Autor: Tanel Rand • 4. august 2021

Mitmed uuringud ja arutelud analüüsisid paljusid GDPR-i aspekte lähemalt, näiteks kriitilise tähtsusega topelt kinnitamisi. Seekord räägib Smaily turundusjuht Tanel Rand aga sellest, miks tuleks enne lõpliku otsuse tegemist oma meilikliendi kohta lähemalt uurida. Ettevõtted peavad olema kursis sellega, kas nende meilikliendid järgivad andmekaitse ja privaatsuse seadusi ning mõistma nende andmete säilitamise, töötlemise ja liigutamise protsesse.

GDPR ja kohalikud andmekaitseasutused

Paljud ettevõtted kulutavad suurel hulgal aega ja energiat, et GDPR-le vastavust tagada. Tahame siinkohal meenutada, et kohalikud andmekaitseasutused mängivad siiski väga olulist rolli. Nemad kontrollivad seda, kas ettevõtted tegutsevad kooskõlas andmekaitse regulatsioonidega.

Andmekaitseasutused võivad vajadusel professionaalset juhendamist pakkuda, et aidata mõista nii GDPR-i kui kohalike andmekaitse seaduste regulatsioone. Igas Euroopa Liidu liikmesriigis on üks andmekaitseasutus. Eestis on selleks näiteks Andmekaitse Inspektsioon, Prantsusmaal Commission Nationale de l'Informatique et des Libertés – CNIL.

Saksamaa andmekaitseasutus on “Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit”. Asutuse kompetents erinevate kaebustega tegelemiseks on aga jagatud erinevate Saksa andmekaitse järelvalveasutuste vahel. See illustreerib suurepäraselt protsessiga seotud keerukusi - ettevõtted peavad olema kursis kohalike asutuste ja regulatsioonidega, samal ajal mõistes ja järgides ka GDPR-st tulenevaid regulatsioone.

Hoia personaalsed andmed turvaliselt ja kaitstuna

Kujutame ette, et omad e-poodi ja müüd oma kaupu Euroopa Liidu riikides. Tõenäoliselt kogud selle käigus personaalseid andmeid. Näiteks jõuavad sinuni e-posti aadressid, millele meiliturunduse platvormi vahendusel uudiskirju saadad.

Sa tead juba, et andmete kaitse ja turvalisus on äärmiselt olulised. Siiski on tähtis mõista, kas ja kuidas erinevad regulatsioonid mõjutavad seda, kuidas klientide andmeid säilitada ja sünkroonida, töödelda ja arhiveerida. Nime, e-posti aadressi, asukohta ja muud puudutav info kuulub personaalsete andmete hulka.

Ütleme, et sinu ettevõte tegutseb Euroopa Liidus või Euroopa majanduspiirkonnas. Sellisel juhul on kõige turvalisem otsustada kohaliku meilikliendi kasuks, kes andmeid Euroopa Liidus säilitab. Selline otsus võib aidata sul paljudest potentsiaalsetest probleemidest pääseda. Hiljutine näide seostub Mailchimpiga - vaatame, mis juhtus.

Baieri andmekaitse juhtum seoses Mailchimpi kasutamisega

Baieri Andmekaitseamet on Saksamaal asuva Baieri liidumaa andmekaitseasutus. Hiljuti uurisid nad ühe andmesubjekti kaebust. Ettevõte (nn “kontrollija”) kasutas uudiskirjaga liitunutele e-kirjade saatmiseks Mailchimpi platvormi.

Mailchimpi näol on tegu väga populaarse meilikliendi ja USA ettevõttega. See tähendab, et teoreetiliselt töötleb, liigutab ja säilitab Mailchimp andmeid USA-s. Seega hõlmab Mailchimpi kasutamine andmete liigutamist Euroopa Liidust USA-sse. Antud juhul tuvastas Baieri Andmekaitseamet, et Mailchimpi kasutamine oli vastavate regulatsioonidega vastuolus.

Nende uurimusest selgub, et USA järelvalve agentuurid võisid potentsiaalselt Mailchimpi poolt omatud andmetele ligi pääseda. Lisaks leidis Andmekaitseamet, et kõnealune ettevõte ei olnud uurinud, kas andmete turvaliseks töötlemiseks ja säilitamiseks Mailchimpi poolt oleks tulnud lisameetmeid kasutusele võtta

Nüüdseks on ettevõte Mailchimpi kasutamise lõpetanud. Õnneks leidis Baieri Andmekaitseamet, et rikkumine oli minimaalne ja ettevõttele ei määratud trahvi, tingimusel, et nad lõpetavad antud meilikliendi teenuse kasutamise.

Kohalikud andmekaitseasutused mängivad olulist rolli

Kirjeldatud otsus ei tähenda, et Mailchimpi kasutamine ei ole seadusega kooskõlas. Probleem oli aga selles, et ettevõte ei hinnanud olukorda adekvaatselt ega teinud kindlaks, kas USA järelvalve agentuuride eest andmete kaitsmiseks oleks olnud vaja rakendada lisameetmeid.

Sarnased otsused võivad puudutada ka teisi meilikliente, kes on USA ettevõtted. Näiteks SendGrid omab USA-s paiknevaid andmekeskusi. Seega edastatakse klientide andmed neisse keskustesse töötlemiseks ja säilitamiseks. Paraku tundub, et neil puuduvad Euroopa serverid ja paistab, et neid ei ole plaanis ka lähitulevikus omada.

Kuna Klavyio kasutab SendGridi infrastruktuuri, võivad nende Euroopa Liitu või Euroopa majanduspiirkonda kuuluvad kasutajad sama probleemi otsa sattuda. Klavyio kasutajad võivad peagi näha, kuidas nende klientide personaalsed andmed USA-sse liigutatakse. Loomulikult näevad nimetatud meilikliendid suurt vaeva, et tagada oma tegevuse vastavus GDPR-ga ja andmete liigutamise regulatsioonidega. Sellele vaatamata soovitavad nad juristidega nõu pidada, et parim ja turvalisim andmete liigutamise meetod leida.

Eelmainituga tahame rõhutada, et kuigi GDPR-ga kooskõlas tegutsemine on äärmiselt oluline, näitab ülalpool kirjeldatud andmekaitseasutuse otsus seda, kui tähtis on ka kohalike regulatsioonide mõistmine ja nendest kinnipidamine.

Ole meiliklienti valides põhjalik

Oma meiliturunduse strateegiat püsti pannes ja sobivat teenusepakkujat valides proovi oma meilikliendi kohta rohkem teada saada. Pane tähele nende asukohti: eeltoodud näide illustreeris seda, kuidas USA ettevõtte kasutamine muutis asjad Saksa ettevõtte jaoks üsna keeruliseks.

Taga, et sinu meiliklient suudab pakkuda piisavalt infot, mille abil adekvaatselt potentsiaalseid riske hinnata ja vajadusel turvalisuse tagamiseks lisameetmeid kasutusele võtta.