GDPR nõuded

Räägime andmete turvalisusest ja nende töötlemisest.

GDPR nõuded on jätkuvalt oluline teema ja oht trahvitud saada on endiselt olemas. Esimesed “hoiatused” on juba antud, kuid Eestis ei pruugi olla kaugel ka suured trahvisummade määramised, sest alates määruse kehtima hakkamisest 2018 aastal oli peamiseks AKI mureks selle ala spetsialistide puudumine. 

Kui veel eelmise kümnendi lõpul oli teadmine, et: “Inspektsiooni hinnangul ei taga Eesti kõrgkoolis omandatud õigusteaduse või infotehnoloogia alane kraad uutele vajadustele vastavat kutsekvalifikatsiooni. Isegi kui kiiresti täiendada õppekavasid, ei tagaks see andmekaitsereformi jõustumise järel piisavat hulka piisavalt kvalifitseeritud spetsialiste.”
Andmekaitse Inspektsiooni peadirektori ÜLEVAADE ELi andmekaitsereformi rakendamise seisust Eestis (483.07 KB, PDF)14.10.2016. Siis tänaseks (2024 ja edasi) on aega omajagu mööda läinud ja kuuldavasti on täna need spetsialistid olemas.  

NB! Lahtiütleja: Mina pole kvalifitseeritud, kindlasti mitte tunnustatud andmekaitsespetsialist, seega minu tungiv soovitus on ise läbi lugeda andmekaitse üldmäärus, mis tegelikult selgitab nii mõndagi. Õnneks on see nüüd 11 lk, mitte enam 99-lk otsekohalduv määrus jne. AKI lehel on olemas ka pikk videotesari nimega: Andmekaitse ABC, mida ma tungivalt soovitan vaadata.

Hakkame pihta? GDPR nõuded – mida pead enne teadma! 

Isikuandmed

on andmed nagu nimi, e-mail, telefoni number, aadress jms. Kogu info, millega on võimalik inimest tuvastada. On veel delikaatsed isikuandmed nagu usuline ja seksuaalne sättumus ja veel teisi. 

“Kui isikuandmed on muudetud mitteidentifitseeritavaks või pseudonümiseeritud, kuid neid saab siiski kasutada isiku uuesti tuvastamiseks, kuuluvad need samuti GDPRi reguleerimisalasse Ent kui isikuandmed on muudetud pöördumatult anonüümseks sellisel viisil, et inimest ei ole enam võimalik tuvastada, ei loeta neid enam isikuandmeteks ja seetõttu ei kuulu need GDPRi reguleerimisalasse” (Euroopa komisjoni juhend, kuidas täita GDPR nõuded, 2018)

Inimene, kellel on ligipääs isikuandmetele on vastutav nende andmete eest. Kui kogud isikuandmeid oma veebis, e-mailis või e-poes ostuhetkel, siis oled sina nende andmete töötleja ja vastutad nende hoidmise eest. Isikuandmete töötlemine on nende salvestamine või muu toiming, mida isikuandmetega tehakse, kategoriseerimine jne. 

Nii nagu on ettevõttes täna vajalik töökeskkonnaspetsialisti olemasolu peab tegelikult olema ettevõttes ka andmekaitse spetsialist, kes määrab ära kellel on õigus isikuandmetele ligipääs jne. See inimene peab omakorda olema koolitatud jne. Sellest saab iseseisvalt igaüks AKI lehelt infot otsida. Varuge aega!

Küpsised

Küpsis on väike tekstifail, mille veebisait paigaldab sinu arvutisse või mobiilseadmesse, kui see veebisaiti külastad. Selle tekstifailiga on võimalik koguda tegelikult hunnitu hulk infot sinu kohta. Ja “vanasti” toimus see kõik veebilehe taustal nii, et sa ise seda ei teadnudki.

Üldiselt on küpsistel veel eraldi liigitus: 

esimese osapoole küpsised – reeglina sinu veebilehe või selle osade poolt paigaldatud küpsis – näiteks kasutaja eelistuste meeles pidamiseks, aga ka analüütika küpsised mõnel juhul.
püsiküpsised – teie arvutis salvestatud küpsised, mida ei kustutata automaatselt, kui te brauseri sulgete
kolmandate osapoolte küpsised – Mis tahes muu saidi, näiteks reklaamija või sotsiaalmeedia saidi poolt paigutatud küpsis on kolmanda osapoole küpsis. 

Veebilehtede liigitatud küpsised

Vajalikud – veebisaidi põhifunktsioonide jaoks hädavajalikud ja ilma nendeta ei toimi veebisait ettenähtud viisil. Need küpsised ei salvesta isikuandmeid.

Funktsionaalsed – aitavad täita teatud funktsioone, näiteks jagada veebisaidi sisu sotsiaalmeedia platvormidel, koguda tagasisidet ja muid kolmanda osapoole funktsioone. Võivad salvestada isikuandmeid. 

Analüütilised – kasutatakse selleks, et mõista, kuidas külastajad veebilehega suhtlevad. Need küpsised aitavad anda teavet külastajate arvu, liikluse allika, jms kohta.

Jõudlus (Performance) – kasutatakse veebisaidi peamiste tulemuslikkuse näitajate mõistmiseks ja analüüsimiseks, mis aitab külastajatele pakkuda paremat kasutuskogemust.

Turunduslikud – kasutatakse selleks, et edastada külastajatele kohandatud reklaami vastavalt nende poolt eelnevalt külastatud lehekülgedele ja analüüsida reklaamikampaania tõhusust. Reeglina koguvad ka isikuandmeid. 

Liigitamata – muud liigitamata küpsised on need, mida analüüsitakse ja mida ei ole veel kategooriasse liigitatud.

Isikuandmed ja küpsised, kõik on segamini nüüd, Roland sa üldse ei aita! 

Mõistan, et see on keeruline, kuid see on oluline, pea vastu. Isikuandmeid ei ole kohustatud keegi kuhugi andma – no riigile võib-olla, aga neil on nüüd veel karmimad nõuded, kui enne olid. Pea vastu! 

Aga mul on ühemehe firma ja mul on väike e-pood!

Siin on olulisim mõista, et SINA veebilehe omanikuna VASTUTAD isikuandmete töötlemise ja kaitsmise eest. Mitte see arendaja, kes selle sulle tegi – kuigi see arendaja võib mõnedel juhtudel ka ligi pääseda veebist kogutud andmetele – teeb näiteks e-poes muudatusi, seadistab maksesüsteeme vms. 

Kuid sa ei saa veebipoes midagi müüa, kui sulle ei jagata kliendi kontaktandmeid. Sulle antakse veebilehe kaudu sellega andmed, mida küsid (loodan, et sa ei küsi palju erinevaid vaid neid, mis on äärmisel juhul vajalikud ja kindlasti mitte delikaatseid isikuandmeid). 

Mis see küpsiste bänner siis siia puutub?

Sellepärast, et mõned küpsised võivad koguda (sulle vajalikke) isikuandmeid ja nüüd nõuab seda GDPR üldmäärus, et me peame küsima nõusoleku kasutajalt nende paigaldamiseks tema veebibrauserisse. Ja seepärast, et veebilehe osad või nendele lisatud pluginad kasutavad küpsiseid peamegi me nende kasutamisest teada andma, aga mitte ainult – me peame nende kasutamiseks nõusoleku saama, siis on GDPR nõuded täidetud. 

Aga mul ei ole e-poodi ja minu veebileht ei paigalda ühtegi küpsist brauserisse, siis ju polegi vaja?

See on väga harv juhus. On pluginaid, mis kasutavad funtsionaalseid küpsiseid – neid, ilma milleta ei saa leht korralikult töötada – hea näide on tõlkeplugin, mis salvestab külastaja brauserisse keeleküpsise ja näitab järgmistel külastustel talle lehekülge jälle õiges keeles. Sellised küpsised on enamasti nö esimese osapoole küpsised ja (reeglina) ei kogu isikuandmeid. 

Aga kas sa ise tead, milliseid küpsiseid sinu veebileht praegu juba paigaldab ja miks? Jää veel lugema, annan sulle viisi, kuidas see lihtsalt ja ilma kodeerimata teada saada. Pea meeles, sina vastutad veebilehe omanikuna selle eest, et andmed oleks turvaliselt hoitud. 

Kui su veebiga on ühendatud Google Ads, Facebook Pixel või mõni muu reklaamivõimalusi pakkuv platvorm, siis tähendab see seda, et sina, andmetöötlejana, jagad isikuandmeid sinu veebi külastavate inimeste kohta neile ehk nemad on siis need nö kolmandad osapooled. Siin on mängus ka see kõige suurem tüliõun kogu selle GDPR keerulisuse juures, et andmed liiguvad erinevate kontinentide vahel. 

Inimestena on meil nüüd õigus andmete kaitsele ja sellele, et neid andmeid hoitakse turvaliselt ei jagata meie nõusolekuta pagan teab kuhu. Näiteks Tik-Tok kogub ikka päris palju andmeid meie kohta, kas tead, mida täpselt ja kuidas? (Tik-Toki privaatsusreeglid inglise keeles) Kusjuures, konto tegemisega oled sa nende töötlemiseks loa andnud. Ka Meta platvormid pole siin osas paremad ja teavad meist ilmselt oluliselt rohkem, kui me ise enda kohta: videod, mida oleme vaadanud, teemad, mis meile meeldivad jne. 

Kuidas täita GDPR nõuded? 

Sa pead oma veebilehel välja tooma, milliseid isikuandmeid ja küpsiseid sa kasutad, miks ning kuidas neid hoiad ja kui kaua sa neid hoiad. Ehk, kui sul on tavaline veeb, siis selgita välja, milliseid küpsiseid su veeb paigaldab ning too need välja. Kasutajal on õigus neid teada, isegi, kui enamik 99,9% inimestest ei tutvu nendega kunagi. Alles siis kui probleem tekib. 

Sul peab olema võimalik taas esitada kõik andmed, mis sul inimese kohta on, kui ta neid küsib. Ja kui ta palub need kustutada, siis sa pead seda tõestama, et need on kustutatud. Kas saad selle kohta praegu öelda, et sul on seega andmed turvaliselt hoitud? Sama kehtib nõusoleku kohta küpsiste kohta. Kas sa saad praegu näidata, et millal on üks või teine inimene oma nõusoleku andnud?

Oletame: Inimene kaebab AKI-le, et ta saab sinu ettevõtte reklaame pidevalt ja väidab, et ta pole nõusolekut andnud. Kas sa saad enda kaitseks esitada tõendid, et see inimene on tegelikult nõusoleku andnud, sh loa sul need Facebookile või Google’le anda? Loomulikult pole see ka nii ühene. Näiteks Facebook Lookalike publikud koosnevad piksli kaudu saadud info järgi leitud “sarnastest” inimestest. Ilmselt on palju jalgpalli huvilisi, kellele meeldivad ka lauamängud?

Seega ei saa kohe süüdistada iga reklaamijat. Ja reklaamijal on siinkohal võimalik öelda, et: “Oled kodulehel käinud sellelt IP aadressilt ja sa andsid küpsistega nõustudes nõusoleku, et võime külastuse infot Facebookiga jagada.” Saad seda teha ainult siis, kui oled GDPR nõuded korrektselt täitnud.

Kuid sa ei saa nõusoleku andmist tõestada? Vat siis on juba pahasti. Siis ei ole sa täitnud GDPR üldmääruse nõudeid ja võid saada karistada. Ei pruugi, aga võid? Kas tahad sellega riskida? Kas saad tõestada, et kui andmed palutakse kustutada, siis oled need teinud? Siin on muidugi keeruline ka see, et sa pead ettevõtte raamatupidamises mingeid andmeid ikka alles hoidma. Kuid ka need pead välja tooma oma privaatsus- ja/või kasutustingimustes. 

Karistused probleemide korral

Halduskaristuste sobitamine Eesti õigusse Üldmäärus kehtestab konkurentsiõiguse eeskujul halduskaristustena trahvid kuni 20 mln eurot või kuni 4% eelneva majandusaasta üleilmsest käibest (andmekaitse üldmääruse artikkel. 88).

Hirmutas ära? Eks peabki, kuigi AKI seisukoht on ka, et…

Üleilmsete hiidettevõtete jaoks kujundatud trahvimäärad ei sobi füüsiliste isikute, samuti väiksemate ettevõtete karistamiseks. Eestis tuleks haldustrahve kohaldada väärteokaristustena (vt. põhjenduspunkt 151). Väärteokaristus on suunatud füüsilistele isikutele, juriidilise isiku karistamine on väga kohmakalt rakendatav erand. Väärteomenetlusõigus vajab ses osas uuendamist, EL õigus loob sarnaseid ettevõtteile (mitte ettevõtte töötajaile) suunatud haldustrahve ka väljaspool andmekaitset. Inspektsioon eelistab jätkuvalt rikkumistele reageerimiseks sunniraha (sunniraha määramisele eelneb sunniraha hoiatust sisaldav ettekirjutus);

Me võime siiski eeldada, et meil, maarjamaal, saab see sunniraha olema ka mõjus. Mina mõtlen nii, et ma ei taha, et minu andmed satuvad kuhugi kolmandate inimeste kätte ja ei taha ka enda veebilehe kogutavate andmete tõttu trahvi saada.

Kuidas paigaldada küpsiste bänner korrektselt, et täita GDPR nõuded? 

See on gramm lihtsam, kui tunduda võib ja ma tegin sulle abistavate piltidega õpetuse (paigaldus on wordpress baasil – kuid peale koodi lisamise veebilehele on usutavasti kogu seadistamine sama). Sellest, kuidas paigaldada GDPR-i nõuetele vastav küpsisebänner, räägin järgmises artiklis. Saad selle järgi ise kõik tehtud või siis võid pöörduda minu poole ja ma paigaldan selle sinu veebilehele lisatasu eest.