[Tanel]

ELi isikuandmete kaitse üldmäärus toob kaasa viimase 20 aasta suurima muutuse isikuandme kaitse valdkonna reguleerimises, kirjutab PwC IT-äririskide valdkonna juhit Mart Mäe.

Kuidas see toimib?

Ütleme, et müügiosakond saab e-kirja ostjalt Mart Mäelt, kes tahab tellida ühte ettevõtte müüdavat toodet. Müügimees võtab ostjalt vajalikud andmed, salvestab need Excelisse ning saadab arve ja tellitud kauba. Toimunu käigus on ettevõte tegutsenud isikuandmete töötlejana ning ostjale on tekkinud õigus taotleda enda andmete kustutamist. Kui ettevõte ostja soovi ignoreerib, võib too esitada kaebuse määruse täitmise järelevalve teostajale. Tagajärjeks võib olla ettevõttes läbiviidav erikontroll (audit) määruse nõuete täitmises veendumiseks ning lisaks potentsiaalsed nõuded klientidele kahju tekitamise eest ning trahv järelevalvelt reeglite eiramise eest. Trahvid võivad küündida 4% grupi ettevõtete koondkäibest (mitte kasumist!).

Loe edasi: http://www.aripaev.ee/arvamused/2016/03/08/andmekaitse-pomm-tiksub

Loe ka: http://www.postimees.ee/3226003/el-astus-sammu-andmekaitsereformi-suunas

[Magic]

Lollakad
Ei ole normaalne see riik

[Tanel]

Sellega suretatakse väikeettevõtlust välja.
Vaid suured ja keskmised korporatsioonid tulevad sellega normaalselt toime.

[Magic]

[mahno]

Paraku suudavad üldse andmekaitsega vähegi hakkama saada vaid suuremad. Väikeettevõtted pole oma mõtlemises veel sinnani jõudnud, et näites toodud exceli tabelit peaks kaitsma millegi muu eest kui konkurendi kätte langemise eest.

[Tanel]

Kõige "geniaalsem" osa on see:

[Magic]

Ehk siis kustutada tuleb e-kirjad, hinnapakkumised. Pildid objektist.
Õnneks arved jäävad, neid kaitseb maksuaamet.

[mahno]

See punasega toodud tekst ei ole ju mitte määruse tekst, vaid kellegi tõlgendus sellest. Ei maksa väga leili minna.

[Tanel]

mahno, milline oleks sinu tõlgendus?
Kas väikeettevõtja peab muret tundma või mitte?

[Delta]

Tegelikult on praegunegi seadus juba üsna karm, kui seda must-valgelt täita. Õnneks on see vist üks väheseid valdkondi, kus täitmine (ja järelevalve) käib pigem terve mõistuse järgi kui näpuga sõna-sõnalt järge ajades. Samas on selge see, et olukord võib päevapealt muutuda kui mingi "hull" peaks AKI etteotsa saama.

Määruse teksti link on AKI lehel olemas, kes tahab see lugegu...

[Tomorrow]

[mahno]

Mina ei ole jurist, sellepärast mina ei kirjuta oma tõlgendusi õigusaktidest avalikus foorumis ja ei serveeri seda tõe pähe.

[Tanel]

Tomorrow, sa vist ei ole ettevõtja?
Point on selles, kui sul on sadu kliente koos e-mailidega, siis sa ei hakka neid jäädavalt kustutama.
Näiteks, et mõnikord saata kliendikiri. Või et sul on mõne hea kliendi profiilis tema sünnipäev, pead teda meeles firmakingitusega vms.
Samuti sa ei hakka iga 6 kuu tagant saatma kirju, kas võime ikka andmeid alles hoida.
Aga kui mõni paranoilisem klient (neid jagub ka Eestisse) hakkab kahtlema, kas tema andmed on ikka kustutatud, võidakse vastav audit peale saata.
Ja kui tuvastataksegi klientide nimekiri, võidakse sind rasvase trahviga kostitada.
See kehtib ka raamatupidamisprogrammis olevate klientide kohta.

[mega]

[Tanel]

Ja kujutage nüüd ettevõtet, millel on paar tuhat eraisikust klienti.
Vaid paar positiivset kinnitust saab ehk "spämmile" vastuseks, ülejäänud klientide andmed peaks uue direktiivi järgi kõikjalt firmasiseselt kustutama, kui vastavat kinnitust ei saa.
Kujutate ette seda kustutamisprotsessi (manuaalne/automaatne) ja uuesti sisestamist (kui sama klient naaseb ostma).
See on õudusunenägu kõigile ettevõtetele, kus ei ole sellist automatiseeritud protsessi. Julgen arvata, et lõviosa ettevõtetel pole seda.

[Magic]

Segane teema hetkel. Lolliks nagu ei tasuks minna, sest siis tõstaks ju rohkem infot arvele ja läbi selle ikka otsitav.
Masinloetava arvega puutub keegi kokku?
Sirvisin, saaks ka sinna meeletus koguses infot lisada. Ehk ostnud kliendi tasandil ma nagu ei kaota midagi.

Aga küsimus jääb õhku ikka hinnapäringutega. Pean nad siis 6 kuu möödudes kustutama?
Tänapäevane cloud võimaldab hoida ka 10a.

[Max Powers]

[mega]

[Max Powers]

Kogum eeldab vast mingit spetstarkvara andmete haldamiseks. Pole just keeruline sealt kustutada

Samas eeldatavastit täidavad seadust ainult mõned suurettevõtted

[Tanel]

[softis]

Ma ei saa aru. Kuskil pole öeldud, et just nii see asi vastu võetakse lõplikult. Äripäev on jälle sopaka stiilis artikleid treima hakanud.
Eraisikust kliente haldavate firmade paanikast saan aru muidugi.

[Tanel]

[Delta]

See jah. Minu teada seda veel vastuvõetud ei ole, küll tahetakse seda 2016 I pa sees teha.

[Tanel]

Delta, ma saan aru, et vaidlused on peetud ja üldmäärus valmis saanud? Ehk siis enam midagi teha pole? Või eksin?

[Delta]

Pole EL tegemistega nii kursis, aga karta on, et seda rongi eriti ei pööra. Jõustumistähtaeg peaks olema kaks aastat vastuvõtmisest.

[2korda2]

Tegelikult tahaks ma näha juristide poolt läbi puretult otsust - kumb on kõvem: kas maksuameti nõue säilitada arveid originaalkujul või uue korra kohaselt eraisiku nõue oma andmete kustutamiseks.

Lahenduseks on mitte säilitada andmeid. Arvel on lihtsalt klient=Eraisik - mitte ühte aadressi, nime vms. See kõik hoitakse eraldi "contacts"-kirjes ja sealt leitakse väärtused ka arve saatmisel.
Arve saatmisel e-mailiga omistatakse kirjale type=private_person ja daemon käib iga kuu ja kustutab automaatselt kõik kirjad, millel vastav type ja saatmiskuupäev<today()-4kuud (riskivaru). Analoogne daemon kustutab eraldiolevaid contacts-kirjeid, millel samuti type=private_person ja vanust piisavalt.

Mind aga huvitab, kuidas ülaloleva valguses hakkavad kokku kukkuma ärid, mis ongi rajatud kliendiinfo kogumisele ja müümisele. See ei ole ainult ilmselged juhud - Google/FB jms. Isegi meie kodumaine Fits.me omas äriplaanis olulisel kohal põhimõtet "kasutaja mõõdud on Fits.me omand - selle info müümise kaudu saame pakkuda müüjatele võimalust täpsemaks turunduseks".

[Tanel]

Tegelikult võiks selles valguses korraldada lausa intervjuu EMTA-ga.

[Delta]

Lugege rahulikult tekst läbi.

Andmete kogumisel peab määratlema kogumise aluse, eesmärgi, tähtaja jms. Kui on seadusest tulenev kohustus hoida arveid 7 aastat, siis sa informeeridki sellest ostjat, et neid andmeid hoitakse seadusest tulenevalt 7 aastat. Kustutamise nõudmine on põhjendatud alles pärast selle tähtaja möödumist. Võib varem ka nõuda, aga saad seadusele viidates keelduda. Kui sa kogud isikuandmeid omal algatusel või vajalikust miinimumist rohkem, siis on muidugi teine lugu.

Edit: ma ei muretseks ise mitte niiväga seadusest tulenevate dokumentide-toimingute pärast, vaid hoopis selle üle, et peate suutma anda aru selle kohta, kes, kuidas ja mis eesmärgil on isikuandmeid töödelnud (~logima) ja oi seda jama, kui tuleb näiteks välja, et mõni uudishimulik personalitöötaja on oma lõbuks mööda kaustu kolanud

[Dogbert]

Samas annab see seadus nüüd suurema nuia igasugu kontaktlistide müüjatele ja spämmeritele äsamiseks. Varem oli vaid jõuetu ja hambutu eesti seadus eraisiku kontaktandmeid kaitsmas, nüüd tuleb eurohaamer koos kõhukate trahvidega.
Nutikamad sulid muidugi leiavad küllap ka sellest möödanihverdamise võimalusi.

[Magic]

Väga naiivne - list ostetakse välisfirmalt...heal juhul on spämmikeskus või kõnekeskus Eestis.
Lisaks moodne vastus: genereerime arvutiga numbrid.
Need andmed ammu kuskil mujal... lisaks mis saab igasugu FB ja üldse andmeid koguvate välislehtedega. Nagunii sinna ei rakendu.
Ehk hetkel ikka kohaliku elu keerukamaks tegemine. Nagu vabakaubanduse sildi all kohalike firmade suretamine (10% käibest näidatakse siia, ülejäänud tehakse läbi Läti firma otse...ehk siia ei jää kogu müügitöö raha).
Ju on seal siis võimalik raha paremini kasutada.

[Tomorrow]

[wiinanina]

Kuna erakliendil on seadustest tulenevalt pretensiooni esitamise või garantiiaeg vähemalt 2 aastat alates teenuse/toote üleandmisest, siis nõuda kõikide läbirääkimisprotsessiga seotud dokumentide kustutamise enne seda päeva oleks ajuvaba.
Lõpuks võib selguda, et ei teagi, kuhu ja missugune vidin on paigaldatud või toode müüdud.
Arve peale ei mahu keerulisematel juhtudel kogu info.
Aga projektis võib juba esineda andmeid mida tuleb koos projektiga kustutada ja mida maksuamet ei kaitse.

[Xloaded]

Eks iga seadus ole nii hea kui on ka selle kasutamine - loodame, et asjalikult.

Kodanike palvet mitte rämpsu saada ignoreeritakse julmalt ja või ajutiselt. Kuskilt listist välja saada on paras kadalipp.

Kuid siin on väike "Life Hack" mis Eestis on siiani toimib, viimati aitas kui olin tüdinud maadlemast cherry.ee-ga 10 + palvet ja ikka tuli jama.
Saada uus kiri või edasta varasemad palved uuesti asutusse ja lisa cc reale andmekaitse (info@aki.ee)!
Moepärast võid lisada kuidas see reklaam tekitab hingepiinu ning öösel ka magada ei lase ..

Seejäärel on garanteeritud kiire vabandus ja uue seaduse järgi loodan, et spämmerite elu on nõnda kibe nii Eestis kui välismaal, et enam ei tasu sellise äriga tegelemine ära...

Eriti karm on tegelikult inimeste andmete sa. email aadressi edasimüümine ... keelatud igal tasandil.

[Tanel]

Xloaded, spämmerid on kõige väiksem probleem. Jutt on mõjust väikeettevõtlusele, tasub lõim otsast-lõpuni läbi lugeda.

[rex]

Google Contacts anonüümne konto ja kliendibaas sinna. Las revident tuhlab siis raamatupidamis-softis.

[LKits]

Aga kui kõik töödeldavad andmed on avalikult leitavad?

[Magic]

[mahno]

Lugesin selle dokumendi läbi ja tunnistan ausalt, et ma ei ole võimeline sellest aru saama. Vähemalt mitte selle aja jooksul, mis mul hetkel lugemiseks kasutada oli.

[Tanel]

http://www.ituudised.ee/uudised/2016/03/11/isikuandmete-kaitses-tuleb-suur-muudatus

Põhimõtteliselt esimese artikli ümberjutustus, aga ehk arusaadavam.

[Magic]

Jõudsime ju siin sama kaugele st. ainuke point: