GDPR – andmekaitse uus ajastu ja valusad õppetunnid

GDPR – andmekaitse uus ajastu ja valusad õppetunnid

2018. aasta 25. mai. Just sel päeval hakkas Euroopa Liidus kehtima GDPR ehk üldine andmekaitse määrus (General Data Protection Regulation). Selle eesmärk oli lihtne, aga mastaapne: kaitsta inimeste isikuandmeid digitaalsel ajastul, kus andmed liiguvad kiiremini kui kunagi varem. Kuigi paljude jaoks jäi GDPR algul kaugeks juriidiliseks mõisteks, said mõned maailma suurimad ettevõtted üsna kiiresti aru, et tegemist on vägagi reaalse ja karmi reeglistikuga.

Mis on GDPR?

GDPR seab reeglid selle kohta, kuidas tohib isikuandmeid koguda, säilitada, töödelda ja kustutada. Inimestele anti rohkem õigusi – näiteks õigus saada teada, mida nende andmetega tehakse, nõuda nende parandamist või kustutamist („õigus olla unustatud“), ning õigus keelduda otseturundusest.

Ettevõtete jaoks tähendas see suuremat läbipaistvust ja vastutust: igal andmetöötluse sammul peab olema selge õiguspärane alus, olgu selleks leping, seadus, nõusolek või õigustatud huvi.

Aga mis siis, kui reegleid eiratakse?

Suurimad GDPR trahvid – kes on eksinud ja miks?

GDPR rikkumiste eest võib määrata trahvi kuni 20 miljonit eurot või 4% ettevõtte globaalsest aastakäibest – olenevalt sellest, kumb on suurem. Ja Euroopa andmekaitseasutused on seda ka teinud.

1. Meta (Facebook) – 1,2 miljardit eurot (Iirimaa, 2023)

Meta sai rekordilise trahvi andmete edastamise eest USA-sse, kus Euroopa andmekaitse tase ei ole samaväärne. Euroopa Kohus oli juba varem leidnud, et selline andmeedastus ei taga piisavat kaitset, kuid Meta jätkas tegevust, eirates hoiatavaid signaale.

2. Amazon – 746 miljonit eurot (Luksemburg, 2021)

Seni suuruselt 2 kohal olev GDPR trahv määrati Amazonile, kuna ettevõte töötles isikuandmeid ilma korraliku nõusolekuta ja kasutas neid sihtotstarbeliseks reklaamiks. Luksemburgi andmekaitseamet leidis, et Amazon ei olnud piisavalt läbipaistev ja rikkus inimeste privaatsusõigusi.

3. TikTok – 345 miljonit eurot (Iirimaa, 2023)

TikTok sai trahvi alaealiste andmete kaitse rikkumise eest. Platvorm ei rakendanud piisavalt tugevaid meetmeid, et alaealiste kontod oleks vaikimisi privaatseadistustega ning andmete töötlemisel ei arvestatud laste erikaitsevajadustega.

4. British Airways – 22 miljonit eurot (Ühendkuningriik, 2020)

2018 aasta andmeleke paljastas ligi 500 000 kliendi isikuandmeid, sealhulgas krediitkaardiandmeid. Rikkumise põhjuseks oli turvanõrkuste tõttu toimunud küberrünnak. Algne trahvisumma oli üle 200 miljoni euro, kuid see alandati COVID-19 majandusmõju tõttu.

5. Marriott – 20,4 miljonit eurot (Ühendkuningriik, 2020)

Marriott hotellikett kannatas samuti suure andmeleke all, mille käigus paljastati ligikaudu 339 miljoni külalise andmed. Uurimisel selgus, et Marriott ei olnud piisavalt tähelepanelik pärast Starwoodi hotelliketi omandamist, kust turvaprobleemid pärinesid.

Mida ettevõtted peaksid õppima?

GDPR ei ole lihtsalt bürokraatlik takistus – see on digitaalne inimõigus. Ettevõtted peavad arvestama, et:

• Nõusolek peab olema teadlik ja vabatahtlik, mitte peidetud pikkade tingimuste taha.

• Isikuandmeid tuleb kaitsta turvameetmetega (krüpteerimine, ligipääsupiirangud jms).

• Igal andmekogumisel peab olema põhjus – „igaks juhuks kogumine“ pole aktsepteeritav.

• Reageerimine andmelekketele peab toimuma 72 tunni jooksul.

Kokkuvõtteks

GDPR on seadus, mis paneb inimesi esikohale ja sunnib tehnoloogiaettevõtteid vastutama. Kuigi trahvid on vahel šokeerivad, on need tuletus sellest, et privaatsus ei ole luksus, vaid põhiõigus. Tulevikus näeme ilmselt veelgi rangemaid reegleid ja tugevamat järelevalvet – eriti nüüd, kui andmed liiguvad üle piiride, pilvedesse ja tehisintellekti algoritmidesse. Kellele andmed kuuluvad? Vastus on selge: inimesele, mitte masinale ega korporatsioonile.