GDPR-i kontroll-leht: veebisaidi operaatorid peavad seda arvestama

Ettevõtjad ja veebisaitide operaatorid kogu ELis värisevad enne GDPR-i. Seetõttu koostasime teile kontrollnimekirja kõige olulisemate punktidega.

GDPR-i kontroll-loend: seda teie veebisait pakub

Veebisaidi operaatorina peaksite hoolikalt kaaluma GDPR-i, et te ei peaks seisma silmitsi eriti kõrgete karistustega. Vastasel juhul võivad tulemuseks olla trahvid kuni 20 miljonit eurot ehk neli protsenti kogukäibest.

• Uue GDPR-i üks põhisõnumeid on "eraelu kavandatud puutumatus" ja tähendab, et andmekaitse tuleks tehniliselt rakendada andmetöötlusmehhanismides. Teisisõnu: andmetöötlusprotsessi kavandamisel tuleb järgida GDPR-i ja see ei tohiks lubada tehnilisest vaatepunktist mingeid kõrvalekaldeid.
• Kohustuslik on ka loetav ja arusaadav andmekaitsedeklaratsioon. Saate selle integreerida näiteks jalusesse. Internetist leiate - ka tasuta - andmekaitsedeklaratsioonide näidiseid
• Teil on vaja ka nn töötlemiskataloogi. Selles peate registreerima, millist teavet mis põhjusel ja kes kaua talletab. Seadusandja ei esita selle kataloogi vormile suuri nõudmisi, Internetist leiate mõned mallid.
• Tõenäoliselt olete juba küpsiste kasutamise infolibu rakendanud. Kui ei, siis on viimane aeg selleks. Parim on asetada riba ribareklaami kõrvale, millel on kiri "Jah, ma olen nõus", ja linkida privaatsuspoliitikaga.
• Kui kasutate andmete kogumiseks vorme, peab kasutaja aktiivselt nõustuma, et see teave talletatakse. Selle näiteks on kontaktvorm, millesse lisate lihtsalt nõusoleku märkimise ruudu. Kuid veenduge, et märkeruut pole eelvalitud - kasutaja peab selle sammu ise tegema.
• Teine oluline GDPR-i punkt on see, et peate veebisaidi operaatorina andma kasutajatele üle kõik andmed, mille olete tasuta salvestanud. Seega peaksite seda saama teha kasutajate soovil.

GDPR: kontrollige väliseid pakkujaid

Kui kasutate väliseid andmetöötlusteenuseid, peate tagama, et need toimiksid ka vastavalt GDPR-le - sõltumata sellest, kas nad asuvad ELis või mõnes muus EL-i riigis. Näiteks kui töötlete oma kliendi andmeid veebitööriista abil, peate hankima operaatorilt kirjaliku kinnituse, et GDPR-i järgitakse. Kui te seda ei tee, vastutate välise teenuseosutaja rikkumiste eest.

• Veel üks oluline punkt on sotsiaalse jagamise ikoonid. Väikesed nupud lehe jagamiseks saadavad soovimatut teavet kasutajale. Näiteks kui kutsute lehe üles nupuga „Jaga Facebookis“, saab Facebook automaatselt teavet, mis te sellel lehel olete olnud - isegi kui te pole seda nuppu üldse klõpsanud. Edaspidi võib neid andmeid edastada alles pärast aktsiaoptsiooni valimist.
• Kui kasutate oma veebisaidi loomiseks väliseid tööriistu, näiteks Joomla või Wordpress, peaksite veenduma, et need vastavad ka GDPR-ile.
• Google Analyticsi kasutamine võib samuti probleeme põhjustada. Peate seda oma andmekaitse deklaratsioonis osutama ja andma kasutajatele ka võimaluse andmete kogumist takistada. Peate ka kasutajate IP-aadressid anonüümseks tegema. Seda saate teha lõiguga "anonymizeIP". Samuti peate Google'is andmetöötluse jaoks tegema lisandmooduli.