General Data Protection Regulation ehk GDPR – vastused korduvatele küsimustele

Praeguseks on suurem müra maikuu teises pooles jõustunud Euroopa andmekaitseseadustiku osas maha rahunenud. Sellest, millised küsimused paljudel ettevõtetel tekkisid ja millised on vastused neile, annab ülevaate projektijuht Silver Jõgi Web Systemsist.

Paljud enimkasutatavad ja suurimad veebilehed on oma privaatsussätteid juba muutnud ning kasutajaid pop-upide ja e-kirjadega pommitanud. Sellegipoolest on isegi praeguseks (kirjutamise hetkel 2 kuud hiljem) suur teadmatus ja segadus selle osas, kuidas veebilehe haldajad oma tegevust muutma peaksid, et mitte regulatsiooni suure trahvihaamri alla sattuda.

Mis üldse on Euroopa isikuandmekaitse regulatsioon (GDPR) ning miks peaksin MINA sellest hoolima?

Kujutage ette maailma, kus eksisteerib süsteem, mis teab sinu kohta kõike. See süsteem teab su nime, aadressi, telefoninumbrit, viimase 10 aasta e-kirjavahetust, praegust asukohta ning omab 300 kaadrilist pildiseeriat sinu vaba aja tegemistest. Info saamiseks ei küsi süsteem luba ega anna võimalust enda kohta kogutud andmete kohtuväliseks kustutamiseks.

Kirjeldatud George Orwelli „1984“ stiilis maailm tundub utoopiline ning hirmutav, kuid täpselt selliste süsteemide loomine oli enne käesoleva aasta maikuud legaalsuse n-ö hallis alas. Seda just põhjusel, et praegusel infoajastul kaitses meid 20 aastat tagasi loodud direktiiv (DPD), mis oli paberimajanduslikku keskkonna regulatsioon ning ei osanud tehnoloogilistest muudatustest tulenevaid murekohti ette näha.

Direktiivi kaasajastamiseks vormistatigi uus General Data Protection Regulation ehk GDPR, mis seisab rohkem kui kunagi varem kasutaja isikuandmete kaitsmise eest.

Moraalse kodanikukohustuse ning turvalisema tuleviku kõrval on suurim väline motivaator ettevõtjatele GDPRi tõsiselt võtmaks just kolossaalne number trahvilipikul, mis GDPR-i nõuetega mitte koostkõlastamisega kaasneb. Algsetel andmetel on trahvi maksimaal-suurusjärk 20 millionit eurot või 4% aastasest käivest, kumb iganes annab suurema tulemi.

Millised ettevõtted kuuluvad regulatsiooni sihtgruppi ning mida peavad need ette võtma?

Suures pildis oleme kõik toodete või teenuste kasutajad ning viis, kuidas teenusepakkujad meie isikuandmeid rakendavad, on igal juhul meie kõigi ühistes huvides. GDPR kõnetab kõiki Euroopas tegutsevaid või Euroopa kodanike andmeid kasutavaid ettevõtteid. Sellest tulenevalt on regulatsioon väga laiahaardeline ning hõlmab enamikke maailma ettevõtteid.

Milliseid andmeid võib koguda?

Tänapäeval on andmete kogumine läbi veebikeskkonna kergem kui kunagi varem. Siinkohal ei pea ma silmas mitte ainult andmeid, mida klient mingisugusesse lahtrisse sisse kirjutab, vaid ka infot, mida veebileht kogub automaatselt.

Isikuandmete kaitse regulatsioon defineerib andmetena kogu informatsiooni, mida saab kasutada kas otseselt või kaudselt inimese identifitseerimiseks: nimi, e-posti aadress, vanus, isikukood, asukoht, välimus, hobid, sissetulek, kultuurne taust, biomeetrilised andmed, jms. Spetsiaalset, karmistatud  reguleerimist vajavad eriti tundlikud andmed: rass, rahvus, poliitilised vaated, usk, geneetiline info ning tervislik seisund. Viimaste kogumist on soovituslik üldse vältida. Juhul, kui sellise info kogumine on süsteemi otstarbeliseks toimimiseks vältimatu, tuleb salvestamisel kasutusele võtta andmesidususe hajutamine ehk pseudonümisatsioon.

Ülevaatlikult on suur rõhk asetatud just põhjendavale dokumentatsioonile, mis haldaja andmete kogumise eesmärgid ning kasutajate õigused üheti mõistetavalt lahti selgitab. Sisuliselt ei ole andmete kogumisele funktsionaalsuse eesmärgil piiri ette seatud ning ambitsioonikas ettevõtja ei pea muretsema, et uus ja äge idee jääb jõustunud regulatsioonidest tulenevalt realiseerimata.

Kui ettevõttel on kodulehekülg, kus jagatakse ainult infot toodete ja teenuste kohta, kas ka siis peab midagi oma veebiga tegema?

Veebikeskkonnas on alati kõik uksed avatud ning võimalused ideede ja probleemide lahendamiseks piiramatud. Sellest tulenevalt on ettevõtte veebileht väga harva rakenduses ainult “visiitkaardina” teenuse tutvustuse ning suunava telefoninumbri näol.

Tihtipeale on veebilehe haldajate huvides koguda külastajate kohta mingit infot külastusstatistikast. See lubab omada ülevaadet külastajate käitumisharjumustest ning seeläbi mugavdada veebilehe kasutusloogikat. Statistika kogumise tarkvarasid on mitmeid, kuid läbivalt on kasutusel kasutaja IP aadressi salvestamine. IP ehk Internet Protocoli aadressi saab kahjuks või õnneks efektiivselt kasutada külastaja asukoha tuvastamiseks ning sellest tulenevalt on selle kogumine GDPR-i poolt reguleeritud ning vajab haldaja tähelepanu.

Esmatähtis on kasutajalt nõusoleku küsimine ning vastava privaatsus-sisudokumendiga informeerimine. Dokumentatsioonis peab olema kirjas kogutava info maht, sisu ning eesmärk.

Lisanduvalt peab haldaja kasutajale tingimustega mittenõustumise korral võimaldama statistika kogumise anonüümsust. Anonüümsus ei tähenda ilmtingimata veebilehe andmete mittekogumist, vaid kujutab endast personaliseeritud andmete ehk IP aadressi (või muu identifitseerimist võimaldava info) salvestamist mittetuvastataval kujul.

Enimlevinud lahenduskäik on kasutajale veebilehe esmasel külastusel kuvatav küpsiste ning andmete kogumise “teavitusriba”. Ribal on pisike lühitutvustus, mille kohta nõusolekut küsitakse, viide “privaatsustingimused” dokumentatsioonile ning nupud nõustumiseks/mitte nõustumiseks. Nõustumise korral andmeid salvestatakse, mittenõustumise korral ei salvestata.

Kas nüüd peavad absoluutselt kõik veebid, mis küpsiseid salvestavad, selleks tegevuseks nõusolekut küsima?

Iga veebileht kasutab toimimiseks vähemalt mingil määral küpsiseid (Cookie). Nagu paljude asjadega siin maailmas, ei ole ka kõiki küpsiseid, mida veebilehtedel kasutatakse, loodud ühtselt. Igal väikesel elemendil on lehe funktsionaalsuse juures mängida oma osa ning sellest tulenevalt käsitleb andmekaitse regulatsioon neid erinevalt.

Ühel pool on küpsised, mille toimimine otseselt seostatavaid isikuandmeid ei kogu (näiteks sessiooniküpsised, lehesisesed keele-eelistused, ostukorvis olevate toodete arv jms.) ning tehniliselt need regulatsiooni huvigruppi ei kuulu. Teisel pool on küpsised, mis koguvad asukohateavet ja eeltäidetavalt sisestatavaid andmeid. GDPR nõuete kohaselt on sellises vormis andmete kogumisel nõusoleku küsimine kohustuslik.

Suurde hall-alasse jääb kurjamite potentsiaal veebilehitseja (Chrome, Firefox, Safari jms.) põhise “kasutajaprofiili“ loomiseks, mis võimaldab lehel kogutud ostukorvi sisu andmed kokku viia mõne teise lehe pealt kogutud asukohaandmetega, luues suures pildis väga laiaulatusliku ülevaate kasutaja olemisest ja tegemistest.

Väga täpse ülevaate sellest, mis on veebitasandil aktsepteeritav ja mitte, saab kahjuks alles siis, kui esimesed ettevõtted regulatsiooni poolt maha murtakse, kuid kokkuvõtvalt soovitan täna kõikide võimalike küpsiste kohta nõusolekut küsida.

Milline võiks välja näha korrektne nõusoleku küsimise formaat?

Nõusoleku küsimise korrektne sõnastus ei ole täies mahus defineeritud ning suur osa jääb haldaja enda hoolde. Selle tulemusena on erinevate veebilehtede peal näha seinast-seina lahendusi. Sellegipoolest on üldisi sisuelemente, millele keskenduda.

Kindlasti tuleb nõusoleku küsimisel tähelepanu pöörata järgmistele nõuetele:

• andmete kogumisel peab olema reaalne põhjus
• kasutaja andmeid ei tohi enne nõusoleku andmist koguda
• ei piisa teatest „Lehel kasutatakse küpsiseid ning kogutakse teie isikuandmeid“ ning vastusena “Nõustun” formaadist
• klient peab saama isikuandmete kogumisel nõusoleku andmisest keelduda
• nõusoleku andmine ei tohi olla peale surutud ehk leht peab olema isegi mittenõustumisel kasutatav
• klient peab teadma, millele ta nõusoleku annab ehk alati peab olema lisatud viide kirjeldavale dokumentatsioonile

Mida teha siis, kui kasutaja ei taha nõusolekut anda küpsiste ja muu isikliku info salvestamiseks?

Kasutaja kohta peab personaalse informatsiooni kogumine algama alles siis, kui vastav nõusolek on antud.

Küpsiste puhul on vältimatu, et veebileht salvestab “hädavajalikke” (sessioon) küpsiseid. Kõigele mittevältimatule peab kasutajal olema alati õigus nõusolekut mitte anda. Kui kasutajapoolset nõusolekut ei ole, ei tohi koguda ka andmeid. Parim, mida ettevõtted saavad enda tarbeks rakendada on info anonümiseerimine. Teiste sõnadega, kõik seostatavad isikuandmed muudetakse loetamatuks ning alles jääb lihtsalt personaliseerimata andmemaht.

Juhul, kui teatud andmete mittekogumisel ei saa veebileht kasutaja ees teatud eesmärki täita, võib põhjendatult tarneaadresside ning kontaktandmete kogumine olla teenuse osutamise eemärgil kohustuslik. Tähelepanu tuleb pöörata sellele, et küsima peab nõusolekut ning nõustumise formaat ei tohi olla eeltäidetud, sisaldades viidet vastavale dokumentatsioonile.

Mida teha olemasolevate klientidega, kes on jäänud kurdiks palvetele (e-kirjadele) nõustuda nende isikliku info edasihoidmisega?

Regulatsioonis on välja toodud, et klientide andmeid tohib hoiustada/koguda ainult juhul, kui ettevõte suudab tõestada, et on saanud andmete kogumise eesmärgil kasutajatelt selleks loa. Olemasolevatele klientidele tuleb edastada e-kiri, mis kirjeldab muutuste sisu ning käitumismudelit, mida järgitakse e-postis välja toodud nõusoleku andmise formaadile mittevastamise korral. Sisuliselt tähendab see, et kliendi poole pöördumisel kirjeldate talle, et nõusoleku mitteandmise korral nende andmed kustutatakse/anonümiseeritakse teie andmebaasist teatud ajaperioodi järel.

Mida peavad silmas pidama ettevõtted, kes juba varasemalt uudiskirju saatsid ning on võib-olla selleks juba nõusoleku kunagi küsinud?

GDPR-i valguses on eriline just faktor, et regulatsioon kehtib mitte ainult andmetele, mis on kogutud peale seadustiku jõustumist vaid ka andmetele, mis on kogutud enne 25.05.2018. E-posti põhistele uudiskirjadele tähendab see seda, et ettevõte peab olema suuteline tõestama, et andmete kogumiseks on kliendid juba andnud tahtliku nõusoleku.

Ettevõtted, kes instinktiivselt juba varasemalt uudiskirjade välja saatmiseks nõusolekut küsisid, ei pea sisuliselt oma käitumismudelit muutma. Ainukeseks piiravaks faktoriks on olemasolev, varasemat nõusolekut kinnitav tõendusmaterjal, mida ettevõte peab olema suuteline vajadusel esitlema. Juhul, kui varasemat nõusolekut ei saa tõendada, tuleb seda klientide käest uuesti küsida ehk uudiskirjade saamine toimus registreerimise järgselt automaatselt. Ilma otsese nõusolekuta peate klienti sisulistest muudatustest teavitama ning paluma neilt uut nõusolekut.

Kui kodulehel on kolmanda osapoole reklaamid või teenused, mis jälgivad kasutajat (näiteks Google´i reklaamid, Facebooki widgetid jne), kas ka nende jaoks peab veebilehe omanik ise nõusolekut küsima? Mida teha kolmandate osapoolte reklaamidega oma kodulehel, kas need kuidagi ohustavad veebi omanikku juriidiliselt?

Sisuliselt on veebilehe haldaja otseselt vastutav kõige eest, mis tema veebilehel toimub. Selle hulka kuuulub ka kolmanda osapoole tegemiste eest vastutuse võtmine. Piltlikult võttes on Google analytics haamer ning veebileht, kus seda kasutatakse töömees. Haamri tootja on vastutav (töömehe ees), et tema tööriist teeb ainult seda, mis on dokumentatsioonis välja toodud. Töömees on vastutav (tellija ees), et tema kasutab seda haamrit ainult naelade löömiseks.

Teiste sõnadega, suuremad kolmandad osapooled pakuvad juba täna detailset ülevaadet sellest, kuidas ja mis määral nende toodetud tarkvara andmeid kasutab. Sellest tulenevalt on kolmandad osapooled oma tegemiste eest vastutavad juhul, kui see läheb disainisiseselt vastuollu GDPR põhimõtetega (näiteks nemad teevad omal otstarbel koopia kõikidest teie veebilehel kogutud andmetest). Uue regulatsiooni raames on veebilehe haldaja/omaniku õlgadel suur koormus valida endale just selliseid partnereid ning osapooli, kes nendega sarnasel viisil GDPR-nõudmistele vastavad.

Mida teha GDPR-trollidega, kui on näha, et keegi saadab meelega automaatseid päringuid isikliku info väljavõtete saamiseks või koormab muud moodi ettevõtte töötajaid GDPR-ile viidates?

GDPR-trollide näol on põhimõtteliselt tegemist süsteemse “kiusamisega”, kus kasutatakse pahatahtlikult ära haldajate kohustust isiklikke andmeid välja saata/kustutada. Kõige raskemalt väljendub olukorra tõsisus juhul, kui andmete sissekandmine ning kustutamine on ettevõttes üles seatud manuaalsel viisil (inimene peab tegema sissekandeid-muudatusi). Mõjukas lahendus antud olukorra parandamiseks oleks protsessi automatiseerimine. Teiste sõnadega, kasutajale selgitatakse lahti automatiseeritud andmete kätte saamise ning kustutamise kord (näiteks veebileht pakub võimalust andmeid alla laadida/kustutada/anonümiseerida). Selleks, et vältida pahatahtlikke kavatsusi veebilehe ülekoormamise osas (DDOS), on mõistlik andmete kustutamise kord sätestada tsükliliseks (näiteks pühapäeva ööl vastu esmaspäeva).

Millised on head ja lihtsad vahendid, mida oma kodulehele lisada ning mis aitavad veebi GDPR-ile vastavamaks teha?

Regulatsioonile vastavust võib rakendada väga detailselt, kuid enamikel juhtudel ei ole tarvilik liigselt keeruliseks minna.

Lihtne GDPR vastavus koosneb sisuliselt viiest osast:

1. Veebilehele tuleb otsa vaadata kriitilise pilguga ning üle käia kõik potentsiaalsed murekohad. Detailset kaardistamist vajab kasutaja informatsiooni kogumise formaat ning vajalikkus.

2. Vastavalt kaardistusele tuleb veebilehele (vahelehena) luua vastav dokumentatsioon, mis isikuandmete kasutamise põhimõtted lahti kirjeldab. Dokumentatsioon peab olema selgesti mõistetav ning vabas vormis. Sellest tulenevalt ei pruugi olla vajalik juriidiline sekkumine. Sisuliselt tuleb vastata küsimustele:

• Mida kogume?
• Miks seda teeme?
• Kui kaua informatsiooni säilitame?
• Kellega informatsiooni jagame?
• Kuidas saab kasutaja nõusolekust tagasi astuda ning informatsiooni kustutada?
• Kellega küsimuste/probleemide korral kontakteeruda?

3. Veebilehele tuleb lisada küpsiste kasutamise korra teavitus-nõustumisriba. Nõusoleku küsimise ribal on lühidalt kirjas, millele ning millisel eesmärgil nõusolekut küsitakse. Lisanduvalt on välja toodud erinevad nõusoleku valikud ning viide kirjeldavale dokumentatsioonile.

4. Iga postitusvormi juurde tuleb välja tuua nõustumisformaat ning viide kirjeldavale dokumentatsioonile. Kasutaja peab omama ülevaadet, mida tema sisestatud andmetega tehakse ning millisel eesmärgil neid kasutatakse.

5. Veebilehel peab olema pidev ligipääs andmekaitse kirjeldavale dokumentatsioonile ning seeläbi on mõistlik lisada veebilehe jalutsisse vastav viide.

Praegusel hetkel on kõikidel enimkasutatud sisuhaldusplatvormidel (WordPress, Drupal, Joomla, Magento) juba vastavad kiir-lahenduse “mallid” olemas. Luuakse lihtne nõusoleku aktsepteerimise formaat ning vaheleht dokumentatsiooni kuvamiseks. Positiivne on kiire ja peamiselt murevaba ülesseadmise protsess, puudujäägiks on kindlasti isikupärasuse puudumine. Sellest tulenevalt on praeguseks paljudel suurematel veebiarendusmeeskondadel olemas personaalselt loodud GDPR’ile vastav lahendus, mida nad saavad kliendi soovidele (disain, sõnastus, ülesehitus) vastavalt kohandada.

Lõpetuseks – on GDPR-i tõesti nii väga vaja oma karmide trahvidega?

Esmapilgul võib vaid mõni kuu tagasi jõustunud General Data Protection Regulation (GDPR) tunduda oma nõudmiste poolest segane ning karistuste poolest liigselt range, kuid lähemal uurimisel on lihtne mõista, miks ligi 20 aastat vana direktiiv tänapäeva tehnoloogiliste võimalustega kaasas käimiseks muutust vajas.

Realistlikult oleme me kõik veebikeskkonnas mingisuguse toote või teenuse kasutajad ning ootame, et meie poolt jagatud isikuandmetega käideldakse vastutusrikkalt ja hoolivalt. Veebilehtede haldajad kui andmete kogujad on praegusel hetkel turvalisema tuleviku eesrinnas ning just neilt oodatakse heatahtlikkust ning vastutulelikkust, mida meie kõik saaksime tulevikus nautida.

Sisuliselt ei ole suureks muretsemiseks põhjust, sest veebilehe GDPR’iga vastavusse viimine viie-etapiline protsess, enamikele ettevõtetele struktuurselt lihtne ning vajab vaid mõningat ajainvesteeringut.