Miks on vaja privaatsust?
Kujutle hetkeks, et Sa külastad oma sõbra vanemate kodu. Seal veedetud aja jooksul käisid Sa ka tualetis, kus pesid käsi sirelilõhnalise seebiga ning nuusutasid oma hästi lõhnavaid sõrmi veel lahkudeski. Samal ajal on koduperenaine kaamerate abil jälginud iga Sinu tegevust. Järgmisel päeval, kui Sa oled juba oma kodus tagasi, ilmub ukse taha kuller karbitäie sireliseebiga ning video väljalõiked Sinust oma käsi nuusutamas on seebifirma tootearenduse koosoleku presentatsioonil. Tegelikult hakkaks veidi kõhe, eks ole?! Tahaks ju teada, milliseid Sinu liigutusi veel tol õhtul jälgiti; kes veel lisaks maja perenaisele vaatab kaamerast, mida sa tualetis tegid; ning kas kaamerale jäid ka hääled. Äkki Sulle paigaldati nüüd ka „lutikas“ kapuutsi külge…
Ettevõtte kodulehe külastamine ei ole lihtsalt klikk siia-sinna. Külastaja iga liigutus – alates kodulehele jõudmisest – on kodulehe omanikule jälgitav. Reeglina ei ole selline “jälitamine” külastajale kahjulik, kuid peamine GDPR loomise nõue on see, et külastaja peab olema teadlik, mida ja miks jälgitakse ning kellega veel seda infot jagatakse. Oluline on nõusolek, mistõttu nimetatakse privaatsuspoliitikat sageli ka nõusolekupoliitikaks.
Millest kõik alguse sai?
GDPR tuli paljude inimeste sõnavarasse 2016. aastal, kui EL võttis vastu Isikuandmete kaitse üldmääruse. Selle sõnul on tegemist õigusnormidega, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist. Seega esitab üldmäärus nõuded, mida kodulehe haldaja peab järgima. Kui need nõuded ei ole täidetud, siis on seaduslik alus teha reeglite rikkujale rahaline trahv.
Kui kodulehe omanikule võib privaatsuspoliitika teema tunduda miski, mis on tüütu ja üle pingutatud, siis tegelikult kaitseb see meid kõiki. See pakub külastajatele privaatsust ja õigusi ning tagab, et ettevõte järgib isikuandmete töötlemisel parimaid tavasid. Samuti on see oluline osa ettevõtte vastutustundlikust ja jätkusuutlikust tegevusest ning võib aidata vältida õiguslikke probleeme ja mainekahju. Kokkuvõttes austad sellega oma kliente ning hoiad brändi usaldusväärsena.
Kuidas teha oma koduleht GDPR-ile vastavaks?
Selleks, et kodulehe külastajate isikuandmete töötlemine toimuks seadusele vastavalt, on oluline järgida järgmisi soovitusi.
1. Kodulehel olgu korrektne privaatsuspoliitika
Mis see privaatsuspoliitika üldse on? Tegemist on dokumendiga, mis kirjeldab, kuidas ettevõte oma kodulehel andmeid kogub, kasutab ja säilitab. Tavaliselt asub see kodulehe jaluses viitena ning sellele on võimalik klikkida ja seda lugeda.
Privaatsuspoliitika dokument peaks olema kirjutatud lugejale arusaadavalt ning selles peaks olema välja toodud:
- Milliseid andmeid kogutakse – nimi, e-mail, asukoht, IP-aadress jm.
- Kuidas andmeid kasutatakse – näiteks turundustegevuseks, teenuste osutamiseks jm.
- Kellega andmeid jagatakse – kas neid edastatakse kolmandatele osapooltele (nt Meta)?
- Kuidas ja kui kaua andmeid hoiustatakse ning kas nende hoiustamine on turvaline.
- Kas kodulehel kasutatakse küpsiseid ehk külastaja tegevuse jälgimise tehnoloogiaid.
Nobel Digitali privaatsuspoliitika dokumendi leiad kodulehe jalusest klikkides lingil “Privaatsus” (pilt 1). Sageli lisatakse privaatsuspoliitika dokumenti põhjalikum selgitus ka küpsistepoliitika kohta ehk kuidas kodulehe külastajaid küpsistega jälgitakse. Küpsistest ja nende erinevatest tasemetest räägime allpool lähemalt.
2. Küsi andmete kogumise nõusolekut kohe, kui külastaja jõuab kodulehele
Tõenäoliselt ei ole poolt ekraani kattev nõusolekuaken kellelegi võõras ning enamus meist valivad kiirelt „Accept all“, et aknast lahti saada ja kodulehel edasi liikuda. See bänner või hüpikaken on aga GDPR-i mõistes väga oluline. See on külastaja esmane kokkupuude ja teavitus selle kohta, et koduleht kogub mingeid andmeid. Nagu eelnevalt mainitud, siis GDPR-i jaoks on kõige olulisem see, et kasutajal oleks vabadus kontrollida, milliseid andmeid tema kohta kogutakse.
Nobel Digitali kodulehe esmakordsele külastajale avaneb privaatsusseadete aken, mis annab võimaluse tutvuda privaatsuspoliitika dokumendiga (pilt 2).
Klikkides “Lisateave”, saab külastaja valida, milliseid andmeid ta on nõus Nobel Digitaliga jagama ning milliseid mitte (pilt 3). Lisaks saab külastaja manuaalselt valida, milliste küpsistega ta on nõus. Oota veel, sest küpsistest räägime veidi hiljem.
3. Jälgi, et külastaja saaks vajadusel oma nõusolekut muuta
Kui külastaja on oma valiku teinud ja näiteks „Accept all“ vajutanud, siis talle peab jääma võimalus oma valikut muuta. Selleks peab nõusoleku aken või ikoon olema kiiresti leitav. Nobel Digitali lehel on selleks hammasratta ikoon, mis avab ühe klikiga privaatsusseadete akna (pilt 4).
4. Jälgi, et privaatsuspoliitika oleks ajakohane
Tõenäoliselt on privaatsuspoliitika dokumendi koostamine ühekordne töö, kuid seda on oluline aeg-ajalt üle vaadata. Kui kodulehel käib aktiivne tegevus ning sellele lisatakse juurde erinevaid vidinaid, näiteks Facebooki Pixel, Google Analytics, LinkedIn-i Pixel jm, siis need on vaja privaatsusseadetesse juurde lisada. Kuna eesmärk on läbipaistvus, siis privaatsuspoliitika uuendamine peaks kodulehe hügieeni hulka kuuluma ning sellele ei tohiks läbi sõrmede vaadata. Piisab vaid mõne pahase külastaja märkusest Andmekaitse Inspektsioonile, et olla potentsiaalne trahvisaaja.
Kuidas erineb küpsistepoliitika privaatsuspoliitikast?
Küpsistepoliitika (cookie policy) dokument selgitab seda, kuidas ettevõte kasutab külastajate seadmetesse “puistatud” küpsiseid. Küpsiste all on mõeldud väikeseid tekstifaile, mis salvestatakse kodulehe külastaja seadmesse (mobiili, tahvlisse, arvutisse). Need väikesed failid ehk küpsised sisaldavad andmeid, mis aitavad kodulehel külastajaid ära tunda, jälgida nende tegevust ja pakkuda paremat külastuskogemust (näiteks lehele salvestatud logiandmed, et neid ei peaks iga kord uuesti sisestama).
Küpsistepoliitika dokument võib olla ka eraldi koostatud, aga nagu Nobel Digitali kodulehel, siis privaatsuspoliitika ja küpsistepoliitika dokument on koos. Sellisel juhul peaks dokumendis olema eraldi sektsioon selle kohta, milliseid küpsiseid kasutatakse, millistel eesmärkidel neid kasutatakse (nt statistika kogumine, kasutajate eelistuste mäletamine). Nobel Digitali näitel on kõik küpsised välja toodud privaatsusseadete aknas ning iga külastaja saab käsitsi valida, milliste küpsistega ta on nõus ja millistega mitte.
Mis vahe on küpsisel ja küpsisel?
Peamiselt jaotatakse küpsiseid esimese ja kolmandate osapoolte küpsisteks. Seda on oluline teada, sest privaatsusseadete koostamisel tuleks küpsised kategoriseerida. On küpsiseid, mis on kodulehe kasutajasõbralikuks toimimiseks vajalikud ja on küpsiseid, mis on kasulikud vaid ettevõtte turunduses. Seetõttu peaks külastaja saama soovi korral terve plokina valida sobivad küpsised. Olulisemad küpsised on:
Esimese osapoole küpsised on need, mis loodud ja hallatud kodulehe omaniku poolt. Neid kasutatakse tavaliselt kodulehe toimimise ja külastajakogemuse parandamiseks (näiteks ostukorvi mäletamine). Nobel Digitali lehel oleme need küpsised kategoriseerinud kui funktsionaalsed.
Kolmandate osapoolte küpsised on loodud ja hallatud kellegi teise poolt, kes ei ole kodulehe omanik. Need on sageli turunduslike ja analüütiliste eesmärkidega, näiteks Google Analytics ja Facebook Pixel. Nobel Digitali lehel oleme need küpsised kategoriseerinud kui turunduslikud.
Nobel Digitali privaatsusseadetes on märgitud ka nõutavad küpsised ehk tegemist on sellise plokiga, mis on kodulehe toimimiseks hädavajalik (pilt 5).
Kes see ikka märkab minu kodulehe privaatsuspoliitikat?
Ekslikult arvatakse, et Andmekaitse Inspektsioon tegeleb vaid suurte ettevõtetega. Tegelikult võib GDPR vastu eksimise osas vastutusele võtta igat ettevõtet, kelle kodulehel ei ole privaatsuspoliitika seadusele vastav. 7. mail Postimehes avaldatud artikli järgi on viimase viie aasta jooksul tehtud seaduserikkumisest tulenevaid trahve ligi 3 miljardi euro eest. 2023. aasta esimesel kvartalil oli trahvide summa kokku pea 400 miljonit eurot. Isikuandmete kaitse ekspert Andres Ojaver toob artiklis välja, et kõige enam eksimusi toimub kaubanduses, meedias ja telekommunikatsioonis, finantsteenustes ning tervisehoius, aga ka avalikus sektoris.
Geeniuses avaldatud intervjuu Andmekaitse Inspektsiooni õigusnõuniku Liisa Ojanguga annab aga aimdust sellest, kuidas üsnagi uudne õigusvaldkond vajab märtreid. See tähendab, et GDPR-i järgimise olulisus on vaja ettevõtetele selgeks teha ning hea viis selleks on põhjalik järelevalve ja trahvid. Seega ei tasu lootma jääda, et keegi ei märka Sinu kodulehe puudulikku privaatsuspoliitikat.
Kas Sinu kodulehel on korrektne privaatsuspoliitika? Teeme Sinu kodulehele kiire auditi ning anname teada, mis võiks olla paremini. Soovi korral seadistame Sinu kodulehel kõiki seadusi ning ettevõtte brändingut järgiva privaatsuspoliitika halduse. Võta meiega ühendust!
Autor: Mari-Helena Toompere
Digiturunduse projektijuht
