Onko pakko?
Kyllä – pienenkin yrittäjän pitää laatia seloste henkilötietojen käsittelystä. Tämä ei kuitenkaan tarkoita monisivuista lakijargonia, vaan yksinkertaista ja selkeää kuvausta siitä, miten juuri sinun yrityksesi käsittelee henkilötietoja.
Tietosuojaselostetta ei voi kopioida toiselta yritykseltä, koska jokainen yritys käsittelee tietoja hieman eri tavalla.
Tarvitseeko nettisivu evästehyväksyntää?
Ei aina! Tämä on yleinen väärinkäsitys. Jos sivustosi ei aseta muita kuin välttämättömiä evästeitä, kuten sivuston toiminnan kannalta tarpeellisia istuntoevästeitä, et tarvitse evästebanneria.
Mutta jos sivustollasi on kolmannen osapuolen palveluita, jotka asettavat evästeitä, tarvitset evästebannerin, josta käyttäjä voi hyväksyä tai hylätä nämä evästeet.
Milloin tarvitset evästebannerin ja tietoa tietosuojaselosteeseen?
Jos käytät sivuillasi esimerkiksi:
✅ YouTube- tai Vimeo-videoita (videoupotukset)
✅ Google Analyticsia (kävijäseuranta)
✅ Meta-pikseliä (Facebook-mainonnan seuranta)
✅ Upotettua some-sisältöä (esim. Instagram, Facebook)
…silloin nämä palvelut asettavat kävijän selaimeen evästeitä, joilla seurataan käyttäjien toimintaa. Tästä on kerrottava tietosuojaselosteessa ja annettava käyttäjälle mahdollisuus hyväksyä tai kieltää nämä evästeet.
Muista: Tietosuojaselosteessa pitää erikseen listata, mitä seuranta- ja evästepalveluja käytät, mitä tietoja keräät ja miten niitä käsittelet.
Tietosuojaseloste – koskeeko se vain nettisivuja?
Ei! GDPR koskee kaikkea henkilötietojen käsittelyä – ei pelkästään nettisivujen kautta kerättyjä tietoja. Jos olet yrittäjä, sinulla on todennäköisesti asiakkaiden yhteystietoja, laskutustietoja tai ajanvarausjärjestelmä, jossa säilytät henkilötietoja.
Vaikka säilyttäisit asiakkaiden tietoja ruutuvihkossa tai puhelimen yhteystiedoissa, sinun täytyy tietää ja pystyä kertomaan:
📌 Mitä tietoja keräät
📌 Miksi keräät tietoja ja mihin niitä käytät
📌 Mistä tiedot tulevat (asiakas, ajanvarausjärjestelmä, lomake)
📌 Missä säilytät tietoja ja kuinka kauan
📌 Kuka tai ketkä käsittelevät tietoja
📌 Luovutetaanko tietoja kolmansille osapuolille
📌 Mitkä ovat asiakkaan oikeudet omiin tietoihinsa
Näitä tietoja ei kuitenkaan tarvitse julkaista nettisivuilla, ellet kerää henkilötietoja nettisivujen kautta. Mutta jokaisella yrityksellä on velvollisuus tietää ja dokumentoida henkilötietojen käsittely omassa toiminnassaan.
Tietosuojaselosteen tekeminen – miten alkuun?
Ei tarvitse laatia monimutkaista lakitekstiä eikä stressata turhaan. Jos GDPR ja tietosuojaseloste tuntuvat monimutkaisilta, aloita näin:
1️⃣ Kirjaa ylös kaikki, mitä jo tiedät: Miten keräät ja käsittelet asiakastietoja?
2️⃣ Täydennä tarvittaessa: Mieti, mitä tietoja tarvitset ja miten niitä säilytät.
3️⃣ Tee yksinkertainen listaus: Ei tarvitse monimutkaista dokumenttia – tärkeintä on selkeys ja läpinäkyvyys.
Voit kirjoittaa tietosuojaselosteen vaikka Google Docsiin ja päivittää sitä tarpeen mukaan.
Lue myös:
Lisää tietoa aiheesta GDPR
GDPR ei ole pop-up-ikkuna eikä WordPressin lisäosa
Evästeilmoitus ponnahdusikkunassa
PS. Tämäkään artikkeli ei ole lainopillinen neuvo.