GDPR-ohjeet selkokielellä

Viimeisimmässä blogissani näpyttelin selko-ohjeita tietosuojaselosteelle, tai miksi sitä missäkin kutsutaan, sitä rekisteriselostetta.

Tarkkasilmäinen verkkokauppa-asiantuntija Erno Penttilä löysi blogikirjoituksestani lukuisia muinaisjäänteitä nykyisistä tietosuojamääräyksistä, jotka siis eivät enää päde 25.5.2018 jälkeen.

Koska GDPR-aiheen ympärille on kehkeytynyt pääasiassa porua ja rahastusta, säikähdin jo itsekin Ernon yhteydenottoa. Onko minun sittenkin päntättävä lakitekstiä, maksettava itseni kipeäksi ja pukeuduttava kokovartalokondomiin selvitäkseni tulevaisuuden uusista haasteista?

Tietosuojaseloste voi olla jopa yksinkertaisempi kuin aiemmin

Huh! Ei sentään. Ernon suomentamana ymmärsin, että ainakin minun kohdallani asia on jopa helpompi kuin tällä hetkellä voimassa olevan henkilötietolain mukaan. Ja selosteen tekstimäärä väheni ainakin puolella!

Lisäys 4.5.2018: Tietosuojavaltuutetun toimistosta kerrotaan myös, että tietosuoja-asetus ei edellytä entisen kaltaista rekisteri- tai tietosuojaselostetta:

”Rekisteri- ja tietosuojaselosteista on liikkeellä virheellistä tietoa. Henkilötietolaista poiketen EU:n yleinen tietosuoja-asetus ei edellytä rekisteri- tai tietosuojaselosteen laatimista. Rekisteröityjä täytyy kuitenkin informoida henkilötietojen käsittelystä.”

Edelleenkin täytyy itse tietää, mitä tietoja yrityksessään käsittelee, mitä näille tiedoille tekee, miten niitä säilyttää ja niin edelleen. Tietosuojaselosteen yksinkertaisuus, selkeys tai lyhyys ei myöskään poista sitä, etteikö sinun pitäisi tarkasti huolehtia siitä, että tiedot eivät päädy vääriin käsiin.

Alla on siis Erno Penttilän esimerkin perusteella koostettu tietosuojaseloste, jonka voin vaikkapa laittaa tänne omille sivuilleni. Huomaa, että sinun täytyy kohta kohdalta miettiä, miten asiat toteutuvat omassa yrityksessäsi.

Huom! Omat asiakkaani ovat yritysasiakkaita. Jos sinulla on kuluttaja-asiakkaita tai esimerkiksi verkkokauppa, mm. henkilötietojen käyttötarkoitus ja peruste voivat olla erilaisia. Ja jos sinulla on erilaisia kohderyhmiä, voit tehdä erilliset tietosuojaselosteet jokaiselle.

Löydät hyvän esimerkin tietosuojaselosteesta Verkkokauppablogista!

Esimerkki omasta tietosuojaselosteestani:

Tietosuojaseloste 25.4.2018

Rekisterinpitäjä:
Miia Ylinen
Viitavuorentie 251
63400 Alavus as
miia@miiaylinen.fi.

Kerään henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn perusteena on oikeutettu etu ja lakisääteiset velvoitteet.

Kerään tietoja myös markkinointia varten. Henkilötietojen käsittelyn oikeusperusteena on suostumus.

En tee käyttäjiä koskevia profilointeja ja automaattisia päätöksiä.

Henkilötietojasi vastaanottavat
– yrityksemme, siis minä itse
– sinä itse, jos keskustelemme esim. sähköpostitse

Säilytämme henkilötietojasi:
– sähköpostiarkistossa seitsemän vuoden ajan
– kirjanpitoaineistossa seitsemän vuoden ajan.

Sinulla on seuraavat oikeudet:
– oikeus tarkastaa itseäsi koskevat henkilötiedot
– oikeus tietojen oikaisemiseen
– oikeus käsittelyn rajoittamiseen (voit esimerkiksi kieltää markkinoinnin)
– oikeus vastustaa käsittelyä
– oikeus peruuttaa suostumus (voit esimerkiksi peruuttaa suostumuksesi markkinointiin)
– oikeus tehdä valitus valvontaviranomaiselle

Huomioithan, että sinulla on ”oikeus tulla unohdetuksi” vain, jos meillä ei ole lakisääteisiä velvoitteita jatkaa henkilötietojesi käsittelyä.

Tutustu Verkkokauppablogin ohjeisiin ja tee oma tietosuojaseloste!

Entäs sitten ne evästeilmoitukset?

Niin, täytyykö näytölle ilmestyä se häiritsevä evästeilmoitus, jossa evästeet pitää erikseen hyväksyä?

Jatkossa selaimen evästeasetus riittää yleensä suostumukseksi ihan virallisesti kaikkialla EU:ssa. Euroopan komission lehdistötiedotteessa mainitaan yksinkertaisemmat säännöt evästeistä:

“Evästeiden käytön säännöt ovat johtaneet siihen, että internetin käyttäjät hukkuvat suostumuspyyntöihin. Nyt sääntöjä kevennetään. Suostumusta ei edellytetä, jos eväste ei ole tungetteleva, vaan sillä varmistetaan internetin käyttökokemus – esimerkiksi ostoskorin historiatietojen muistaminen. Suostumusta ei myöskään enää edellytetä, jos kyseessä ovat kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet.”

Eli jos käyttäjä (sivujesi kävijä) on laittanut oman nettiselaimensa asetuksiin, että selain hyväksyy evästeet, niin tämä riittää suostumukseksi. Käyttäjä voi kieltäytyä evästeiden käytöstä estämällä niiden asentumisen omaan selaimeensa.

Mikäli aiheesta tulee tarkempia ohjeita (ja taatusti tulee), täydennän niitä tähän artikkeliin! 

Esimerkiksi Google Analyticsin ja muiden seurantatyökalujen osalta liikkeellä on nyt paljon ristiriitaista tietoa. Mutta näihinkin palaan vielä!

PS. Tämä artikkeli ei ole lainopillinen neuvo. En ole vastuussa sen oikeellisuudesta, joten noudata sitä omalla vastuullasi!

Lue lisää aiheesta

Tietosuoja-asetus selkokielellä (Verkkokauppablogi.fi)
Täällä yksi esimerkki tietosuojaselosteesta: https://www.ostokset.fi/tietosuojaseloste-kayttajille.html

 

4 kommenttia

  1. Toni 18.5.2018 at 19:02 - Reply

    Hei. Hyvät ohjeet, jolla pääsee alkuun. Olet perehtynyt asiaan.

    Sellainen asia mikä kiinnostaa on että jos sivuilta ei kerätä esim newsletteriin maileja mutta siellä on yhteydenottolomake, niin onko se sinun mielestä rekisteri? Siis lomake lähettää tiedot suoraan mailiin eikä tallenna niitä palvelimelle.

    Kyllähän tämä koko GDPR tulee räjähtämään käsiin, koska jos ihan tarkkoja ollaan niin eikös myös yrittäjän puhelimen osoitekirja ole tavallaan rekisteri?

    Onko rekisteriseloste pakollinen sivulla joka ei kerää tietoja?

    Toni

    • Miia Ylinen 21.5.2018 at 10:01 - Reply

      Hyviä kysymyksiä!

      Henkilörekisteri muodostuu henkilötiedoista, olivat ne sitten palvelimella, sähköpostilaatikossa tai vaikka ruutuvihkossa. Eli kyllä, lomakkeella kerätyt yhteystiedot ovat yhtä lailla henkilörekisteri, vaikkei näihin yhteystietoihin lähetettäisi uutiskirjeitä tai mitään muutakaan.

      Puhelimessa olevat yhteystiedot ovat myös rekisteri. Ja se on aivan ok – tämä vain kirjataan selosteeseen.

      Yrityksellä on lähes aina henkilörekisterejä – eli yrityksessä käsitellään henkilötietoja, vaikka ne olisivat vain nimiä, puhelinnumeroita tai vaikkapa laskutusosoitteita. GDPR:n mukaan yrityksen tulee tietää, miten henkilötietojen käsittelyyn liittyvät asiat on hoidettu. Käsittelytoimista laaditaan seloste. Kenen tahansa pitää seloste lukemalla ymmärtää, miten yritys kerää ja käsittelee henkilötietoja.

      Tietosuojaseloste on laitettava näkyviin kaikkiin sellaisiin verkkopalveluihin, joissa tavalla tai toisella kerätään ihmisten henkilötietoja. Eli esimerkiksi verkkokaupassa tai sivuilla, joilla on yhteydenottolomake, tarvitaan tietosuojaseloste.

      Jos yritys ei kerää netissä tietoja, selosteen henkilötietojen käsittelystä on oltava saatavilla esim. toimipaikassa. Mutta samalla vaivalla kun sen laatii toimipaikkaan, sen voi tietysti julkaista myös netissä.

      GDPR:stä on tehty iso numero Suomessa. Mielestäni pienyrittäjän ei tarvitse siitä kauheasti stressiä ottaa: kyllähän yrittäjä tietää, mitä tietoja kerää, mistä näitä tietoja kerää, mihin tietoja käyttää, miten niitä säilyttää jne. Tiedot näistä asioita vain kirjataan ylös.

      Ja asiakkaan saatavilla olevassa tietosuojaselosteessa tämän kaiken voi ilmaista selkeästi – esimerkiksi ”Asiakkaan yhteystietoja käytetään yhteydenpitoon ja laskutukseen” ja vaikkapa ”Asiakkaan yhteystietoja säilytetään lakisääteisten vaatimusten mukaisesti”. Selosteeseen ei siis pidä tunkea mitään vaikeaselkoista lakitekstiä, vaikka lähes kaikki GDPR-ohjeet on laadittu sillä tavalla 🙂

  2. Janne 10.8.2018 at 17:01 - Reply

    Hei,

    Saako esimerkkiäsi tietosuojaselosteesta käyttää, jos vain teen pieniä muutoksia, eli tietenkin yrityksen tiedot?

    • Miia Ylinen 13.8.2018 at 10:39 - Reply

      Hei,

      Kiitos viestistäsi!

      Kyllä tätä esimerkkiä saa minun puolestani käyttää ja muokata omaan käyttöön – omien toimintatapojesi mukaisesti ja omalla vastuullasi. Tämän oman esimerkkini olin laatinut siltä pohjalta, miten itse sillä hetkellä toimin. Tuon selosteen laatimiseen olin käyttänyt Verkkokauppablogin laatimaa esimerkkiä, luvan kanssa tietysti.

      Joten jos vaikkapa tilitoimisto tai joku muu taho käsittelee asiakkaidesi tietoja, myös se pitäisi lisätä selosteeseen.

      Yleisesti ottaen sopimuksia ei saa kopioida – esimerkiksi verkkokaupan toimitusehtojakaan ei saa kopioida omaan käyttöön: https://www.finlex.fi/fi/oikeus/ho/2007/tho20070315

      Terveisin Miia

Kommentoi tai kysy!