Mis on GDPR?

GDPR on terviklik andmekaitseseadus, mis annab EL-i elanikele kontrolli oma isikuandmete üle. See kehtib igale organisatsioonile – kõikjal maailmas –, mis töötleb EL-i elanike andmeid. Määrus hõlmab andmete kogumist, säilitamist, töötlemist ja jagamist.

GDPR põhiprintsiibid

Kellele GDPR kehtib?

GDPR kehtib igale organisatsioonile, mis töötleb EL-is asuvate isikute isikuandmeid, olenemata sellest, kus organisatsioon asub. See hõlmab USA, Aasia või mujal asuvaid ettevõtteid, kellel on EL-i kliendid, veebisaidi külastajad või töötajad.

Isiku õigused GDPR alusel

• Juurdepääsuõigus: Kasutajad saavad nõuda koopiat oma andmetest.
• Parandamisõigus: Kasutajad saavad ebatäpseid andmeid parandada.
• Kustutamisõigus: "Õigus olla unustatud."
• Andmete ülekandmise õigus: Kasutajad saavad oma andmed teise teenusesse üle kanda.
• Vastuväite esitamise õigus: Kasutajad saavad teatud tüüpi töötlemisele vastu olla.
• Töötlemise piiramise õigus: Kasutajad saavad piirata oma andmete kasutamist.

Karistused nõuete eiramise eest

GDPR ja digiturgude seadus (DMA)

Alates 2024. aastast töötab EL-i digiturgude seadus koos GDPR-iga, reguleerides suurte platvormide kasutajaandmete käitlemist. DMA nõuab, et määratud "väravahoidjad" (nagu Google, Apple ja Meta) hangiksid teenuste üleselt kasutajaandmete kombineerimisel selgesõnalise nõusoleku.

GDPR ja küpsised: nõusolekuhalduse roll

GDPR ja ePrivacy direktiivi kohaselt peavad veebisaidid hankima selgesõnalise nõusoleku enne mittevajalike küpsiste paigaldamist. See tähendab, et nõuetekohane küpsiste bänner ei ole vabatahtlik – see on seaduslik nõue. Peamised aspektid hõlmavad:

• Mittevajalikud küpsised (analüütika, turundus, reklaam) tuleb blokeerida seni, kuni kasutaja annab selgesõnalise nõusoleku
• Nõusolek peab olema vabalt antud – ei tohi olla eelnevalt valitud kastikesi ega küpsiste seinu, mis sunnivad nõustuma
• Kasutajad peavad saama nõusoleku sama lihtsalt tagasi võtta, kui nad selle andsid
• Nõusoleku andmed tuleb salvestada ja need peavad olema auditi jaoks kättesaadavad

Google Consent Mode V2 ja GDPR

Alates 2024. aasta märtsist nõuab Google, et Euroopa Majanduspiirkonnas (EMP) reklaame teenindavad veebisaidid kasutaksid Google'i sertifitseeritud CMP-d ja rakendaksid Consent Mode V2. See integratsioon tagab, et nõusolekusignaalid edastatakse nõuetekohaselt Google'i teenustele, võimaldades nõuetekohast reklaamide esitamist privaatsust säilitava modelleerimise kaudu.

IAB TCF 2.3 ja GDPR vastavus

IAB läbipaistvuse ja nõusoleku raamistiku (TCF) versioon 2.3 pakub standardiseeritud viisi nõusoleku kogumiseks ja edastamiseks digitaalse reklaami ökosüsteemis. TCF 2.3-ga ühilduva CMP, nagu FlexyConsent, kasutamine tagab, et nõusolekusignaalid on nõuetekohaselt vormindatud ja edastatud kõikidele tarnimisahela reklaamivendoritele.

Kuidas GDPR-iga vastavuses olla 2026. aastal

• Auditeerige oma andmekogumis- ja töötlemistegevusi
• Rakendage Google'i sertifitseeritud CMP, nagu FlexyConsent
• Veenduge, et teie CMP toetab IAB TCF 2.3 ja Google Consent Mode V2
• Looge selged ja kättesaadavad privaatsus- ja küpsisepoliitikad
• Võimaldage andmesubjektide juurdepääsutaotlused (DSAR)
• Koolitada oma meeskonda andmekaitse kohustuste osas
• Nimetage vajadusel ametisse andmekaitseametnik (DPO)
• Rakendage andmerikkumiste teavitamise protseduurid (72-tunni reegel)
• Viige regulaarselt läbi andmekaitsemõjuhinnanguid (DPIA)