fbpx

GDPR – puust ja punaseks

Räägime GDPR-ist!

Tänaseks on Eestis ilmselt vähe organisatsioone, kes pole midagi kuulnud kuulsast lühendist „GDPR“. 

Käesolev artikkel on suunatud kõikidele kodulehe omanikele ning toob välja kõige olulisemad nüansid seoses GDPR määruse ja oma kodulehe vastavuse osas eelkõige WordPress-platvormil (mõttekohti leiavad vast ka teised).

GDPR määrus ehk General Data Protection Regulation jõustus 2018 aasta 28. mail ning selle suur eesmärk on anda Euroopa Liidu kodanikele kontroll oma isiklike andmete üle. Kui teie või teie organisatsioon soovib laiemat ja täpsemat ülevaadet GDPR määruse nõuetest, siis saame pakkuda koolitust kus käiakse läbi määruse olemus, toome nõuetest kokkuvõtted, mis on tõlgendatud lihtsasse keelde ja teeme kogu teema 100% arusaadavaks lihtsa inimese jaoks. Koolitus sisaldab endas ka töötuba, kus teeme läbi mõned praktilised ülesanded ja toome elulisi näiteid. Täpsema info jaoks võtke meiega ühendust SIIT.

Siin artiklis ei ole regulatsiooni nõudeid pole üksipulgi mõistlik välja tuua, kuid tõdegem, et pealtnäha lihtsa ja ülla eesmärgi taga on (sõltuvalt organisatsiooni tegevusalast) hulk mitte-nii-lihtsaid tegevusi. Rahalised riskid on nõuetele mittevastamisel päris suured – ettevõtted, kes peale seaduse jõustumist neile ei vasta, võivad saada suuri trahve – kas 4% aasta käibest või kuni 20 miljonit eurot (sõltuvalt kumb suurem on).

Aga viigem fookus tagasi kodulehtedele ja küsigem – kuidas GDPR minu kodulehele rakendub?
Vastus on lihtne – kui sinu kodulehte külastab ükskõik millise Euroopa Liidu riigi kodanik, siis oled sa kohustatud tagama meetmeid, mis kaitsevad külastavate isikute andmeid (läbi IP-aadressi). Paratamatult kohaldub see nõue igale veebis avalikustatud ärile sõltumata nende suurusest või füüsilisest asukohast.

Millised meetmed siis täpsemalt tagatud peavad olema, et kodulehtede osas määrusega kooskõlas olla? Nagu eespool mainitud, on GDPR-i eesmärk kaitsta isikute privaatseid andmeid, millele on regulatsioonis viidatud kui PII – Personally Identifiable Information.

Nende andmete hulka kuuluvad :

  • isiku nimi,
  • isiku e-maili aadress,
  • isiku füüsiline aadress,
  • IP-aadressid,
  • informatsioon, mis puudutab isiku tervist,
  • isiku sissetulek

Kõige sagedamini salvestuvad isikute andmed kodulehtede kaudu:

  1. automaatselt kogutud statistika veebilehe külastuse kohta / küpsised,
  2. vormid, kuhu isik peab sisestama oma personaalseid andmeid.

Alustagem esimesest. Enamus veebilehe omanikke kasutab suure tõenäosusega statistiliste andmete kogumiseks Google Analytics tööriista. See aga tähendab automaatselt, et kogutakse või jälgitakse PII-kategooria andmeid nagu IP-aadressid, kasutaja ID’d, küpsised jms.

Et vastata GDPR reeglitele, tuleb:

  • muuta andmed enne säilitamist ja salvestamist anonüümseks,
  • lisada kodulehe külastajatele teavitus, mis informeerib küpsiste kogumisest,
  • küsida kasutajatelt luba andmete töötlemiseks.

Neid suhteliselt konkreetseid punkte on aga keerulisem täita, kui vaid kopeerida-kleepida Google Analytics kood käsitsi kodulehele. Üks võimalusi on kasutada MonsterInsights-nimelist plug-in’I, mis on ilmselt populaarseim Google Analytics plug-in WordPressi jaoks. MonsterInsight vastab läbi oma EU Compliance laiendus GDPR nõetele, sest muudab automaatselt kõik isikuandmed anonüümseks.

Teine oluline koht GDPR-I peale mõtlemiseks on ka WordPressi kontaktivormide kasutamisel, sest:

  • kasutajalt tuleb saada luba nende isikuandmete säilitamiseks ja salvestamiseks;
  • kasutajalt tuleb saada luba nende isikuandmete kasutamiseks turunduslikel eesmärkidel (nt meili-listid uudiskirja saatmiseks);
  • kasutaja andmed tuleb kustutada, kui kasutaja seda nõuab;
  • kui on privaatsuspoliitikaga määratud, et andmeid ei koguta, siis tuleb vormidel tehniliselt keelata küpsised, IP-aadresside jm jälgimine;
  • kui keegi kolmas osapool töötleb sinu poolt kogutud andmeid, siis peab olema vastav osapooltevaheline kokkulepe.

Sarnaselt kontaktivormidele tuleb ka uudiskirjade saatmiseks (e-mail marketing) saada kasutajalt selleks luba. Selleks sobib ja on laialt levinud lahendus, kus klient peab läbi lugema tingimused ning märkima, et ta on nendega nõus.

Seega – kas WordPress vastab GDPR määrustele? Jah, WordPressi meeskond on lisanud 4.9.6 ja sellele järgnevatele versioonidele mitmeid GDPR määrusi toetavaid ja parendavaid lisasid (ja neid on tõesti palju!), et veenduda nõuetele vastavuses.  Sellele vaatamata ei ole võimalik tagada 100% vastavus kui kasutada plug-in’e, mis ei ole GDPR’iga vastavuses ning täielik nõuetele vastavus jääb sõltuma:

  1. kodulehe tüübist,
  2. hoiustatavate andmete tüübist,
  3. andmete töötlemise metoodikast.

Seetõttu peab kodulehe haldaja olema andmekaitse osas piisavalt pädev, et tagada vastavus GDRP’ile. Ning siinkohal on rõhk pädeval kodulehe haldajal, sest vigade korral saab hoiatuse või trahvi ikkagi kodulehe omanik mitte haldaja.

Kui tundsid, et teema puudutas sind ja soovid teada saada millises seisus oled sa hetkel enda kodulehega või soovid lihtsalt konsulteerida, ning seda täiesti tasuta – kontakteeru meiega SIIT

Kas artikkel pakkus huvi?

Kui teil tekkis lisaküsimusi või huvi ülaloleva artikli kohta siis ärge kahelge ning võtke meiega ühendust!

Soovid tasuta konsultatsiooni ?

 

Vajuta siia