Let’s start with what is a privacy policy why is it necessary for your company to have one. Privacy policy is an opportunity for your company to inform your clients, partners and employees about how you manage their personal data.
At the same time you are also complying with the GDPR requirement to provide information about processing personal data. The content to a privacy policy mostly comes from the articles 13 if you collect dat directly or article 14 if you collect personal data indirectly. The GDPR requires you to provide this information in a concise, transparent, intelligible and easily accessible form, using clear and plain language. This applies especially strictly in case information is addressed specifically to a child (for example eSchool).
The information must be provided in writing and where appropriate, by electronic means at the point of data collection. For example you a web form collecting personal data there must be a link to a privacy policy explaining what you are doing with the personal data.
What is personal data, any data that directly or INDIRECTLY enables to identify a natural person. Yes that means that if combined with other data, say GPS, also IP address can be personal data enabling, at least in theory, to identify a person.
According to the GDPR the data subject’s consent to processing personal must be freely given, specific, as easy to withdraw as to give and not prevent consuming products not relevant to consent. If these conditions cannot be fulfilled, then you cannot use consent as a lawful base for personal data processing. If I cannot buy a washing machine because I don’t consent to your privacy policy something has gone wrong with your GDPR compliance. And what happens should I withdraw my consent? Shall I return said ashing machine?
In summary, privacy policy helps you to fulfil your obligation to inform people of personal data processing and you should not, or perhaps must not, ask for consent for privacy policy.
Mis on küpsised?
Minu käest küsitakse tihti, et kas küpsised ongi küpsised, et kas muud nime ei ole? Küpsis (cookie) tuli, nägi ja võitis ning on siiamaani nimetus väikesele tekstifailile, mille veebilehitseja automaatselt kasutatavasse seadmesse salvestab ja mis seejärel on salvestatud arvuti kõvakettal. Küpsiste abil jälgitakse sinu tegevust veebis, kuid nad ei loe sinu arvuti kõvakettal olevat teavet või muude osapoolte küpsiseid.
Küpsised saab olemuselt jagada kolmeks funktsionaalsed, statistilised ja turunduslikud. Statistilised küpsised peavad arvet veebilehe külastajate üle ning turunduslikud küpsised aitavad teha suunatud reklaami.
Lisaks veel esimese osapoole ja kolmanda osapoole küpsised. Funktsionaalsed küpsised on vajalikud veebilehe toimimiseks. Esimese osapoole küpsiseid kogub veebileht, kus külastaja viibib, kolmanda osapoole küpsised nn. jälitavad interneti kasutajad erinevatel veebilehtedel.
Aga mida küpsised siis teevad? Ettevõtetele kellel on veebis ostu-, tellimis- või taotluste esitamise keskkond, on küpsised vajalikud selleks, et nad saaksid inimesele ostlemise või avalduse esitamise teha lihtsamaks. Näiteks kui oled veebis ostlemas ning järsku meenub, et veel on vaja kolmandat ja neljandat asja, siis küpsised on need mille abil juba ostetud asjad ostukorvi edasi jäävad ning „ei unune“. Lisaks aitavad küpsised ettevõttel oma klienti veebis paremini tundma õppida. Veebilehe külastajate põhjal veebilehe statistikat teha, mis huvitab veebilehe külastajat, mida nad kõige rohkem vaatavad ning pakkuda külastajatele eelisjärjekorras neid huvitavaid teenuseid ja tooteid.
Kuid Google, suurim trükkija teatas sellel aastal, et tulenevalt regulatoorsest survest jääb käesolev aasta viimaseks aastaks kolmanda osapoole küpsistele, miks see oluline on räägime blogi postis – mis saab peale 3a osapoole küpsiste kadumist?
Miks on küpsistele vaja nõusolekut?
Need, kes ei ole tähele pannud erinevatel veebilehtedel näkku hüppavaid küpsiste nõusoleku küsimisi, ei kasuta arvatavasti veebi. Nõusolekut ei küsi keegi, et veebikasutaja elu lõbusamaks teha, vaid nõusoleku küsimise vajadus tuleneb e-privaatsuse ehk küpsiste direktiivist (2002/58/EÜ).
Küpsiste direktiiv on planeeritud algusest peale täiendama isikuandmete kaitse üldmäärust (IKÜM) ning algselt oli plaanis e-Privaatsuse direktiiv üldmääruseks muuta ning GDPR-i lex specialisena kasutusele võtta samal ajal kui IKÜM, kuid kuna e-Privaatsuse direktiiv kogu küsiste teemaga tegi elu tuliseks kolmanda osapoole küpsistel, mis siiani on olnud digiturunduse a ja o, siis käis e-Privaatsuse direktiivi muutmise üle äge debatt nelji ja pool aastat. Veebruaris 2021 Euroopa Nõukogu lõpuks kiitis heaks e-Privaatsuse üldmääruse teksti ning alustas Euroopa Parlamendiga läbirääkimisi lõpliku teksti kinnitamiseks.
Kui ka hetkel ei pea funktsionaalsete küpsiste küsimiseks veebilehe kuid analüütiliste ja turunduslike küpsiste kasutamiseks peab, mis teeb kolmanda osapoole küpsiste kasutamise keeruliseks, siis uue üldmääruse järgi on suurem vastutus kolmanda osapoole (need mis vajaksid siis nõusolekut) küpsiste haldamisel veebilehitsejatel, mistõttu Google võttiski vastu otsuse 2021 aasta lõpuks mitte lubada kolmanda osapoole küpsiseid.
