25. mail jõustus Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR), mis hakkab asendama senist Eesti isikuandmete kaitse seadust. Sellega seoses on menetluses ka uus seadus, mis sätestab uued seaduslikud reeglid. Mida aga GDPR toob kaasa kodulehe omanikule?

Isikuandmete kaitse üldmäärus ei anna konkreetseid juhiseid e-poodnikule, konkreetsed juhised tulevad siiski kohalikust seadusest.

Andmekaitse inspektsiooni peadirektori Viljar Peep sõnul ei kaasne sellega väga palju muudatusi, sest aluspõhimõtted jäävad samaks, kuid reeglid muutuvad selgemaks, täpsemaks ja põhjalikumaks.

Näiteks, kui enne oli õigus küsida asutuselt või ettevõttelt, milliseid andmed on inimese kohta kogutud, siis nüüd on juurde tulnud täiendusena andmete ülekantavus. Mis tähendab, et ma peaksin saama ühest ettevõttest oma andmed teise tõsta.

Vaata ka Telia Eesti videot isikuandmete regulatsiooni kohta.

Andmekaitse üldmäärus arvestab riskipõhisusega, mis tähendab, et väikeettevõttele või e-poele, kes ei tegele tundlike isikuandmetega, siis nende jaoks ei kehti samad reeglid, mis kehtivad panganduses või suurtes IT ettevõtetes.

Tundlikud isikuandmed on näiteks inimese usulised ja poliitilised vaated, andmed terviseseisundi või rassilise kuuluvuse kohta. Täieliku delikaatsete isikuandmete nimekirja leiad Andmekaitse inspektsiooni kodulehelt.

Siiski tasub ka endal tutvuda Euroopa Liidu isikuandmete kaitse üldmäärusega ning Eesti seadustega.

Selle kirjutise näol ei ole tegemist juriidilise nõuandega.

WordPress, WooCommerce ja GDPR

Isikuandmed on kõik andmed, mis võimaldavad inimest tuvastada. Ka näiteks IP-aadress võib olla isikuandmed, seda juhul kui IP-aadressi alusel on võimalik tuvastada füüsiline isik.

Andmete töötlemine on igasugune toiming, sealhulgas kogumine, salvestamine, muutmine ja säilitamine. Isikuandmete töötlemiseks on vajalik selgesõnaline nõusolek või seadusest tulenev õigus, näiteks tellitud kauba saatmine.

Mida pead sa siis täpsemalt tegema, et koduleht oleks kooskõlas uue määrusega?

1. Kirjuta lepingutingimused

E-poest ostu sooritamise eelduseks on kliendi nõustumine lepingutingimustega. Lepingutingimused võivad olla kirjas müügi-, ostu- või kasutustingimustena.

Seoses isikuandmetega (privaatsustingimused) peaks olema kirjas:

• milliseid andmeid kogud (näiteks nimi, aadress, e-postiaadress);
• kes isikuandmeid töötleb;
• mis eesmärgil andmeid kasutad (näiteks arve ja kauba saatmiseks, kasutuskogemuse parendamiseks, uudiskirja saatmiseks, turunduslikel eesmärkidel);
• kas ja kellele andmeid edastatakse (näiteks MailChimp, Hotjar, Google, Facebook, raamatupidamistarkvara);
• kui kaua isikuandmeid säilitad;
• kuidas kasutaja saab tutvuda tema kohta kogutud andmetega;
• kuidas kasutaja saab alla laadida tema kohta käivaid andmeid;
• kuidas kasutaja saab muuta ja kustutada tema kohta käivaid andmeid.

Kui kasutaja ise ei saa oma kontot kustutada või andmeid näha ja alla laadida, siis peab olema kirjas, mida ta selleks peab tegema, näiteks võtma ühendust e-kirja teel.

WooCommerce ja WordPress töötavad samuti selle nimel, et nende tarkvara vastaks isikuandmete kaitse üldmäärusele. See tähendab, et lähiajal on oodata mõlema tarkvara uuendusi.

Täpsemalt saad lugeda postitusest How we’re tackling GDPR in WooCommerce core ning WordPressi arendustest saad ülevaate Make WordPress Core lehelt.

Kohustuslik lugemismaterjal e-kauplejale:

• E-kaubandus Liidu juhendmaterjal Alustavale e-kauplejale.
• Tarbijakaitseameti Juhend e-kaubandusega tegelevale ettevõtjale.
• Andmekaitse inspektsiooni juhendmaterjal Turvaline e-pood.
• Andmekaitse inspektsiooni juhend Infoturve ja isikuandmete kaitse väikeettevõttes.

Soovitan vaadata ka videot, kus Kristjan Raude küsib vandeadvokaat Mihkel Miidlalt erinevaid küsimusi seoses uue määrusega.

Andmekaitse inspektsioon soovitab, et lepingutingimustega nõustumine toimuks e-poe kasutajaks registreerumisel või vahetult enne ostu vormistamist.

Seega kliendil ei tohiks olla võimalus sooritada e-poest oste enne, kui ta ei ole andnud nõusolekut lepingutingimustega nõustumiseks.

Müügitingimuste lehe lisamiseks vali vasakpoolsest menüüst WooCommerce > Seaded > Kassa > Müügitingimuste rippmenüüst vali loodud lepingutingimuste leht ning salvesta muudatused.

Lepingutingimused võiksid olla lisaks ka alati nähtaval kohal, näiteks jaluses või topmenüüs.

2. Kasutajakontod

Kui sinu kodulehel on võimalik registreerida end kasutajaks, siis ka sellel lehel peab olema teade privaatsustingimustele ning kasutaja peab andma nõusoleku.

Soovitav on küsida nõusolek ka olemasolevatelt kasutajatelt ning teavitada neid uutest privaatsustingimustest.

Hetkel seda funktsionaalsust veel tarkvaras pole, seega peaksid ise lisama kujunduse alamteemasse funktsiooni, mis lisab vastavasisulise teate registreerimisvormi juurde. Vajaliku funktsiooni leiad postitusest WooCommerce: Show Extra Content @ My Account Login Page.

3. WooCommerce ostukorvi hülgamise teavitused

Kui kasutad pluginat, mis teavitab kasutajat ostuprotsessi poolelijätmisest, siis peaksid uurima, kas plugina looja plaanib viia plugina vastavusse GDPR nõuetega.

Vastavalt isikuandmete kaitse üldmäärusele ei tohi sa saata teavitusi ilma vastavasisulise nõusolekuta.

Kui plugina autor ei plaani lisada eraldi märkeruutu, et külastaja on nõus teavituste saamisega, siis tuleks leida plugin, mis seda teeb, leida muu lahendus või loobuda sellest funktsionaalsusest.

4. Tootearvustused ja kommentaarid

Kui su lehel on lubatud tootearvustused, siis taas on vaja kasutaja nõusolekut, sest tagasiside andmise jaoks peab külastaja lisama nime ja e-postiaadressi.

Üheks lahenduseks on siin lubada tootearvustused ainult nende kasutajate poolt, kes on toote ostnud. See eeldab siiski seda, et kasutajal on võimalik sinu lehel omale konto luua ning konto loomise käigus on ta nõustunud privaatsustingimustega.

Kui aga lubad arvutusi kõigil kirjutada, siis peaksid lisama märkeruudu privaatsustingimustega nõustumise kohta enne arvustuse lisamist. See eeldab taas erilahendust ehk koodi kirjutamist.

Kommentaaride puhul kehtib sama loogika ehk enne kommentaari lisamist peab kasutaja andma nõusoleku isikuandmete töötlemiseks.

Kuna WordPressi arendamisega tegeletakse, siis on lootust, et WordPressi lisatakse vastav funktsionaalsus. Teiseks lahenduseks oleks kasutada eraldi pluginat, mis vastaks GDPR nõuetele.

5. Uudiskirjaga liitumine

Ka uudiskirjaga liitumise puhul peab olema kliendi nõusolek privaatsustingimustele. MailChimp toob välja, et tegelikult peaksid sa küsima ka uue nõusoleku eksisteerivatelt kontaktidelt.

Soovitan lugeda MailChimpi artiklit Collect Consent with GDPR Forms, kus kirjutatakse, millised võimalused sul on kasutada GDPR väljasid uudiskirjaga liitumise vormide juures.

6. Kontaktivormid

Ka kontaktivormide puhul tuleb lisada märkeruut, millega vormi täitja saab anda nõusoleku andmete töötlemiseks.

Selleks piisab, kui lisad kõikidele vormidele juurde kohustusliku märkeruudu, kus kasutaja peab nõustuma privaatsustingimustega.

Gravity Forms plugina kasutajatel soovitan lugeda läbi artikli WordPress, Gravity Forms, and GDPR Compliance.

Artikkel Acceptance Checkbox õpetab Contact Form 7 plugina kasutajale, kuidas lisada märkeruutu privaatsustingimustega nõustumiseks.

7. Google Analytics, Facebook Pixel, Hotjar ehk kodulehe analüütika

Seoses oma kodulehe analüüsimisega kasutatakse lehel erinevaid küpsiseid (cookies). Kodulehel tuleb selgelt ja arusaadavalt teavitada, millist tüüpi küpsiseid kasutatakse ning mis eesmärgil.

Privaatsustingimustesse tasub lisada ka info, kuidas külastaja saab enimlevinud veebilehitsejate puhul kustutada küpsiseid. Küpsiste kohta saad taas lugeda täpsemalt Andmekaitse inspektsiooni lehelt.

Samuti tuleb arvestada sellega, et kolmandad osapooled peavad vastama GDPR nõuetele.

Google Analyticsis andmete säilitamise võimalustest saad lugeda artiklist Data retention. Google on öelnud, et enne 25. maid lisandub Analyticsis juurde ka kasutaja kustutamise võimalus.

Google Analytics’is on võimalik määrata, kui kaua sa mingeid andmeid alles hoiad, tehtud muudatused jõustuvad 24 tunni jooksul kuid mitte enne 25. maid 2018 aastal.

Kui kasutad Facebook Pixelit, siis soovitan lugeda läbi artikli What is the General Data Protection Regulation?, ning kui kasutad Hotjari, siis tutvu kindlasti artikliga Hotjar’s Commitment to the GDPR.

Kokkuvõtteks

Soovitan vaadata kriitilise pilguga üle kõik pluginad ning mõelda, kas plugin töötleb (näiteks loeb, salvestab jne) isikuandmeid. Kui jah, siis kontrolli, kas plugin vastab GDPR nõuetele.

Kõigele lisaks tuleb arvestada, et kui mingil põhjusel peaksid sinu kodulehelt andmed lekkima, siis sellest tuleb teavitada Andmekaitse inspektsiooni 72 tunni jooksul. Täpsemat infot selle kohta leiad Andmekaitse inspektsiooni artiklist Rikkumisteated.

Praegu on veel palju segadust seoses isikuandmete kaitse üldmäärusega ning uueneva isikuandmete kaitse seadusega. Seoses sellega soovitan jälgida Andmekaitse inspektsiooni kodulehte seoses Euroopa andmekaitse reformiga, sest sealt saad kätte kõige ajakohasema ja usaldusväärsema info.

Ma arvan, et osaline vastavus GDPR nõuetele on igati parem kui mitte mingisugune vastavus.

Edu!