Alates 25. maist 2018 hakatakse kohaldama 2016. aastal jõustunud IKS üldmäärust (GDPR). GDPR rakendub ettevõtetele, kes omavad andmeid füüsiliste isikute kohta. Määruse eesmärk on kindlustada isikuandmete parem kaitse. Kuna veebilehtedel (sh e-poodides) töödeldakse igapäevaselt suur hulk külastajate isiklikke andmeid, anname üldisema ülevaate, millega ettevõtjad määruse jõustumisel arvestama peavad. Postitus ei pretendeeri absoluutsele tõele, vaid on informeeriva iseloomuga.
GRPR – Mis see endast kujutab?
Uus määrus kohustab ettevõtjaid veel rangemalt tundlikke isikuandmeid töötlema ning laiendab seega isikute õigusi. Üks olulisemaid muudatusi on ilmselt see, et ettevõtted peavad alates maikuust automatiseeritud andmetöötluse korral võimaldama kliendi soovil saata teda puudutavaid isikuandmeid teisele töötlejale või teise süsteemi. Ehk siis peaks looma süsteemi, mis tagaks kliendi andmete säilitamise sellisel viisil, et neid on lihtne üldkasutataval kujul kliendile või uuele töötlejale edasi saata. Täpsemalt võid lugeda SIIT.
Isikule peaks edaspidi jätma õiguse kogutud andmete põhjal temast kokku pandud profiili suhtes vastuväiteid esitada. Kui neid andmeid kasutatakse otseturunduse eesmärgil. Seda näiteks juhul, kui klient tunneb, et automaatselt kogutud andmed on temast vale mulje jätnud ning need võivad kahjustada tema huve.
Kohustuslikuks muutub klientide teavitamine, et neil on soovi korral õigus keelduda isikuandmete töötlemisest või lõpetata töötlemine mingite kindlate andmete osas. Siinkohal on oluline märkida, et isikuandmeteks loetakse nüüd ka võrguidentifikaatoreid, nagu seda on IP aadress. See tähendab, et peaks üle vaatama oma privaatsustingimused ja vastavad muudatused sisse viima.
Kui peaks juhtuma, et andmed lekivad või juhtub mõni muu intsident, kus need on ohus (ka hävinenud või muudetud) tuleb sellest koheselt (võimaluse korral 72h jooksul) teavitada nii kliente kui ka Andmekaitse Inspektsiooni. Lisaks peaks ettevõtte (juhul, kui tegu on suurema andmetöötlejaga) siseselt valima või palkama uue töötaja, kes määratakse andmekaitsespetsialistiks. Nõuetest, mida sellele ametikohale esitatakse, saad lugeda SIIT.
Andmetöötlejatel, kes tegelevad süstemaatiliselt kõrge riskiga andmetöötlusega, lasub ka kohustus enne isikuandmete töötlemise alustamist läbi viia andmekaitsealane mõjuhinnang. Kusjuures – see on soovitatav samm igale ettevõttele. Selle käigus hinnatakse, milliseid andmeid täpsemalt kogutakse ning millistel eesmärkidel, millised on turvameetmed ja mida rakendatakse, et info ei lekiks. Tuleb jõuda selgusele, kas meetmed on piisavad tagamaks isikuandmete kaitse. Sellist hinnangut võiks läbi viia järjepidevalt ka edaspidi.
Muudatuste valguses tuleb ettevõtjal hakata varakult tegutsema. Kui hetkel ei ole kasutusel universaalset ja lihtsat süsteemi isikuandmete hoiustamiseks, tuleks esmalt alustada sellest. Ettevõtte jaoks võib tegu olla kõige ajamahukama tegevusmuudatusega. Seda võidakse AKI sõnul ettevõttelt nõuda kohe peale üldmääruse kohaldamist.
Isikuandmete üldmääruse rikkumine võib ettevõttele kaasa tuua suured trahvid. Väikeste eksimuste puhul kuni 2% ja suurte eksimuste puhul 4% ettevõtte eelmise aasta ülemaailmsest käibest.
Kokkuvõttes
Kokkuvõttes – uus seadus on tehtud parimate kavatsustega kliendiandmete kaitseks, kuid see nõuab nii e-poodnikelt kui ka nende arendajatelt lisapingutusi. Võtame Aedeses GDPR-i rakendamist tõsiselt ning informeerime õige pea oma kliente täpsemalt, mida see toob kaasa Magento e-poodnikele.
Täpsemalt võid IKS üldmäärusega tutvuda SIIN.