25. mail 2018 jõustunud EL-i isukuandmete kaitse üldmäärus ehk GDPR reguleerib füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist. Veebisekretäri kodulehe haldajana töötlen minagi isikuandmeid. Järgnevalt annangi ülevaate, kuidas on näinud välja uue isikuandmete kaitse üldmääruse rakendamine veebisekretäri lehel, et vajadusel saaksid Sinagi oma veebilehel lihtsalt ja kiiresti teha vastavad muudatused.
Olgu siinkohal lisatud, et alljärgnev artikkel ei ole käsitletav juriidilise nõuandena. Tegemist on looga, kus ettevõtja, kes soovib tegutseda kooskõlas seadusega, kirjeldab, mida ta võttis ette, et tema tegevus (eelkõige koduleht) ja uus isikuandmete kaitse üldmäärus oleksid omavahel kooskõlas. Kindlasti ei pruugi koduleht olla selle tulemusena 100% GDPR-ile vastav, kuid loo autor on toimetanud oma parima teadmise juures. Plaanis on edaspidi kodulehte kohendada, kui selgub, et uue andmekaitsemääruse rakendamine on olnud puudulik.
Info hankimine
Uus isikuandmete kaitse üldmäärus sai ette võetud ja selle rakendamine algas veebisekretäri lehel mõned nädalad tagasi mai esimestel päevadel. Esimese asjana lugesingi läbi GDPR-i. Pöörasin tähelepanu just mind puudutavale osale.
Lisaks vaatasin internetis ringi, mida kasulikku GDPR-i rakendamise kohta leida on. Parim artikkel, millele sattusin, oli KoduleheKoolituste postitus Mida toob kaasa isikuandmete kaitse üldmäärus (GDPR) kodulehe omanikule? Kui GDPR-ist saab teoreetilise baasi, siis KoduleheKoolituse artikkel annab praktilisi soovitusi muudatuste tegemiseks.
Põhilised märksõnad, mida uus isikuandmete kaitse üldmäärus käsitleb, on isikuandmed, isikuandmete töötlemine ja isiku selgesõnaline nõusolek. Järgnevalt teen põgusa ülevaate neist.
Isikuandmed on andmed, mis võimaldavad isikut tuvastada – nimi, isikukood, e-posti aadress jms.
Isikuandmete töötlemine on igasugune isikuandmetega tehtav toiming, milleks on kogumine, korrastamine, säilitamine, kohandamine, muutmine, levitamine, edastamine, avalikustamine jms.
Selleks, et isikuandmeid töödelda, on vaja isiku selgesõnalist nõusolekut, kui Sul ei ole just seadusest tulenevat õigust. Nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline.
Veebilehe analüüs
Olles saanud ülevaate, mida uus isikuandmete kaitse üldmäärus endast kujutab, vaatasin saadud teadmiste baasil üle oma kodulehe. Võtsin eesmärgiks aru saada, millised muudatused tuleb läbi viia, millised lehed ja funktsioonid ei vasta GDPR-i nõuetele. Analüüsi käigus jõudsin arusaamisele, et veebisekretäri lehel tuleb teha järgmised muudatused:
- koostada privaatsustingimused;
- täiendada kontaktivormi märkeruuduga, kus päringu tegija annab teada, et on privaatsustingimustega tutvunud ja nendega nõus;
- sõnastada ümber e-raamatu tellimise ja meililistiga liitumisega seotu ning täiendada meilivormi privaatsustingimuste teemalise nõusoleku andmise märkeruuduga;
- lisada kommenteerimise juurde märkeruut privaatsustingimustega tutvumise ja nõustumise osas;
- anda kasutajale teada, et lehel kasutatakse küpsiseid.
Lisaks muudatustele kodulehel, tuli otsustada, kuidas toimida olemasolevate veebisekretäri meililisti liikmetega. Meililisti liikmeteks said nad seetõttu, et tellisid veebisekretäri lehelt tasuta e-raamatu „35 eluhäkki produktiivsuse tõstmiseks“. Uudiskirjaga liitumisest teavitasin neid alles selles e-kirjas, milles nad leidsid lingi e-raamatu alla laadimiseks. Seega puudub mul nende otsene nõusolek listiga liitumise ja nende isikuandmete töötlemise osas.
Privaatsustingimuste kokkupanek
Privaatsustingimused, -poliitika, põhimõtted jms peavad olema olemas igal veebilehel, kus töödeldakse isikuandmeid või kasutatakse küpsiseid.
Privaatsustingimuste kokkupanekuks vaatasin, mida heade kolleegide veebilehtedelt leida oli. Ammutasin neist inspiratsiooni ning panin kokku korra, mis käib just veebisekretäri lehe kohta.
Veebisekretäri veebilehe privaatsustingimused on oma ülesehituselt järgmised.
1. Olulisemad mõisted, mida edaspidi korras kasutan
Selgitan isikuandmete töötlemise sisu, toon välja, keda ma veebilehe kasutajate all silmas pean ja mida hõlmavad teenused. Privaatsustingimustes olen kasutanud ka teisi mõisteid, kuid need olen toonud välja konkreetse peatüki juures, kuna nende kasutusala piirdubki sageli just konkreetse peatükiga.
2. Milliseid isikuandmeid töötlen ja kuidas need minuni jõuavad
Põhilisteks isikuandmeteks on inimese nimi ja e-postiaadress, mis jõuavad minuni, kui kasutaja liitub meililistiga, saadab e-kirja või võtab ühendust kodulehel oleva kontaktvormi kaudu. Lisaks kogun ma veebilehe külastatavuse statistikat, abimeesteks on Google Analytics ja Facebook Pixel.
3. Mis otstarbel ma isikuandmeid kasutan
Siin on kaks põhilist varianti. Esiteks läheb isikuandmeid tarvis teenuse osutamiseks (kliendiga suhtlemine, lepingu sõlmimine, arvete esitamine jms). Teiseks saadan meililistiga liitujatele teavitusi uutest artiklitest, teenustest ja kampaaniatest. Külastatavuse statistikat kasutan kasutajakogemuse parendamiseks ja efektiivsemaks turundamiseks.
4. Millistele kolmandatele isikutele ja millistel tingimustel ma veebilehe kasutajate isikuandmeid edastan
Siin avastasin endalegi üllatuseks, et neid kolmandaid osapooli on päris palju, ja kes teab, kas kõik saidki üles loetletud. Lisaks toodete ja teenuste pakkujatele, mida veebisekretär kasutab enda teenuste pakkumiseks, lisanduvad loetellu ka koostööpartnerid. Viimastele edastame kliendi isikuandmeid ulatuses, mis on vajalik teenuse osutamiseks.
5. Kuidas isikuandmeid säilitan ja turvalisuse tagan
Põhimõte on siinkohale see, et säilitamise lõpptähtaeg saabub siis, kui eesmärk on saavutatud (nt teenus osutatud) või saab läbi seaduses sätestatud kohustuslik aeg andmete säilitamiseks (nt raamatupidamise dokumendid 7 aastat). Turvalisus on tagatud sellega, et isikuandmeid sisaldavatesse töövahenditesse ja keskkondadesse on juurdepääs vaid vastavaid õigusi omavatel isikutel.
6. Millised on veebilehe kasutaja õigused ja kuidas ta neid kasutada saab
Inimesel on õigus saada tema kohta kogutud andmetele juurdepääs ja tal on õigus nõuda oma andmete parandamist, täiendamist, kustutamist, töötlemise piiramist ja ülekandmist. Veebisekretäri lehe puhul tuleb selleks saata vastavasisuline sooviavaldus e-posti aadressile info@veebisekretar.ee. Lisaks on meililistist võimalik lahkuda, vajutades vastavat linki e-kirja lõpus. Küpsiseid saab blokeerida veebilehitseja seadete alt. Kui inimene leiab, et tema õigusi on isikuandmete töötlemisel rikutud, saab ta pöörduda Andmekaitse Inspektsiooni poole.
7. Milliseid küpsiseid ja miks ma oma veebilehel kasutan
Selle punkti juures selgitan küpsiste mõistet ning toon välja püsivate küpsiste ja seansiküpsiste eripärad. Veebisekretäri lehel kasutatakse küpsiseid, eesmärgiga tagada parem kasutajakogemus ja efektiivsem turundustegevus ning koguda kasutusstatistikat. Kasutatavad küpsised on loodud Google ja Facebooki poolt.
8. Kuidas kasutaja saaks küpsistest mööda minna
Kasutajal on võimalik küpsiste kasutamine ära keelata või need kustutada. Lisasin privaatsustingimustesse lingid küpsiste kustutamiseks ja seadistamiseks erinevates internetibrauserites ja Google Analyticsis.
9. Kuidas toimub privaatsustingimuste muutmine
Privaatsustingimuste muutmise õiguse jätsin ma veebisekretärile, mida ta saab teostada ühepoolselt ja ette teatamata, eesmärgiga kindlustada nende vastavus seadustele. Uusim versioon on veebilehel alati saadaval.
Privaatsustingimuste kirjutamise plussiks oli asjaolu, et sain selle käigus läbi mõelda kogu isikuandmete töötlemise teema oma lehel – mida, milleks ja kuidas ma töötlen s.t kogun ja kasutan. Veebisekretäri privaatsustingimused on leitavad veebilehe jaluses.
Kontaktivormi täiendamine
Kui privaatsustingimused valmis, täiendasin kontaktivormi märkeruuduga, milles vormi täitja annab teada, et on tutvunud ja nõustub privaatsustingimustega. See on vajalik, kuna uus isikuandmete kaitse määrus nõuab isiku nõusoleku küsimist tema andmete töötlemiseks.
Contact Form 7 plugina kasutajana sain selle kohta väärtuslikku infot artiklist Acceptance Checkbox. Lisasin konktaktivormile enne saatmisnuppu aktsepteerimise vormi malli koos tekstiga „Olen tutvunud ja nõustun privaatsustingimistega“ sh lisasin lingi privaatsustingimustele.
Selleks, et muuta linnukese märkimine märkeruutu kohustuslikuks, kirjutasin kontaktvormi lisaseadetesse: acceptance_as_validation: on
Meililistiga liitumise vormi täiendamine
Seni esitlesin veebilehe kasutajatele võimalust alla laadida tasuta e-raamat ja alles e-kirjas andsin teada, et olete nüüd veebisekretäri meililisti liikmed. Edaspidi on rõhk meililistiga liitumisel, millest annan teada juba liitumise vormil ja kirjeldan pikemalt vormile eelnevas tekstis. Toon välja meililistis olemise plussid, esitlen listist lahkumise võimalust ja tutvustan privaatsustingimusi.
Eeltoodust tulenevalt viisin sisse muudatused vormi teksti ning sarnaselt kontaktvormile, lisasin märkeruudu, milles vormi täitja annab teada, et on tutvunud ja nõustub privaatsustingimustega.
Meililistiga liitumise vormi lõin SumoMe pluginiga, mis on ühendatud e-mailide edastamise ja haldamise süsteemiga. Tekste muuta ja märkeruutu lisada oli lihtne.
Kommenteerimise uuendamine
Kuna olen kommenteerimise eeltingimuseks seadnud nime ja e-posti aadressi sisestamise, peab kasutaja andma enne kommentaari lisamist oma nõusoleku isikuandmete töötlemiseks. Selleks tuleb taaskord päevakorda märkeruudu lisamine, milles kommenteerija annab teada, et on tutvunud ja nõustub privaatsustingimustega.
Hetkel WordPressil selline funktsionaalsus puudub. Võimalik, et arendamise käigus lisatakse vastav funktsionaalsus. Seniks aga tundus lihtsam lahendus olevat 25. maist mõneks ajaks kommenteerimine välja lülitada ja WordPressile veidi aega anda. Eriti olukorras, kus veebilehel postituste kommenteerimine ei ole veel hoogu sisse saanud ja pluginaid on kogunenud omajagu.
Teavituse lisamine küpsiste kasutamise kohta
Veebilehtede haldajad on kohustatud veebilehel esitama selge ja arusaadava teabe, millist tüüpi küpsiseid nende leht kasutab ja mis eesmärgil. Nii saab kasutaja ise otsustada, kas ja millised küpsised ta lubab või keelab.
Võtsin kasutusele Zotabox notification bar plugina, mille abil teavitan kasutajat, et antud veebileht kasutab küpsiseid ning kasutades meie veebilehte nõustub kasutaja küpsistega. Lisasin viite privaatsustingimustele, kust saab lähemalt lugeda küpsiste kasutamise, blokeerimise ja kustutamise kohta.
Meililisti liikmete teavitamine
Lisaks muudatustele kodulehel, tuli otsustada, kuidas toimida olemasolevate veebisekretäri meililisti liikmetega. Nagu juba eespool mainisin, said nad meililisti liikmeteks seetõttu, et tellisid veebisekretäri lehelt tasuta e-raamatu „35 eluhäkki produktiivsuse tõstmiseks“. Uudiskirjaga liitumisest teavitasin neid alles selles e-kirjas, milles nad leidsid lingi e-raamatu alla laadimiseks. Seega puudub mul nende otsene nõusolek listiga liitumise osas.
Lahendasin olukorra selliselt, et saatsin meililisti liikmetele kirja, milles:
- tuletasin meelde, kuidas nad meililisti sattunud olid,
- teavitasin neid võimalusest meililistist lahkuda,
- tõin välja ka plussid, miks on kasulik meililistis olla,
- andsin teada privaatsustingimuste olemasolust, millega palusin tutvuda.
Selle kirja saatmise järgselt lahkus meililistist 4% liikmetest. Kas antud sammust ka piisab? MailChimp on iseenesest välja toonud, et olemasolevatelt kontaktidelt tuleks küsida uus nõusolek isikuandmete töötlemiseks. Lähemalt saab lugeda sellekohasest artiklist GDPR Tools are Here: Updated Forms, Improved Contact Management, and More.
Kokkuvõtteks
Kokkuvõttes on uue andmekaitsemääruse rakendamine veebisekretäri kodulehel olnud väga hariv ja silmiavav kogemus. Olen saanud põhjalikult läbi mõelda, milliseid andmeid kogun, milleks ja kuidas seda teen.
Kui märkad, et veebisekretäri lehel on veel midagi, mis vajaks uue isikuandmete kaitse üldmääruse valguses üle vaatamist, anna sellest kindlasti mulle teada info@veebisekretar.ee.
Kuidas on läinud uue andmekaitsemääruse rakendamine Sinu veebilehel?
Kui see postitus oli Sinu jaoks vajalik või huvitav, siis palun jaga seda!