Sami Seppänen: Kas GDPR tähendab hiigeltrahve ettevõtetele ja üleüldise jälgimisõhustiku süvenemist?
Kuu aja pärast - 25. mail rakendub Euroopa Parlamendi ja nõukogu määrus 2016/679 ehk General Data Protection Regulation ehk rahva seas juba tuntud ka kui GDPR, Euroopa Liidu isikuandmete kaitse üldmäärus. Räägitud on ettevõtteid ähvardavatest hiigeltrahvidest, äride Euroopast minemakolimisest ja üleüdisest jälgimisõhustikust, mis meid peale seda kuupäeva tabab. Kas see kõik on nii hirmus ja mis ikkagi juhtub peale GDPR-i ajastu algust, rääkis Sami Seppänen Äripäeva raadiosaates „Äritehnoloogia“.
Kui Elisas esimest korda GDPR-i materjalidega paar aastat tagasi tutvuti, siis ei järgnenudki ehmatust ega paanikat. Sami Seppänen meenutab, et tegelikult tekkis tunne, et midagi väga uut ei tulegi: Elisa toimetas seni isikuandmetega väga delikaatselt ja nendega vastutustundlik tegelemine ning usaldatavus on telekomivaldkonnas juba ettevõtete ärimudelisse sisse kirjutatud.
GSM – esimene võimalus omavahel konfidentsiaalselt suhelda
Elisa, varasema nimega Radiolinja oli teatavasti maailma esimene ettevõte, mis võttis kasutusele GSM-võrgu, kus inimesed said omavahel suhelda konfidentsiaalselt – kõnesid polnud võimalik enam pealt kuulata. 1991. aastal tehti Radiolinja võrgus esimene krüpteeritud kõne, millist praegu kasutavad pea kõik mobiiliga rääkijad. Seni, kui räägiti lauatelefonidega või NMT võrgus, oli võimalik ka pealt kuulata.
„See, kuidas mobiilivõrgus sai omavahel salastatult rääkida, on hea näide, kuidas oli juba siis oluline, et inimeste vaheline suhtlus oleks turvaline ja konfidentsiaalne,“ ütleb Elisa Eesti juht, miks GDPR pole nende jaoks suur hüpe, vaid pigem loomulike protsesside järg ka mujal ärivaldkondades. „Me peame ka andmetega tagama selle turvalisuse. Kui me andmetega oleks lohakad, siis poleks sellel ju mõtet.“
Erinevad praktikad, aga suund sama
Sami Seppäneni arvates on telekomivaldkonnas samas suunas tegutsetud algusest peale, kuid igal ettevõttel on olnud natuke erinevad praktikad andmete hoidmisel ja konfidentsiaalsuse tagamisel: „need tegevused on aga nüüd Euroopa Liidus reguleeritud, seatud kindlamasse raamistikku, mis on ju ka vägagi normaalne.“
Samas lisab ta, et absoluutset regulatsiooni on GDPR-is siiski päris vähe ja räägitakse suhtelistes mõistetes.
Selles uues regulatsioonis on Elisa Eesti jaoks halbu asju ka. Eriti just sanktsioonide osas. Elisa Eesti on väike ettevõte suure emaettevõtte kõrval, aga sanktsioonide suurus määratakse siiski emaettevõtte käibe põhjal.
„Need sanktsioonid ei ole mitte mõistlikus proportsioonis,“ on Elisa Eesti juht hämmeldunud. „Kui kellegi andmed näiteks 15 minutiks satuvad kuhugi, kus need ei oleks tohtinud olla, siis saab meile teha poolemiljardilise trahvi. Leian, et see pole proportsioonis?“
Paranoiline olukord: säilitada või hävitada?
Mõnes mõttes põhjustab GDPR ka telekomifirmadele paranoilise olukorra: ühelt poolt nõutakse neilt teatud andmete igal juhul säilitamist, teiselt poolt kirjutatakse ette, mida ei tohi säilitada. Pankadelt ei küsita nii palju andmeid, telekomifirmad on juba ammusest ajast pidanud säilitama asju, mida neilt võidakse küsida.
Samas on palju väikeettevõtteid, kus isikuandmed pole nende põhitegevusega väga seotud. Nende jaoks võib küll midagi muutuda ja nad peavad oma tööd hakkama ümber korraldama. Tuleb klientidelt küsida rohkem nõusolekuid iga eesmärgi suhtes eraldi.
„Seda näiteks juhul, kui tegemist on väiksema koristusfirma, massaaži- või juuksurisalongiga,“ toob Sami näite, „siis kui teda hakatakse nüüd kiusama, et kellega ta rääkis ja kas pani midagi kirja ka kokkusaamisel või helistas ja kui selle kõik peab kuidagi registreerima, siis me oleme astunud sammu tagasi kogu meie ühiskonna ja majanduse konkurentsivõimes.
Meie Elisas neelame selle alla, meie kulud natuke kasvavad, aga kui väikeettevõtluses seda kontrollima hakatakse, on see halb. Kindlasti on kuskil Lõuna-Itaalias firmasid, kes ei tea ka viie aasta pärast GDPR-ist midagi. Ärme siis meie siin üle reageeri.“
Andmekaitseametnik igasse ettevõttesse?
Elisas on loomulikult selline töötaja olemas, kes tegeleb andmekaitsega, kuid Sami Seppänen loodab, et meile ei teki nüüd (riigi) ametnikke, kes näpuga järge ajades hakkavad väiksemaid ettevõtteid liigselt piirama. Kui nüüd uue määruse kõigi nüanssidega tegelema hakata, siis see aeg läheb väikefirmal tegelikult ju klientide teenindamise arvelt.
Õigus olla unustatud teeb andmete säilitamise kõigi jaoks keerulisemaks. Sami Seppänen nendib, et kui maksuamet tahab, et osa andmeid peavad väga pikalt olema säilitatud, aga samas osa andmeid peab kustutama „õigus olla unustatud“ nõude tõttu, siis enam ei saa varukoopiat ühtmoodi kõigest teha ja silitada. Tuleb hakata erinevaid andmetükke hoopis erinevalt kohtlema. Kui seda ei tee, on miljarditrahv jälle terendamas.
Mis muutub Elisa klientidele?
Elisa uuendab alates 25. maist 2018 oma andmekaitsealaseid põhimõtteid ja eeskirju, et viia need kooskõlla Euroopa Liidu isikuandmete kaitse üldmäärusega.
Uuendused leiab Elisa kodulehel jaotuses „Teenuste tingimused ja hinnakirjad“ hiljemalt 24. aprillist 2018 a. Tingimuste muutmine midagi eriti Elisa teenuste igapäevase kasutamises ei muuda, kuid klientide andmete kaitsmisele pööratakse veelgi enam tähelepanu ning täpsustatakse kliendi õigusi andmetega tutvumise, andmete kustutamise ning andmete ülekandmise osas.