GDPR Euroopa Andmekaitsereform

Kommentaari jätmiseks loo konto või logi sisse

  • Kuna ühes teemas juba tuli teemaks sõna GDPR ehk siis euroopa andmekaitsereform. Jõustub 25 mail.
    Trahvisummad on hiiglaslikud, kuni 20 miljonit €. See summa suudab panna enamuse Eesti ettevõtteid jäädavalt kinni.

    Samas nõue on peaaegu et kõigile ettevõtetele kes tegelevad mingitpidigi isikuandmete töötlemisega. Spordisaalid, Hotellid, kauplused oma sooduskaartidega, portaalid, meedikud. Pmst Iga ettevõtte CRM andmebaas läheb selle alla.

    Kusjuures situatsioone lahendavad mitte Eesti kohtusüsteemid vaid hoopis Euroopa vastavad instantsid, ning mingid ametnikud kellel pole aimugi ei Eesti seadusandlusest ega nad pole varem kordagi eestis käinud hakkavad siis põhimõtteliselt otsustama ettevõtete saatuse üle vähimagi rikkumise korral.

    Mida te arvate sellest asjast ?
  • Arvestades, kui suureks on kasvanud suunatud reklaamiga seotud isikuandmete äri ning üldse selliste andmete kogumisega seonduv, siis minu meelest on GDPR vajalik.
    Isiklikult häirib, kui aadressile, mida pole avalikult jaganud hakkab tulema nimelist ja suunatud spammi. Mh on see aadress mul Europarki lepingus (parkimiskaart), kuid siiski ka paari panga ja poe kliendilepingus. Seega praegu otseselt näpuga ei saa näidata. Kusjuures hiljuti oli ju päevakorras, et eraparklad võiks saada Maanteametist inimeste koduseid aadresse jms... ulme.
  • Väikese ja väiklase kodaniku vaatenurgast aplodeerin seistes, ma olen koguaeg hädas sellega et prillipoed teevad näo nagu oleks teenuste osutamine võimatu kui nad ei saa selle kohta minu nimega seotult mingeid andmeid arvutisse toksida. Seni polnud nagu mingit head konkreetset asja millest kinni võtta, sest iga kaubamärgi küljes on meditsiinialal alati 2-5 eri OÜ-d ning raske on isegi kindlaks teha, kes su vastaspool konkreetsel hetkel on, rääkimata oma argumentide edastamisest. Teenindaja ütleb et "aga arvuti ei lase" ja jokk, käi jala kui tahad.

    Nüüd kui järgmine kord mingi jama on, siis läheb see nightmare letter teele nagu viis kopikat.

    Veidi laiemas pildis vaadates on minuarust kogu see isikuandmete töötlemine müügieesmärgil natuke ületähtsustatud või ebamõistlikult buumiv äri, ma ikka väga sügavalt kahtlen kas inimeste vajadused ja soovid on nii meeletult erinevad, et kogu see triangel vajalik on. Pigem on see teenimisallikas igasugu soolapuhujate jaoks, nagu vanasti igasugu "e-mail, e-mail" ja "SEO" koolitused, lubatakse isikustatud andmete ja algoritmide baasilt maad ja ilmad kokku sihtida, aga lõpuks näitab Youtube mulle ikka sedasama Swedbanki tudengikaardi reklaami, mida kõigile teistele eestlastele, sõltumatult nende vanusest. Ehk siis võibolla oleks tore, kui miski sellel mullil natuke õhku välja laseks, oleks eeter puhtam ja kuluks vähem aega igasugu lollidega vaidlemise peale, kelle arvates on tema 3000 kliendi andmetest päringute tegemine selline big deep datamining mida kannataks lausa tootena edasi müüa :)
  • 12 punkti jesperi kommentaarile!
    Minu kui väikese ja väiklase kodaniku jaoks pole probleem, kui mulle edastatakse sihitud reklaami mõistlikus mahus.
    Probleem on selles, et see protsess on pöördumatu ja ka kontrollimatu.
    Ma ei ole numismaatik, aga mulle helistatakse kindlalt paar korda aastas ja pakutakse münte müüa. Vaene telefonimüüja, kes raiskab oma aega ja vaene firma, kes raiskab oma ressurssi müügikõnele, mis mitte kunagi ei õnnestu.
    jne jne jne.
  • Väike korrektuur - meil on GDPR vastavust jälgima pandud AKI. Seega otse euroopa ametniku lauale ükski asi ei tohiks jõuda.
  • Tüüpiline nõukogude seadus. Vähegi suuremal ettevõttel pole võimalik seda veatult täita, ja karistuseks (ettevõttele ülekantuna) mahalaskmine. Seega suurepärane valikulise poliitilise karistamise vahend.
  • zuckerblaum
    Tüüpiline nõukogude seadus. Vähegi suuremal ettevõttel pole võimalik seda veatult täita, ja karistuseks (ettevõttele ülekantuna) mahalaskmine. Seega suurepärane valikulise poliitilise karistamise vahend.


    Seega lastakse kõik Euroopa suurimad ettevõtted maha?
  • >>Seega lastakse kõik Euroopa suurimad ettevõtted maha?

    Ma ju kirjutasin: "valikulise poliitilise karistamise vahend"? Nõukogudeaegne (nagu mulle tundub) inimene peaks ometi aru saama, mida see tähendab.

    Nendele, kes ei mõistnud, kirjutan lahti: kuna seda on praktikas võimatu vigadeta täita (kuna selleks peaks olema IGA kaudseltki isikuga seostatava atribuudi kohta igal ajahetkel teada reeglid kõigist erinevatest ja kohati üksteist välistavatest regulatsioonidelt lähtuvalt), siis piisavalt sügavale kaevates saab soovi korral igale ettevõttele käru keerata. Karistatavad valitakse välja "näidispoomise" eesmärgil, tülika konkurendi kõrvaldamiseks, poliitilistel motiividel, järelvalveametniku isikliku kiusu tõttu - põhjuse leiab alati.

    Ehk, tsiteerides klassikuid - "tooge mulle süüdlane, küllap ka paragrahvi leiame".
  • Selles suhtes see 20 milli on pigem müüt, trahve hakkab ikkagi tegema andmekaitseinspektsioon.
    http://www.aki.ee/et/uudised/uudiste-arhiiv/kas-isikuandmete-kaitse-uldmaarus-toob-toesti-kaasa-hiigeltrahvid

    Ja siis ka see GDPR nightmare letter

    Hea küsimus on tegelt nende parkimiskontrollide kohta, neil on ikkagi pmst suure osa inimeste autode ja isikutega kokkuviiv andmebaas. See on aga üpriski huvipakkuv info igasugu krimkadele. A la vaatavad feissarist kui mingid inimesed puhkusele lähevad ja siis voila auto ju seisab kusagil majaees sel ajal. Ja taga otsima seda ei hakata ju enne kui inimene puhkuselt tagasi tuleb.

    Ma kujutan, ette, et ega need parklad just vägapalju selle info kaitsele ei panusta.
  • Kusjuures sellest GDPR-ist veel seda, et kuidagi nagu meenutab tibake sellist Y2K hullust. Ja samas nagu praegu pähe mulle ei mahu, et mis nagu kusagil rikki läks, sest momendil pakuvad selle eest kaitset advokaadibürood. Selge on see, et sisulist infoturvet ja andmekaitset nad teha ei oska samas nagu IT ettevõtted on selle kohapealt suhteliselt vait ja vagusi.
    Ehk siis tekib küsimus, mis nagu selle asja eesmärk siis oli, kas tõesti tekitada lisatööd lihtsalt juristidele kes määrivad paberitega kõik viisakalt kinni või nagu päriselt andmeid kaitsta. Kui tegemist oli viimasega, siis igatahes paistab, et momendil tulistati selle seadusega üldse kusagile väääga veidras ja vales suunas.
  • Kui sa seda paberit loed, siis saad aru, et ülesanne ongi ainult juriidiliselt lahendatav.

    Isikuandmete skoopi on haaratud ka varukoopiad ja logid. Nüüd, kui sulle saabub nõue andmete kustutamise kohta, mida sa teed? Viskad varukoopiad minema? Või veel hullem, mida teha digiallkirjastatud logidega, mille väärtus ongi just selles, et tagantjärele midagi ei muudeta? Või raamatupidamise alusdokumendid, mida tuleb pärast audiitoritele näidata, jne, jne?

    Seega ongi ettevõtetel ülesanne - tekitada juriidiliselt vettpidav struktuur, et tõestada: kõik see, mis meil on, on tehtud õiguslikult pidaval alusel. Aga kuna GDPR ei ole väga vaevunud võimalikke konfliktisituatsioone ja sealjuures rakenduvaid prioriteete analüüsima, siis tõenäoliselt näeme järgmise 10 aasta jooksul hulgaliselt kohtuvaidlusi, enne kui kogu see värk settib piisavalt, et korrektse ITlahenduse peale üldse mõtlema hakata. Ja osa seni enesestmõistetavatest baastehnoloogiatest, näiteks nendesamade varukoopiate osas, tuleb viia täiesti uutele alustele. Ja seni on sul valida, kas võtad regulaatoririski (et GDPR järgi kustutamisele kuulunud andmed sul endiselt alles on) või operatsiooniriski (vajad mingi kriisisituatsiooni jaoks vanemat varukoopiat, aga seda sul lihtsalt enam ei ole).

  • GDPR ütleb üheselt - kui on põhjendatud alus andmete säilitamiseks (MTA nõuded, rahapesu seadus, ärihuvide kaitsmine vms), siis võid säilitada andmeid ka juhul kui avaldus sisse tuleb (avaldajale tuleb siis anda ka põhjus, miks andmeid ei kustutata). Seadustest/määrustest tulenevate aluste põhjendamine ei ole keeruline. Ärihuvid juba pisut on - ettevõttel on oma perse katmiseks vaja säilitada andmeid vähemalt nii kaua, kui kaua on võimalik selga saada mõni süüdistus (tõendamiskohustus).
    Baasi varukoopiatega on jah asi keerulisem, sest tüüpiliselt hoitakse varukoopiaid mitte ainult "eilse" vaid ka pisut varasema seisuga ja baasi koopiast avalduse teinud isiku andmeid keegi kustutama ei hakka. Juristide tõlgendus: äriprotsessidest tuleb kustutatud andmed eemal hoida, ainult tehnilisel eesmärgil protsessidesse (audit logi, baasi koopia) võib "teatud ajaks" (tõlgenda ribadeks) sisse jääda.
  • 2korda2
    GDPR ütleb üheselt - kui on põhjendatud alus andmete säilitamiseks (MTA nõuded, rahapesu seadus, ärihuvide kaitsmine vms), siis võid säilitada andmeid ka juhul kui avaldus sisse tuleb (avaldajale tuleb siis anda ka põhjus, miks andmeid ei kustutata). Seadustest/määrustest tulenevate aluste põhjendamine ei ole keeruline. Ärihuvid juba pisut on - ettevõttel on oma perse katmiseks vaja säilitada andmeid vähemalt nii kaua, kui kaua on võimalik selga saada mõni süüdistus (tõendamiskohustus).
    Baasi varukoopiatega on jah asi keerulisem, sest tüüpiliselt hoitakse varukoopiaid mitte ainult "eilse" vaid ka pisut varasema seisuga ja baasi koopiast avalduse teinud isiku andmeid keegi kustutama ei hakka. Juristide tõlgendus: äriprotsessidest tuleb kustutatud andmed eemal hoida, ainult tehnilisel eesmärgil protsessidesse (audit logi, baasi koopia) võib "teatud ajaks" (tõlgenda ribadeks) sisse jääda.


    Küsimus ei ole ainult andmete säilitamises, vaid ka andmekoosseisus.
    Jah, ettevõttel on vaja audiitoritele näidata ka 7 aastat hiljem raamatupidamisdokumente, kus on andmed eraisikutele esitatud ja tasutud arvete kohta (nt. arve saaja rekvisiidid). Küll aga ei põhjenda see arve saaja kontaktandmete (e-mail, telefon vms.) säilitamist nii pika aja jooksul, kui lepinguline suhe on ammu lõppenud ja kontaktandmed ei ole teenusega seotud.

    Üks näide, mis kohe meelde tuleb, on autoesindused. Kui autoga hoolduses käin, kontrollitakse kontaktandmed üle. Hooldustööde lõppemisest teavitatakse omanikku SMS-iga. Aga need andmed on minu autoesindusel andmebaasis, sest igal aastal küsitakse üle, kas e-mail ja telefon on samad mis neil teada olevad viimased andmed. Lisaks on need kontaktandmed andmebaasis seotud minu autonumbriga.
    Tegelikult ei ole ühtegi head põhjust, miks autoremondi teenuse puhul peaks kliendi andmeid sellisel kujul hoidma - mitte miski ei anna kindlust, et see auto veel järgmise hoolduse ajal minu oma on ning samuti ei ole ma kohustatud just seal esinduses hoolduses käima.
  • Just, trikk ongi see erinevate põhjenduste leidmine ja võrdlemine - mitte ainult salvestamisel, vaid ka käitlemisel. Ja kuna iga andmeelemendi kohta eraldi pole infosüsteemides olemas seoseid muude protsessidega (noh, näiteks, et muidu kustutaks ära, aga kuna just selle konkreetse lepingu kohta on kohtuvaidlus üleval, siis justkui pole hea mõte), siis kogu lahendamine on käsitsi ja läbi juristide. Iga nõude, iga elemendi kohta. Kes kinni maksab? No ikka needsamad kliendid, nagu alati.
    Ühesõnaga, tekitasime just konkurentsieelise kõigile juriidilistele kehadele, kes ei püüagi regulatsiooni tõsiselt võtta ja "ventilaatorisse lendamisel" poe kinni panevad - nemad saavad teenust pakkuda odavamalt.

    Igasugu spämmipakkujate vastu see seadus ei kaitse. Tagantjärele ei tuvasta, kustkohast just nimelt andmed lekkisid. Samuti - kui see rämpsposti sulgemine nii lihtne oleks, siis oleks seda juba ammu tehtud. Nii et kogu see jama kestab edasi, lihtsalt legitiimsed teenused lähevad kallimaks.
  • GDPR on totaalne napakas jama.
    Sellist asja sellisel kujul ei peaks olema. Kes sellise lolli asja välja mõtles?

    Mul on postkastis mitu kirja mis sisaldavad mingit ultimaatiumit, et kui ma "ei nõustu", siis mind "visatakse välja" või teised sarnased kirjad on lihtsalt sellised, et on lisatud tekst, et "tuleb nõustuda".
    Per**e küll!
    Mis mõte sellel kõigel on? Mismoodi see jama mind "kaitseb"? Kõik läheb ju vanaviisi edasi.

    Miks nad seal Euroopa komisjonis ei võiks koostada seadusandlust selliselt, et see kaitseks privaatinimest selliselt, et see inimene ise ei pea eraldi millegiga nõustuma hakkama.
    Kas inimene peab sündides kuhugi oma "allkirja" andma, et ta nõustub ÜRO konventsioonidega? Eriti veel ÜRO inimõiguste deklaratsiooniga? Ei pea.

    See GDPR-jamps peaks olema kirja pandud täpselt sama põhimõttega.
  • See on hea võimalus nõrkadele, kes ei leia jõudu/julgust rämpsmeilide Unsubscribe nuppu vajutada, vabaneda rämpsust, sest vähemalt teoreetiliselt enamus rämpspostitajaid ei oma õigust enam rämpsu saata. Eeldusel, et need nõrgad suudavad hoiduda klikkimisest ja loa andmisest = puhtam inbox neil.
  • Vaevalt rämpsmailide masspostitajaid see asi - GDPR - peatab.
  • GDPR-ist ei saa mingi nõustumise nõudega mööda hiilida, see töötab ikka edasi. Enne virisemist vii end asjaga kurssi, ei ole nii pikk lugemine.

    Ma olen juba kolmele firmale spämmi peale vastava märgukirja saatnud, siiani tundub et edukalt, noh ja ametlikult pole jahihooaeg veel alanudki :) Good times.
  • jesper, ... ja mida see nigeerlane siis vastas? Kas ta kartis ka, et EL politsei tuleb teda sinna Sahelisse arreteerima?

    Ma sekundeerin ttrustile - GDPR on täielik jama. Pmst seadus, mis ütleb, et "seaduserikkumine on keelatud". Selliste seaduste loomist loetakse ebasoovitavaks ja pigem autoritaarsetele reziimidele omaseks.

    Ise ma küll ei kurda, täna teenisin progemisega umbes 1000 eurot ühe päevaga tänu käimasolevale GDPR paanikale :)
  • Nigeerlane nõustus, et võibolla tõesti ei peaks Olerex sealt kunagi käru rentinute aadresse kampaaniamailide listi panema.
  • Soovimatu spämmi jaoks on juba EL regulatsioon 31. oktoobrist 2003. aastast, millele vastavad rakendusaktid on ka Eesti vastu võtnud. Kuidas see GDPR siinkohal veel lisaks aitab?

    Eraldi teema on selline klient olemise spämm. Sageli on inimesed ise ennast sellistesse kohtadesse möllinud (a la käru rentides kinnitanud, et nad on ka tulevikus huvitatud vastavateemalistest uudistest).

    Normaalsetel firmadel on selleks töötavad unsubscribeerimise võimalused ja nad teevad seda ka palumise peale käsitsi. Selleks ei pea endast välja minema.

    Ma olen kunagi tegelenud juhtumitega, kus pidime inimestele saatma pilte nende enda paberil allkirjastatud nõusolekuga saada lisatud meilinglisti, kusjuures meililistil oli ka hilisem loobumise võimalus. Inimesed lihtsalt lähevad kohe pöördesse ja ebaviisakaks.

    Teises kohas saatis (kasutades Outlook Expressi tollal) laps oma isale lihtsalt jupi kopi-pastet ja lingi ühele kodulehele ja selle kodulehe omanik sai kohe kurja kirja sellelt isalt, et "mida te spämmite" ja et "miljon raha trahvi ja vangistus". Firma oli suht mures, aga emaili päistes oli kõik kenasti kirjas :)

    Eraldi teema on veel see, et paljudele inimestele meeldib olla listides (ning näiteks FB on sarnaste feedide agregaator). Selles suhtes ei tasu last pesuveega välja visata.

    UK-s nüüd näiteks mõned firmad loobuvad seoses GDPR-iga püsikliendiprogrammidest, kuna see ei tasu enam lihtsalt ära.

    Ehk siis ma olen seisukohal, et GDPR reguleerib eriti lollil viisil asja, mis oli juba ennegi piisavalt reguleeritud, ning ülejäänud pool sellest seadustekogust on üldse autoritaarsetele reziimidele omane "seaduserikkumine on karistatav" teema.

    GDPR-ist ei saa mingi nõustumise nõudega mööda hiilida, see töötab ikka edasi. Enne virisemist vii end asjaga kurssi, ei ole nii pikk lugemine.


    Ma ei oleks nii kindel. Vähemalt mõnede miljardifondide (teatud firmad, kellede bilansimaht ulatub miljarditesse ja kelledele ma kodulehti teen) juristid on vastupidisel seisukohal :) Või võibolla pole nad lihtsalt GDPR-i lugenud?
  • GDPR tähendab kasutajale seda, et kui enne ettevõte ei võinud sinu andmetega teha midaiganes, siis nüüd oled sa talle selle nõusoleku andnud ja ta võib teha kõike seda, mis oli selles dokumendis kirjas, millega sa nõustusid, aga ei lugenud.
  • Samas peaks olema ka minul kui eraisikul see võimalus, et küsida ettevõttelt, mida minu andmetega tehtud on ja mis andmed üldse ettevõttel minu kohta olemas on. Paras peavalu ettevõtetele, kui hakkad selliseid päringuid saama ... :)
  • Minu jaoks pole asi üldse spämmis kui sellises, see on lihtsalt hea lihtne viis kindlaks teha, kuskohas minu andmeid ilma minu loata kompuutrisse topitakse.

    Aga noh eks selge see, et kui ikka miljardifondi kodulehemeister on seisukoha võtnud, siis minusugusel saunikul ei ole paslik hakata siin rohkem suud paotama :)
  • jesper
    Minu jaoks pole asi üldse spämmis kui sellises, see on lihtsalt hea lihtne viis kindlaks teha, kuskohas minu andmeid ilma minu loata kompuutrisse topitakse.


    Mul on hea plaan kuritegevuse vastu võitlemiseks - võtame vastu seaduse, et kõik kurjategijad peavad tulema politseisse ja oma kuriteod registreerima. Hea lihtne viis kindlaks teha, kes kurjategijad on ja mida nad teinud on.

    Ma arvan, et su mõtteviis on ääretult naiivne.

    Muideks, kas sa mu tuttava Rumeenia arendusprojektis ei tahaks osaleda? 2000% GARANTEERITUD tootlust!

    jesper
    Aga noh eks selge see, et kui ikka miljardifondi kodulehemeister on seisukoha võtnud, siis minusugusel saunikul ei ole paslik hakata siin rohkem suud paotama :)


    Tänan isikliku lähenemise eest :)
  • 972
    Samas peaks olema ka minul kui eraisikul see võimalus, et küsida ettevõttelt, mida minu andmetega tehtud on ja mis andmed üldse ettevõttel minu kohta olemas on. Paras peavalu ettevõtetele, kui hakkad selliseid päringuid saama ... :)


    Aga kui ettevõte vastab sellepeale, et midagi peale e-maili aadressi polegi? Huvitav, kuidas kontrollitakse?
  • Seda jõustatakse samamoodi nagu iga teistki seadust - uurimine, ettekirjutus, kui ei aita siis tõendite kogumine, kohus jne.

    Üldiselt andmekaitse põhiline probleem ei ole see, kui keegi hästi sala-salaja mingeid andmeid kuhugi kogub ning sellest kellelegi ei räägi. Probleem tekib siis, kui kogutud andmete pealt üritatakse raha teenida, selleks on vaja teha mingi teenus ja seda kellelegi pakkuda, noh ja sealt hakkab lõngakera veerema. Umbes samamoodi, nagu küber- või üleüldisemalt valgekrae-kuritegevuse põhiprobleem ei ole kuskilt raha tuuri panek, see on vähemalt ilmsiks tulnud juhtumite puhul reeglina kõige lihtsam osa kogu operatsioonist. Keeruline on seda raha kasutama hakata, ja selle protsessi käigus ka tavaliselt vahele jäädakse.
  • Praegu tundub, et kõige tuntavam efekt asjal on see, et mailipostkast on üle ujutatud kirjadest, kus palutakse nõustuda uute tingimustega. Mingite uute teenuste tarbimise alustamisel on need uued tingimused juba sisse kirjutatud. Tulemuseks on see, et peale uutele tingimustele nõusolekute küsimist, mida ilmselt teenuseid tarbida soovides vältida ei saa, ei muutu ilmselt inimese jaoks mitte midagi. Või noh, mingite totakate kätte satub lihtsalt uus relv, millega oma õigusi nõuda - hakata ettevõtetelt nõudma kõiki neid asju, mida siin “nightmare-kirjades” kenasti juba esitatud on.
  • GDPR annab ühtlasi õiguse oma varasem nõusolek iga kell tagasi võtta. See aga peaks lõpetama ka andmete töötlemise (kui ei suudeta põhjendada edasise töötlemise vajadust) või vähemalt oluliselt piirama andmete töötlemise viise.
  • Nõusolek tagasi võtta? Kõiki lepinguid tuleb (vastavalt raamatupidamise regulatsioonidele) hoida alles 7 aastat...

    Päris naljakas on ka see, et näiteks DoS ja muidu ründajaid ei tohi enam IP aadresside järgi blokeerida. See tuleneb sellest, et IP aadressi ei tohi enam salvestada ning isegi kui eelmine sisselogimiskatse tuli samalt aadressilt 10ms tagasi, ei tohi me seda enam mäletada :)
  • jesper
    Seda jõustatakse samamoodi nagu iga teistki seadust - uurimine, ettekirjutus, kui ei aita siis tõendite kogumine, kohus jne.

    Üldiselt andmekaitse põhiline probleem ei ole see, kui keegi hästi sala-salaja mingeid andmeid kuhugi kogub ning sellest kellelegi ei räägi. Probleem tekib siis, kui kogutud andmete pealt üritatakse raha teenida, selleks on vaja teha mingi teenus ja seda kellelegi pakkuda, noh ja sealt hakkab lõngakera veerema. Umbes samamoodi, nagu küber- või üleüldisemalt valgekrae-kuritegevuse põhiprobleem ei ole kuskilt raha tuuri panek, see on vähemalt ilmsiks tulnud juhtumite puhul reeglina kõige lihtsam osa kogu operatsioonist. Keeruline on seda raha kasutama hakata, ja selle protsessi käigus ka tavaliselt vahele jäädakse.


    ... ja kuidas see su jutt siin GDPR-i puudutab?
  • mike
    totakate

    Nojah, eks see laias plaanis ole üks hea elu tõttu lolliks minemise viisidest jah, et inimene üldse muretseb enda kohta kogutavate andmete käitlemise üle. Normaalne on ikka laia naeratusega kõik ära anda, kui kaupmees pakub vastu ihaldusväärseid preemiapunkte, boonuskleepekaid ja võib-olla lausa võimalust millegi loosimises osaleda! :)
  • Huvitav, kui mitu miljardit töötundi on kokku kulutatud selle GDPR 25/05/2018 jampsi peale?

    Tohutu ajakulu sisse tuleb mõistagi arvata ka kõik need tunnid, mis on kulunud vastuvõtjatel viimaste päevade massiivsele - aga 99% mõttetu sisuga lisameilide avamisele/kustutamisele - saatjatelt, kes pole muidu spämmijad ning seetõttu ei läinud kirjad automaatselt prügikasti.
  • jesper
    mike
    totakate

    Nojah, eks see laias plaanis ole üks hea elu tõttu lolliks minemise viisidest jah, et inimene üldse muretseb enda kohta kogutavate andmete käitlemise üle. Normaalne on ikka laia naeratusega kõik ära anda, kui kaupmees pakub vastu ihaldusväärseid preemiapunkte, boonuskleepekaid ja võib-olla lausa võimalust millegi loosimises osaleda! :)


    Ei, ma ei pidanud neid totakaid silmas, kes igale poole omanandmeid jagavad ja iga suva loosimise või punktidejagamise lolluse peale pöördesse lähevad. Pigem neid “professionaalseid” jobusid, kes mingi uue õiguse tuules hakkavad lihtsalt jauramise pärast jaurama.
  • Kõige lihtsam on isikuandmeid mitte "igaks juhuks" koguda - kui kogumiseks on mingi seadusest tulenev põhjus, siis ei hakka GDRP kuskilt otsast kellelegi turja. Aga mingi stiilis kinopileti või kontaktläätsede puhul pole mingit vajadust ostja andmeid üldse küsida, rääkimata nende tähtajatust säilitamisest. Siiani on seda tehtud, sest see on tasuta ja "äkki läheb tarvis", lihtsalt nüüd on sellisele tegevusele külge pandud mingid konkreetsed kohustused ja nende täitmisest tulenevad kulud. Korrektne käitumine on oma protsessid üle vaadata ja seaduse mõttega vastavusse viia, mitte vaikselt susserdada ja loota, et ehk läheb mööda.

    Nende hõlma, kes on alati mõistlikult käitunud, ei hakka keegi.
  • mike
    972
    Samas peaks olema ka minul kui eraisikul see võimalus, et küsida ettevõttelt, mida minu andmetega tehtud on ja mis andmed üldse ettevõttel minu kohta olemas on. Paras peavalu ettevõtetele, kui hakkad selliseid päringuid saama ... :)


    Aga kui ettevõte vastab sellepeale, et midagi peale e-maili aadressi polegi? Huvitav, kuidas kontrollitakse?


    Teed ametliku päringu ettevõttele, et nad annaksid sulle ülevaate sellest, mis infot nad sinu kohta omavad ja kuidas nad seda kasutavad. Kui oled andnud ainult emaili aadressi, aga saad nimelist otseposti oma kodusele aadressile või helistatakse sulle, siis on selge viide, et ettevõttel on rohkem infot sinu kohta, kui see emaili aadress. Selle näite põhjal peaks saama siis pöörduda Andmekaitse inspektsiooni poole, kes peaks seda siis menetlema :)
  • raulir
    Päris naljakas on ka see, et näiteks DoS ja muidu ründajaid ei tohi enam IP aadresside järgi blokeerida. See tuleneb sellest, et IP aadressi ei tohi enam salvestada ning isegi kui eelmine sisselogimiskatse tuli samalt aadressilt 10ms tagasi, ei tohi me seda enam mäletada :)

    Mingi viide sellele??
    "Stateful firewall" on ka nüüd sinu andmetel keelatud? kuna samuti säilitab eelmise paketi IPd.
  • raulir
    Nõusolek tagasi võtta? Kõiki lepinguid tuleb (vastavalt raamatupidamise regulatsioonidele) hoida alles 7 aastat...

    Kui ma laenutasin tanklast X 3 aastat tagasi käru, siis minu nõusolekuta ei tohi nad enam muud alles hoida kui ainult vastavat lepingut(kui sõlmiti) ja arvet ning neid andmeid ei tohi töödelda mitte mingil muul moel peale raamatupidamisliku tõenduse. Igasugune teavitus/reklaam/info jms on alates tänasest automaatselt keelatud. Sisuliselt ei tohi isegi kliendibaasi analüüsi teha andmete pealt kus on minu isikustamist võimaldavad andmed. Seega analüütika baas tuleb operatiivbaasist täielikult eraldada ja sinna tohib kanda ainult andmeid, mis ei võimalda isikustamist. Seejuures ei tohi analüütika baasis kasutada ka andmetöötleja poolt isikule omistatud ID-d kui see ID on kasutusel ka baasis, kus on minu isikustamist võimaldavad andmed (analüütikabaasi incremental-update on pehmelt öeldes PITA).
    Tegelikult mulle meeldivad need "uuenda oma andmeid/nõusolekut" kirjad - sedasi näeb kenasti, kes vähemalt püüavad ja kellel on minu andmed. Umbes nädala pärast võiks hakata läbi tulistama vanu lepingupartnereid, kes ei ole midagi püüdnud teha - küsides Art13-15 loetletud andmeid. Vastuse saamise järel (kui see on piisav) saata Art17-kohane avaldus.
  • Ekspress Meedia pakub kõikidele inimestele oma sõbrad, tuttavad, vaenlased registreerida Ekspress Meediast spämmi saama. Veebilingil: https://www.lehed.ee/raffle/endisednousolek

    Igatahes sellise umbluulise veebilehe peale ma ei hakka neile oma nõusolekut saatma, sest ma ei tea mis spämmilaviin selle lehe taga paikneb. Huvitav, kas nad saadavad mulle ka edaspidi "Eesti Ekspressi" paberlehe tellimuse meeldetuletuse kirja, kui vana tellimus hakkab otsa lõppema? Seda oleks tarvis, aga sellega kaasnevat spämmi mul pole tarvis.



  • Täna siis avastati, et kümned usa lehed (näit. New York Daily News, Chicago Tribune, LA Times) on blokeeritud euroopas. Peavad ka GDPRi hakkama ajama, kui ei viitsi mõne väiksema puhul siis jääb leht eurooplastele suletuks?

  • opex
    Täna siis avastati, et kümned usa lehed (näit. New York Daily News, Chicago Tribune, LA Times) on blokeeritud euroopas. Peavad ka GDPRi hakkama ajama, kui ei viitsi mõne väiksema puhul siis jääb leht eurooplastele suletuks?



    Miks nad "peavad"?

    Miks peaks mingi firma kellegi omale kliendiks võtma? Miks peaks sisulooja laskma oma sisu kellelgi tasuta lugeda? Miks peaks kärulaenutaja või juuksur oma teenuseid pakkuma kellelegi, kellele ei meeldi tema tingimused?

    Ise sa soovisid neid reegleid, teenusepakkujal on õigus sinu kehtestatud reeglitega mitte nõustuda ja sulle mitte teenust pakkuda.

    Väike kõrvalepõige - Eestis on sageli ajakirjandusest lugeda olnud, kuidas UK-s on teenindus kohvikutes ja kauplustes kuidagi kõrgemal tasemel kui Eestis. Et klient on kuningas jne.

    Tegelikkuses just UK-s võib kassas või muidu teenindajaga sõimlema hakates saada isegi Lidlist (ses mõttes et isegi supermarketist) välja visatud. Pmst tuleb manager ja küsib, et mis ei meeldi ... kui pole lihtsalt lahendatav ja klient ikka edasi vingub, siis soovitatakse lahkuda ja ostud kusagil mujal teha. Mu gf töötas kunagi paaris sellises kohas ja suht tavaline olevat olnud (isegi Lidlis), et kutsutakse turva ja inimene lihtsalt saadetakse-tõugatakse-lohistatakse uksest välja.

    Sama ka kärurendi või juuksuri või ajalehega - kui sulle ei meeldi, kuidas see äri seal käib, siis mine teise kohta ning loe teisi väljaandeid.
  • "Ise sa soovisid neid reegleid" - vau, kuidas küll sellisele järeldusele jõutakse? Miks sa sellist iba toodad?

    Ma kirjutasin kommi mõttega, et näe need kst kelle ideena sündinud uued reeglid võivad hakata kitsendama info kättesaadavust piirates ligipääsu väljaannetele. Ja see vbl on uudiseks ka neile kes reeglitega lagedale tulid.
  • opex
    "Ise sa soovisid neid reegleid" - vau, kuidas küll sellisele järeldusele jõutakse? Miks sa sellist iba toodad?

    Ma kirjutasin kommi mõttega, et näe need kst kelle ideena sündinud uued reeglid võivad hakata kitsendama info kättesaadavust piirates ligipääsu väljaannetele. Ja see vbl on uudiseks ka neile kes reeglitega lagedale tulid.


    Ma ei mõelnud seda isiklikuna.

    (Kuigi sa oled ka EL kodanik ja seega tegelikult ka soovisid neid reegleid. See näitab kui oluline on valimistel osaleda :) )

Teemade nimekirja