25.05.2018 hakkas kehtima isikuandmete kaitse üldmäärus (GDPR), mis tõi endaga kaasa mõned uued nõuded veebilehe omanikele. Mida siis teha, et koduleht vastaks uuendatud seadusele?

GDPR regulatsioon

Kas Sinu koduleht on ikka selleks valmis?

Isikuandmed ja nende töötlemine

Kui kogute isikuandmeid (nt, nimi, e-posti aadress, telefon jne), siis iga vormi juurde peab olema lisatud nt märkeruut, mille abil klient (andmesubjekt) saab nõustuda privaatsustingimustega.

Privaatsustingimused võiks olla sealsamas ka lingitud ehk siis klient saab mugavalt minna enne vormi saatmist vastavate tingimustega tutvuma.

Kuna meil on veebilehel umbes 40 erinevat vormi, siis ei soovinud ma hakata igat vormi märkeruudu abil täiendama, vaid kasutasin WP GDPR Compliance nimelist pluginat.

Vormide täiendamine - GDPR

Plugin ühildub Contact Form 7, Gravity Forms, Woocommerce ja WordPress Comments’ga.

Plugina seadistamiseks vali Töövahendid –> WP GDPR Compliance –> ja lülita sisse kasutatavad pluginad.

Lisa Checkbox text lahtrisse eesti keelne tekst, sh link privaatsuspolitiikale.

Lingi lisamiseks saad kasutada näiteks koodi, kus asendad URL’i õige aadressiga:

Olen tutvunud ja nõustun <a target=”_blank” href=”https://kodulehekoolitused.ee/kupsiste-kasutamine-ja-privaatsuspoliitika/”>privaatsustingimustega</a>

Lisa ka veateade, mida kuvatakse sel juhul, kui klient ei nõustunud tingimustega. Ehk siis päringut ei saa esitada, kui pole tingimustega nõus.

NB! Kui kasutad nt Contact Form 7 nimelist pluginat, siis tea, et isikuandmete töötlejal on kohustus tõestada, et ta on andmed saanud andmesubjekti nõusolekul ehk siis vaikimisi Contact Form 7 ei kogu sisestatud andmeid mugavas taasesitamise formaadis, vaid saadab lihtsalt administraatorile e-kirja päringu kohta.

Seega hoolitse selle eest, et päringud oleksid tõestatavas formaadis.

Privaatsuspoliitika, mida võiks see kajastada?

Ma pole leidnud otseselt nimekirja, mis ütleb, missugused punktid peavad kindlasti olema privaatsuspoliitika dokumendis kajastatud. Meie oleme oma privaatsuspoliitika teavituses lähtunud järgmistest peamistest punktidest:

  • Privaatsuspoliitika eesmärk
  • Isikuandmete töötleja
  • Isikuandmete töötlemise eesmärgid ja õiguslikud alused
  • Töödeldavad isikuandmed
  • Andmesubjektide õigused
  • Isikuandmete (andmete) turvalisus, jagamine, kasutamine ja säilitamine
  • Küpsiste (cookies) kogumine ja nende eesmärk

Loe lisaks, mida toob endaga kaasa GDPR kodulehe või e-poe omanikule.

Küpsised

Veebilehe haldajad on kohustatud veebilehel esitama selge ja arusaadava teabe, millist tüüpi küpsiseid nende veebileht kasutab ja mis eesmärgil.

Testisin erinevaid pluginaid, mis võimaldavad kasutajal lubada või keelata kasutatavaid küpsiseid.

Testimise tulemusena selgus, et leitud pluginad ei tee seda, mida lubavad ehk siis hoolimata sellest, et ma keelasin küpsised, salvestati need ikkagi.

Seega kui kasutaja ei soovi meie poolt pakutud küpsiseid, siis saab ta oma veebilehitsejas need ise keelata. Lisasin privaatsustingimustesse ka lingid õpetustele, kuidas seadistada küpsiste osa peamistes veebilehitsejates.

Küpsistega nõustumise teavituse lisamiseks kasutasin Ginger – EU Cookie Law pluginat.

 

Peale plugina sisse lülitamist tekib WordPressi administreerimise menüüsse uus link Ginger Cookie. Pluginal on ka “tore” funktsioon Stress mode. Kui lülitad selle sisse, siis on kasutajal väike banner niikaua ees, kuni ta nõustub küpsistega.

Saad seadistada, kas soovid:

  • tumedat tausta või heledat tausta või enda valitud tausta;
  • bannerit ülesse või alla;
  • Ginger küpsise eluiga jne.

Mida veel hakkas uue määruse juures silma?

  • Veebilehel ja eriti e-poes kehtib andmete minimaalsuse printsiip.  Näiteks kui klient tellib kauba pakiautomaati, siis ei ole õigust küsida postiaadressi, vaid piisab e-postiaadressist tellimuse saatmiseks ja telefoninumbrist ning pakiautomaadi aadressist.
  • Kui klient on palunud oma andmed kustutada, nt on lahkunud uudiskirjast, siis ei tohi talle enam pakkumisi saata. See on loomulik, aga olen ise küll saanud uudiskirju, hoolimata sellest, et olen listist lahkunud.
  • Andmesubjekt peab ise “linnukese” märkeruutu lisama. Eeltäidetud märkeruuduga andmete küsimine on õigustühine.
  • Andmekaitseametniku peavad määrama:
    • avaliku sektori asutused;
    • andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine;
    • andmetöötlejad, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Loodan, et sinu veebileht saab samuti olema kooskõlas GDPR -ga.

Jõudu!

Kui sulle oli sellest postitusest abi, siis palun jaga seda