GDPR-ile vastava privaatsuspoliitika koostamise olulised punktid selgitatuna
Kui tegelete ELi piires kasutajate isikuandmetega, peate vastama GDPR-ile ja looma GDPR-iga kooskõlas oleva privaatsuspoliitika. Siiski, kuna GDPR-i mõistmine võib olla keeruline, võib paljudel tekkida küsimus, kas ja kuidas nende veebisait peab GDPR-iga kooskõlas olema.
Selles artiklis selgitame GDPR-i üldpõhimõtteid ja toome välja olulised punktid GDPR-ile vastava privaatsuspoliitika koostamisel. Lisaks tutvustame Jaapani vastavusolukorda ja tuntud ettevõtete näiteid, mis võivad teile abiks olla.
GDPR ja privaatsuspoliitika
Mis on GDPR-ile vastav privaatsuspoliitika? Siin selgitame GDPR-i üldpõhimõtteid ja privaatsuspoliitika nõudeid GDPR-i raames.
GDPR ja privaatsuspoliitika
GDPR on EL-i poolt kehtestatud määrus, mis sätestab üksikasjalikult isikuandmete kaitse ja nende käitlemise. GDPR kehtib Euroopa Majanduspiirkonnas (EMP: EL-i liikmesriigid, välja arvatud Šveits, ja EFTA liikmesriigid Island, Liechtenstein ja Norra). Järgmistel juhtudel võib GDPR kehtida ka Jaapani ettevõtetele:
- EU territooriumil asuvatele andmesubjektidele kaupade või teenuste pakkumine
- EU territooriumil asuvate andmesubjektide käitumise jälgimine
Andmesubjekt on tuvastatud või tuvastatav füüsiline isik, kellele isikuandmed on seotud.
Ülalnimetatud tingimustele vastavad ettevõtted peavad oma privaatsuspoliitikat (privaatsusteatis) üle vaatama ja vajadusel uuendama. GDPR-i rikkumise korral võib ettevõtet trahvida kuni 20 miljoni euroga või kogu maailma müügitulu 4% ulatuses.
Viide: Jaapani Kaubanduse Edendamise Organisatsioon | “EU üldine andmekaitsemäärus (GDPR)”[ja]
EU riikidega tehingute turvaliseks sooritamiseks on privaatsuspoliitika kontrollimine hädavajalik.
GDPR-i poolt määratletud isikuandmete kogumisel “teabe andmine”
GDPR sätestab, et isikuandmete kogumisel peab haldaja andmesubjektile teatud teavet andma, ja GDPR-i artikkel 12 lõige 1 kirjeldab teabe andmise viisi.
Nõuded on järgmised:
- Lihtne, läbipaistev, arusaadav ja kergesti ligipääsetav
- Kasutada selget ja lihtsat keelt
- Lastele teabe andmisel tuleb rakendada asjakohaseid meetmeid
- Teave antakse kirjalikult, sobivatel juhtudel elektrooniliselt või muul viisil
- Kui andmesubjekt seda nõuab, peab teavet olema võimalik anda suuliselt
Lisaks on GDPR-i artikkel 12 lõige 5 sätestatud, et teabe andmine peab olema tasuta. Kontrollige, kas teie ettevõtte privaatsuspoliitika vastab ülaltoodud nõuetele ja vajadusel tehke muudatusi.
GDPR-ile kooskõlas oleva privaatsuspoliitika uuendamisel arvestatavad punktid
GDPR sätestab, et kui isikuandmeid kogutakse andmesubjektilt endalt (GDPR artikkel 13) või kui andmeid kogutakse muust allikast kui andmesubjekt (GDPR artikkel 14), peab isikuandmete vastutav töötleja andmesubjektile selgelt välja tooma mitmed punktid.
Vastutava töötleja selgitama peetavate punktide hulka kuuluvad järgmised:
- Vastutava töötleja isikusamasus, üksikasjalikud kontaktandmed
- Kui on olemas esindaja, siis esindaja isikusamasus, üksikasjalikud kontaktandmed
- Andmesubjekti õigused juurdepääsuks, parandamiseks, kustutamiseks, töötlemise piiramiseks, andmete ülekandmiseks ja vastuväidete esitamiseks
- Isikuandmete töötlemise eesmärgid, õiguslik alus
- Isikuandmete säilitamise periood või selle määramise kriteeriumid
- Töödeldavate isikuandmete liigid
On punkte, mida ei ole mainitud Jaapani privaatsuspoliitikas, seega tuleb neile uuendamisel erilist tähelepanu pöörata. Jaapani isikuandmete kaitse seadusest (Japanese Personal Information Protection Act) lähtuva privaatsuspoliitika kohta leiate lisateavet siit artiklist.
Seotud artikkel: Mis on oluline Jaapani isikuandmete kaitse seadusest lähtuva privaatsuspoliitika koostamisel?[ja]
Siin selgitame uuendamise punkte, keskendudes eelkõige aspektidele, mida ei ole kajastatud Jaapani isikuandmete kaitse seadusest lähtuvas privaatsuspoliitikas.
Andmetöötluse seaduslikkuse alused
GDPR (General Data Protection Regulation) nõuab, et oleks selgelt välja toodud “andmetöötluse seaduslikkuse alused”, mida isikuandmete kaitse seaduses varem ei nõutud. Isikuandmete töötlemise seaduslikuks muutmise alused on järgmised kuus (GDPR artikkel 6):
- Andmesubjekti nõusolek
- Lepingu täitmine
- Õiguslik kohustus
- Elu kaitsmisega seotud huvid
- Avalik huvi
- Õigustatud huvi
Kui üks neist kuuest alusest on kohaldatav, peetakse töötlemist seaduslikuks, seega tuleks see selgelt välja tuua privaatsuspoliitikas. Uute isikute puhul, kellelt teavet esmakordselt kogutakse, saab nõusoleku saada uue privaatsuspoliitika alusel.
Kuid tähelepanu tuleb pöörata juba nõusoleku andnud kasutajatele. Inimestele, kes on nõusoleku andnud enne privaatsuspoliitika muudatust, võib olla vajalik uuesti nõusolek saada.
Selles olukorras võib üheks lahenduseks olla privaatsuspoliitikasse ühe kuuest seadusliku aluse lisamine ja kasutajatelt nende muudatuste osas nõusoleku küsimine.
Kogutava teabe liigid ja kasutuseesmärgid
Traditsioonilises privaatsuspoliitikas on kombeks kogutava teabe ja selle kasutuseesmärkide, samuti kasutustingimuste kirjeldamine ühel lehel ning nende kohta ühiselt nõusoleku saamine. Siiski nõuab GDPR (General Data Protection Regulation), et kasutajad mõistaksid täpselt, millega nad nõustuvad, ning et nõusoleku objekt oleks selgelt määratletud.
On soovitatav esitada iga kogutava teabe liigi kohta eraldi kasutuseesmärk ja saada selle kohta eraldi nõusolek.
Kasutuseesmärkide selgitamine
GDPR (General Data Protection Regulation) nõuab, et teabe kogumise eesmärk oleks selgelt määratletud. Näiteks, kui eesmärk on määratletud kui “teenuse parendamine”, võib see olla liiga ebamäärane ja seetõttu peetakse seda sobimatuks.
Lisaks ei ole lubatud eesmärgiga mittekooskõlas olev täiendav töötlemine, seega tuleks seda aspekti arvesse võttes uuendada ka privaatsuspoliitikat.
Kustutamisõigus ja andmete ülekantavuse õigus
Paljud ettevõtted on oma privaatsuspoliitikas varem maininud juurdepääsuõigust ja parandamisõigust. Kuid GDPR (General Data Protection Regulation) nõuab nüüd ka “kustutamisõiguse ja andmete ülekantavuse õiguse” kirjeldamist.
Kustutamisõigus annab kasutajatele õiguse nõuda oma isikuandmete kustutamist haldaja poolt. Andmete ülekantavuse õigus võimaldab isikuandmete ülekandmist ühelt teenuselt teisele.
Näiteks võib tuua olukorra, kus mobiiltelefonioperaator A klient soovib oma lepingu ja kõneajaloo andmed üle viia mobiiltelefonioperaator B juurde. GDPR-i nõuetele vastamiseks peavad ettevõtted oma privaatsuspoliitikas neid õigusi kirjeldama.
Isikuandmete säilitamise perioodi täpsustamine
GDPR (General Data Protection Regulation) nõuab, et isikuandmete säilitamise perioodi oleks selgelt välja toodud, mis varasemates privaatsuspoliitikates tihti puudus. Kui perioodi ei ole võimalik määrata, on lubatud välja tuua kriteeriumid, mille alusel säilitamise perioodi määratakse.
Jaapani ettevõtete GDPR-i vastavuse olukord
Tutvustame teile Jaapani Infoühiskonna Edendamise Üldfondi ja Aktsiaseltsi I.T.R. “Ettevõtete IT-kasutuse suundumuste uuring 2021” (detailne versioon)[ja] uuringu tulemusi.
Uuringu tulemuste kohaselt on GDPR-iga vastavuses olevaid ettevõtteid vähe ning kõige rohkem, 26,1%, on ettevõtteid, kes on GDPR-i vastavuses olemise protsessis (kaalumisel). 2021. aasta arvestuses on ka palju ettevõtteid, kellel ei ole EL-iga isikuandmete ülekandeid.
EL-iga isikuandmete vahetuse uuringu tulemused on järgmised:
Ülaltoodud jooniselt nähtub, et kõige rohkem, 44,4% ettevõtetest vastas, et “praegu ei toimu vahetust ja ka tulevikus ei ole plaanis”. 12% ettevõtetest vastas, et “vahetus toimus varem, kuid GDPR-i rakendamise järel töödeldakse andmeid nii EL-is kui ka Jaapanis eraldi”.
“Praegu ei toimu vahetust, kuid on plaanis tulevikus” on 25,9%, “praegu toimub vahetus” on 17,6%, mis näitab, et tulevikus võib EL-iga vahetust tegevate ettevõtete arv suureneda, kuid 2021. aasta uuringu ajal oli neid siiski vähe.
Allikas: JIPDEC/ITR「Ettevõtete IT-kasutuse suundumuste uuring 2021」[ja]
Tuntud ettevõtete vastavus GDPR-ile
Paljud ettevõtted soovivad oma privaatsuspoliitikat uuendada vastavalt GDPR-ile, kuid ei pruugi teada, milliseid muudatusi täpselt teha. Selles artiklis käsitleme Google’i ja Facebooki näitel, kuidas tuntud ettevõtted on GDPR-i nõuetega kohanenud.
Google’i vastavus GDPR-ile
Google on GDPR-iga vastavusse viimiseks teatanud järgmistest sammudest:
- Kasutajatele suunatud läbipaistvuse suurendamine
- Kasutajate kontrolli parendamine
- Andmete ülekantavuse parandamine
- Vahendid lapsevanemate nõusoleku saamiseks ja lastele sobiva internetikasutuse tagamiseks
- Ärikasutajate ja partnerite toetamine
- Privaatsuse järgimise programmide tugevdamine
Siin selgitame üksikasju.
Viide: Google „Google’i ettevalmistused Euroopa uue andmekaitsemääruse (GDPR) jaoks[ja]“
Kasutajatele suurema läbipaistvuse tagamine
Google parandab ja uuendab oma privaatsuspoliitikat, et muuta Google’i poolt kogutava teabe ja selle kogumise põhjuste selgitus arusaadavamaks ning teabe leidmine lihtsamaks. Muudatuste hulka kuuluvad järgmised punktid:
- Teabe haldamise, eksportimise ja kustutamise detailide täiendamine
- Tekstile lisaks videote ja diagrammide lisamine
Lisaks on privaatsusseadete lehele lihtsamini juurdepääsu võimaldamiseks muudetud seadeid.
Kasutajahalduse täiustamine
GDPR-i (General Data Protection Regulation) nõuetele vastamiseks oleme täiustanud kasutajate haldamise viise. Tehtud muudatused on järgmised:
- Minu tegevused lehel on võimalik andmeid vaadata ja kustutada
- Lisatud on võimalus otsida teemade, kuupäevade ja toodete järgi
- Võimalik on kontrollida endale sobivaid privaatsusseadeid
- On võimalik hallata ja peita kuvatavaid reklaame
- Google’i armatuurlaua kaudu on võimalik andmeid hõlpsasti jälgida
Lisaks on GDPR-i (General Data Protection Regulation) jõustumisele eelnenud ajast alates tehtud muudatusi, et kasutajate teave ja reklaamid oleksid lihtsamini hallatavad.
Andmete portatiivsuse parandamine
Google’il on mitmeid erinevaid teenuseid nagu Google Photos, Drive, Kalender ja Gmail. Google’i poolt GDPR-i (General Data Protection Regulation) nõuetele vastavuse tagamiseks tehtavad andmete portatiivsuse parandamise meetmed on järgmised:
- Andmete allalaadimist võimaldavate teenuste ja haldusvalikute laiendamine
- Funktsiooni lisamine, mis võimaldab andmete regulaarset allalaadimist ajastada
Lapsevanemate nõusolek ja laste asjakohase internetikasutuse parendamiseks mõeldud tööriistad
Google pakub Family Link rakendust, et toetada lapsevanemaid ja lapsi interneti asjakohasel kasutamisel. Family Linki abil saavad vanemad luua oma lastele kontosid.
Rakendus võimaldab seada ja hallata koduseid reegleid, nagu “kasutusaja piirangud” ja “seadme ajutine peatamine”.
Ärikasutajate ja partnerite tugi
GDPR-i (General Data Protection Regulation) nõuetele vastamiseks oleme uuendanud Google’i partnerite (reklaamijad, veebisaidi haldajad jne) poliitikat, mis puudutab kasutajate nõusoleku küsimist veebisaitidel ja rakendustes. Muud olulised uuendused on järgmised:
- GDPR-i järgimist toetavate tööriistade pakkumine
- Google’i reklaamiteenuseid kasutavate ettevõtete sertifitseerimisprotsessi karmistamine
- Andmetöötlustingimuste ajakohastamine
- Andmete ülekantavuse ja andmeintsidentide teavitamise kohta üksikasjaliku teabe pakkumine
Privaatsusnõuetele vastavuse programmi tugevdamine
GDPR-i (General Data Protection Regulation) nõuetele vastamiseks oleme tugevdanud oma privaatsusnõuetele vastavuse programmi. Täiendused on järgmised:
- Privaatsusprogrammi parendamine
- Toote ülevaatusprotsessi tugevdamine
Lisaks dokumenteerime andmetöötlust nüüd veelgi põhjalikumalt.
Facebooki vastavus GDPR-ile
Facebook on GDPR-i nõuetele vastamiseks teatanud järgmistest meetmetest:
- Reklaamidest saadud teabe üle vaatamine
- Profiiliinfo valikud
- Näotuvastustehnoloogia üle vaatamine (EL & Kanada)
- Uuendatud teenusetingimused ja andmete kasutamise kokkulepped
- Teabele juurdepääsu, kustutamise ja allalaadimise hõlbustamine
- Teabe esitamine noorematele kasutajatele
Siin selgitame üksikasju.
Viide: Facebook “Üldise andmekaitsemääruse (GDPR) järgimine ja uute privaatsuskaitsemeetmete tutvustamine“
Reklaamidest saadud teabe üle vaatamine
Facebooki partnerid kasutavad reklaamide kuvamisel “Meeldib” nupu vajutustest ja Facebooki poolt pakutavatest tööriistadest saadud teavet. Kasutajatele pakutakse teavet reklaamide kohta ja võimalust valida, kas partnerite teavet võib reklaamide kuvamiseks kasutada.
Profiiliinfo valikud
Facebooki profiilides on avaldatud poliitilised vaated, usulised veendumused ja suhtestaatus. Kasutajad saavad valida, kas nad soovivad neid andmeid edaspidi avaldada ja kas neid võib kasutada reklaamides.
Profiiliinfo on alati vabalt valitav ja kasutajad saavad seda soovi korral kergesti kustutada.
Näotuvastustehnoloogia üle vaatamine (EL & Kanada)
Facebook võimaldab EL-i liikmesriikide ja Kanada kasutajatel valida, kas nad soovivad kasutada näotuvastustehnoloogiat. Samuti on see valik vabalt kättesaadav kõigile teistele kasutajatele.
Uuendatud teenusetingimused ja andmete kasutamise kokkulepped
Kasutajatele kuvatakse nõusolekut küsivad teated, mis sisaldavad üksikasjalikku teavet teenuse toimimise ja “Andmepoliitika” kohta.
Teabele juurdepääsu, kustutamise ja allalaadimise hõlbustamine
“Isikuandmete haldamise tööriista” kasutamine võimaldab kasutajatel oma andmeid kontrollida ja kustutada. Samuti on andmeid lihtne alla laadida ja eksportida.
Mobiilseadmete tegevuslogi on uuendatud, et kasutajad saaksid hõlpsamini kontrollida, millist teavet nad on jaganud.
Teabe esitamine noorematele kasutajatele
Facebook on juba kehtestanud teatud piirangud teismelistele kasutajatele. Need hõlmavad järgmist:
- Reklaamikategooriate piirangud
- Näotuvastuse kasutamise keeld (alla 18-aastastele)
- Teismeliste kasutajate jagatud teabe vaatamise ja otsimise piirangud
Lisaks on vaikimisi seaded sellised, et teavet ei avaldataks avalikult.
GDPR-i järgimiseks on Facebook kehtestanud eraldi eeskirjad. EL-i liikmesriikide kasutajate puhul on vaja vanemate nõusolekut reklaamide vaatamiseks ja profiili teabe (nt usulised veendumused, poliitilised vaated) avaldamiseks.
Muudes piirkondades võimaldab Facebook kasutajatel valida, kas nad soovivad partneritelt saadud andmeid reklaamide kuvamiseks kasutada ja kas nad soovivad oma profiilis isiklikku teavet avaldada.
Kokkuvõte: GDPR nõuab laiemat isikuandmete kaitset kui Jaapani seadused ja on hädavajalik
GDPR (General Data Protection Regulation) sätestab mitmeid nõudeid, nagu “andmete kogumise eesmärkide selgitamine”, “õigus andmete kustutamisele ja andmete ülekantavusele” ning “andmete säilitamise perioodide avalikustamine”, laiendades sellega kasutajate õigusi võrreldes traditsiooniliste Jaapani seadustega.
Kui ettevõte rikub GDPR-i nõudeid, võib see kaasa tuua suuri trahve. Seetõttu peavad kõik ettevõtted, kes töötlevad isikuandmeid EL-i piires, järgima GDPR-i nõudeid. Ettevõtted, kes tegutsevad või plaanivad laieneda EL-i turule, peaksid koostama GDPR-ile vastava privaatsuspoliitika.
Meie büroo poolt pakutavad meetmed
Monolith õigusbüroo on õigusteenuste pakkuja, millel on rikkalik kogemus IT valdkonnas, eriti interneti ja õiguse ristumiskohas. Viimastel aastatel on globaalne äritegevus üha laienenud ja professionaalsete õiguslike kontrollide vajadus on suurenenud. Meie büroo pakub lahendusi rahvusvahelise õiguse valdkonnas.
Monolith õigusbüroo tegevusvaldkonnad: Rahvusvaheline õigus ja välisäri[ja]