Kas otsite privaatsuspoliitika näidist oma veebilehele, mis vastab isikuandmete kaitse üldmääruse (GDPR) artiklitele 13 ja 14? Siin on täielik ja kohandamiseks valmis mall. Privaatsuspoliitika on dokument, milles vastutav töötleja täidab oma teavitamiskohustust: ta selgitab andmesubjektidele selges ja lihtsas keeles, milliseid isikuandmeid ta kogub, mis eesmärgil, millisel õiguslikul alusel, kui kaua neid säilitatakse, kellega jagatakse ja millised on andmesubjekti õigused. Privaatsuspoliitika ei ole formaalsus – see on esimene dokument, mida külastaja ja Andmekaitse Inspektsioon (AKI) läbipaistvuse kontrollimiseks vaatavad. See juhend annab täieliku näidise, kohandamisjuhise ja levinud vead.
Privaatsuspoliitika täielik näidis
PRIVAATSUSPOLIITIKA
Viimati uuendatud: [kuupäev]
1. Vastutav töötleja. Käesolev privaatsuspoliitika selgitab, kuidas [Ettevõte OÜ], registrikood […], aadress […], e-post […], töötleb teie isikuandmeid. [Andmekaitse küsimustes saate ühendust meie andmekaitsespetsialistiga: dpo@ettevote.ee.]
2. Milliseid andmeid me kogume. Sõltuvalt teie suhtlusest meiega töötleme järgmisi andmeid:
- Kontaktvormi kaudu: nimi, e-post, sõnumi sisu;
- Kliendikonto loomisel: nimi, e-post, telefon, aadress;
- Tellimuse esitamisel: tarne- ja arveandmed, ostuajalugu;
- Veebilehe kasutamisel: IP-aadress, seadme- ja külastusandmed (vt küpsised).
3. Töötlemise eesmärgid ja õiguslik alus.
- Teenuse osutamine ja lepingu täitmine – õiguslik alus: leping (art. 6 lg 1 p b);
- Raamatupidamine ja seadusest tulenevate kohustuste täitmine – juriidiline kohustus (art. 6 lg 1 p c);
- Uudiskirja saatmine – nõusolek (art. 6 lg 1 p a);
- Veebilehe turvalisus ja parandamine – õigustatud huvi (art. 6 lg 1 p f).
4. Kui kaua me andmeid säilitame. Säilitame andmeid ainult vajaliku aja jooksul: kliendiandmeid konto sulgemiseni, raamatupidamise algdokumente 7 aastat, uudiskirja andmeid nõusoleku tagasivõtmiseni. Täpsemad tähtajad on kättesaadavad päringu korral.
5. Kellele me andmeid edastame. Kasutame usaldusväärseid teenusepakkujaid (majutus, e-kirjade platvorm, maksevahendaja, kullerteenus), kes tegutsevad volitatud töötlejana meie juhiste alusel ja lepingu (art. 28) alusel. Andmeid ei müüda kolmandatele isikutele. [Kui andmeid edastatakse väljapoole EL-i, toimub see tüüptingimuste (2021/914) alusel.]
6. Küpsised. Kasutame veebilehe toimimiseks vajalikke küpsiseid ja teie nõusolekul analüütika- ja turundusküpsiseid. Küpsiste seadeid saate igal ajal muuta [küpsiste seaded].
7. Teie õigused. Teil on õigus: tutvuda oma andmetega (art. 15); nõuda parandamist (art. 16); nõuda kustutamist (art. 17); piirata töötlemist (art. 18); saada andmed ülekantavas vormingus (art. 20); esitada vastuväide (art. 21); võtta nõusolek tagasi. Õiguste teostamiseks võtke ühendust [e-post].
8. Kaebuse esitamine. Kui leiate, et teie andmete töötlemine rikub GDPR-i, on teil õigus pöörduda Andmekaitse Inspektsiooni poole (www.aki.ee).
9. Muudatused. Ajakohastame käesolevat privaatsuspoliitikat vajaduse korral. Kehtiv versioon on alati kättesaadav sellel lehel.
Kuidas näidist kohandada
Kirjelda üksnes tegelikku töötlemist. Ära kopeeri klausleid töötlemise kohta, mida sa ei tee. Privaatsuspoliitika peab peegeldama sinu töötlemise registrit – kui register näitab neli töötlemistoimingut, peab poliitika neid nelja kajastama.
Märgi iga eesmärgi õiguslik alus. See on osa, mis kõige sagedamini puudub või on vale. Ära märgi kõige aluseks nõusolekut – teenuse osutamise alus on leping, raamatupidamise oma juriidiline kohustus. Õigete aluste valik on selgitatud nõusoleku juhendis.
Lisa andmekaitsespetsialisti kontakt, kui oled andmekaitsespetsialisti määranud (kohustuslik või vabatahtlik). Vastasel juhul märgi üldine andmekaitse kontaktpunkt.
Seosta küpsiste osa nõusolekulahendusega. Mittevajalikud küpsised nõuavad eelnevat nõusolekut; küpsiste teabe peab poliitika ja küpsiseriba kokku viima.
Uuenda kuupäeva ja säilita versioonid. Privaatsuspoliitika on elav dokument – iga muudatus tuleb kuupäevastada.
Levinud vead
- Üldise malli kopeerimine tegelikkust kontrollimata. Poliitika, mis kirjeldab töötlemist, mida ei toimu (või jätab kajastamata tegeliku töötlemise), on eksitav ja rikub läbipaistvust.
- Kõige aluseks nõusoleku märkimine. Enamik töötlemist põhineb lepingul, juriidilisel kohustusel või õigustatud huvil, mitte nõusolekul.
- Säilitustähtaegade puudumine. Artikkel 13 nõuab säilitustähtaja või selle kriteeriumi märkimist.
- Õiguste ebatäielik loetelu – kõik kohalduvad andmesubjekti õigused tuleb nimetada.
- Küpsiste käsitlemata jätmine või küpsiseriba ja poliitika lahknevus.
- AKI kui järelevalveasutuse mainimata jätmine kaebuse esitamise õiguse juures.
Tööriist nagu Legiscope koostab privaatsuspoliitika töötlemise registri põhjal, nii et poliitika ja tegelik töötlemine on alati kooskõlas.
Läbipaistvus ja järelevalve fookus
Privaatsuspoliitika täidab GDPR-i läbipaistvuse põhimõtet (art. 5 lg 1 punkt a) ja artiklite 13–14 teavitamiskohustust. Läbipaistvus ei ole formaalne kastikeste märkimine, vaid sisuline nõue: teave peab olema kokkuvõtlik, läbipaistev, arusaadav ja lihtsasti kättesaadav ning esitatud selges ja lihtsas keeles (art. 12 lg 1). Just seetõttu on juriidilise žargooniga täidetud, mitmeleheküljeline poliitika sageli halvem kui lühike ja täpne – arusaamatu poliitika ei täida teavitamiskohustust.
Läbipaistvus on ka Euroopa järelevalveasutuste kasvava tähelepanu all. Euroopa Andmekaitsenõukogu 2026. aasta koordineeritud järelevalvetegevus keskendub just läbipaistvusele ja teavitamiskohustusele artiklite 12–14 alusel, kusjuures järelevalveasutused üle Euroopa auditeerivad, kuidas vastutavad töötlejad oma teavitamiskohustust täidavad. See tähendab, et privaatsuspoliitika sisu ja tegeliku töötlemise vastavus on 2026. aastal senisest suurema tähelepanu all.
Praktiline soovitus on ehitada poliitika kihiti: lühike ülevaatlik esimene kiht kõige olulisema teabega ja üksikasjalikumad selgitused sügavamal. Nii saab andmesubjekt kiiresti aru põhilisest ja soovi korral süveneda. Poliitika peab olema hõlpsasti leitav – tavaliselt lingitud iga lehe jaluses – ja alati ajakohane. Kui muutub töötlemine, uus teenusepakkuja või säilitustähtaeg, tuleb poliitikat uuendada ja kuupäev muuta. AKI kui järelevalveasutuse mainimine kaebeõiguse juures on kohustuslik osa teavitamisest.
Artiklite 13 ja 14 erinevus: kust andmed pärinevad
Teavitamiskohustus jaguneb kaheks sõltuvalt sellest, kust isikuandmed pärinevad. Artikkel 13 kohaldub, kui andmed kogutakse andmesubjektilt endalt – näiteks kui klient täidab veebivormi või loob konto. Artikkel 14 kohaldub, kui andmed saadakse mujalt – näiteks avalikust registrist, andmemaaklerilt või partnerilt. Sisu on suures osas sama, kuid artikkel 14 nõuab lisaks andmete allika ja andmete liikide avaldamist ning teavitamist mõistliku aja jooksul, hiljemalt ühe kuu jooksul andmete saamisest.
Praktikas tähendab see, et ettevõte, kes ostab kontaktandmeid või rikastab oma andmebaasi väliste allikatega, peab andmesubjekte sellest teavitama, isegi kui neil puudub otsene kontakt. Selle kohustuse eiramine on levinud viga eelkõige turunduses ja andmete rikastamisel. Kui teavitamine nõuaks ebaproportsionaalset jõupingutust, näeb artikkel 14 ette piiratud erandid, kuid nendele tuginemine tuleb dokumenteerida ja põhjendada.
Privaatsuspoliitika peab katma mõlemad olukorrad, kui organisatsioon kogub andmeid nii otse kui ka kaudselt. See on veel üks põhjus, miks poliitika peab peegeldama tegelikku töötlemise registrit: register näitab iga töötlemistoimingu andmeallika, mille põhjal saab poliitikas õigesti täita nii artikli 13 kui ka artikli 14 nõuded.
Korduma kippuvad küsimused
Kas privaatsuspoliitikas peab avaldama kõik teenusepakkujad nimeliselt?
Artikkel 13 nõuab vastuvõtjate või vastuvõtjate kategooriate avaldamist. Piisab seega kategooriate nimetamisest (näiteks “majutusteenuse pakkuja”, “e-kirjade platvorm”), kuigi läbipaistvuse huvides on hea tava nimetada olulisemad teenusepakkujad ka nimeliselt. Kolmandatesse riikidesse edastamise korral tuleb märkida kohaldatav kaitsemeede.
Kui tihti tuleb privaatsuspoliitikat uuendada?
Privaatsuspoliitikat tuleb uuendada iga kord, kui muutub töötlemine: lisandub uus eesmärk või töötlemistoiming, muutub õiguslik alus või säilitustähtaeg, kaasatakse uus teenusepakkuja või muutub andmete edastamine kolmandatesse riikidesse. Lisaks on hea tava vaadata poliitika üks kord aastas tervikuna üle koos töötlemise registriga. Iga muudatus tuleb kuupäevastada ja olulistest muudatustest võib olla vajalik andmesubjekte eraldi teavitada.
Kas privaatsuspoliitika on kohustuslik igal veebilehel?
Kui veebileht kogub isikuandmeid – kas või kontaktvormi, kliendikonto või analüütika kaudu – on teavitamiskohustus artiklite 13–14 alusel kohustuslik. Praktikas vajab privaatsuspoliitikat peaaegu iga äriline veebileht. Puhtalt staatiline leht ilma igasuguse andmekogumiseta on erand.
Mille poolest erineb privaatsuspoliitika küpsisepoliitikast?
Privaatsuspoliitika katab kogu isikuandmete töötlemise ja täidab artiklite 13–14 teavitamiskohustust. Küpsisepoliitika keskendub veebilehe küpsistele ja jälgimistehnoloogiatele ning on seotud ePrivaatsuse nõuete ja nõusolekuga. Sageli on küpsiste osa integreeritud privaatsuspoliitikasse või sellega seotud.
Kas privaatsuspoliitika peab olema eesti keeles?
Privaatsuspoliitika peab olema keeles, mida sihtrühm mõistab. Eesti tarbijatele suunatud veebilehel peab see olema kättesaadav eesti keeles; rahvusvahelise suunitluse korral ka teistes asjakohastes keeltes. Oluline on selge ja lihtne keel, mitte juriidiline žargoon.
Kokkuvõte
Privaatsuspoliitika täidab GDPR-i teavitamiskohustust ja on esimene dokument, mille kaudu andmesubjekt ja AKI hindavad läbipaistvust. Hea poliitika kirjeldab tegelikku töötlemist, märgib iga eesmärgi õige õigusliku aluse, esitab säilitustähtajad, loetleb andmesubjekti õigused ja viitab kaebeõigusele AKI-le. Kohanda ülaltoodud näidist oma töötlemise registri järgi, ära märgi kõige aluseks nõusolekut ja hoia dokument ajakohasena. Poliitika ja tegeliku töötlemise kooskõla on olulisem kui teksti pikkus – eksitav poliitika on halvem kui lühike täpne.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial