Enda isikuandmete töötlemine ettevõtte, asutuse, ühingu, või mistahes muu organisatsiooni poolt ei tohiks tulla inimesele üllatusena. Et seda ei juhtuks, tuleb inimesi oma tegevusest teavitada. Privaatsusteade (või ka privaatsuspoliitika, nagu seda tihti ka eesti keeles nimetatakse), võib olla koostatud ühe dokumendina või mitmes osas.

Olulisim on, et inimene saaks oma isikuandmete töötlemise kohta lihtsa vaevaga infot.

GDPR seab nõuded, mida inimesele kindlasti peab teada andma:

1. Kes on tema isikute puudutavate (isiku)andmete töötleja, st organisatsiooni nimi
2. Milliseid andmed organisatsioon kogub – kas nimi, e-maili aadress, telefon, või ka isikukood, ostude/tarbimise/külastuste/tehingute ajalugu jne
3. Kuidas need andmed organisatsiooni kätte satuvad – kas inimene annab need ise, kas veebilehekülje kaudu, kas kellegi kolmanda (partnerorganisatsiooni, avaliku veebilehekülje kaudu) abil
4. Miks organisatsioon neid isikuandmeid vajab – siinkohal tuleb selgitada, millistele õiguslikele alustele organisatsioon tugineb, ehk teisisõnu, millised GDPR sätted annavad talle õiguse neid andmeid töödelda. Võimalikke õiguslikke aluseid on GDPR-s 6. Igaühe puhul on omad nüansid, mida tähele panna. Selle kohta on paljude riikide andmekaitse järelevalveasutused koostanud juhendeid. EL Andmekaitsenõukogu juhendid on kättesaadavad ka AKI kodulehe kaudu siin: https://www.aki.ee/et/teavitus-juhised/euroopa-juhised-ja-materjalid
5. Kas organisatsioon jagab isikuandmeid, st kas edastab neid partneritele (millistele?), riigiasutustele (millistele?), samuti millistel alustel see toimub, kas sõlmitakse andmeedastusleping? Kas isikuandmeid edastatakse väljapoole EL-i, millistel tingimustel?
6. Kus organisatsioon isikuandmeid säilitab – kas serveris, pilves, kas teenusepakkuja asub EL-s?
7. Kui kaua organisatsioon isikuandmeid säilitab? Säilitada ei tohi kauem kui on vajalik selle eesmärgi saavutamiseks, mille jaoks isikuandmeid kasutatakse.
8. Milliseid füüsilisi, organisatoorseid ja /või infotehnoloogilisi turvameetmeid organisatsioon kasutab?
9. Inimest tuleb teavitada tema õigustest isikuandmetega seoses
10. Kust saada soovi korral rohkem infot?

Kodulehel tuleb inimesi teavitada ka küpsiste kasutamisest ning anda võimalus loobuda mitte hädavajalikest küpsistest.

https://www.mondaq.com/privacy-protection/951748/gdpr-and-your-company39s-privacy-notice?email_access=on