Partner soovitab: privaatsusteavitus – rohkem kui lihtsalt linnuke

Veebilehe privaatsusteavitus ei ole pelgalt kohustuslik tekst kuskil jaluses, vaid oluline osa ettevõtte usaldusväärsusest. Kui küpsised, kontaktvormid, uudiskirjad ja välised teenused on läbimõtlemata, võib ka pealtnäha lihtne koduleht koguda rohkem andmeid, kui vaja. Selles postituses vaatame üle levinumad vead ning praktilised sammud, mis aitavad muuta veebilehe andmekaitse vaates läbipaistvamaks ja korrektsemaks.

Kuidas muuta oma veebileht andmekaitse vaates usaldusväärseks?

Veebileht on sageli ettevõtte esmane visiitkaart. Aastal 2026 ei piirdu kasutajakogemus enam vaid ilusa disaini ja kiire laadimisajaga – teadlik tarbija hindab ka privaatsust. Paljud Eesti väikeettevõtjad eksivad aga, arvates, et piisab kusagilt kopeeritud „tingimuste“ lisamisest. Tegelik vastavus isikuandmete kaitse üldmäärusele ehk GDPR-ile algab läbipaistvusest ja tehnilisest korrektsusest, mitte juriidilisest fassaadist.

Suurimad terminoloogilised ämbrid: teavitus vs. poliitika

Esimene viga tehakse juba pealkirjas. Paljudel lehtedel ilutseb termin „privaatsuspoliitika“, mis on otsene tõlge ingliskeelsest väljendist Privacy Policy. Eesti õigusruumis on see aga eksitav. Poliitika on ettevõtte sisedokument, mis sätestab, kuidas ettevõtte töötajad andmeid töötlevad. Kliendile suunatud dokument on privaatsusteavitus – see on andmesubjektile antav info selle kohta, mida tema andmetega tehakse.

Teine kriitiline eksimus on nõuda kasutajalt privaatsusteavitusega „nõustumist“. Teavitusega ei nõustuta, sest andmete töötlemine toimub sageli lepingu täitmiseks või õigustatud huvi alusel, mitte nõusoleku alusel. Kasutajat tuleb teavitada, et selline dokument on olemas ja tal on võimalus sellega tutvuda. Seevastu müügitingimustega ja uudiskirjaga liitumisega peab kasutaja alati aktiivselt nõustuma, kuna need on tahteavaldused.

Läbipaistvus on võti – kui kodulehel kasutatakse läbivalt üht terminit, tuleks seda teha korrektselt igal pool.

Tehniline pool ja nähtamatud andmekogujad: mida sa kliendi eest varjad?

Väikeettevõtjad kasutavad tihti mugavusteenuseid, nagu Google Analytics, Hotjar, reCAPTCHA või Cloudflare, hoomamata, et need edastavad kasutaja andmeid, sealhulgas IP-aadresse, kolmandatele osapooltele. Siin kehtib reegel, et veebilehe külastaja ei pea seda teadma, kuid sina veebilehe omanikuna pead.

Üks olulisemaid arenguvõimalusi on arendajate sihipärane koolitamine. Nende peamine ülesanne on minu hinnangul informatsiooni jagamine ja ettevõtja suunamine. Paraku taandub see teema sageli hinnale: kas ettevõtja peaks regulaarselt omandatud teadmiste maksumuse oma teenusehinnale lisama? Kahetsusväärselt valivad ettevõtjad tihti hinna, mitte teadmised ja kogemused.

Levinud viga on „passiivne“ küpsisemoodul. Kui kasutate tööriista nagu CookieYes või Cookiebot, siis ei tohi see olla pelgalt dekoratiivne aken. Seaduse järgi ei tohi ükski mittehädavajalik skript, näiteks Analytics või Facebook Pixel, käivituda enne, kui kasutaja on andnud selleks selge nõusoleku. Google Analyticsi puhul tähendab see, et kui veebilehel puudub korrektselt seadistatud küpsisemoodul, ei tohiks ka vastav skript käivituda. Kui teie veebileht laeb jälgimiskoodid taustal juba siis, kui bänner alles ekraanil kuvatakse, olete andmekaitsenõudeid rikkunud. Samuti peab WPML-i või muude keelemoodulite puhul jälgima, et keele-eelistuse küpsised oleksid korrektselt klassifitseeritud.

Leian, et klienti tingimustega nõustuma sundida on ebaeetiline ning nupud „keeldun“ ja „nõustun“ tuleks muuta visuaalselt samaväärseks. Tegemist on psühholoogilise suunamisega ning leian, et klienti ei tohi alateadlikult sundida oma andmeid teenusepakkujale edastama. Lisaks on veebileht kohustatud lisama küpsiseteavituse juurde ka kohese viite privaatsusteavitusele.

Erinevad kontaktvormid ja e-pood: miks vähem on rohkem?

Andmete minimeerimise põhimõte ütleb, et koguda tohib vaid neid andmeid, mis on eesmärgi saavutamiseks hädavajalikud.

• Kontaktvormid: kas teil on päringu saatmiseks tõesti vaja teada kliendi erinevaid andmeid? Näiteks sünniaega või kodust aadressi? Kui piisab e-posti aadressist ja tekstiväljast, siis küsige ainult neid.
• WooCommerce ja e-poed: vältige vaikimisi seadistusi, mis sunnivad klienti kontot looma või küsivad erinevaid personaalseid täpsustusi, kui tarneviis seda ei nõua. Iga täiendav andmepunkt on ettevõtja jaoks risk – kui andmed peaksid lekkima, vastutate kõige eest, mida olete kogunud.

Ettevõtjana seisan vastandliku, kuid samas omavahel seotud dilemma ees. Ühelt poolt kohustab isikuandmete kaitse üldmäärus ehk GDPR koguma klientidelt minimaalselt andmeid ehk lähtuma andmete minimeerimise põhimõttest. Teisalt nõuavad Euroopa Liidu käibemaksureeglid, näiteks VAT OSS/IOSS, ja rahapesu tõkestamise reeglid ehk AML kliendi asukoha tuvastamist kahe sõltumatu tõendi abil, näiteks IP-aadressi ja arveldusaadressi põhjal, et rakendada õiget käibemaksumäära. Seega, kuigi sooviksin küsida kliendilt vaid tellimuse täitmiseks vajalikke andmeid, nagu nimi, telefoninumber ja pakiautomaadi asukoht, kohustab seadus mind koguma lisaks ka täiendavaid andmeid.

Erinevad makselahenduse teenust pakkuvad ettevõtted, näiteks PayPal, nõuavad teatud summast alates, sageli just 35 või 50 euro piirimail, täiendavaid andmeid pettuste vältimiseks ehk anti-fraud kontrolliks. See on nende viis veenduda, et kaarti kasutab õige omanik. Seda nimetatakse ka aadressi kontrollimise süsteemiks ehk Address Verification System, lühidalt AVS.

Makselahenduse teenusepakkuja võib seada teatud piiranguid, nõudes näiteks alates 35 eurost täiendavalt kliendi arveldusaadressi. Kuigi pakiautomaadi aadressi kasutamine võiks esmapilgul tunduda praktilise lahendusena, ei ole see pettuste tõkestamise ehk AVS-i eesmärgil juriidiliselt pädev lahendus. Siiski leian, et selline lähenemine pole tingimata vale, kuna ettevõtjana soovin vältida ohtlike andmekogude tekitamist.

Muud tähelepanekud

Uudiskirjaga, näiteks Smaily või Mailchimpi kaudu, liitumine peab põhinema vabatahtlikul ja aktiivsel nõusolekul.

1. Eeltäidetud linnukesed on keelatud: seda on kinnitanud ka AKI. Kasutaja peab ise kasti märkima. „Vaikimisi nõusolek“ ei ole juriidiliselt pädev.
2. Eraldatud nõusolekud: ostu sooritamine e-poes ei tohi automaatselt tähendada uudiskirjaga liitumist. Need peavad olema kaks eraldiseisvat tegevust.
3. Välised viited: kui kuvate oma lehel koostööpartnerite logosid, veenduge, et teil on selleks luba. Kui need logod on lingitud välisveebilehtedele, peab kasutaja aru saama, et ta lahkub teie hallatavast keskkonnast, kus kehtivad teised privaatsusreeglid.

Kokkuvõte ja kontrollnimekiri

Andmekaitse ei ole ühekordne projekt, vaid pidev protsess. Alusta nendest viiest sammust:

1. Muuda terminoloogiat: nimeta „privaatsuspoliitika“ ümber „privaatsusteavituseks“.
2. Kontrolli küpsiseid: testi näiteks incognito-aknas, kas Google Analytics hakkab andmeid saatma enne nõusolekunupu vajutamist. Kui jah, siis küpsisemoodul ei tööta õigesti.
3. Kärbi vorme: eemalda kontaktvormidest kõik väljad, mis pole kriitilised.
4. Uuenda nõusolekuid: veendu, et uudiskirja kastid ei oleks eeltäidetud.
5. Tee audit: vaata üle kõik välised skriptid, näiteks Hotjar, Maps ja reCAPTCHA, ning märgi need privaatsusteavituses ära.

Korrektne andmehaldus ei kaitse sind mitte ainult trahvide eest, vaid loob kliendis tunde, et tema privaatsus on sinu kätes kaitstud. See on konkurentsieelis, mida ei tasu alahinnata.

Kui GDPR-i ja veebilehtede andmekaitse teema tekitab sinus mõtteid, küsimusi või praktilisi tähelepanekuid, jaga neid minuga. Kogun hea meelega kokku päriselulisi näiteid ja küsimusi, et järgmistes postitustes just neid teemasid põhjalikumalt käsitleda.

Käesolev kirjatükk on sündinud Zone partnerprogrammi raames ning selle tõi lugejateni Digivalvur OÜ.