Online turundusest, kodulehtede ja e-poodide kasulikkusest räägitakse palju, kuid millest tihti ei räägita, on see, mis kohustused ja riskid kaasnevad oma ettevõtte veebis turundamisega ja mida üks vastutustundlik ettevõte saab ära teha selleks, et tema koduleht või e-pood oleks kasutamiseks turvaline ja aitaks tagada kasutajate õiguste kaitse.

Käesolevas blogis kirjeldan lühidalt kahte kõige olulisemat dokumenti pea iga ettevõtte kodulehel – privaatsuspoliitika (ingl. k tihti nimetatud Privacy Policy / Privacy Statement) ja teenusetingimused (ingl. k tihti Terms of Use / Terms of Service / Terms and Conditions).

Kohustuslik kõigile, kes isikuandmeid töötlevad

Privaatsuspoliitika on kohustuslik igale veebilehele [1], kui toimub kasvõi minimaalne isikuandmete kogumine, nt kui küsitakse isiku e-posti aadressi, nime, kasutatakse isikute käitumismustreid jälgivaid küpsiseid või muid jälgimistehnoloogiaid või võimaldab leht külastajatel sisu üles laadida ja kommentaare jätta.

Sisuliselt igasugune isikuandmete kogumine veebilehe kaudu eeldab privaatsuspoliitika olemasolu ja avalikustamist. Seejuures tuleb arvestada, et isikuandmete definitsioon on äärmiselt lai. Isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Ehk siis kui ettevõte vajab privaatsuspoliitikat, siis missugune peab privaatsuspoliitika olema?

Euroopas asuvate isikute andmete töötlejatele (pakkudes siia teenuseid/tooteid) kohaldub isikuandmete kaitse üldmäärus (EL) 2016/679 (tuntud kui GDPR) [2], millest lähtuvalt peab isikuandmete töötleja (siinkohal siis veebilehe omanik) andmesubjektile (veebilehe külastaja ja teised isikud, kelle andmeid ettevõte töötleb) andma vähemalt järgmise teabe:

  • kes isikuandmeid töötleb ja kellel veel on andmetele ligipääs (sh asjakohasel juhul kontaktandmed);
  • mis isikuandmeid kogutakse ning missugusel eesmärgil ja mis alusel (sh info õigustatud huvi aluse kasutamise kohta);
  • kuhu isikuandmeid edastatakse (kui EMP-st välja) ja kas ning kuidas on tagatud isikuandmete piisav kaitse;
  • kui kaua isikuandmeid säilitatakse;
  • info andmesubjekti õiguste kohta (sh õigus võtta oma nõusolek tagasi ja esitada kaebus järelevalveasutusele [3]);
  • kust töötleja isikuandmeid kogub (või kellelt, kui isikuandmed pole saadud otse andmesubjektilt);
  • info selle kohta, kas töötleja kasutab profileerimist või teeb automatiseeritud otsuseid (sh info vastavate mehhanismide loogika kohta ja mõjude kohta andmesubjektile);
  • andmekaitseametniku kontaktandmed (kui kohane).

Lühidalt saab eelneva kokku võtta nii: privaatsuspoliitika peab andma teabe, kes, mis andmeid, mis alusel, kui kaua ja kuidas töötleb ning mis õigused on isikul oma andmetega seoses.

Teenusetingimused – igale mõistlikule ettevõtjale

Kuigi teenusetingimuste avaldamise kohustust otseselt seadusest ei tule, on teenusetingimused vajalikud just ettevõtte (veebilehe omaniku) jaoks. Teenusetingimuste sisu võib varieeruda, kattes kogu ettevõtte teenuse osutamist ja/või kaupade müüki või piirdudes vaid veebilehe külastamise tingimuste määratlemisega.

Teenusetingimused on koht, kus ettevõtja (veebilehe omanik) saab panna paika reeglid oma veebilehe kasutamiseks, piirata oma vastutust, reguleerida intellektuaalse omandiga seotud küsimusi, tuua välja teenuse osutamise reeglid või toote omadused, kindlaks määrata kohalduva õiguse ja vaidluste lahendamise korra jpm.

Esimese asjana peab ettevõtjal endale selgeks tegema, milleks täpselt ta teenusetingimusi vajab. Siinkohal kehtib tõsiasi, et mida keerulisem (või reguleeritum) valdkond, seda spetsiifilisemad peavad olema ka teenusetingimused.

Nii näiteks terviseandmeid töötleval või makseteenuseid osutaval ettevõttel ei ole mõistlik kasutada teistelt lehtedelt kokku kopeeritud tingimusi, sest see, mida teenusetingimustes kindlasti reguleerida tuleb, on tegevusvaldkonna spetsiifiline ning olulise käsitlemata jätmine võib kaasa tuua suure kahju või muu nõude.

Nagu öeldud, siis teenusetingimuste sisu oleneb ettevõtte tegevusvaldkonnast ja äriloogikast, kuid järgnev miinimum peaks kindlasti käsitletud olema:

  • vastutust piiravad ja vastutusest vabastavad sätted;
  • veebilehe kasutust reguleerivad sätted (või teenuste osutamist / kaupade müüki reguleerivad sätted);
  • intellektuaalset omandit reguleerivad sätted;
  • vaidluste lahendamist käsitlevad sätted;
  • kohalduva õiguse ja kohtualluvuse määramine;
  • sätted tingimuste muutmise õiguse kohta;
  • sätted kasutajakonto sulgemise (õiguste peatamise kohta) või teenuse osutamise lõpetamise õiguse kohta.

Seega, kuigi juriidilised küsimused ei ole alustava ettevõtte jaoks tihti prioriteediks – oluline on toode/teenus valmis saada ja turule tulla, siis pikemas perspektiivis on kaks eelmainitud dokumenti need, mis aitavad kaasa selgele ja väiksema riskiga majandamisele. Nii privaatsuspoliitika kui teenusetingimused saavad olla kasulikud rohkemaks, kui siin blogipostituss kirjeldatud.

Selleks, et teada, mida täpselt ja kuidas neis dokumentides käsitleda, võta ühendust õigusteenuse osutajatega. Oluline on oma ettevõtte (ja veebilehe) jaoks andmekaitsega ja teenuse osutamisega (või kaupade müügiga) seotud küsimused läbi mõelda ning vastavad lahendused eelmainitud dokumentides reguleerida.

[1] Siin blogipostituses on näitena toodud ettevõtte veebileht, mille pidamisega juriidilised kohustused kaasnevad, kuid tegelikult kehtib privaatsuspoliitika kohustus ka nt rakendustele (ing. k app).
[2] Kättesaadav siin (18.04.2019 seisuga).
[3] Eestis on järelevalveasutuseks Andmekaitse Inspektsioon (AKI).

Kuidas see lugu Sind end tundma pani?

Rõõmsana
Üllatunult
Targemalt
Ükskõikselt
Kurvana
Vihasena