{"id":147,"date":"2026-01-20T00:00:00","date_gmt":"2026-01-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/et\/gdpr-vastavuse-checklist-veebisaidi-omanikele\/"},"modified":"2026-01-20T00:00:00","modified_gmt":"2026-01-19T23:00:00","slug":"gdpr-vastavuse-checklist-veebisaidi-omanikele","status":"publish","type":"post","link":"https:\/\/helloblog.io\/et\/gdpr-vastavuse-checklist-veebisaidi-omanikele\/","title":{"rendered":"GDPR-i vastavuse checklist veebisaidi omanikele (2026): praktiline juhend ja WordPressi erip\u00e4rad"},"content":{"rendered":"\n

GDPR (General Data Protection Regulation) on \u00fcks rangemaid ja detailsemaid isikuandmete kaitse raamistikke maailmas. Kui sinu veebisait t\u00f6\u00f6tleb EL-i elanike isikuandmeid (olgu sa v\u00e4ike blogija, e-pood v\u00f5i SaaS), siis on GDPR-i n\u00f5uete j\u00e4rgimine kohustuslik. Risk ei ole ainult mainekahju: maksimaalsed trahvid ulatuvad kuni 20 miljoni euroni v\u00f5i 4% \u00fclemaailmsest aastak\u00e4ibest<\/strong> (olenevalt, kumb on suurem).<\/p>\n\n\n\n

Allpool on terviklik, \u201cp\u00e4riselt t\u00f6\u00f6ks\u201d m\u00f5eldud GDPR-i vastavuse checklist koos viidetega konkreetsetele artiklitele (Article 6, 7, 12\u201322, 25, 27\u201330, 33\u201335, 37, 45 jne). See on kirja pandud veebisaidi omaniku ja arendaja vaatenurgast: mida pead dokumenteerima, millised kasutaja\u00f5igused pead \u00e4ra katma, mida t\u00e4hendab n\u00f5usolek praktikas ning milliseid samme tasub kohe tehniliselt rakendada.<\/p>\n\n\n\n

Mis on GDPR?<\/h2>\n\n\n\n

GDPR (General Data Protection Regulation)<\/strong> on Euroopa Liidu isikuandmete kaitse m\u00e4\u00e4rus, mida rakendatakse alates 25. maist 2018<\/strong>. See m\u00e4\u00e4rab selged reeglid selle kohta, kuidas organisatsioonid isikuandmeid koguvad, kasutavad, s\u00e4ilitavad ja jagavad.<\/p>\n\n\n\n

Oluline n\u00fcanss: GDPR ei kehti ainult EL-is asuvatele ettev\u00f5tetele. Kui sa t\u00f6\u00f6tled EL-i elanike isikuandmeid, siis m\u00e4\u00e4rus rakendub ka siis, kui sinu ettev\u00f5te tegutseb v\u00e4ljaspool EL-i.<\/p>\n\n\n\n

Enne checklist\u2019i: kas oled Data Controller v\u00f5i Data Processor?<\/h2>\n\n\n\n

GDPR-is s\u00f5ltuvad kohustused tugevalt sellest, mis rollis sa andmetega tegutsed. Praktikas v\u00f5ib sama ettev\u00f5te olla korraga m\u00f5lemas rollis (nt oma veebipoe puhul controller, kliendi kampaanialehe hostimisel processor).<\/p>\n\n\n\n

Kolm v\u00f5tmerolli GDPR-i m\u00f5istes<\/h3>\n\n\n\n
    \n\n
  • Data Controller<\/strong>: organisatsioon, kes otsustab miks<\/em> ja kuidas<\/em> isikuandmeid t\u00f6\u00f6deldakse. P\u00f5hivastutus vastavuse eest on controller\u2019i k\u00e4es.<\/li>\n\n\n
  • Data Processor<\/strong>: kolmas osapool, kes t\u00f6\u00f6tleb isikuandmeid controller\u2019i nimel (nt pilveteenus, e-posti turundusplatvorm, hostingu- v\u00f5i CRM-i pakkuja). Processor peab samuti rakendama tehnilisi ja korralduslikke kaitsemeetmeid.<\/li>\n\n\n
  • Data Subject<\/strong>: inimene, kelle isikuandmeid t\u00f6\u00f6deldakse. GDPR on loodud eelk\u00f5ige tema \u00f5iguste kaitseks.<\/li>\n\n<\/ul>\n\n\n\n

    GDPR-i 7 p\u00f5him\u00f5tet, millele k\u00f5ik taandub<\/h2>\n\n\n\n

    Enne kui l\u00e4hed kontrollnimekirja kallale, tasub need p\u00f5him\u00f5tted p\u00e4he panna \u2014 need m\u00e4\u00e4ravad, kas su protsessid on sisuliselt korrektsed, mitte ainult \u201cpaberil ilusad\u201d.<\/p>\n\n\n\n

      \n\n
    1. Lawfulness, fairness, and transparency<\/strong>: t\u00f6\u00f6tle isikuandmeid seaduslikult ning selgita inimestele arusaadavalt, kuidas ja milleks sa nende andmeid kasutad.<\/li>\n\n\n
    2. Purpose limitation<\/strong>: kogu andmeid ainult kindlaks ja legitiimseks eesm\u00e4rgiks.<\/li>\n\n\n
    3. Data minimization<\/strong>: kogu ainult minimaalne vajalik kogus andmeid.<\/li>\n\n\n
    4. Accuracy<\/strong>: hoia isikuandmed \u00f5iged ja ajakohased.<\/li>\n\n\n
    5. Storage limitation<\/strong>: \u00e4ra hoia andmeid kauem kui vaja.<\/li>\n\n\n
    6. Integrity and confidentiality<\/strong>: kaitse andmeid volitamata ligip\u00e4\u00e4su eest sobivate turvameetmetega.<\/li>\n\n\n
    7. Accountability<\/strong>: suuda oma vastavust ka t\u00f5endada (logid, protsessid, lepingud, otsused, dokumentatsioon).<\/li>\n\n<\/ol>\n\n\n\n

      T\u00e4ielik GDPR Compliance Checklist (koos viidetega artiklitele)<\/h2>\n\n\n\n

      Allolevad punktid on kirjas samas stiilis, nagu neid hiljem auditiks v\u00f5i sisemiseks kontrolliks kasutada: mida peab olemas olema, kellele kehtib (controller\/processor) ja millisele GDPR artiklile see toetub.<\/p>\n\n\n\n

      1) Data (andmete kaardistus ja dokumentatsioon)<\/h3>\n\n\n\n

      Sul on nimekiri k\u00f5ikidest isikuandmete t\u00fc\u00fcpidest, allikatest, jagamisest, kasutusest ja s\u00e4ilitust\u00e4htajast<\/h4>\n\n\n\n

      Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      See ei ole \u201candmekategooriad \u00fcldiselt\u201d, vaid p\u00e4ris detailne loetelu sellest, milliseid v\u00e4lju\/atribuute sa hoiad (nt nimi, isikukood, aadress). Iga t\u00fc\u00fcbi juures peab olema dokumenteeritud: kust see info tuleb, kellega seda jagad, mis eesm\u00e4rgil seda kasutad ja kui kaua seda s\u00e4ilitad.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

      Sul on nimekiri kohtadest, kus isikuandmeid hoiad, ja kirjeldus, kuidas andmed nende vahel liiguvad<\/h4>\n\n\n\n

      Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      See t\u00e4hendab nii online kui offline asukohti: andmebaasid (nt MySQL), failis\u00fcsteemid, kolmandate osapoolte teenused, aga ka paberil arhiivid. Lisaks kirjeldus, kuidas andmed liiguvad (andmevood) \u2014 n\u00e4iteks vorm \u2192 WordPress \u2192 CRM \u2192 e-maili t\u00f6\u00f6riist.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

      Sul on avalikult k\u00e4ttesaadav privaatsuspoliitika, mis kirjeldab k\u00f5ik isikuandmete protsessid<\/h4>\n\n\n\n

      Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Privaatsuspoliitika peab katma kogu isikuandmete k\u00e4sitlemise: milliseid andmeid hoiad, kus hoiad (v\u00f5i v\u00e4hemalt linke\/dokumente, mis selle selgeks teevad), ja millised t\u00f6\u00f6tlusprotsessid sul on.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

      Privaatsuspoliitikas on selgelt kirjas seaduslik alus (lawful basis), miks sa isikuandmeid t\u00f6\u00f6tled<\/h4>\n\n\n\n

      Kehtib: Data Controller<\/em><\/p>\n\n\n\n

      Iga olulisema t\u00f6\u00f6tluse puhul peab olema p\u00f5hjendus, miks see on lubatud \u2014 n\u00e4iteks lepingu t\u00e4itmine (fulfillment of a contract).<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n\n\n

      2) Accountability & Management (vastutus, juhtimine, lepingud, turve)<\/h3>\n\n\n\n

      Oled m\u00e4\u00e4ranud Data Protection Officer\u2019i (DPO), kui see on n\u00f5utud<\/h4>\n\n\n\n

      Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      DPO (andmekaitseametnik) ei ole alati kohustuslik. N\u00f5ue tekib kolmel juhul:<\/p>\n\n\n\n

        \n\n
      1. T\u00f6\u00f6tlemist teeb avalik asutus v\u00f5i organ (v.a kohtud oma \u00f5igusem\u00f5istmise funktsioonis).<\/li>\n\n\n
      2. Ettev\u00f5tte p\u00f5hitegevus on selline isikuandmete t\u00f6\u00f6tlemine, mis oma olemuse, ulatuse ja\/v\u00f5i eesm\u00e4rgi t\u00f5ttu n\u00f5uab regulaarset ja s\u00fcstemaatilist<\/strong> andmesubjektide j\u00e4lgimist suures mahus<\/strong>.<\/li>\n\n\n
      3. Ettev\u00f5tte p\u00f5hitegevus on eriliiki isikuandmete<\/strong> (sensitive data) t\u00f6\u00f6tlemine suures mahus Article 9 m\u00f5ttes v\u00f5i kriminaalkaristuste\/s\u00fc\u00fctegudega seotud andmete t\u00f6\u00f6tlemine Article 10 m\u00f5ttes.<\/li>\n\n<\/ol>\n\n\n\n

        Kui DPO on n\u00f5utud, peab tal olema GDPR-i juhiste tundmine ning arusaam ettev\u00f5tte sisemistest protsessidest, mis isikuandmeid h\u00f5lmavad.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n\n\n

        Otsustajad ja v\u00f5tmeisikud on GDPR-i n\u00f5uetest teadlikud<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Praktikas t\u00e4hendab see, et \u201cGDPR elab\u201d ka tooteotsustes ja arenduse backlog\u2019is, mitte ainult juristi failis. Olulised inimesed peavad hoidma oma teadmised ajakohased andmekaitse n\u00f5uete osas.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

        Tehniline turve on ajakohane<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Eriti SaaS-i puhul on m\u00f5istlik v\u00f5tta aluseks turva-checklist\u2019id, et kinnitada: vajalikud tehnilised meetmed on olemas ja pidevalt hooldatud.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

        T\u00f6\u00f6tajad on koolitatud andmekaitse riskidest aru saama<\/h4>\n\n\n\n

        Kehtib: Data Processor<\/em><\/p>\n\n\n\n

        Suur osa turvaintsidente algab sotsiaalse manipulatsiooniga v\u00f5i eksimusega inimese poolt, kellel on ligip\u00e4\u00e4s sisemistele s\u00fcsteemidele. Koolitus peab katma need riskid ja praktilised k\u00e4itumisreeglid.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

        Sul on nimekiri sub-processor\u2019itest ja privaatsuspoliitikas on nende kasutamine v\u00e4lja toodud<\/h4>\n\n\n\n

        Kehtib: Data Processor<\/em><\/p>\n\n\n\n

        Kui kasutad sub-processor\u2019it (allt\u00f6\u00f6tlejat), peavad kliendid sellest teadma. N\u00f5usolek tekib privaatsuspoliitika aktsepteerimise kaudu (vastavalt sinu teenuse mudelile).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n

        Kui tegutsed v\u00e4ljaspool EL-i, oled m\u00e4\u00e4ranud EL-is esindaja<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Kui ettev\u00f5te on v\u00e4ljaspool EL-i, kuid kogub\/t\u00f6\u00f6tleb EL-i kodanike andmeid, tuleb m\u00e4\u00e4rata esindaja \u00fches liikmesriigis. See isik tegeleb t\u00f6\u00f6tlusega seotud k\u00fcsimustega ning j\u00e4relevalveasutusel peab olema v\u00f5imalus temaga kontakti saada.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n

        Isikuandmetega seotud andmelekked raporteerid j\u00e4relevalveasutusele ja andmesubjektidele<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Isikuandmete rikkumine tuleb raporteerida 72 tunni jooksul<\/strong> kohalikule j\u00e4relevalveasutusele. Teavituses peaks olema: millised andmed lekkisid, millised tagaj\u00e4rjed v\u00f5ivad olla ja milliseid vastumeetmeid oled rakendanud. Kui lekkis kr\u00fcpteerimata info, tuleb rikkumisest teavitada ka inimest (andmesubjekti), kelle andmed kaotasid.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n

        Sul on lepingud k\u00f5igi processor\u2019itega, kellega andmeid jagad<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        Iga processor\u2019iga peab olema leping, kus on selged juhised andmete s\u00e4ilitamiseks\/t\u00f6\u00f6tlemiseks. Lepingus peavad olema kirjas: t\u00f6\u00f6tluse ese ja kestus, t\u00f6\u00f6tluse laad ja eesm\u00e4rk, isikuandmete t\u00fc\u00fcp, andmesubjektide kategooriad ning controller\u2019i kohustused ja \u00f5igused.<\/p>\n\n\n\n

        N\u00e4ide: leping hostingu pakkujaga. Sama loogika rakendub ka siis, kui processor kasutab omakorda sub-processor\u2019it, et controller\u2019i nimel t\u00f6\u00f6tlemist teostada.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n

        3) New Rights (praktilised protsessid kasutaja\u00f5iguste teenindamiseks)<\/h3>\n\n\n\n

        Kasutaja saab lihtsalt k\u00fcsida ligip\u00e4\u00e4su oma isikuandmetele<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Sul peab olema selge protsess, kuidas ligip\u00e4\u00e4sutaotlusi menetled (kes vastutab, kus andmed on, kuidas identiteeti kontrollid, mis ajaraamis reageerid).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n\n\n

        Kasutaja saab lihtsalt oma isikuandmeid parandada, et need oleksid t\u00e4psed<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Peab olemas olema mehhanism ebat\u00e4pse info parandamiseks (nt konto seaded, tugi\/ticket, admini protseduur).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/p>\n\n\n\n

        Andmed kustutatakse automaatselt, kui neid enam vaja pole<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Hea praktika on kustutamine automatiseerida. N\u00e4iteks: kustuta automaatselt andmed nende klientide kohta, kelle lepingut ei uuendatud.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n

        Kasutaja saab lihtsalt taotleda oma isikuandmete kustutamist<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        See on klassikaline \u201cright to be forgotten\u201d \u2014 pead suutma menetleda kustutamistaotlusi kindla protsessi j\u00e4rgi.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n

        Kasutaja saab lihtsalt taotleda, et sa l\u00f5petaksid tema andmete t\u00f6\u00f6tlemise<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Kasutajal on \u00f5igus piirata, kuidas tema andmeid t\u00f6\u00f6deldakse. See peab olema sinu protsessides ja s\u00fcsteemides reaalselt teostatav.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n\n\n

        Kasutaja saab lihtsalt taotleda oma andmete edastamist endale v\u00f5i kolmandale osapoolele<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Andmete \u00fclekantavus (data portability) t\u00e4hendab, et suudad v\u00e4ljastada andmed struktureeritud, laialt kasutatavas ja masinloetavas formaadis<\/strong>.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/p>\n\n\n\n

        Kasutaja saab lihtsalt vaidlustada profiilianal\u00fc\u00fcsi v\u00f5i automatiseeritud otsustamise<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        Kehtib juhul, kui teed profiling\u2019ut v\u00f5i muud automatiseeritud otsustamist, mis v\u00f5ib inimest m\u00f5jutada.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n

        4) Consent (n\u00f5usolek: mitte formaalsus, vaid kontrollitav mehhanism)<\/h3>\n\n\n\n

        Kui t\u00f6\u00f6tlemine p\u00f5hineb n\u00f5usolekul, peab see olema vabatahtlik, konkreetne, teadlik ja tagasiv\u00f5etav<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        Kui kogud veebis isikuandmeid, peab kasutajal olema n\u00e4htav link privaatsuspoliitikale ning ta peab kinnitama tingimuste aktsepteerimise. N\u00f5usolek eeldab aktiivset tegevust<\/strong> \u2014 eel-m\u00e4rgitud (pre-ticked) checkbox\u2019id ei ole lubatud.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n

        Privaatsuspoliitika on kirjutatud selgelt ja arusaadavalt<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        Tekst peab olema lihtsas keeles ega tohi varjata oma eesm\u00e4rki. Kui teenust pakutakse lastele, peab poliitika olema piisavalt lihtne, et laps sellest aru saaks.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n\n\n

        N\u00f5usoleku tagasiv\u00f5tmine on sama lihtne kui selle andmine<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        Kui n\u00f5usolekut saab anda \u00fche klikiga, siis ei tohi tagasiv\u00f5tmine n\u00f5uda mitut lehte, pikki vorme v\u00f5i toe kaudu \u201cpalumist\u201d.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n\n\n

        Kui t\u00f6\u00f6tled laste andmeid, kontrollid vanust ja k\u00fcsid seadusliku esindaja n\u00f5usolekut<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        Alla 16-aastaste puhul pead veenduma, et n\u00f5usoleku annab seaduslik hooldaja. Kui n\u00f5usolek antakse veebisaidi kaudu, peaksid m\u00f5istlikul viisil \u00fcritama kontrollida, et heakskiidu andis p\u00e4riselt hooldaja, mitte laps.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n

        Kui uuendad privaatsuspoliitikat, teavitad olemasolevaid kliente<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        N\u00e4iteks e-kirjaga, mis selgitab lihtsas keeles, mis muutus ja millal. Oluline on, et muudatus ei \u201cjuhtuks vaikselt\u201d.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n

        5) Follow-up (regulaarne \u00fclevaatus, mitte \u00fchekordne projekt)<\/h3>\n\n\n\n

        Vaatad regulaarselt \u00fcle poliitikad, nende toimivuse ning muudatused andmet\u00f6\u00f6tluses ja riikides, kuhu andmed liiguvad<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        Praktikas t\u00e4hendab see perioodilist kontrolli: kas kogud ikka samu andmeid, kas retention-ajad kehtivad, kas kasutad uusi teenusepakkujaid, kas m\u00f5ni andmevoog liigub teise riiki jne.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

        6) Special Cases (k\u00f5rge risk ja piiri\u00fclene andmeedastus)<\/h3>\n\n\n\n

        Sa tead, millal pead tegema DPIA (Data Protection Impact Assessment) k\u00f5rge riskiga t\u00f6\u00f6tluse korral<\/h4>\n\n\n\n

        Kehtib: Data Controller<\/em><\/p>\n\n\n\n

        See puudutab eelk\u00f5ige olukordi, kus tehakse suures mahus t\u00f6\u00f6tlust, profiling\u2019ut v\u00f5i muud tegevust, mis tekitab k\u00f5rge riski inimeste \u00f5igustele ja vabadustele. Nendel juhtudel tuleb teha DPIA<\/strong>.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n\n\n

        Andmeid edastad v\u00e4ljapoole EL-i ainult sobiva kaitsetasemega riikidesse ja avalikustad need andmevood privaatsuspoliitikas<\/h4>\n\n\n\n

        Kehtib: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Kui edastad andmeid kolmandatesse riikidesse, peab kaitsetase olema piisav. Kui sihtriik ei ole \u201cadequate\u201d, kasuta Standard Contractual Clauses (SCCs)<\/strong> v\u00f5i Binding Corporate Rules (BCRs)<\/strong>. Need piiri\u00fclesed andmevood peavad olema ka privaatsuspoliitikas kirjas.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n

        Andmesubjekti \u00f5igused (User Rights \/ Data Subject Rights) \u2014 mida pead suutma teenindada<\/h2>\n\n\n\n

        Allolevad \u00f5igused kehtivad k\u00f5igile Data Subject<\/strong>\u2019idele (inimestele), kelle andmeid t\u00f6\u00f6deldakse. Oluline on, et need ei ole \u201cteoreetilised\u201d: sul peab olema protsess ja v\u00f5imekus neid reaalselt t\u00e4ita.<\/p>\n\n\n\n

        \u00d5igus l\u00e4bipaistvale infole (Right to transparent information)<\/h3>\n\n\n\n

        Controller peab v\u00f5tma sobivad meetmed, et anda t\u00f6\u00f6tlusega seotud infot l\u00fchidalt, l\u00e4bipaistvalt, arusaadavalt ja kergesti k\u00e4ttesaadaval kujul<\/strong>, selges ja lihtsas keeles \u2014 eriti siis, kui info on suunatud lapsele. Info v\u00f5ib olla kirjalik v\u00f5i muul viisil, sh elektrooniliselt.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 12<\/p>\n\n\n\n

        \u00d5igus saada konkreetset infot, kui andmeid kogutakse otse inimeselt<\/h3>\n\n\n\n

        See info h\u00f5lmab:<\/p>\n\n\n\n

          \n\n
        1. Controller\u2019i identiteet ja kontaktandmed<\/li>\n\n\n
        2. Andmekaitseametniku (DPO) kontaktandmed (kui asjakohane)<\/li>\n\n\n
        3. T\u00f6\u00f6tluse eesm\u00e4rgid ja \u00f5iguslik alus<\/li>\n\n\n
        4. Controller\u2019i \u00f5igustatud huvid (kui asjakohane)<\/li>\n\n\n
        5. Isikuandmete saajad v\u00f5i saajate kategooriad<\/li>\n\n\n
        6. Info andmete edastamise kohta kolmandatesse riikidesse<\/li>\n\n<\/ol>\n\n\n\n

          Reference:<\/strong> GDPR Article 13<\/p>\n\n\n\n

          \u00d5igus saada konkreetset infot, kui andmeid ei koguta otse inimeselt<\/h3>\n\n\n\n

          Kui andmed saadakse muudest allikatest (mitte andmesubjektilt), tuleb anda sarnane info, sh milliste isikuandmete kategooriatega on tegu ja mis on andmete allikas.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 14<\/p>\n\n\n\n

          \u00d5igus juurdep\u00e4\u00e4sule (Right of access)<\/h3>\n\n\n\n

          Sul on \u00f5igus saada kinnitust, kas su isikuandmeid t\u00f6\u00f6deldakse, ning ligip\u00e4\u00e4su muu hulgas j\u00e4rgmisele:<\/p>\n\n\n\n

            \n\n
          • t\u00f6\u00f6tluse eesm\u00e4rgid<\/li>\n\n\n
          • asjaomaste isikuandmete kategooriad<\/li>\n\n\n
          • saajad, kellele andmeid on avaldatud v\u00f5i avaldatakse<\/li>\n\n\n
          • kavandatav s\u00e4ilitust\u00e4htaeg<\/li>\n\n\n
          • \u00f5iguste olemasolu: parandamine, kustutamine, piiramine, vastuv\u00e4ide<\/li>\n\n\n
          • \u00f5igus esitada kaebus j\u00e4relevalveasutusele<\/li>\n\n\n
          • info andmete allika kohta (kui andmeid ei kogutud otse inimeselt)<\/li>\n\n\n
          • automatiseeritud otsustamise olemasolu, sh profiling<\/li>\n\n<\/ul>\n\n\n\n

            Reference:<\/strong> GDPR Article 15<\/p>\n\n\n\n

            \u00d5igus parandamisele (Right to rectification)<\/h3>\n\n\n\n

            Sul on \u00f5igus lasta ebat\u00e4psed isikuandmed p\u00f5hjendamatu viivituseta parandada ning mittet\u00e4ielikud andmed t\u00e4iendada.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 16<\/p>\n\n\n\n

            \u00d5igus kustutamisele (Right to erasure \/ \u201cright to be forgotten\u201d)<\/h3>\n\n\n\n

            Sul on \u00f5igus lasta oma isikuandmed kustutada, kui:<\/p>\n\n\n\n

              \n\n
            1. andmeid ei ole enam vaja algsel eesm\u00e4rgil<\/li>\n\n\n
            2. sa v\u00f5tad n\u00f5usoleku tagasi ja muud \u00f5iguslikku alust t\u00f6\u00f6tlemiseks ei ole<\/li>\n\n\n
            3. sa esitad vastuv\u00e4ite t\u00f6\u00f6tlemisele ja puuduvad \u00fclekaalukad \u00f5igustatud alused<\/li>\n\n\n
            4. andmeid on t\u00f6\u00f6deldud ebaseaduslikult<\/li>\n\n\n
            5. andmed tuleb kustutada juriidilise kohustuse t\u00e4itmiseks<\/li>\n\n\n
            6. andmed koguti seoses info\u00fchiskonna teenustega, mida pakuti lapsele<\/li>\n\n<\/ol>\n\n\n\n

              Reference:<\/strong> GDPR Article 17<\/p>\n\n\n\n

              \u00d5igus t\u00f6\u00f6tlemise piiramisele (Right to restriction of processing)<\/h3>\n\n\n\n

              Sul on \u00f5igus n\u00f5uda t\u00f6\u00f6tlemise piiramist, kui:<\/p>\n\n\n\n

                \n\n
              1. sa vaidlustad andmete \u00f5igsuse (ajaks, mis v\u00f5imaldab \u00f5igsust kontrollida)<\/li>\n\n\n
              2. t\u00f6\u00f6tlemine on ebaseaduslik ja sa oled kustutamise vastu<\/li>\n\n\n
              3. controller ei vaja andmeid enam, aga sina vajad neid \u00f5igusn\u00f5uete koostamiseks, esitamiseks v\u00f5i kaitsmiseks<\/li>\n\n\n
              4. sa oled esitanud vastuv\u00e4ite t\u00f6\u00f6tlemisele, kuni kontrollitakse, kas controller\u2019i \u00f5igustatud alused kaaluvad sinu omad \u00fcles<\/li>\n\n<\/ol>\n\n\n\n

                Reference:<\/strong> GDPR Article 18<\/p>\n\n\n\n

                \u00d5igus saada teavitust parandamise, kustutamise v\u00f5i piiramise kohta (Right to be notified)<\/h3>\n\n\n\n

                Controller peab teavitama igat saajat, kellele andmeid avaldati, kui toimub parandamine, kustutamine v\u00f5i t\u00f6\u00f6tlemise piiramine \u2014 v.a kui see osutub v\u00f5imatuks v\u00f5i n\u00f5uab ebaproportsionaalset pingutust.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 19<\/p>\n\n\n\n

                \u00d5igus andmete \u00fclekantavusele (Right to data portability)<\/h3>\n\n\n\n

                Sul on \u00f5igus saada oma isikuandmed struktureeritud, laialt kasutatavas ja masinloetavas<\/strong> formaadis ning \u00f5igus edastada need andmed teisele controller\u2019ile ilma takistuseta.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 20<\/p>\n\n\n\n

                \u00d5igus esitada vastuv\u00e4iteid (Right to object)<\/h3>\n\n\n\n

                Sul on \u00f5igus oma konkreetse olukorraga seotud p\u00f5hjustel igal ajal vaidlustada isikuandmete t\u00f6\u00f6tlemine, kui see p\u00f5hineb \u00f5igustatud huvil v\u00f5i avalikul huvil \u2014 sh profiling.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 21<\/p>\n\n\n\n

                \u00d5igus mitte olla ainult automatiseeritud otsuse subjekt (Right not to be subject to automated decision-making)<\/h3>\n\n\n\n

                Sul on \u00f5igus mitte alluda otsusele, mis p\u00f5hineb \u00fcksnes automatiseeritud t\u00f6\u00f6tlemisel (sh profiling), kui see tekitab \u00f5iguslikke tagaj\u00e4rgi v\u00f5i m\u00f5jutab sind muul sarnaselt olulisel viisil.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 22<\/p>\n\n\n\n

                Praktilised rakendussammud veebisaidil (tehnika + protsess)<\/h2>\n\n\n\n

                Kui eelnev osa oli pigem \u201cmida peab suutma t\u00f5endada\u201d, siis siin on tegevused, mida saad veebisaidi ja t\u00f6\u00f6protsesside tasemel \u00fcsna otse ellu viia.<\/p>\n\n\n\n

                1) Turva oma veebisait (Secure Your Website)<\/h3>\n\n\n\n