Kaikki mitä PK-yrityksen tarvitsee tietää GDPR:stä

HallintoTietoturva
Kirjoittaja: Kumppaniblogi

Mikä on GDPR ja millaista tietoa kotisivu saa kerätä ja – ennen kaikkea mitä tietoa se ei saa kerätä? Tämän luettuasi GDPR ei ole enää omituinen ja vaikea akronyymi.

Suurin ”hype” tuon merkillisen kirjainyhdistelmän ympärillä on laantunut, mutta olemme huomanneet, että edelleen on paljon kotisivuja, jotka eivät täytä näitä vaatimuksia. Ajattelimme, että olisi aika kertoa selvällä suomen kielellä mitä GDPR tarkoittaa suomalaisten pienten ja keskisuurten yritysten kotisivujen ja meidän Hostingpalvelun asiakkaidennäkökulmasta.

Mikä on GDPR?

Lyhyesti sanottuna GDPR tulee sanoista General Data Protection Regulation eli se on yleinen tietosuoja-asetus. Henkilötietojen käsittelyä säätelevä laki on olemassa antaakseen paremman suojan sinun ja kaikkien meidän henkilötiedoillemme, yksityisyydellemme sekä antaa enemmän keinoja henkilötietojen käsittelyn hallintaan. Asetus on tullut voimaan kaikissa EU-maissa vuonna 2018. 

Meillä jokaisella on oikeus tietää mitä henkilötietoja eri organisaatiot meistä säilyttävät. Kaikilla on milloin tahansa oikeus kysyä mihin omia tietoja käytetään, pyytää omiin henkilötietoihin liittyviä tietoja yritykseltä, pyytää tietojen poistamista tai muuttamista tai vastustaa tietojen käsittelyä. 

Henkilötietoja ovat:

  • Nimi

  • Puhelinnumero

  • Sijaintitiedot

  • Sairauksia koskevat tiedot

  • Mikä tahansa tieto, joka on liitettävissä tunnistettavaan henkilöön

Lähde: Tietosuoja.fi

Mitä GDPR-tietoja saa kerätä?

Vastaus kuulostaa yksinkertaiselta, ja sitä se onkin. Sen soveltaminen sitten tuottaakin yleensä enemmän päänsärkyä. Tiivistettynä GDPR:n puitteissa saa kerätä vain välttämättömiä henkilötietoja. Kerää siis vain tietoja, jotka tarpeellisia sen kannalta mitä olet tekemässä. 

Esimerkiksi: Jos keräät kotisivuillasi tietoja uutiskirjettä varten, tarvitset henkilön sähköpostin, et vaikkapa kotiosoitetta. Tällöin siis sähköposti on ainoa välttämätön tieto, jotta henkilön voi lisätä postituslistalle. Jos sinulla on verkkokauppa, niin luonnollisesti ostovaiheessa tarvitset laajemmat yhteystiedot laskutusta tai korttiostoa varten.

Varmin tapa tietojen lailliseen käsittelyyn on yksinkertaisimmillaan pyytää henkilöltä lupa tietojen käyttöön. Tällöin ei kuitenkaan enää riitä teksti pienellä fontilla tietojen keräämisestä ja säilyttämisestä, vaan henkilön on voitava itse aktiivisesti esimerkiksi rasti ruutuun -menetelmällä tehtävä valinta tietojen luovuttamisesta. 

Kerääkö kotisivuni henkilötietoja?

Jos kotisivuillasi on esimerkiksi yhteydenottolomake tai jokin analytiikkatyökalu liitettynä (esim. Google Analytics) tällöin sivustollasi kerätään henkilötietoja. Jos asiakastiedossasi on vain yritystietoja, ei yrityksen henkilöedustajaa, se ei ole silloin henkilötieto eikä näin ollen GDPR:n piirissä.

Tiedon keräämiseen kannattaakin kiinnittää erityishuomiota, jos kerättävät tiedot ovat erityisen arkaluontoisia, kuten henkilöiden terveystietoja. 

Kuinka kauan henkilötietoja saa säilyttää?

GDPR-asetuksen mukaan mahdollisuuksien mukaan tietojen säilyttämiselle on määriteltävä jokin aikajakso, tietoja ei siis saa säilyttää toistaiseksi. Toisin sanoen tietoja ei saa säilyttää periaatteella ”jos joskus tarvitaan”. 

Huomaa myös, että jos tietosuojaselosteeseen kirjattu se aika, kuinka kauan tietoja säilytetään, on yrityksen myös varmistettava, että tämän ajan täyttyessä tiedot myös poistuvat. Tärkeää on tiedostaa myös erilaiset toimialakohtaiset tietojen säilyttämiseen liittyvät lait ja asetukset, jotka on huomioitava aina ennen GDPR:ää.

Tarvitseeko kotisivuilla olla tietosuojaseloste?

Tietosuojaseloste ei ole määrämuotoinen, kuten rekisteriseloste aikanaan oli. Sen sijaan tietosuojaselosteen päällimmäinen tarkoitus on informoida selkeästi kotisivukävijöitä heitä koskevista henkilötietoihin liittyvistä oikeuksista. Tietosuojaselosteesta ilmenee miten ja mistä henkilö voi tarkistaa häntä koskevat tiedot ja miten muuttaa tai poistaa heitä koskevia tietoja.Tietosuojaseloste itsessään ei siis ole tarpeellinen, mutta sivustolla on oltava selkeästi ilmaistuna tiedot henkilötietojen käsittelystä. Lisätietoa tietosuojaselosteesta ja sen tarpeellisuudesta löydät täältä. (((LINKKI: https://tietosuoja.fi/-/tietosuoja-asetus-ei-edellyta-entisen-kaltaista-rekisteri-tai-tietosuojaselostetta)))

Minulla on WordPress/Oidom-kotisivut, miten GDPR vaikuttaa minuun?

WordPressistä löytyy lukuisia erilaisia GDPR:ää tukevia lisäosia. WordPressin lisäosilla sivuston ylläpitäjä voi toimittaa sivukävijälle heidän pyytämiään tietoja tai esittää mahdollisuuden käyttäjän tietojen poistoon. Käyttäjälle tulee olla mahdollisuus estää tietojen käyttäminen tai tehdä sivukäynnistä anonyymi. 

Jos olet Hostingpalvelun asiakas ja sinulla on joko webhotellipaketti tai WordPress-webhotelli meidän kauttamme, sinulla on sivustoosi sisällytettynä myös SSL-sertifikaatti. GDPR:n myötä SSL-suojatut kotisivut voivat pyytää ja kerätä henkilötietoja. SSL eli Secure Sockets Layer) on suojausmenetelmä, joka suojaa käyttäjän ja selaimen välistä yhteyttä.

GDPR:n huomioiminen omilla kotisivuilla

GDPR-asioihin liittyen on hyvä huomioida se seikka, että tietoja saa edelleen kerätä, mutta yrityksen, yhdistyksen tai yhteisön tulee pystyä osoittamaan mihin tarkoitukseen tietoja kerätään ja esittää tiedot henkilölle läpinäkyvästi. 

Jos henkilötietojen keräämiselle ei ole olemassa perustetta, ei näitä henkilötietoja tällöin saa kerätä. Kyse ei siis ole niin tiedosta itsestään vaan käyttötarkoituksesta ja tietojen keräämisen perusteista. Tiedot on myös pystyttävä tarvittaessa poistamaan välittömästi henkilön niin halutessa. 

BIO

Santeri Jaakkola työskentelee Hostingpalvelulla markkinointijohtajana. Santeri on markkinoinnin moniottelija, mutta erityistaidot löytyvät digimarkkinoinnista ja asiakaskokemuksen kehittämisestä. Vapaa-ajalla kiinnostuksen kohteet löytyvät erilaisten pallopelien ja bisneskirjallisuuden parista.

Kumppaniblogi
Edellinen

Liity Suomen suurimpaan virtuaaliseen yrittäjäyhteisöön
Seuraava

Kasino- ja rahapeliteknologian tulevaisuus vuonna 2023