Kooskõlastage oma koduleht ja e-pood uue GDPR määrus -ga, kuna trahv võib olla päris kopsakas

gdpr-privaatsuspoliitika

25. mail 2018 jõustus EL-i isukuandmete kaitse üldmäärus ehk GDPR reguleerib füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.
Uuendusega tuli ka GDPR-is määratud võimalus olla unustatud, ehk kasutaja saab nõuda kõigi oma isikuandmete kustutamist kodulehelt ning salvestada endale kõik tema kohta käivad isikuandmed, mida veeb on kogunud.

Klientidel on õigus küsida Teie käest oma kasutaja andmeid vaadata, nõuda andmete edasi saatmist või paluda andmed kustutada Teie kodulehelt.

Kodulehed, e-poed ja GDPR

Isikuandmed on kõik andmed, mis võimaldavad inimest tuvastada. Ka näiteks IP-aadress võib olla isikuandmed, sel juhul kui IP-aadressi alusel on võimalik tuvastada füüsiline isik.
Andmete töötlemine on igasugune isikuandmetega tehtav toiming, milleks on kogumine, korrastamine, säilitamine, kohandamine, muutmine, levitamine, edastamine, avalikustamine jms.

Selleks, et isikuandmeid töödelda, on vaja isiku selgesõnalist nõusolekut, kui Sul ei ole just seadusest tulenevat õigust. Nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline.

Kirjuta oma privaatsuspoliitika tingimused

E-poest ostu sooritamise eelduseks on kliendi nõustumine lepingutingimustega. Lepingutingimused võivad olla kirjas müügi-, ostu- või kasutustingimustena.

Seoses privaatsustingimustega peaks olema välja kirjutatud järgmised asjad:

  • milliseid andmeid kogud
  • kes isikuandmeid töötleb
  • mis eesmärgil andmeid kasutad
  • kas ja kellele andmeid veel edastatakse
  • kui pika aja jooksul isikuandmeid säilitatakse
  • kuidas kasutaja saab tutvuda tema kohta kogutud andmetega
  • kuidas kasutaja saab alla laadida tema kohta käivaid andmeid
  • kuidas kasutaja saab muuta ja kustutada tema kohta käivaid andmeid

Kui kasutaja ise ei saa oma kontot kustutada või andmeid näha ja alla laadida, siis peab olema kirjas, mida ta selleks peab tegema, näiteks võtma ühendust e-kirja teel.

Soovituslikult peaks lepingutingimustega nõustumine toimuma e-poe kasutajaks registreerumisel või vahetult enne ostu vormistamist.

Kliendil ei tohiks olla võimalus sooritada e-poest ostu enne, kui ta ei ole andnud nõusolekut lepingutingimustega nõustumiseks.

Kasutajaks registreerimine ja kasutajakontod

Kui Teie kodulehel on võimalik registreerida end kasutajaks, siis ka sellel lehel peab olema teade privaatsustingimustele ning kasutaja peab andma nõusoleku.
Soovitav on küsida nõusolekut ka olemasolevatelt kasutajatelt ning teavitada neid uutest privaatsustingimustest.

Ostukorvi hülgamise teavitused

Kui kasutad pistikprogrammi, mis teavitab kasutajat ostuprotsessi pooleli jätmisest, siis peaksid veenduma, kas pistikprogrammi arendaja on viinud pistikprogrammi vastavusse GDPR nõuetega.
Vastavalt isikuandmete kaitse üldmäärusele ei tohi sa saata teavitusi ilma vastava sisulise nõusolekuta.

Kui pistikprogrammi looja ei plaani lisada eraldi märkeruutu, et külastaja on nõus teavituste saamisega, siis tuleks leida vastav pistikprogramm, mis seda teeb või lasta oma kodulehe arendajal see kood juurde kirjutada.

kodulehe-privaatsuspoliitika

Arvustused ja kommentaarid

Kui Teie lehel on lubatud näiteks toote kommenteerimine, siis ka siin on vaja kasutaja nõusolekut, sest tagasiside andmise jaoks peab külastaja lisama nime ja e-postiaadressi.
Üheks lahenduseks on siin lubada toote kommenteerimine ainult nende kasutajate poolt, kes on toote ostnud. Sel juhul, kui kasutajal on võimalik Teie lehel omale konto luua ning konto loomise käigus on ta nõustunud privaatsustingimustega.

Kui aga lubad arvustusi kõigil kirjutada, siis peaksid lisama märkeruudu privaatsustingimustega nõustumise kohta enne arvustuse lisamist. See eeldab taas erilahendust ehk koodi kirjutamist.

Muu sisu kommenteerimise puhul kehtib sama loogika, ehk enne kommentaari lisamist peab kasutaja andma nõusoleku isikuandmete töötlemiseks.

Uudiskirjaga liitumine

Ka uudiskirjaga liitumise puhul peab olema kliendi nõusolek privaatsustingimustele. Siin oleneb millist tarkvara Te kasutate ja kui palju on jõutud antud tarkvara vastavusse viia uue määrusega. On ka mainitud uudiskirja tarkvara arendajate poolt, et tegelikult peaksite küsima uue nõusoleku ka juba eksisteerivatelt kontaktidelt.

Kontaktivormid

Ka kontaktivormide puhul tuleb lisada märkeruut, millega vormi täitja saab anda nõusoleku andmete töötlemiseks. Võiks ka lisada märkeruudu järgi viite privaatsustingimustele.

Ühesõnaga, kui lisad kõikidele vormidele juurde kohustusliku märkeruudu, kus kasutaja peab nõustuma privaatsustingimustega, siis siin peaks sellest piisama.

Kodulehe analüütika – küpsised

Seoses oma kodulehe analüüsimisega kasutatakse lehel erinevaid küpsiseid (browser cookies). Kodulehel tuleb selgelt ja arusaadavalt teavitada, millist tüüpi küpsiseid mis eesmärgil kasutatakse.

Privaatsustingimustesse tasub lisada ka info, kuidas külastaja saab enimlevinud veebilehitsejate puhul kustutada küpsiseid. Küpsiste kohta saad taas lugeda täpsemalt Andmekaitse inspektsiooni lehelt.

Samuti tuleb arvestada sellega, et kolmandad osapooled peavad vastama GDPR nõuetele.

Google Analytics’is andmete säilitamise võimalustest saad lugeda artiklist Data retention. Google on öelnud, et enne 25. maid lisandub Analyticsis juurde ka kasutaja kustutamise võimalus.

Google Analytics’is on võimalik määrata, kui kaua Te mingeid andmeid alles hoiate.

Ja veel

Soovitame oma veebihalduril või arendajal vaadata kriitilise pilguga üle kõik pistikprogrammid ning mõelda, kas pistikprogramm töötleb (näiteks loeb, salvestab jne) isikuandmeid. Kui jah, siis kontrolli, kas pistikprogramm vastab GDPR nõuetele.

Kõigele lisaks tuleb arvestada, et kui mingil põhjusel peaksid Teie kodulehelt andmed lekkima, siis sellest tuleb teavitada Andmekaitse inspektsiooni 72 tunni jooksul. Täpsemat infot selle kohta leiad Andmekaitse inspektsiooni artiklist Rikkumisteated.

Lisaks soovitame jälgida Andmekaitse inspektsiooni kodulehte seoses Euroopa andmekaitse reformiga.

Lõpetuseks peaks ka ära mainima, et konkreetne blogipostitus ei ole käsitletav juriidilise nõuandena, vaid on mõeldud rohkem kodulehe omanike tähelepanu juhtimisele jõustunud GDPR määrusele. Antud blogipostitus on inspireeritud KoduleheKoolituste artikli põhjal ja siit saate ka veel täpsemalt lugeda antud teemal: GDPR