Isikuandmete kaitse määrus ja müügimeeskonnad – kolm sammu määruse täitmiseks

Üsna varsti muutusid suurandmed lihtsalt andmeteks. Kõik andmed olid teatud mõttes suurandmed ning seadusandjad hakkasid pidevalt kasvavale tööstusharule kannule jõudma. 2016. aasta aprillis võttis Euroopa Parlament vastu isikuandmete kaitse üldmääruse (IKÜ), et reguleerida andmete kasutamist ettevõtetes. Uue üldmäärusega ühtlustatakse infoturbe taset kogu Euroopa Liidus. See andmekaitse viimase 20 aasta olulisim muudatus puudutab moel või teisel kõikide organisatsioonide äriprotsesse, veidi teravamalt ehk neid ettevõtteid, kes kas enda või oma klientide tarbeks andmeid koguvad ja töötlevad. IKÜ (inglise keeles GDPR) jõustub selle aasta 25. mail ja see saab olema pöördeline hetk kõikide Euroopa ettevõtete jaoks.

Väga lihtsustatult annab uus määrus inimestele õiguse ettevõtetelt küsida, milliseid andmeid tema kohta kogutud on, milleks neid kasutatakse, kuidas on tagatud nende turvalisus ning nõuda ka andmete kustutamist. Ettevõtted peavad kas andmete vastutava töötlejana või volitatud töötlejana välja töötama andmekaitseprogrammi, mille eesmärk ongi kogutud andmete turvaline hoidmine. Seega ei puuduta uue määruse jõustumine vaid ettevõtte IT- või turundusosakondi, vaid kõiki, kes tegelevad isikute andmete kogumise ja haldamisega - see tähendab personalitöötajad, raamatupidamine, müügimeeskonnad jne. Müügi- ja turundusinimesed, kes pole isikuandmete kaitse määrusest siiani midagi kuulnud, võivad hätta sattuda (ja võimalik, et ka kohtusse).

Kõik müügiinimesed sõltuvad andmetest
Tänapäeval sõltuvad isegi väikeste ettevõtete müügiinimesed andmetest. Midagi teisele ettevõttele müües puutute iga päev kokku üksikisikute ja nende isikuandmetega. Teil on Exceli tabel klientide kontaktidega? Ka selle suhtes kohaldatakse isikuandmete kaitse määrust.

Põhiprobleem on selles, et määruse kohaselt on müügiinimesed „vastutavad töötlejad“. See tähendab, et müügimeeskond vastutab otseselt määruse põhimõtete rakendamise eest ja kui ettevõte pole selleks valmis, on eeskirjade rikkumise oht väga reaalne. Müügiinimestele ei tehta mingeid mööndusi ja määruse täitmata jätmise tagajärjeks võib olla kuni 20 miljoni euro suurune trahv – märkimisväärne summa ka kõige suurema rahvusvahelise kontserni jaoks.
Isikuandmete kaitse määrus on üle saja lehekülje pikk ja üsna keeruline lugemine. Ja kuigi Pipedrive on IKÜ silmis peamiselt andmete “volitatud töötleja”, soovime müügiinimesi aidata ja koostasime selleks kolm soovitust, mida täites on võimalik oma protsessid nimetatud määrusega kooskõlla viia.

Kolm sammu isikuandmete kaitse määruse järgimiseks
Tuleb kasuks, kui teil on üldine ülevaade määruse põhimõtetest, kuid selle järgimiseks vajalikud kolm sammu on sätestatud peamiselt artiklis 5, mis teeb asja veidi lihtsamaks. Eelkõige peavad müügiinimesed järgima allpool kirjeldatud kolme põhisuunist.

1.Koguge ainult teile vajalikke andmeid ning veenduge, et teil on seaduslik alus nende töötlemiseks.
Isikuandmete kaitse määrus sisaldab piiratud loetelu lubatud põhjustest koguda neid andmeid, mida teil pole vaja. Kahjuks ei ole „ehk läheb tarvis“ üks neist põhjustest.
Soovitame müügimeeskondadel kehtestada protseduurid, mis tekitavad võimalikult vähe andmeid. Lisaks määruse järgimisele on siin ka äriline aspekt – mida vähem andmeid peab müügiinimene koguma, seda kergem on tema töö, seda rohkem aega jääb parimate klientide jahtimiseks ning seda vähem aega tuleb kulutada dokumentide haldusele.

Kui kogute andmeid võimaliku kliendiga lepingu sõlmimiseks või „seaduslikes huvides“, ei ole vaja karta probleeme õigusakti järgimisega. Hea uudis on see, et vastavalt isikuandmete kaitse määruse põhjendusele 47 käib selle alla ka turundus. Andmete kogumise vajadus tuleb alati selgelt määratleda ja seda andmesubjektile selgitada. Muudel juhtudel peab küsima andmesubjekti nõusolekut.

Lihtne öelda, aga raske saavutada. Nõusoleku jaoks vajalike tõendite kogumine on keerukas ning nõusolek peab olema antud vabatahtlikult. Samuti tuleb nõusolek täielikult dokumenteerida ning peate olema valmis asjaomased andmed kohe kõrvaldama, kui isik peaks meelt muutma. Nõusoleku tagasivõtmise võimalus peab olema selge ja lihtne ning nõusoleku tagasivõtmise korral peate ka vastavalt tegutsema.

2. Olge oma tegevuse suhtes aus ning valmis vastama andmesubjekti küsimustele. Isikuandmete kaitse määruse põhieesmärk on üksikisikute kaitse.
Müügiinimesena peate tagama klientide teavitamise sellest, mida nende andmetega tehakse ning miks. Peate olema valmis selleks, et kliendid kasutavad oma õigust pääseda juurde oma andmetele, mida te säilitate. See peab toimuma võimalikult lihtsalt ning kliendi nõudmisel tuleb andmed kustutada.

Ka siin on lisaks määruse järgimisele selge äriline kasu sees. Kui võimalik klient on veendunud, et te kasutate tema andmeid vastutustundlikult, aitab see suurendada usaldust teie ettevõtte vastu.

3. Hoidke andmeid turvaliselt ning kustutage kohe, kui neid enam vaja ei ole. Eraelu puutumatus ei ole võimalik turvalisuseta.
Pole üllatav, et isikuandmete kaitse määrus keskendub andmete turvalisusele. See tähendab, et peate kehtestama asjakohased ja piisavad turvameetmed kõikide töödeldavate isikuandmete kaitsmiseks. See tähendab lõppu kontorilaual vedelevatele mälupulkadele või klientide andmete sisestamisele Google'i turvamata tabelitesse. See tähendab tugevaid salasõnu, juurdepääsukontrolli ja tööstusharu standarditele vastavate tehniliste turvameetmete rakendamist.
Lisaks peab olema võimalik andmed süsteemist kõrvaldada, kui pole enam seaduslikku alust nende kasutamiseks. Tuleb kehtestada konkreetsed märguanded teatud tingimuste täitumisel ning andmete kustutamine automatiseerida – sellega hoiate kokku aega ja vähendate oma stressi.