
Tark või ebaseaduslik turundus?
Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt
Olgem ausad: viimase viieteistkümne aasta jooksul on hea turundus suuresti põhinenud isikuandmete arukale kasutamisele. Tõstke käsi, kui te pole kunagi tooteinfot sihtrühmale küsimata edastanud. No kuule? Käsi ei tõstetud, mõtlesin ma. Viskame esimese kivi, kui te pole kunagi nime, telefoninumbrit või e-posti aadressi alles hoidnud ilma asjaomast isikut teavitamata. Olgu, ei mingeid kive. Viskame esimese kivi, kui te... Ma arvan, et saate aru.
Muidugi on mõned läinud palju kaugemale, meelitades ligi, taastades ja seejärel ümber suunates või edastades profiile, mis on huvitavad seetõttu, et nad on tarbijad, süütute inimeste tarbijad, kellel oli nõrkus avada sait, järgida linki või väljendada end registreerumise, liitumise, kommentaari tegemise kaudu... Ja kes, on iseenesestmõistetav, kiirustas müügitingimustega; lugege neid? Te ei arva nii. Seega on vastutus jagatud.
Viimasel ajal tuleb tunnistada, et lõksud on mitmekordistunud. Kindlasti pole tarbimishullus, võrgustike sõltuvus ja tunnustusevajadus – „Ma olen olemas, ma klikin!“ – hiiglaslike andmebaaside loomisel asjata olnud, kus sajad miljonid inimesed annavad end kõhklemata alla kõigile, kes neid kiusata tahavad.
Miks siis end millestki ilma jätta? See oli ilus, uus majandus, horisontaalsus, uberiseerumine, tehisintellekt. Andmed, milline hobi! Ja me kõik pingutasime selle nimel, lõpuni välja! Kriis? Minu silm. Mitte kõigile ja mitte kõigele. Väikemehed pole kunagi nii palju tootnud, müünud ja ostnud. Et vältida allakäiku, müüme. Isegi kui see tähendab kokkuvarisemist. Iga nimi ja iga selle nimega seotud infokild oli hoidmist, testimist, profileerimist väärt. Igaüks vajab midagi, ühel päeval. Sa pead selle lihtsalt looma, selle vajaduse, vabandust, et seda avaldan. Rahuldama seda? Jah, aga mitte liiga palju. Et masin edasi pöörleks.
Me teadsime. Me leppisime sellega. Jah, aga palun väga. Me läksime liiale. Kas me oleme täiskasvanud? Ei, täiskasvanuid pole olemas. Ainult lapsed kasvavad suureks. Seega, nagu lapsed, tahtsime alati enamat ja läksime liiale. Või peaaegu. Enne kui oli liiga hilja, võtsid võimud midagi ette. CNIL ei olnud meid lahti lasknud, kuid heatahtlik ja oma territooriumile piiratud olles oli see ülekoormatud. Seega sekkus Euroopa. Mitu korda. Esmalt 1995. aastal ja seejärel 2016. aastal, mille mõju on tänaseni.
Mis see mõju on? Ebaseaduslikkus. See, mis kunagi oli tark turundus, on nüüd ebaseaduslik turundus. Kui te edaspidi kasutate oma kliendi- või kasutajafaile nagu varem, tegutsete ebaseaduslikult. Ja jah. Aga?… Ei. Kuidas?… Sest.
See puudutab arusaamist, mis on isikuandmed ja kuidas neid tuleks käsitleda. Panused on kõrged, riskid suured. Miljonite eurode suurused trahvid, isiklik vastutus, õiglus, kohus – kas need kõik tunduvad kummalised? Me ei tee enam nalja. Mark, Larry, Serguei, Jeff, kas te kuulete mind? Ärge naerge, teie ka. Isegi kui digihiiglased on GDPR-i peamised sihtmärgid, mõjutab see kõiki organisatsioone, olenemata nende suurusest. Suurettevõtted, idufirmad, torulukksepad, Triffouillise raekoda ja sellised ühendused: te ei saa oma faile enam oma äranägemise järgi kasutada.
Muidugi olid juba olemas reeglid ja sanktsioonid. Tõesti? Jah. Seega jaanuaris 2018, enne määruse jõustumist, määras CNIL Dartyle sanktsioonid klientide andmete ebapiisava turvamise eest. Vaidlusalune kasutus pärines tegelikult alltöövõtjalt, kuid trahv määrati just ettevõttele. 100 000 euro suurune trahv. Seega pole see tühiasi, aga see on siiski tüütu võrreldes sellega, mis teiega edaspidi juhtuda võib, kui te pole piisavalt valvas.
Me unistame. Ei, üldse mitte. Euroopa seadus sätestab, et andmed kuuluvad kodanikele ja ükski organisatsioon ei tohi neid oma äranägemise järgi omastada. Ah... Ettevõtted peavad selgelt ja täpselt märkima, kuidas nad isikuandmeid koguvad, töötlevad ja säilitavad. See on lojaalsuse, läbipaistvuse, konkreetsete, õiguspäraste, piisavate ja piiratud eesmärkide küsimus... Mida? Need sõnad oleksid meid varem naerma ajanud. Aga ajad on muutunud. Euroopa ametivõimud reageerivad ja me saame aru, miks.
Enne andmete töötlemist peate tegema mõjuhinnangu, järgima oma sektori tavasid reguleerivat käitumisjuhendit ja määrama andmekaitseametniku, kes teatab kõikidest intsidentidest järelevalveasutusele, Prantsusmaal asuvale CNIL-ile. Nende eeskirjade rikkumise eest on ette nähtud mitmesugused karistused, alates hoiatusest kuni 20 miljoni euro või 4 miljardi euro suuruse trahvini ettevõtte ülemaailmsest käibest. Ee... Oh issand.
See on raske. Isegi jõhker. Aga see on meie endi hüvanguks. Sellegipoolest... Olgu, olgu. On tõsi, et midagi tuli ette võtta. Et meie, ettevõtted, kippusime meid, indiviide, paljaks riisuma. Esimesed võtavad teistelt nime, siis aadressi, siis maitse, siis harjumuse, siis profiili ja siis, ilma et me seda märkaksime, võtavad nad neilt vaba tahte. Vabaduse. Enamik ettevõtteid ei taha halba. Ainult turundus. Aga lõpuks... Aitab küll.
Web 2.0 abil mõistsime, et rikkus peitub andmetes, mis viis suurandmete kõikvõimsa olemuseni tänapäeval. See võim on nii suur, et mõned mõtlevad, kas avaliku ja eraelu vahelise piiri mõistel on veel mingit tähendust. Kas pole juba liiga hilja? imestavad teised. GDPR-i algatajad nii ei arva või vähemalt nad ei väida seda. Nende arvates saame ja peame meie sekkuma, et andmekeskused ja nende omanikud meid ei rööviks ega vampiriseeriks.
See pendli kõikumine on õhus. Pégasystemsi 2017. aasta kevadel seitsmes Euroopa Liidu riigis 7000 tarbija seas läbi viidud uuring näitab, et 82% kodanikest on otsustanud oma isikuandmeid isikuandmete kaitse üldmääruse alusel kaitsta. Ja prantslased tunduvad koos hispaanlaste ja itaallastega olevat oma isikuandmete suhtes kõige tundlikumad. Seega soovib 96% prantsuse vastanutest teada, millist teavet ettevõtted nende kohta hoiavad. Arvestades kodanike kasvavat muret oma õiguste tunnustamise pärast, ei tohiks neid numbreid kergelt võtta.
Usalduse loomine, kaitse ja vaba liikumise ühendamine
Seega ei ole isikuandmete kaitse üldmäärus tekst, mida pärast selle jõustumise kuupäeva kiiresti unustada saab. Selle eesmärk on peatada konfidentsiaalseks jääva teabe vargus ja eraellu sekkumine. Seega on isikuandmete kaitse üldmääruse peamine eesmärk üksikisikute kaitse.
Juba põhjenduste algusest (vähemalt 173) on toon seatud: „Üksikisikute kaitse isikuandmete töötlemisel on põhiõigus” (1ee (kaaludes). Ja isegi „Isikuandmete töötlemine peaks olema kavandatud inimkonna teenistuses“ (4e arvestades).
Kui kaitsevajadust tuntakse, siis seetõttu, et Euroopa Parlamendi ja nõukogu liikmed, kes esindavad ELi kodanikke, leidsid, et ettevõtted ja mõnel juhul ka haldusasutused on isikuandmete kasutamisel liiale läinud. Tegelikult on isikuandmete kaitse üldmäärus osa sotsiaal-majanduslikust arengust, mida tuletati meelde kuues...e arvestades, et: „Kiire tehnoloogia areng ja globaliseerumine on tekitanud isikuandmete kaitse valdkonnas uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogiad võimaldavad nii eraettevõtetel kui ka avaliku sektori asutustel kasutada isikuandmeid oma äritegevuses enneolematul viisil. Üksikisikud teevad enda kohta käiva teabe üha enam avalikult ja ülemaailmselt kättesaadavaks. Tehnoloogiad on muutnud nii majanduslikke kui ka sotsiaalseid suhteid ning peaksid veelgi hõlbustama isikuandmete vaba liikumist liidus ja nende edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, tagades samal ajal isikuandmete kõrgetasemelise kaitse.“
On selge, et EL ei süüdista ühte osapoolt rohkem kui teist, vaid näitab ettevõtete, avaliku sektori asutuste, tehnoloogia ja üksikisikute endi jagatud vastutust.
Ka Euroopa pole alates 9. sajandist erand.e arvestades, et seal on märgitud: „Kuigi direktiiv 95/46/EÜ (esimene Euroopa viitetekst sellel teemal) on oma eesmärkide ja põhimõtete osas endiselt rahuldav, ei ole see ära hoidnud andmekaitse rakendamise killustatust liidus, õiguslikku ebakindlust ega laialt levinud avalikku arvamust, et üksikisikute kaitsele on endiselt märkimisväärsed ohud, eriti veebikeskkonnas.“
Peamine tuvastatud probleem on riikidevaheline erinev kaitsetase. Seetõttu näib ühtsus kõigi ELi ettevõtete ja isegi nende väljaspool ELi asuvate alltöövõtjate jaoks olevat selles valdkonnas tõhusa poliitika vältimatu tingimus. „Füüsiliste isikute järjepideva ja kõrgetasemelise kaitse tagamiseks ning isikuandmete liikumise takistuste kõrvaldamiseks liidus peaks füüsiliste isikute õiguste ja vabaduste kaitse tase selliste andmete töötlemisel olema kõigis liikmesriikides samaväärne. Seetõttu on asjakohane tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjepidev ja ühetaoline kohaldamine isikuandmete töötlemisel kogu liidus“ (10e arvestades).
Kuigi tekst on väga piirav, nagu näeme, püüab see siiski saavutada positiivset majanduslikku eesmärki: „Need arengud nõuavad liidus kindlat ja sidusamat andmekaitseraamistikku, millega kaasneb eeskirjade range kohaldamine, sest on oluline luua usaldus, mis võimaldab digitaalmajandusel areneda kogu siseturul“ (7e arvestades).
„Usaldus.“ Meie arvates on see kõige olulisem sõna. Kui isikuandmete kaitse üldmääruse eesmärk on tagada, taastada või „sisendada“ kodanike usaldust avaliku ja erasektori sidusrühmade vastu ühtsel Euroopa turul, siis toetame seda kogu südamest. On oluline, et inimesed, kes ostavad veebis, kasutavad teenuseid, tutvuvad pakkumistega või avaldavad arvamust, saaksid neid toiminguid teha kartmata, et neilt võetakse osa oma privaatsusest.
Ilma hirmuta, et meid ära võetakse või isegi ahistatakse, võib kasutada 2017. aasta lõpust pärit moesõna, mis võiks kehtida ka digitehnoloogia kohta. Mitu korda päevas saame teavet, mida me pole kunagi küsinud, väidetavalt seetõttu, et oleme tellinud midagi, millest me isegi ei teadnud? Tänapäeval peame tellimuse tühistama, kuigi me pole kunagi tellinud. Kui isikuandmete kaitse üldmäärust õigesti rakendatakse, pole see enam vajalik: uudiskirja saatmine on nüüd keelatud, kui saaja pole selleks selgesõnalist nõusolekut andnud.
See äsja leitud austus on hea asi. Majandusvahetus pole kunagi nii viljakas kui siis, kui erinevad osapooled tunnevad üksteise vastu usaldust.
Sellist sujuvat teabevahetust julgustatakse selgelt: „Füüsiliste isikute ühtse kaitsetaseme tagamiseks kogu liidus ja isikuandmete vaba liikumist siseturul takistavate erinevuste vältimiseks on vaja määrust, mis tagaks õiguskindluse ja läbipaistvuse majandustegevuses osalejatele, sealhulgas mikro-, väikestele ja keskmise suurusega ettevõtetele, et anda füüsilistele isikutele kõigis liikmesriikides samad kohtulikult kaitstavad õigused ja kohustused ning vastutus vastutavatele ja volitatud töötlejatele ning et tagada isikuandmete töötlemise järjepidev järelevalve ja samaväärsed karistused kõigis liikmesriikides, samuti eri liikmesriikide järelevalveasutuste vaheline tõhus koostöö. Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks füüsiliste isikute kaitsega seotud põhjustel seoses isikuandmete töötlemisega“ (13).e arvestades).
Nagu näeme, ei tohiks andmekaitse olla takistuseks, vaid pigem eeliseks „siseturu nõuetekohaseks toimimiseks“. Isikuandmete kaitse üldmääruse artikkel 1 hõlmab nende kahe eesmärgi kombinatsiooni. Tsiteerime lihtsalt esimest lõiku: „Käesolev määrus sätestab füüsiliste isikute kaitse isikuandmete töötlemisel ja selliste andmete vaba liikumise eeskirjad.“ Isikuandmete kaitse ja vaba liikumine, Euroopa Liidu kaks alustala, ei oleks saanud selgemini sõnastada.
Järgnevad põhjendused kuulutavad mõnikord sõna-sõnalt tulevasi artikleid, välja arvatud see, et enamasti on need kirjutatud tingivas kõneviisis, et näidata soovi, kavatsust, samas kui artiklid on indikatiivis, mis tähendab, et need on õiguslikult siduvad.
Olles teksti filosoofia paika pannud, vaatleme nüüd selle peamisi sätteid.