GDPR-i vastavuse checklist veebisaidi omanikele (2026): praktiline juhend ja WordPressi eripärad

GDPR (General Data Protection Regulation) on üks rangemaid ja detailsemaid isikuandmete kaitse raamistikke maailmas. Kui sinu veebisait töötleb EL-i elanike isikuandmeid (olgu sa väike blogija, e-pood või SaaS), siis on GDPR-i nõuete järgimine kohustuslik. Risk ei ole ainult mainekahju: maksimaalsed trahvid ulatuvad kuni 20 miljoni euroni või 4% ülemaailmsest aastakäibest (olenevalt, kumb on suurem).

Allpool on terviklik, “päriselt tööks” mõeldud GDPR-i vastavuse checklist koos viidetega konkreetsetele artiklitele (Article 6, 7, 12–22, 25, 27–30, 33–35, 37, 45 jne). See on kirja pandud veebisaidi omaniku ja arendaja vaatenurgast: mida pead dokumenteerima, millised kasutajaõigused pead ära katma, mida tähendab nõusolek praktikas ning milliseid samme tasub kohe tehniliselt rakendada.

Mis on GDPR?

GDPR (General Data Protection Regulation) on Euroopa Liidu isikuandmete kaitse määrus, mida rakendatakse alates 25. maist 2018. See määrab selged reeglid selle kohta, kuidas organisatsioonid isikuandmeid koguvad, kasutavad, säilitavad ja jagavad.

Oluline nüanss: GDPR ei kehti ainult EL-is asuvatele ettevõtetele. Kui sa töötled EL-i elanike isikuandmeid, siis määrus rakendub ka siis, kui sinu ettevõte tegutseb väljaspool EL-i.

Enne checklist’i: kas oled Data Controller või Data Processor?

GDPR-is sõltuvad kohustused tugevalt sellest, mis rollis sa andmetega tegutsed. Praktikas võib sama ettevõte olla korraga mõlemas rollis (nt oma veebipoe puhul controller, kliendi kampaanialehe hostimisel processor).

Kolm võtmerolli GDPR-i mõistes

• Data Controller: organisatsioon, kes otsustab miks ja kuidas isikuandmeid töödeldakse. Põhivastutus vastavuse eest on controller’i käes.
• Data Processor: kolmas osapool, kes töötleb isikuandmeid controller’i nimel (nt pilveteenus, e-posti turundusplatvorm, hostingu- või CRM-i pakkuja). Processor peab samuti rakendama tehnilisi ja korralduslikke kaitsemeetmeid.
• Data Subject: inimene, kelle isikuandmeid töödeldakse. GDPR on loodud eelkõige tema õiguste kaitseks.

GDPR-i 7 põhimõtet, millele kõik taandub

Enne kui lähed kontrollnimekirja kallale, tasub need põhimõtted pähe panna — need määravad, kas su protsessid on sisuliselt korrektsed, mitte ainult “paberil ilusad”.

1. Lawfulness, fairness, and transparency: töötle isikuandmeid seaduslikult ning selgita inimestele arusaadavalt, kuidas ja milleks sa nende andmeid kasutad.
2. Purpose limitation: kogu andmeid ainult kindlaks ja legitiimseks eesmärgiks.
3. Data minimization: kogu ainult minimaalne vajalik kogus andmeid.
4. Accuracy: hoia isikuandmed õiged ja ajakohased.
5. Storage limitation: ära hoia andmeid kauem kui vaja.
6. Integrity and confidentiality: kaitse andmeid volitamata ligipääsu eest sobivate turvameetmetega.
7. Accountability: suuda oma vastavust ka tõendada (logid, protsessid, lepingud, otsused, dokumentatsioon).

Täielik GDPR Compliance Checklist (koos viidetega artiklitele)

Allolevad punktid on kirjas samas stiilis, nagu neid hiljem auditiks või sisemiseks kontrolliks kasutada: mida peab olemas olema, kellele kehtib (controller/processor) ja millisele GDPR artiklile see toetub.

1) Data (andmete kaardistus ja dokumentatsioon)

Sul on nimekiri kõikidest isikuandmete tüüpidest, allikatest, jagamisest, kasutusest ja säilitustähtajast

Kehtib: Data Controller, Data Processor

See ei ole “andmekategooriad üldiselt”, vaid päris detailne loetelu sellest, milliseid välju/atribuute sa hoiad (nt nimi, isikukood, aadress). Iga tüübi juures peab olema dokumenteeritud: kust see info tuleb, kellega seda jagad, mis eesmärgil seda kasutad ja kui kaua seda säilitad.

Reference: GDPR Article 30 – Records of processing activities

Sul on nimekiri kohtadest, kus isikuandmeid hoiad, ja kirjeldus, kuidas andmed nende vahel liiguvad

Kehtib: Data Controller, Data Processor

See tähendab nii online kui offline asukohti: andmebaasid (nt MySQL), failisüsteemid, kolmandate osapoolte teenused, aga ka paberil arhiivid. Lisaks kirjeldus, kuidas andmed liiguvad (andmevood) — näiteks vorm → WordPress → CRM → e-maili tööriist.

Reference: GDPR Article 30 – Records of processing activities

Sul on avalikult kättesaadav privaatsuspoliitika, mis kirjeldab kõik isikuandmete protsessid

Kehtib: Data Controller, Data Processor

Privaatsuspoliitika peab katma kogu isikuandmete käsitlemise: milliseid andmeid hoiad, kus hoiad (või vähemalt linke/dokumente, mis selle selgeks teevad), ja millised töötlusprotsessid sul on.

Reference: GDPR Article 30 – Records of processing activities

Privaatsuspoliitikas on selgelt kirjas seaduslik alus (lawful basis), miks sa isikuandmeid töötled

Kehtib: Data Controller

Iga olulisema töötluse puhul peab olema põhjendus, miks see on lubatud — näiteks lepingu täitmine (fulfillment of a contract).

Reference: GDPR Article 6 – Lawfulness of processing

2) Accountability & Management (vastutus, juhtimine, lepingud, turve)

Oled määranud Data Protection Officer’i (DPO), kui see on nõutud

Kehtib: Data Controller, Data Processor

DPO (andmekaitseametnik) ei ole alati kohustuslik. Nõue tekib kolmel juhul:

1. Töötlemist teeb avalik asutus või organ (v.a kohtud oma õigusemõistmise funktsioonis).
2. Ettevõtte põhitegevus on selline isikuandmete töötlemine, mis oma olemuse, ulatuse ja/või eesmärgi tõttu nõuab regulaarset ja süstemaatilist andmesubjektide jälgimist suures mahus.
3. Ettevõtte põhitegevus on eriliiki isikuandmete (sensitive data) töötlemine suures mahus Article 9 mõttes või kriminaalkaristuste/süütegudega seotud andmete töötlemine Article 10 mõttes.

Kui DPO on nõutud, peab tal olema GDPR-i juhiste tundmine ning arusaam ettevõtte sisemistest protsessidest, mis isikuandmeid hõlmavad.

Reference: GDPR Article 37 – Designation of the data protection officer

Otsustajad ja võtmeisikud on GDPR-i nõuetest teadlikud

Kehtib: Data Controller, Data Processor

Praktikas tähendab see, et “GDPR elab” ka tooteotsustes ja arenduse backlog’is, mitte ainult juristi failis. Olulised inimesed peavad hoidma oma teadmised ajakohased andmekaitse nõuete osas.

Reference: GDPR Article 25 – Data protection by design and by default

Tehniline turve on ajakohane

Kehtib: Data Controller, Data Processor

Eriti SaaS-i puhul on mõistlik võtta aluseks turva-checklist’id, et kinnitada: vajalikud tehnilised meetmed on olemas ja pidevalt hooldatud.

Reference: GDPR Article 25 – Data protection by design and by default

Töötajad on koolitatud andmekaitse riskidest aru saama

Kehtib: Data Processor

Suur osa turvaintsidente algab sotsiaalse manipulatsiooniga või eksimusega inimese poolt, kellel on ligipääs sisemistele süsteemidele. Koolitus peab katma need riskid ja praktilised käitumisreeglid.

Reference: GDPR Article 25 – Data protection by design and by default

Sul on nimekiri sub-processor’itest ja privaatsuspoliitikas on nende kasutamine välja toodud

Kehtib: Data Processor

Kui kasutad sub-processor’it (alltöötlejat), peavad kliendid sellest teadma. Nõusolek tekib privaatsuspoliitika aktsepteerimise kaudu (vastavalt sinu teenuse mudelile).

Reference: GDPR Article 28 – Processor

Kui tegutsed väljaspool EL-i, oled määranud EL-is esindaja

Kehtib: Data Controller, Data Processor

Kui ettevõte on väljaspool EL-i, kuid kogub/töötleb EL-i kodanike andmeid, tuleb määrata esindaja ühes liikmesriigis. See isik tegeleb töötlusega seotud küsimustega ning järelevalveasutusel peab olema võimalus temaga kontakti saada.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

Isikuandmetega seotud andmelekked raporteerid järelevalveasutusele ja andmesubjektidele

Kehtib: Data Controller, Data Processor

Isikuandmete rikkumine tuleb raporteerida 72 tunni jooksul kohalikule järelevalveasutusele. Teavituses peaks olema: millised andmed lekkisid, millised tagajärjed võivad olla ja milliseid vastumeetmeid oled rakendanud. Kui lekkis krüpteerimata info, tuleb rikkumisest teavitada ka inimest (andmesubjekti), kelle andmed kaotasid.

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority

Reference: GDPR Article 34 – Communication of a personal data breach to the data subject

Sul on lepingud kõigi processor’itega, kellega andmeid jagad

Kehtib: Data Controller

Iga processor’iga peab olema leping, kus on selged juhised andmete säilitamiseks/töötlemiseks. Lepingus peavad olema kirjas: töötluse ese ja kestus, töötluse laad ja eesmärk, isikuandmete tüüp, andmesubjektide kategooriad ning controller’i kohustused ja õigused.

Näide: leping hostingu pakkujaga. Sama loogika rakendub ka siis, kui processor kasutab omakorda sub-processor’it, et controller’i nimel töötlemist teostada.

Reference: GDPR Article 28 – Processor

Reference: GDPR Article 29 – Processing under the authority of the controller or processor

3) New Rights (praktilised protsessid kasutajaõiguste teenindamiseks)

Kasutaja saab lihtsalt küsida ligipääsu oma isikuandmetele

Kehtib: Data Controller, Data Processor

Sul peab olema selge protsess, kuidas ligipääsutaotlusi menetled (kes vastutab, kus andmed on, kuidas identiteeti kontrollid, mis ajaraamis reageerid).

Reference: GDPR Article 15 – Right of access by the data subject

Kasutaja saab lihtsalt oma isikuandmeid parandada, et need oleksid täpsed

Kehtib: Data Controller, Data Processor

Peab olemas olema mehhanism ebatäpse info parandamiseks (nt konto seaded, tugi/ticket, admini protseduur).

Reference: GDPR Article 16 – Right to rectification

Andmed kustutatakse automaatselt, kui neid enam vaja pole

Kehtib: Data Controller, Data Processor

Hea praktika on kustutamine automatiseerida. Näiteks: kustuta automaatselt andmed nende klientide kohta, kelle lepingut ei uuendatud.

Reference: GDPR Article 5 – Principles relating to processing of personal data

Kasutaja saab lihtsalt taotleda oma isikuandmete kustutamist

Kehtib: Data Controller, Data Processor

See on klassikaline “right to be forgotten” — pead suutma menetleda kustutamistaotlusi kindla protsessi järgi.

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

Kasutaja saab lihtsalt taotleda, et sa lõpetaksid tema andmete töötlemise

Kehtib: Data Controller, Data Processor

Kasutajal on õigus piirata, kuidas tema andmeid töödeldakse. See peab olema sinu protsessides ja süsteemides reaalselt teostatav.

Reference: GDPR Article 18 – Right to restriction of processing

Kasutaja saab lihtsalt taotleda oma andmete edastamist endale või kolmandale osapoolele

Kehtib: Data Controller, Data Processor

Andmete ülekantavus (data portability) tähendab, et suudad väljastada andmed struktureeritud, laialt kasutatavas ja masinloetavas formaadis.

Reference: GDPR Article 20 – Right to data portability

Kasutaja saab lihtsalt vaidlustada profiilianalüüsi või automatiseeritud otsustamise

Kehtib: Data Controller

Kehtib juhul, kui teed profiling’ut või muud automatiseeritud otsustamist, mis võib inimest mõjutada.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

4) Consent (nõusolek: mitte formaalsus, vaid kontrollitav mehhanism)

Kui töötlemine põhineb nõusolekul, peab see olema vabatahtlik, konkreetne, teadlik ja tagasivõetav

Kehtib: Data Controller

Kui kogud veebis isikuandmeid, peab kasutajal olema nähtav link privaatsuspoliitikale ning ta peab kinnitama tingimuste aktsepteerimise. Nõusolek eeldab aktiivset tegevust — eel-märgitud (pre-ticked) checkbox’id ei ole lubatud.

Reference: GDPR Article 7 – Conditions for consent

Privaatsuspoliitika on kirjutatud selgelt ja arusaadavalt

Kehtib: Data Controller

Tekst peab olema lihtsas keeles ega tohi varjata oma eesmärki. Kui teenust pakutakse lastele, peab poliitika olema piisavalt lihtne, et laps sellest aru saaks.

Reference: GDPR Article 7.2 – Conditions for consent

Nõusoleku tagasivõtmine on sama lihtne kui selle andmine

Kehtib: Data Controller

Kui nõusolekut saab anda ühe klikiga, siis ei tohi tagasivõtmine nõuda mitut lehte, pikki vorme või toe kaudu “palumist”.

Reference: GDPR Article 7.3 – Conditions for consent

Kui töötled laste andmeid, kontrollid vanust ja küsid seadusliku esindaja nõusolekut

Kehtib: Data Controller

Alla 16-aastaste puhul pead veenduma, et nõusoleku annab seaduslik hooldaja. Kui nõusolek antakse veebisaidi kaudu, peaksid mõistlikul viisil üritama kontrollida, et heakskiidu andis päriselt hooldaja, mitte laps.

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

Kui uuendad privaatsuspoliitikat, teavitad olemasolevaid kliente

Kehtib: Data Controller

Näiteks e-kirjaga, mis selgitab lihtsas keeles, mis muutus ja millal. Oluline on, et muudatus ei “juhtuks vaikselt”.

Reference: GDPR Article 7 – Conditions for consent

5) Follow-up (regulaarne ülevaatus, mitte ühekordne projekt)

Vaatad regulaarselt üle poliitikad, nende toimivuse ning muudatused andmetöötluses ja riikides, kuhu andmed liiguvad

Kehtib: Data Controller

Praktikas tähendab see perioodilist kontrolli: kas kogud ikka samu andmeid, kas retention-ajad kehtivad, kas kasutad uusi teenusepakkujaid, kas mõni andmevoog liigub teise riiki jne.

Reference: GDPR Article 25 – Data protection by design and by default

6) Special Cases (kõrge risk ja piiriülene andmeedastus)

Sa tead, millal pead tegema DPIA (Data Protection Impact Assessment) kõrge riskiga töötluse korral

Kehtib: Data Controller

See puudutab eelkõige olukordi, kus tehakse suures mahus töötlust, profiling’ut või muud tegevust, mis tekitab kõrge riski inimeste õigustele ja vabadustele. Nendel juhtudel tuleb teha DPIA.

Reference: GDPR Article 35 – Data protection impact assessment

Andmeid edastad väljapoole EL-i ainult sobiva kaitsetasemega riikidesse ja avalikustad need andmevood privaatsuspoliitikas

Kehtib: Data Controller, Data Processor

Kui edastad andmeid kolmandatesse riikidesse, peab kaitsetase olema piisav. Kui sihtriik ei ole “adequate”, kasuta Standard Contractual Clauses (SCCs) või Binding Corporate Rules (BCRs). Need piiriülesed andmevood peavad olema ka privaatsuspoliitikas kirjas.

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Andmesubjekti õigused (User Rights / Data Subject Rights) — mida pead suutma teenindada

Allolevad õigused kehtivad kõigile Data Subject’idele (inimestele), kelle andmeid töödeldakse. Oluline on, et need ei ole “teoreetilised”: sul peab olema protsess ja võimekus neid reaalselt täita.

Õigus läbipaistvale infole (Right to transparent information)

Controller peab võtma sobivad meetmed, et anda töötlusega seotud infot lühidalt, läbipaistvalt, arusaadavalt ja kergesti kättesaadaval kujul, selges ja lihtsas keeles — eriti siis, kui info on suunatud lapsele. Info võib olla kirjalik või muul viisil, sh elektrooniliselt.

Reference: GDPR Article 12

Õigus saada konkreetset infot, kui andmeid kogutakse otse inimeselt

See info hõlmab:

1. Controller’i identiteet ja kontaktandmed
2. Andmekaitseametniku (DPO) kontaktandmed (kui asjakohane)
3. Töötluse eesmärgid ja õiguslik alus
4. Controller’i õigustatud huvid (kui asjakohane)
5. Isikuandmete saajad või saajate kategooriad
6. Info andmete edastamise kohta kolmandatesse riikidesse

Reference: GDPR Article 13

Õigus saada konkreetset infot, kui andmeid ei koguta otse inimeselt

Kui andmed saadakse muudest allikatest (mitte andmesubjektilt), tuleb anda sarnane info, sh milliste isikuandmete kategooriatega on tegu ja mis on andmete allikas.

Reference: GDPR Article 14

Õigus juurdepääsule (Right of access)

Sul on õigus saada kinnitust, kas su isikuandmeid töödeldakse, ning ligipääsu muu hulgas järgmisele:

• töötluse eesmärgid
• asjaomaste isikuandmete kategooriad
• saajad, kellele andmeid on avaldatud või avaldatakse
• kavandatav säilitustähtaeg
• õiguste olemasolu: parandamine, kustutamine, piiramine, vastuväide
• õigus esitada kaebus järelevalveasutusele
• info andmete allika kohta (kui andmeid ei kogutud otse inimeselt)
• automatiseeritud otsustamise olemasolu, sh profiling

Reference: GDPR Article 15

Õigus parandamisele (Right to rectification)

Sul on õigus lasta ebatäpsed isikuandmed põhjendamatu viivituseta parandada ning mittetäielikud andmed täiendada.

Reference: GDPR Article 16

Õigus kustutamisele (Right to erasure / “right to be forgotten”)

Sul on õigus lasta oma isikuandmed kustutada, kui:

1. andmeid ei ole enam vaja algsel eesmärgil
2. sa võtad nõusoleku tagasi ja muud õiguslikku alust töötlemiseks ei ole
3. sa esitad vastuväite töötlemisele ja puuduvad ülekaalukad õigustatud alused
4. andmeid on töödeldud ebaseaduslikult
5. andmed tuleb kustutada juriidilise kohustuse täitmiseks
6. andmed koguti seoses infoühiskonna teenustega, mida pakuti lapsele

Reference: GDPR Article 17

Õigus töötlemise piiramisele (Right to restriction of processing)

Sul on õigus nõuda töötlemise piiramist, kui:

1. sa vaidlustad andmete õigsuse (ajaks, mis võimaldab õigsust kontrollida)
2. töötlemine on ebaseaduslik ja sa oled kustutamise vastu
3. controller ei vaja andmeid enam, aga sina vajad neid õigusnõuete koostamiseks, esitamiseks või kaitsmiseks
4. sa oled esitanud vastuväite töötlemisele, kuni kontrollitakse, kas controller’i õigustatud alused kaaluvad sinu omad üles

Reference: GDPR Article 18

Õigus saada teavitust parandamise, kustutamise või piiramise kohta (Right to be notified)

Controller peab teavitama igat saajat, kellele andmeid avaldati, kui toimub parandamine, kustutamine või töötlemise piiramine — v.a kui see osutub võimatuks või nõuab ebaproportsionaalset pingutust.

Reference: GDPR Article 19

Õigus andmete ülekantavusele (Right to data portability)

Sul on õigus saada oma isikuandmed struktureeritud, laialt kasutatavas ja masinloetavas formaadis ning õigus edastada need andmed teisele controller’ile ilma takistuseta.

Reference: GDPR Article 20

Õigus esitada vastuväiteid (Right to object)

Sul on õigus oma konkreetse olukorraga seotud põhjustel igal ajal vaidlustada isikuandmete töötlemine, kui see põhineb õigustatud huvil või avalikul huvil — sh profiling.

Reference: GDPR Article 21

Õigus mitte olla ainult automatiseeritud otsuse subjekt (Right not to be subject to automated decision-making)

Sul on õigus mitte alluda otsusele, mis põhineb üksnes automatiseeritud töötlemisel (sh profiling), kui see tekitab õiguslikke tagajärgi või mõjutab sind muul sarnaselt olulisel viisil.

Reference: GDPR Article 22

Praktilised rakendussammud veebisaidil (tehnika + protsess)

Kui eelnev osa oli pigem “mida peab suutma tõendada”, siis siin on tegevused, mida saad veebisaidi ja tööprotsesside tasemel üsna otse ellu viia.

1) Turva oma veebisait (Secure Your Website)

• Paigalda SSL-sert (HTTPS), et krüpteerida andmed brauseri ja serveri vahel
• Kasuta tugevaid paroole kõigi admin-kontode jaoks
• Lisa lisakaitse makseinfo käsitlemiseks
• Kasuta CDN-i (Content Delivery Network), mis kaitseb DDoS-rünnete eest
• Võta kasutusele anti-viirus / pahavarakaitse, et vältida volitamata ligipääsu
• Minimeeri andmekogumist — kogu ainult vajalik
• Pseudonümiseeri või anonümiseeri isikuandmed enne salvestamist, kui võimalik
• Tee varukoopiaid mitmesse turvalisse asukohta
• Kustuta andmed, kui neid enam vaja ei ole

2) Lisa küpsiste nõusolekubänner (Cookie Consent Banner)

Kui kasutad mitte-hädavajalikke küpsiseid (non-essential cookies), vajad enne nende aktiveerimist selgesõnalist nõusolekut.

Küpsisebänner peab:

• Blokeerima küpsised kuni nõusolekuni: lae ainult hädavajalikud küpsised, kuni kasutaja teeb valiku
• Kasutama lihtsat ja selget keelt: mis küpsiseid kasutad ja miks
• Näitama võrdseid Accept/Reject nuppe: ära peida keeldumise võimalust
• Pakkuma granulaarsust: kasutaja saab valida küpsiste kategooriad
• Lubama nõusolekut tagasi võtta: hilisem eelistuste muutmine peab olema lihtne
• Salvestama nõusoleku: hoia alles valik + ajatempli info, et vastavust tõendada

3) Vaata üle kõik vormid (Review Website Forms)

Iga vorm, mis kogub isikuandmeid, peab olema GDPR-i vaates korras:

• Lisa privacy statement: miks sul neid andmeid vaja on
• Lisa märketa (unticked) checkbox nõusoleku jaoks
• Turunduskommunikatsiooniks lisa eraldi opt-in (mitte sama checkbox)
• Lisa link Privacy Policy lehele
• Kasuta selget ja lihtsat keelt

4) Küsi nõusolek turundusmeilideks (Get Consent for Marketing Emails)

• Kasuta ainult selget opt-in’i: turundusmeilide nõusolek eraldi, märkimata checkbox’iga
• Rakenda double opt-in: tellimus kinnitatakse e-kirja kaudu
• Hoia nõusoleku tõendid: logi kuupäev, kellaaeg, meetod ja eesmärk
• Lisa igasse e-kirja nähtav unsubscribe link: ideaalis one-click
• Töötle unsubscribes kiiresti: eelistatult 24 tunni jooksul

5) Valmista ette andmelekked (Prepare for Data Breaches)

• Teavita järelevalveasutust 72 tunni jooksul
• Teavita mõjutatud kasutajaid, kui nende õigustele on suur risk
• Dokumenteeri kõik (accountability)
• Uuenda poliitikaid ja meetmeid, et vähendada kordumise riski

WordPressi eripärad: mida veebihaldur ja arendaja peaks kontrollima

WordPressi puhul tekivad GDPR-riskid tihti pluginatest ja “vaikimisi” integratsioonidest. See ei tähenda, et WordPress oleks halb; pigem tähendab see, et sul on palju liikkuvaid osi.

• Hoia WordPress core, teemad ja pluginad ajakohased
• Kasuta GDPR-iga sobivaid kontaktivormi pluginaid (sh nõusoleku checkbox’id)
• Paigalda korralik cookie consent lahendus
• Kasuta GDPR-iga sobivat analüütikat
• Vaata üle, mida pluginad koguvad ja kuhu saadavad (andmevood, kolmandad riigid, sub-processor’id)
• Rakenda kasutajaandmete export/delete funktsionaalsus (et teenindada ligipääsu ja kustutamise taotlusi)

Trahvid ja muud meetmed (GDPR Penalties)

GDPR-is eristatakse kahte trahvitaset:

• Madalam tase: kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest
• Kõrgem tase: kuni 20 miljonit eurot või 4% ülemaailmsest aastakäibest

Lisaks rahalistele trahvidele võivad asutused:

• teha hoiatusi
• keelata andmetöötluse ajutiselt või püsivalt
• kohustada andmeid kustutama
• piirata andmeedastust (nt kolmandatesse riikidesse)

KKK (Frequently Asked Questions)

Mis on GDPR compliance checklist?

GDPR compliance checklist on tegevuste nimekiri, mida pead tegema, et vastata GDPR-i nõuetele. See aitab leida lüngad andmekaitse praktikates ja planeerida parandusi.

Kes vastutab GDPR-i täitmise eest?

Peamine vastutus on data controller’il (tavaliselt veebisaidi/äri omanik). Ka data processor’il on iseseisvad kohustused vastavuse osas.

Kas GDPR kehtib USA ettevõtetele?

Jah, kui töötled EL-i elanike isikuandmeid — sõltumata sellest, kus ettevõte asub.

Mis on maksimaalne karistus nõuete rikkumise eest?

Kuni 20 miljonit eurot või 4% ülemaailmsest aastakäibest, olenevalt kumb on suurem.

Kas mul on vaja cookie banner’it?

Jah, kui sinu veebisait kasutab mitte-hädavajalikke küpsiseid ja sul on EL-i külastajaid.

Kas mul on vaja Data Protection Officer’it (DPO)?

Ainult siis, kui (1) oled avalik asutus, (2) põhitegevus nõuab suures mahus süstemaatilist inimeste jälgimist või (3) töötled suures mahus tundlikke isikuandmeid.