uus isikuandmete kaitse üldmäärus GDPR

25. mail 2018 jõustunud EL-i isukuandmete kaitse üldmäärus ehk GDPR reguleerib füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist. Veebisekretäri kodulehe haldajana töötlen minagi isikuandmeid. Järgnevalt annangi ülevaate, kuidas on näinud välja uue isikuandmete kaitse üldmääruse rakendamine veebisekretäri lehel, et vajadusel saaksid Sinagi oma veebilehel lihtsalt ja kiiresti teha vastavad muudatused.

Olgu siinkohal lisatud, et alljärgnev artikkel ei ole käsitletav juriidilise nõuandena. Tegemist on looga, kus ettevõtja, kes soovib tegutseda kooskõlas seadusega, kirjeldab, mida ta võttis ette, et tema tegevus (eelkõige koduleht) ja uus isikuandmete kaitse üldmäärus oleksid omavahel kooskõlas. Kindlasti ei pruugi koduleht olla selle tulemusena 100% GDPR-ile vastav, kuid loo autor on toimetanud oma parima teadmise juures. Plaanis on edaspidi kodulehte kohendada, kui selgub, et uue andmekaitsemääruse rakendamine on olnud puudulik.

 

Info hankimine

Uus isikuandmete kaitse üldmäärus sai ette võetud ja selle rakendamine algas veebisekretäri lehel mõned nädalad tagasi mai esimestel päevadel. Esimese asjana lugesingi läbi GDPR-i. Pöörasin tähelepanu just mind puudutavale osale.

Lisaks vaatasin internetis ringi, mida kasulikku GDPR-i rakendamise kohta leida on. Parim artikkel, millele sattusin, oli KoduleheKoolituste postitus Mida toob kaasa isikuandmete kaitse üldmäärus (GDPR) kodulehe omanikule? Kui GDPR-ist saab teoreetilise baasi, siis KoduleheKoolituse artikkel annab praktilisi soovitusi muudatuste tegemiseks. 

Põhilised märksõnad, mida uus isikuandmete kaitse üldmäärus käsitleb, on isikuandmed, isikuandmete töötlemine ja isiku selgesõnaline nõusolek. Järgnevalt teen põgusa ülevaate neist.

Isikuandmed on andmed, mis võimaldavad isikut tuvastada – nimi, isikukood, e-posti aadress jms.

Isikuandmete töötlemine on igasugune isikuandmetega tehtav toiming, milleks on kogumine, korrastamine, säilitamine, kohandamine, muutmine, levitamine, edastamine, avalikustamine jms.

Selleks, et isikuandmeid töödelda, on vaja isiku selgesõnalist nõusolekut, kui Sul ei ole just seadusest tulenevat õigust. Nõusolek peab olema vabatahtlik, konkreetne,  teadlik ja ühemõtteline. 

 

Veebilehe analüüs

Olles saanud ülevaate, mida uus isikuandmete kaitse üldmäärus endast kujutab, vaatasin saadud teadmiste baasil üle oma kodulehe. Võtsin eesmärgiks aru saada, millised muudatused tuleb läbi viia, millised lehed ja funktsioonid ei vasta GDPR-i nõuetele. Analüüsi käigus jõudsin arusaamisele, et veebisekretäri lehel tuleb teha järgmised muudatused:

  • koostada privaatsustingimused;
  • täiendada kontaktivormi märkeruuduga, kus päringu tegija annab teada, et on privaatsustingimustega tutvunud ja nendega nõus;
  • sõnastada ümber e-raamatu tellimise ja meililistiga liitumisega seotu ning täiendada meilivormi privaatsustingimuste teemalise nõusoleku andmise märkeruuduga;
  • lisada kommenteerimise juurde märkeruut privaatsustingimustega tutvumise ja nõustumise osas;
  • anda kasutajale teada, et lehel kasutatakse küpsiseid.

Lisaks muudatustele kodulehel, tuli otsustada, kuidas toimida olemasolevate veebisekretäri meililisti liikmetega. Meililisti liikmeteks said nad seetõttu, et tellisid veebisekretäri lehelt tasuta e-raamatu „35 eluhäkki produktiivsuse tõstmiseks“. Uudiskirjaga liitumisest teavitasin neid alles selles e-kirjas, milles nad leidsid lingi e-raamatu alla laadimiseks. Seega puudub mul nende otsene nõusolek listiga liitumise ja nende isikuandmete töötlemise osas.

 

Privaatsustingimuste kokkupanek

Privaatsustingimused, -poliitika, põhimõtted jms peavad olema olemas igal veebilehel, kus töödeldakse isikuandmeid või kasutatakse küpsiseid.

Privaatsustingimuste kokkupanekuks vaatasin, mida heade kolleegide veebilehtedelt leida oli. Ammutasin neist inspiratsiooni ning panin kokku korra, mis käib just veebisekretäri lehe kohta. 

privaatsustingimused uue andmekaitse määruse rakendamine

 

Veebisekretäri veebilehe privaatsustingimused on oma ülesehituselt järgmised.

1. Olulisemad mõisted, mida edaspidi korras kasutan

Selgitan isikuandmete töötlemise sisu, toon välja, keda ma veebilehe kasutajate all silmas pean ja mida hõlmavad teenused. Privaatsustingimustes olen kasutanud ka teisi mõisteid, kuid need olen toonud välja konkreetse peatüki juures, kuna nende kasutusala piirdubki sageli just konkreetse peatükiga.

2. Milliseid isikuandmeid töötlen ja kuidas need minuni jõuavad

Põhilisteks isikuandmeteks on inimese nimi ja e-postiaadress, mis jõuavad minuni, kui kasutaja liitub meililistiga, saadab e-kirja või võtab ühendust kodulehel oleva kontaktvormi kaudu. Lisaks kogun ma veebilehe külastatavuse statistikat, abimeesteks on Google Analytics ja Facebook Pixel.

3. Mis otstarbel ma isikuandmeid kasutan

Siin on kaks põhilist varianti. Esiteks läheb isikuandmeid tarvis teenuse osutamiseks (kliendiga suhtlemine, lepingu sõlmimine, arvete esitamine jms). Teiseks saadan meililistiga liitujatele teavitusi uutest artiklitest, teenustest ja kampaaniatest. Külastatavuse statistikat kasutan kasutajakogemuse parendamiseks ja efektiivsemaks turundamiseks.

4. Millistele kolmandatele isikutele ja millistel tingimustel ma veebilehe kasutajate isikuandmeid edastan

Siin avastasin endalegi üllatuseks, et neid kolmandaid osapooli on päris palju, ja kes teab, kas kõik saidki üles loetletud. Lisaks toodete ja teenuste pakkujatele, mida veebisekretär kasutab enda teenuste pakkumiseks, lisanduvad loetellu ka koostööpartnerid. Viimastele edastame kliendi isikuandmeid ulatuses, mis on vajalik teenuse osutamiseks.

5. Kuidas isikuandmeid säilitan ja turvalisuse tagan

Põhimõte on siinkohale see, et säilitamise lõpptähtaeg saabub siis, kui eesmärk on saavutatud (nt teenus osutatud) või saab läbi seaduses sätestatud kohustuslik aeg andmete säilitamiseks (nt raamatupidamise dokumendid 7 aastat). Turvalisus on tagatud sellega, et isikuandmeid sisaldavatesse töövahenditesse ja keskkondadesse on juurdepääs vaid vastavaid õigusi omavatel isikutel.

6. Millised on veebilehe kasutaja õigused ja kuidas ta neid kasutada saab

Inimesel on õigus saada tema kohta kogutud andmetele juurdepääs ja tal on õigus nõuda oma andmete parandamist, täiendamist, kustutamist, töötlemise piiramist ja ülekandmist. Veebisekretäri lehe puhul tuleb selleks saata vastavasisuline sooviavaldus e-posti aadressile info@veebisekretar.ee. Lisaks on meililistist võimalik lahkuda, vajutades vastavat linki e-kirja lõpus. Küpsiseid saab blokeerida veebilehitseja seadete alt. Kui inimene leiab, et tema õigusi on isikuandmete töötlemisel rikutud, saab ta pöörduda Andmekaitse Inspektsiooni poole.

7. Milliseid küpsiseid ja miks ma oma veebilehel kasutan

Selle punkti juures selgitan küpsiste mõistet ning toon välja püsivate küpsiste ja seansiküpsiste eripärad. Veebisekretäri lehel kasutatakse küpsiseid, eesmärgiga tagada parem kasutajakogemus ja efektiivsem turundustegevus ning koguda kasutusstatistikat. Kasutatavad küpsised on loodud Google ja Facebooki poolt.

8. Kuidas kasutaja saaks küpsistest mööda minna

Kasutajal on võimalik küpsiste kasutamine ära keelata või need kustutada. Lisasin privaatsustingimustesse lingid küpsiste kustutamiseks ja seadistamiseks erinevates internetibrauserites ja Google Analyticsis.

9. Kuidas toimub privaatsustingimuste muutmine

Privaatsustingimuste muutmise õiguse jätsin ma veebisekretärile, mida ta saab teostada ühepoolselt ja ette teatamata, eesmärgiga kindlustada nende vastavus seadustele. Uusim versioon on veebilehel alati saadaval.

Privaatsustingimuste kirjutamise plussiks oli asjaolu, et sain selle käigus läbi mõelda kogu isikuandmete töötlemise teema oma lehel – mida, milleks ja kuidas ma töötlen s.t kogun ja kasutan. Veebisekretäri privaatsustingimused on leitavad veebilehe jaluses.

E-kaubanduse Liit ja advokaadibüroo Hedman Partners töötasid e-poodidele välja universaalsed isikuandmete töötlemise tingimused, mis on kõigile tasuta kasutamiseks. Tingimused on kooskõlastatud Andmekaitse Inspektsiooniga ning saadaval eesti, vene ja inglise keeles. Seega e-poe omaniku jaoks on suur töö ära tehtud.

 

Kontaktivormi täiendamine

Kui privaatsustingimused valmis, täiendasin kontaktivormi märkeruuduga, milles vormi täitja annab teada, et on tutvunud ja nõustub privaatsustingimustega. See on vajalik, kuna uus isikuandmete kaitse määrus nõuab isiku nõusoleku küsimist tema andmete töötlemiseks.

uus andmekaitse määrus kontaktivorm

 

Contact Form 7 plugina kasutajana sain selle kohta väärtuslikku infot artiklist Acceptance Checkbox. Lisasin konktaktivormile enne saatmisnuppu aktsepteerimise vormi malli koos tekstiga „Olen tutvunud ja nõustun privaatsustingimistega“ sh lisasin lingi privaatsustingimustele.

kontaktivorm_uus andmekaitse määrus

 

Selleks, et muuta linnukese märkimine märkeruutu kohustuslikuks, kirjutasin kontaktvormi lisaseadetesse: acceptance_as_validation: on

kontaktivormi valideerimine uus andmekaitse määrus

 

Meililistiga liitumise vormi täiendamine

Seni esitlesin veebilehe kasutajatele võimalust alla laadida tasuta e-raamat ja alles e-kirjas andsin teada, et olete nüüd veebisekretäri meililisti liikmed. Edaspidi on rõhk meililistiga liitumisel, millest annan teada juba liitumise vormil ja kirjeldan pikemalt vormile eelnevas tekstis. Toon välja meililistis olemise plussid, esitlen listist lahkumise võimalust ja tutvustan privaatsustingimusi.

Eeltoodust tulenevalt viisin sisse muudatused vormi teksti ning sarnaselt kontaktvormile, lisasin märkeruudu, milles vormi täitja annab teada, et on tutvunud ja nõustub privaatsustingimustega.

meililisti kontaktvorm uus andmekaitse määrus

Meililistiga liitumise vormi lõin SumoMe pluginiga, mis on ühendatud e-mailide edastamise ja haldamise süsteemiga. Tekste muuta ja märkeruutu lisada oli lihtne.

SumoMe uue andmekaitse määruse rakendamine

 

Kommenteerimise uuendamine

Kuna olen kommenteerimise eeltingimuseks seadnud nime ja e-posti aadressi sisestamise, peab kasutaja andma enne kommentaari lisamist oma nõusoleku isikuandmete töötlemiseks. Selleks tuleb taaskord päevakorda märkeruudu lisamine, milles kommenteerija annab teada, et on tutvunud ja nõustub privaatsustingimustega.

Hetkel WordPressil selline funktsionaalsus puudub. Võimalik, et arendamise käigus lisatakse vastav funktsionaalsus. Seniks aga tundus lihtsam lahendus olevat 25. maist mõneks ajaks kommenteerimine välja lülitada ja WordPressile veidi aega anda. Eriti olukorras, kus veebilehel postituste kommenteerimine ei ole veel hoogu sisse saanud ja pluginaid on kogunenud omajagu.

 

Teavituse lisamine küpsiste kasutamise kohta

Veebilehtede haldajad on kohustatud veebilehel esitama selge ja arusaadava teabe, millist tüüpi küpsiseid nende leht kasutab ja mis eesmärgil. Nii saab kasutaja ise otsustada, kas ja millised küpsised ta lubab või keelab.

küpsiste teavitus uus andmekaitse määrus

 

Võtsin kasutusele Zotabox notification bar plugina, mille abil teavitan kasutajat, et antud veebileht kasutab küpsiseid ning kasutades meie veebilehte nõustub kasutaja küpsistega. Lisasin viite privaatsustingimustele, kust saab lähemalt lugeda küpsiste kasutamise, blokeerimise ja kustutamise kohta.

küpsiste teavitus zotabox uus andmekaitse määrus

 

Meililisti liikmete teavitamine

Lisaks muudatustele kodulehel, tuli otsustada, kuidas toimida olemasolevate veebisekretäri meililisti liikmetega. Nagu juba eespool mainisin, said nad meililisti liikmeteks seetõttu, et tellisid veebisekretäri lehelt tasuta e-raamatu „35 eluhäkki produktiivsuse tõstmiseks“. Uudiskirjaga liitumisest teavitasin neid alles selles e-kirjas, milles nad leidsid lingi e-raamatu alla laadimiseks. Seega puudub mul nende otsene nõusolek listiga liitumise osas.

Lahendasin olukorra selliselt, et saatsin meililisti liikmetele kirja, milles:

  • tuletasin meelde, kuidas nad meililisti sattunud olid,
  • teavitasin neid võimalusest meililistist lahkuda,
  • tõin välja ka plussid, miks on kasulik meililistis olla,
  • andsin teada privaatsustingimuste olemasolust, millega palusin tutvuda.

Selle kirja saatmise järgselt lahkus meililistist 4% liikmetest. Kas antud sammust ka piisab? MailChimp on iseenesest välja toonud, et olemasolevatelt kontaktidelt tuleks küsida uus nõusolek isikuandmete töötlemiseks. Lähemalt saab lugeda sellekohasest artiklist GDPR Tools are Here: Updated Forms, Improved Contact Management, and More. 

 

Kokkuvõtteks

Kokkuvõttes on uue andmekaitsemääruse rakendamine veebisekretäri kodulehel olnud väga hariv ja silmiavav kogemus. Olen saanud põhjalikult läbi mõelda, milliseid andmeid kogun, milleks ja kuidas seda teen.

Kui märkad, et veebisekretäri lehel on veel midagi, mis vajaks uue isikuandmete kaitse üldmääruse valguses üle vaatamist, anna sellest kindlasti mulle teada info@veebisekretar.ee. 

Kuidas on läinud uue andmekaitsemääruse rakendamine Sinu veebilehel?

 

Kui see postitus oli Sinu jaoks kasulik, siis ole hea ja jaga seda oma sõprade ja tuttavatega! Ehk on abiks neilegi! 

 

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga