Kõik uudised Paberväljanne Online

GDPR-ist, rahvakeeli – rahunege maha

“Dzidipiaa” – laomees vaatab seda sõna arusaamatul pilgul, aga kui hääldada tähti eestipäraselt “GDPR”, tekib kohe säde silmadesse.

„Ahjaa, see meilindus, ja kinnita, ja jah, Euroopa Liit, noh“ vastab laomees ükskõikselt. Feissbukiseadus, massiivne, arusaamatu, hirmutav, pealesurutud ja kallis. Sellisena näeb seda keskmine Eesti inimene.

Otsetee kohtusse

Esimesel päeval pärast määruse jõustumist kaevati Google, Facebook, Instagram ja Whatsapp kohtusse, nõude suuruseks 8 miljardit eurot ning põhjuseks pealesunnitud nõusolek: „Kas sa oled nõus, et me töötleme sinu andmeid nii, nagu me ise tahame, või sa ei saa enam Facebooki kasutada.“ Loomulikult inimesed nõustuvad ja juriidiliselt ongi kõik korras.

Sama ahistatult tunnevad end praegu ka Eesti ettevõtjad. GDPR sarnaneb meie jaoks mõisniku esimese öö õigusega. Ettevõtjate jaoks on need muudatused kallid ja segased, tavainimese jaoks täiesti hoomamatud ja mõistetamatud.

Laias laastus võib GDPR-i eesmärgiks pidada isikuandmete paremat kaitset ja isikute suuremat privaatsust. Samas privaatsusel kui terminil puudub ühene ning igas riigis samamoodi mõistetav tähendus, sest sisuline mõte oleneb tugevasti taustakultuurist.

Sigadega seltsi

Meenutame, et absoluutne enamik Eesti 18. sajandi elanikkonnast tegutses ja toimetas tollal alles rehielamus, kus talveks toimetati tuppa ka sead ja lambad, mistõttu pesemata eestlase privaatsusmõte ei tõusnud märkimisväärselt kõrgemale bBrasiilia vihmametsahõimu privaatsusvajadusest, kuivõrd elu kõik aspektid toimuvad suguharu teiste liikmete silme all. Tööstuse arenguga kaasneva pseudoprivaatsuse teke seisis Eestil alles ees.

Väga küüniliselt lähenedes käsitleb Euroopa privaatsust mitte konkreetsete ja etteantud nõuete kogumina, vaid "lambist" tuletatud õigusena isiku nägu ja väärikust säilitada, seda ka olukorras, kus vastav isik on käitunud selgelt ebaväärikalt ja moraali seisukohast pole tal nägu enam ammu ollagi. Kui varem said sedasorti "privaatsust" nautida vaid aadlikud, siis Prantsuse revolutsiooni tulemusel laienes sarnane õigus päris igamehele.

Eestlane on hämmingus. Andmekaitsenõuded paisusid üleöö, GDPR-i kirjeldamiseks kasutatud keeleregister on eestlasele täiesti võõras – tegu oleks justkui mingi antiiktragöödia libretoga, mitte seadusega, mida on nüüd äkitselt tarvis täitma hakata.

Heitlus jänkidega

Teatavasti on enamik Eesti äriühingutest mikrofirmad töötajate arvuga üheksa või vähem - sääraseid äriühinguid on maksuameti andmetel kokku umbes 120 000. Kui säärastelt nendelt kavatsetakse miljoneid eurosid trahvi nõuda, siis see pole isegi enam mitte tragöödia, see oleks sotsiaalpoliitiline komöödia. Kuna aga selline asi ei ole reaalne, siis maksaks kogu sellesse kremplisse süveneda stoilise eestlasliku rahuga.

Niikaua, kuni ei ole olemas reaalseid kohtulahendeid, ongi kogu see asi suurelt jaolt tõlgendamise küsimus. Meelerahu säilitamiseks soovitame maarahval GDPR-i tajuda kui ühe suurriigi (EL) kultuurikarjet lootusetus tehnoloogiavõitluses teise suurriigiga (USA). See seadus pole meile, ta ei räägi meie väärtustest, ta pole meie vastu ega ka mitte meie poolt, sest eestlase tegelikud privaatsusvajadused on pigem vaimsed ning väärt eraldi kirjutist palju targematelt inimestelt.

Aga jah, seadused on täitmiseks. Euroopast alla lastud kultuuripoliitiline jaburdus tuleb nüüd sisetarbimise eesmärgil maakeelseks ja -meelseks tegevustejadaks tõlkida, kuivõrd see üldse on võimalik.

Mõistlikkuse piires

Andmekaitseinspektsioon ütleb, et isikuandmete kaitse reeglid ei kehti, kui teave ei võimalda inimest mõistlike pingutustega tuvastada. Selliselt tulekski oma andmeid vaadata, pilk peale heita ja kui sealt ei ole võimalik isikuid tuvastada, pole põhjust muretsemiseks.

Väikeettevõtjad ei pea muretsema ka selle pärast, kas nende kodulehekülgede külastused lähevad isikuandmete alla või mitte. Sest AKI andmetöötleja üldjuhend ütleb ka seda, et veebiteenused, kus kasutajaid ei tuvastata ei reaalse ega väljamõeldud identiteedi alusel ega profileerita erinevaid võrgulehe külastusi, ei tegele isikuandmete töötlusega. Sellisel juhul ei pea hakkama inimest vastu tema tahtmist tuvastama, et talt andmete töötlemise nõusolek võtta. Laias laastus keskmine eesti väikeettevõte, kes ei tegele ekstra mingit sorti andmetöötlusega, ei peaks ka selle pärast pabistama.

Tulgu ja küsigu

Kui aga on tegemist andmetega, millel on rassiline või etniline päritolu, poliitilised või usulised vaated, filosoofilised veendumused, ametiühingusse kuulumine, geneetilised andmed või biomeetrilised (sõrmejäljed, fotod), on juba küll põhjust pöörduda AKI poole ja küsida nõu. AKI on väga selgelt välja ütelnud, et neile ei meeldi trahvi teha, pigem üritavad ettevõtteid aidata ja konsulteerida.

Kui ettevõttele peaks postkasti potsatama kiri, milles nõutakse täielikku ülevaadet selle kohta, kuidas andmeid töödeldakse ja kaitstakse, siis tasub paluda viisakalt kohale tulla ja ennast füüsiliselt tuvastada, sest ei ole ju ilus anda kellegi teise andmeid võõrastele isikutele.

Autor: Glen Simson, Anto Veldre (Broadsec OÜ infoturbeeksperdid), toimetus@tartuekspress.ee
Viimati muudetud: 06/06/2018 20:57:26



test version:0.1795060634613