võib-olla keerulist, Euroopa Liidu ja USA vahel, mida nimetatakse privacy shield'iks. Ja siis on sinu kohustus kontrollida, et see ettevõte on privacy sildiga liitunud, ta on ennast ära hinnanud, ta on sinna pannud kirja, kuidas andmesubjekt saab oma õigusi teostada. Mailchimp ühines mõned nädalad tagasi, nii et sellega on hästi, kuni sinnani oli Mailchimp väga suur probleem.

No, hea kuulda.

Jah, aga no võtamegi näiteks Eesti ettevõttes Scoro, väga hea näide, on ju. Temaga, sinu väga selge kohustus on see, et sinu kui vastutava töötleja kohustus on sõlmitada temaga leping. Sinu kui vastutava töötleja kohustus on hinnata ära, et tema täidab sinu nõutud turvameetmed, mida sina nõuad, kuidas andmeid hoida, kes neile ligi pääseb. Kui kaua neid hoitakse ja see on sinu vastutus.

Et mina peaks kuidagi hakkama hindama, et milline Scoro töötaja näiteks pääseb minu kliendi andmebaasile.

Sina peaksid seda neile ette ütlema, kuidas ja kas nad peaks seda tegema. Nendel on õigus öelda siis täpselt, mis andmed nad näevad, kuidas nad neid hoiavad, kui kaua nad nad hoiavad. Te peate ka kokku leppima, mis saab siis, kui toimub rikkumine. Rikkumine on ju, see ei ole ju ainult leke ega vargus, et see võib olla ka see, et andmebaas lihtsalt kustub või ongi, et andmete terviklikkus on kuidagi kannatada saanud. Et te peate suhtma koostööd teha ja see, koostööd teha ja see tuleb lepinguga sätestada.

Aga kas see leping peab olema nagu allkirjadega leping või see on see nupp, mis ma vajutan netis, et nõustun?

Andmetöötusleping peab olema eraldi nii-öelda teenus lepingust, jah. See nüüd, kas sa teed seda kirjalikult või sa teed seda digitaalselt allkirjastatult või te teete seda kuidagi klikvrap meetodil. See on juba eraldi küsimus, aga see ei saa olla tüüptingimused, mis on tavapärased lehel. Et selle jaoks on määruses artikkel kakskümmend viis või üheksa, ma isegi praegu peast nüüd. Üheksa

vist oli.

Kus on kirjas, mis on need tingimused, mis peab olema lepinguga reguleeritud.

No aga mis sind ikkagi, mida nüüd terve mõistusega ettevõtte ja omanik või juht tegema peaks, et raske on ju ette kujutada, et mingisugune sada tuhat Eesti väikeettevõtet hakkab Google'ile või Mailchimpile mingit kirju lepingutega saatma.

No ei ole, nemad on volitatud töötlejad, ehk siis nemad teevad seda, mida teie nõuate. Aga ongi, et võib-olla väikeettevõtjale ma soovitangi nagu korraks oodata veel, ütleme kõik see, mis on väljaspool Euroopa Liitu, sest siin on Euroopa Komisjonil ka veel mitmed sammud tegemata, et uued nii-öelda standard.

Scoror on Eestis ka tuhandeid kliente, et kas siis kõik nad peaksid hakkama mingisuguseid läbirääkimisi avama Scoroga või?

Aga geenilise juhina ei ole veel saanud postkasti ühtegi andmetöötluslepingut või? Väga aus küsimus.

Ei, mingit sellist, ma olen saanud neid kirju, et kliki siia ja nõustu, on ju, aga ma ei ole saanud mitte ühtegi nagu sellist, et noh, et siin on meie p-doc faile, on ju, et kirjuta alla ja saada tagasi, et mitte ühtegi. No ilmselt see

tulebki teise lainega, et esimene oligi see väljapoole ja see nõusolekute küsimine, et alles nüüd hakatakse sissepoole kõiki korda tegema, et nii nagu töösuhted, oma töötajatega, kõik, mis on vaja üle vaadata. Ja järgmine ilmselt laine tulebki siis koostööpartnerite ja kirjata, et kuule, et meil siin vist GDPR nõuab mingit lepingut, et teeks selle ära. Et tõesti, et nii palju on ka veel, mis on segane ja see teema kindlasti on eriti suurtega, eriti Google ja Facebookiga, et täiesti põhjendatud, et neil on ju tõesti miljoneid kliente, et kas nad siis hakkavad igaühega vaatama, et mis tingimused, nad ei hakka neid läbi rääkima, et see ei ole reaalne.

Ei, nemad, nende jaoks ongi, et kõik, mis on väljaspool Euroopa Liitu, on lihtsam. Kõik, mis on meil omavaheliselt väga selged volitatud töötlused, võib-olla sellise büroo ruumi puhul on hea näide, et siis see tõenäoliselt teil, teilgi saab uksekaardiga, mitte võtmega. Kus nüüd, kui uksekaardiga, kui te, teil töötaja pane, pane, piiksutab sinna vastu, mis andmeid kogutakse?

Pole õrna aimugi.

Pole õrna aimugi. Tööandja kohustus on teada, mis andmeid kogutakse, on, aga tööandja kohustus on sõlmida siis sellega, kelle iganes kätte see läheb, kas see on siis. Maja haldusettevõte, maja omanik või hoopis on ka G4S on näiteks osaliselt. Nendega tuleb sõlmida leping, sest varstsel juhul on automaatne rikkumine, et siin ei ole enam mingitoolsuskohustust või hindamist või sellist väljarääkimist isegi võimalik soovitada, et see on kohustus.

Minu töötajate kaitseks, kes mulle siin käivad, et, et isikuandmed on see, mis kell keegi tööle tuli ja uksest sisse välja

Ja kindlasti.

Sest logitakse reeglina ju vähemalt nimi, tihtipeale oleme avastanud, et ka näiteks isikukood ja mingid andmed, mis pole üldse haldusettevõttele vajalik, et. Uskumatu. Aga tehtav.

Ja, me, me saate lõpuni on mõned minutid aega, et mida nüüd ikkagi siin, kas on mõistlik oodata, kas on mõistlik, lihtsalt sellised väikeettevõtte kellelegi ette ei jää, lihtsalt vaadata, et mis saab, kui tolm hajub?

Ei noh, siin ongi jälle täpselt seesama nõuanne, et, et vaadata, et esiteks, et mida teised turul teevad ja kas või väljapoole midagi alustada. Ma usun, et andmekaitse inspektsiooni jaoks ka ju on see oluline, et, et midagi on alustatud ja midagi on tehtud ja. Ja näidata, et nii-öelda see projekt on kas või käimas, sest noh, nagu me oleme ka siin täna arutanud, et päris mõttetu see ju ka kõik ei ole. Seal on võimalusi, see on põhjus, me kaitseme ikkagi nii-öelda põhiõigust ja isikuandmeid kui selliseid, et, et ei ole päris selline suvaline teema.

Aga ma pean ikkagi läbi mõtlema, siis ma saan aru ju selle, et mida mina kogun, aga tegelikult ka, et mida minu koostööpartnerid koguvad

jah,

nagu näiteks majahaldur.

Ja mina ütleks näiteks viis sammu, mida väikeettevõte võiks mõelda. Esimene on mõelda läbi ja panna kirja, mis neil on. Mõelda läbi, mis alusel edaspidi see töötus toimub, sinna alla käib ka loomulikult see, et kui mina ise ei töötle, kes siis töötab, näiteks majahaldur. Panna nagu see enda jaoks vähemalt punktkirja, et näed, et siin on mul majahalduri käes mu töötajate andmed või minu klientide andmed on Mailchimpis, et ma panen omale sinna tärnikese, et ma tegelen selle osaga ka, on ju. Kolmandaks, kindlasti läbi mõelda, mida teeb. Ütleme siis info-ättevõtte.ee aadressilugeja töökohas, mida ta teeb, kui ta nüüd saab andmesobjekti taotluse, et oleks see protseduur läbi mõeldud, sest andmesobjektil on õigus ju saada koheselt ikkagi mingisugune vastus, ta teab, et sellega tegeletakse. Et mis see protseduur on ettevõttes? Sama oluline on siis see, et intsidendi haldus, see on hästi kole sõna, aga põhimõtteliselt, kui midagi juhtub. Et meil on kolme sorti rikkumisi, mis on hästi oluline, et üks on hea, sihuke oluline, kui kõik läheb vastu taevast, siis tuleb teavitada kõike kogu maailma, alates andmesubjektidest, kas või uudis teha. Järgmine, kui on väiksem seal risk ohtu ja oht siin õigustele, vabadustele, tuleb teavitada Andmekaitse Inspektsiooni, aga iga rikkumine tuleb registreerida ettevõtte siseses registris. Ehk siis see tuleb enda jaoks nagu läbi mõelda, sest see on selge hoolsusstandard, mis, mida ei ole võimalik edasi lükata. Et võib-olla need asjad, mis tuleks kiiresti

Kui praegu tekkis aga suur mure, siis võib kavada andmekaitseinspektsiooni lehe, et neil on isegi eraldi koht selline andmekaitse reform. Ja iga päevaga tuleb sinna vorme ja kõike juurde, et, et ei pea päris muretsema, et te olete täitsa üksi ja, või teil ei ole äkki kahele, kolmele, neljale advokaadile maksta, et nad seal tuhandet euro eest vaidleksid.

Aga inspektsioonist vist nõu ei saa, on ju? Või võib sinna helistada? No

neil on kakskümmend inimest, et noh, palju nad jõuavad, aga neil nõuandetelefon on, võib ta täitsa helistada, aga selliseid teenuseid tuleb ka järjest juurde, mis proovivad ettevõtetel appi tulla ja automatiseerida võimalikult mõistliku. Sest ega see keede peale ära ei lähe, täpselt samamoodi nagu tuleb ettevõttel maksta raamatupidamisteenuse eest, turvateenuse eest. Tuleb tõenäoliselt ka mõelda, et, et kuidas hallata seda kõiki neid nõudeid ja nende, ütleme, logimise ja salvestamiskohustusi, et neid teenuseid tuleb juurde. Me oleme oma klientidele teinud sihukest pool automatiseeritud teenused, noh, neid tuleb juurde ja ma arvan, ettevõtted saavad abi, et muretseda pole vaja, kolli ei ole, kõik on jumala hästi, tegelikult.

Aga tore, sellega me saame oma saate lõpetada, aitäh kõigile kuulajatele ja kohtume nädala aja pärast.