Euroopa Parlament kiitis 14. aprillil 2016 heaks isikuandmete kaitse üldmääruse, inglise keeles General Data Protection Regulationi ja kõikidele juba tuttava lühendina tuntuks saanud GDPRi. Mida see aga endast kujutab?
GDPR hakkas kehtima 25. maist 2018 (Andmekaitse Inspektsioon). Edaspidi kehtivad kõikidele, kes tegelevad isikuandmete töötlemisega, uued nõuded.
Põhjalikuma ülevaate saab Andmekaitse Inspektsiooni leheküljelt.
GDPRi üheks eesmärgiks on see, et Euroopa riikides kehtiksid samasugused inimeste andmete kaitsmise ja kasutamisega seotud reeglid ning kõikides riikides üle maailma arvestataks Euroopas kehtivaid ettekirjutusi isikuandmete töötlemisel. Eestiski kehtib antud üldmäärus, kuid sellekohase eelnõu tagasivõtmine juunikuus pikendas selle täiemahulist rakendumist (kaubandus.ee). Siiski kehtivad Eestis üldmäärusega seotud põhimõtted.
Inimesed saavad ise edaspidi senisest enam kontrollida ja otsustada, milliseid ja mismoodi nende isikuandmeid edaspidi kasutada võidakse. Näiteks on inimesel õigus teada saada, kust on saadud tema telefoninumber kui talle tehakse müügikõnesid. Samuti on inimesel õigus oma andmete kasutada laskmisest keelduda ja seejärel on ettevõttel kohustus selle isiku andmed kustutada. Andmete töötlemise all peetakse enamjaolt silmas nende kogumist, hoiustamist, kasutamist ja kustutamist (Dream Marketing). Samuti tuleb edaspidi kõikidelt isikuandmete kasutamiseks luba küsida.
See muudab organisatsiooni ja ettevõtjate jaoks olukorra ühtpidi korrastatuks ja kliendi suhtes tähelepanelikumaks kuid teisalt suureneb sellega vastutus andmete töötlemisel, sest valesti andmetega ümberkäimine võib tuua kaasa suure rahalise trahvi, mis võib ulatuda 20 miljoni euroni või moodustada 4 protsenti organisatsiooni või ettevõtte aastakäibest (Emarketer). Samuti muutub keerulisemaks turundamine, sest inimeste andmeid võib vaid sel juhul kasutada, kui ta on selleks oma nõusoleku andnud, kuid nõusoleku saamine on samuti keeruline. Samuti tekib juurde lisatööd ja palju detaile, mida edaspidi silmas tuleb pidada.
Ka ettevõtete valmisolek hakata andmeid töötlema sel kujul on problemaatiline. Ponemon Institute on ettevõte, mis viib läbi privaatsuse, andmekaitse ja infoturbega seotud uuringuid. Aprillikuus viisid nad läbi uuringu „The Race to GDPR: A Study of Companies in the United States & Europe“, millest selgus, et pooled tuhandest uuringus osalenud organisatsioonid ja ettevõtted polnud veel valmis 25. maiks olema vastavuses uue andmekaitse üldmäärusega (Ponemon Institute).
Organisatsiooni või ettevõtte jaoks on GDPRi puhul tegemist üsna mahuka muudatusega, eriti turunduse valdkonnas.
Kuidas mõjutab GDPR turundajaid ja turundamist?
Kõigepealt tuleb uuendada oma privaatsussätteid (SuperOffice). Kõige suurem ja olulisem muutus on aga see, et kõikidelt oma kontaktidelt ja klientidelt tuleb küsida füüsiline nõusolek, kas nad soovivad sinult informatsiooni, uudiskirju, SMSe ja palju muud sellist saada ning kas nad on nõus andma oma andmed sinu organisatsiooni või ettevõtte kasutusse (ka andmete kasutusega seotud eesmärgid tuleb seejuures konkreetselt lahti kirjutada). Pärast 25. maid peaks toimima asi nii, et infot saab saata vaid nendele, kes on füüsiliselt kinnitanud oma nõusoleku selle saamiseks.
Kuidas näeb see välja erinevate kanalite lõikes?
- E-postiturundus – edaspidi tuleb kõikidelt kontaktidelt ja/või klientidelt küsida luba uudiskirjade, pakkumiste ja teavituste saatmiseks. Ei saa enam eeldada, et inimesed soovivad enda meili peale sinu poolt saadetud informatsiooni või uudiskirja, kuigi nad oma e-maili aadressi on varasemalt andnud või automaatse linnukese registreerimisel vastavasse kastikesse teinud. E-kirjaga saadetud kinnituskirjade puhul toon järgnevalt kolm fiktiivset näidet organisatsioonide/ettevõtete A, B ja C põhjal:
- A: Selle variandi puhul on kliendile saadetud e-kiri, et nad uuendasid oma privaatsuspoliitikat ja tõid oma kirjas välja lingi, mille kaudu saavad inimesed nendega tutvuda. Seejuures ei nõudnud kliendilt tagasisidet ega nõusolekut nendega aktsepteerimiseks. Kui isik on nõus, siis ei pea ta midagi tegema ja kirja avamine ja/või selle läbi lugemine ongi juba nõusoleku eest.
- B: Selle variandi puhul on tegemist e-kirjaga, et privaatsustinigmused muutuvad ja samas kirjas leidub link, millele vajutades tuleb oma andmed üle kontrollida ning lingi või nupu kaudu need uuesti kinnitada. Sellega kinnitatakse ka nõusolek uutele tingimustele. Kui isik oma andmeid näiteks 25. maiks üle ei vaadanud, ei tohi organisatsioon/ettevõte edaspidi selle kliendi andmeid kasutada.
- C: Selle e-kirja variandi puhul on ühtekokku põimitud nii privaatsustingimustega nõustumine kui ka turundus(kampaania). Nimelt saatis ettevõte oma klientidele kirja, et privaatsustingimused muutuvad ja et inimesed need kinnitaks. Kuid kõik, kes oma andmeid uuendasid, osalesid ka loosis ja võitjad said endale ise auhinna valida.
- Kodulehekülg – veebi puhul tuleb külge panna andmete kasutamiseks lubaküsiva tekstiga pop-up nagu näiteks „Sellel veebilehel kasutatakse küpsiseid. Kasutamist jätkates nõustute küpsiste ja veebilehe üldtingimustega.“. Kui isik pole oma nõusolekut andnud, pole sul enam õigust tema andmeid statistilistel eesmärkidel analüüsida. Lisaks, kui sinu kodulehel saab ennast kasutajaks registreerida, tuleb oma privaatsustingimustest selgelt teada anda. Seda saab plugina abiga lihtsasti seadistada ja see võtab aega vaid 15-20 minutit.
Näide meie veebi põhjal (vt nõusolekut küsiv kastike lehe all ääres):
- E-poodide puhul on asi keerulisem. Nimelt tuleb veebilehel kasutajale selgelt välja tuua, mida inimese andmetega edasi teed, kuidas töötled, kui kaua andmeid säilitad. Samuti ei tohi puududa koht, kus saab inimene märkida oma nõusoleku, et võid tema isikuandmeid töödelda. Just e-poodide osas on GDPRi rakendamine eriti oluline ja ka veidi keerukam, kui tavaliste veebide osas. E-kauplejatel tasub lugeda Andmekaitse Inspektsiooni dokumenti, kust saab selle kohta põhjaliku ülevaate.
- Kõikidele (paber)blankettidele või täidetavatele ankeetidele, kus on nõutavad isikuandmed, tuleb lisada märge, kuhu inimene saab teha linnukese nõustumaks oma andmete töötlemisega.
- Ka foorumites tuleb kontaktandmete päringu juurde lisada koht, kus inimene saab oma isikuandmete kasutamise nõusolekut kinnitada.
(KoduleheKoolituste põhjal).
Kõigi eelolevate punktide puhul on oluline, et ka juba olemasolevatelt kasutajatele ja klientidele tutvustatakse uusi tingimusi ja küsitakse ka nende nõusolekut. Samuti on tähtis, et inimesele oleks alati leitav informatsioon, kuidas ta saab oma andmed kustutada. Kui tal pole võimalik seda ise teha, siis peab olema viide, kelle või mille kaudu ta seda teha saab.
Kui Sinu veeb pole veel kõikidele nõuetele vastav, siis tasub ajakohastamisega koheselt alustada. See tähendab, et siis saaks juba uute (nt registreeruvate või ostu sooritavate) klientide käest nõusolekut hakata küsima, et olla korrektne ja GDPRiga kaasnevaid reegleid järgida.
Tasub meeles pidada ka seda, et kontaktide lekkimise korral on sul aega 72 tundi, et teavitada sellest Andmekaitse Inspektsiooni (KoduleheKoolitused).
Tehnilise poole pealt
Esiteks, mis puudutab GDPRi rakendamise ülesehituse keerukust, siis üks asi on tõesti lisada ise see informatsioon enda lehele, programmeerida või lasta seda teha. Samas töötavad ka suured teenusepakkujad (nt WordPress, MailChimp, WooCommerce) juba selles suunas, et oma platvormid muuta GDPRi-sõbralikuks ehk et veebi ülesehitamise või e-postiturunduse platvormidele oleks võimalik kohe juurde liita ka kasutajatele mõeldud nõusolekuandmise plugin.
Näide WordPressi veebi põhjal:
Teiseks, et edaspidi oleks lihtsam oma kontaktibaasi hallata on soovitus kasutada selleks spetsiaalset mõeldud programmi. Excel on minevik. Üheks selliseks programmiks on CRM. Tegemist on siis klientidebaasi haldamise süsteemiga. Samuti on võimalik analüüsida nendega seotud tegevusi (klienditugi.ee).
Kokkuvõtteks
GDPRi valguses tuleb üle vaadata kõik turunduskanalid, mille kaudu isikuandmeid töötled ja seejärel viia oma kanalid ning klientide isikuandmete töötlemine GPDR nõuetega vastavusse. Parem karta, kui kahetseda, sest trahvimäärad pole pärast jõustumist mitte väikesed.
Muuhulgas on see inimeste suhtes aus, et ka internetimaailmas saavad nad oma isiklike andmete töötlemise puhul senisest tugevamalt kaitstud – selle üle saab vaid head meelt tunda. Nii mina kui ka Sina. Saad rahuliku meelega internetis edasi surfata ilma, et keegi sinu enda nõusolekuta sinu andmeid analüüsiks või juba järgmise turunduskampaania meililisti sisestaks. Kui me juba nõusoleku anname, siis vähemalt teadlikult ja see on hea. Niisamuti tagab see ka turundaja jaoks kindlustunde, et sõnumi vastuvõtja seda ka soovib. Nii, et nii kodaniku kui ka turundaja vaatenurgast on see mõlemale kasulik. Proovime uute nõuetega kiirelt harjuda.
Kasutatud allikad:
- http://www.aki.ee/et/eraelu-kaitse/euroopa-andmekaitse-reform
- http://dreammarketing.ee/kuidas-mojutab-gdpr-regulatsioon-facebookis-reklaamimist/
- https://www.lindorff.ee/partner/peagi-hakkab-kehtima-uus-isikuandmete-kaitse-uldmaarus/
- https://www.emarketer.com/content/ow-the-gdpr-will-impact-marketers-in-five-charts
- https://iapp.org/media/pdf/resource_center/Ponemon_race-to-gdpr.pdf
- http://www.aki.ee/sites/www.aki.ee/files/elfinder/article_files/turvaline_e-pood.pdf
- https://kodulehekoolitused.ee/GDPR
- https://www.klienditugi.ee/kliendihaldus/#top-section
- https://www.superoffice.com/blog/gdpr-marketing/
Fotode allikad:
- Pixabay.com https://pixabay.com/en/regulation-gdpr-data-protection-3246979/
- Maxpixel.net https://www.maxpixel.net/Eu-European-Union-Data-Regulation-Gdpr-3222692
- Digiturundus.ee https://www.digiturundus.ee/
- Businessbloomer.com https://businessbloomer.com/how-to-make-a-woocommerce-website-gdpr-compliant-12-steps/