EL isikuandmete kaitse üldmäärus GDPR (General Data Protection Regulation), kohaldub ainult füüsiliste isikute andmetele. Füüsilised isikud võivad olla nt kliendid, töötajad, partnerid, koolitatavad, patsiendid, mittetulundusühingu liikmed, naabrid – ehk inimesed. Isikuandmete töötlemine tähendab kõikvõimalikke tegevusi, mida isikuandmetega teha saab – näiteks nende kogumine, säilitamine, muutmine, vaatamine, kasutamine, kustutamine, jne
Isikuandmed ei ole ainult nimi või e-posti aadress, vaid mistahes andmed, mille abil saab inimest tuvastada, eristada või seostada. Seega – kui andmete (kogumi) põhjal, millel inimese nime küll juures ei ole, on see isik ikkagi tuvastatav, siis on tegu isikuandmetega. Näiteks kui külas elab üksainus 85 aastane mees, siis küla elu tundev inimene suudab ka ilma nime teadmata kindlaks teha, kellest on jutt. Seega – kas tegu on isikuandmetega GDPR mõttes või mitte, määrab alati konkreetne kontekst.
Ettevõtetel (firmadel) kui juriidilistel isikutel ei ole eraelu ega isikuandmeid, mida kaitsta.
Kuid puutepunkt GDPR-i ja ettevõtete vahel on siiski olemas – ettevõtetel on omanikud, aktsionärid, nõukogu, juhatus, tegelikud kasusaajad, töötajad, kõneisikud, jne. Nemad on füüsilised isikud, kelle andmete töötlemisel tuleb EL isikuandmete kaitse üldmääruse reeglitega arvestada.
Ettevõtete vahelises suhtluses, mis tegelikult toimub ikkagi ju inimeste vahel, tuleb ennekõike silmas pidada GDPR-s sisalduvaid eesmärgipärasuse ja minimaalsuse põhimõtteid.
Eesmärgipärasuse põhimõte tähendab seda, et isikuandmeid töödeldakse ainult kindlaks määratud eesmärgil ja millekski muuks neid ei kasutata. Näiteks firmad A ja B on sõlminud lepingu, et firma B osutab firmale A mingit teenust. Firma A tegevjuht on saanud oma kätte firma B tegevjuhi nime, e-posti aadressi ja mobiiltelefoni numbri. Ja vastupidi. Isikuandmete vahetamise eesmärk antud juhul on võimaldada firmadel suhelda lepingu täitmiseks, teenuse osutamisega seotud tegevuste kokkuleppimiseks, lepingu muutmiseks või lõpetamiseks jne.
Minimaalsuse põhimõtte järgi ei tohi koguda või säilitada (st töödelda) muid isikuandmeid kui eesmärgi jaoks tarvis – selleks, et leping ettevõtete vahel saaks täidetud, ei ole A tegevjuhil tarvis teada firma B tegevjuhi kodust aadressi või eelmist töökohta.
Oma kaupade ja teenuste pakkumine ja uute (sh juriidilisest isikust) klientide otsimine ning olemasolevate klientide hoidmine on iga ettevõtte loomulik soov ja püüdlus.
Juriidilise isiku elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud juhul, kui a) turundusteade on suunatud juriidilisele isikule ning b) turundaja pakub elektrooniliselt võimaluse lihtsal viisil keelata oma kontaktandmete edasine kasutamine.
Kuidas seda „selget ja arusaadavat võimalust tasuta ja lihtsal viisil keelata“ praktikas pakkuda, õigusaktid ei täpsusta, mistõttu on see end turundada sooviva ettevõtte fantaasia küsimus. Tihti kasutatakse selleks nt elektroonilist loobumislinki („unsubscribe“) e-posti sõnumi all.
Mõistagi on elektrooniliste kontaktandmete otseturustuseks kasutamine keelatud ka siis kui adressaat juba ongi selle ära keelanud või turundusteade ei vasta muudele õigusaktides sätestatud nõuetele.
Samas ei saa lubamatuks pidada praktikat, et end turundada sooviv ettevõte kasutab äriregistris avaldatud või ka „lihtsalt“ veebiavarustelt leitud juriidiliste isikute e-posti aadresse ka juhul kui internetis avaldatud ja seega avalik e-posti aadress sisaldab füüsilise isiku nime, nt aita-leida.õige@hambapasta.ee.
Ettevõtjale soovitaks sellist lahendust segaduse vältimiseks siiski mitte kasutada ning kasutada kontaktaadressina midagi neutraalsemat, näiteks info@hambapasta.ee.
GDPR reeglitega arvestamine ning enda edukas reklaamimine näivad olevat justkui mitte kõige lihtsamini ühitatavad eesmärgid. Kuid nende tasakaalus hoidmine loob tegelikult ettevõtete vahele usaldust ning suurendab koostöösoovi. GDPR24 on siinkohal alati valmis oma nõu ja abi pakkuma. Kirjuta meile info@gdpr24.ee või helista 6200 586.
Anneli Külaots
Tõnu Metsäär