GDPR-ohjeet tietosuojaselosteen laatimiseen

Viimeisimmässä blogissani näpyttelin selko-ohjeita tietosuojaselosteelle, tai miksi sitä missäkin kutsutaan, sitä rekisteriselostetta.

Tarkkasilmäinen verkkokauppa-asiantuntija Erno Penttilä löysi blogikirjoituksestani lukuisia muinaisjäänteitä nykyisistä tietosuojamääräyksistä, jotka siis eivät enää päde 25.5.2018 jälkeen.

Koska GDPR-aiheen ympärille on kehkeytynyt pääasiassa porua ja rahastusta, säikähdin jo itsekin Ernon yhteydenottoa. Onko minun sittenkin päntättävä lakitekstiä, maksettava itseni kipeäksi ja pukeuduttava kokovartalokondomiin selvitäkseni tulevaisuuden uusista haasteista?

Tietosuojaseloste voi olla jopa yksinkertaisempi kuin aiemmin

Huh! Ei sentään. Ernon suomentamana ymmärsin, että ainakin minun kohdallani asia on jopa helpompi kuin tällä hetkellä voimassa olevan henkilötietolain mukaan. Ja selosteen tekstimäärä väheni ainakin puolella!

Lisäys 4.5.2018: Tietosuojavaltuutetun toimistosta kerrotaan myös, että tietosuoja-asetus ei edellytä entisen kaltaista rekisteri- tai tietosuojaselostetta:

”Rekisteri- ja tietosuojaselosteista on liikkeellä virheellistä tietoa. Henkilötietolaista poiketen EU:n yleinen tietosuoja-asetus ei edellytä rekisteri- tai tietosuojaselosteen laatimista. Rekisteröityjä täytyy kuitenkin informoida henkilötietojen käsittelystä.”

Edelleenkin täytyy itse tietää, mitä tietoja yrityksessään käsittelee, mitä näille tiedoille tekee, miten niitä säilyttää ja niin edelleen. Tietosuojaselosteen yksinkertaisuus, selkeys tai lyhyys ei myöskään poista sitä, etteikö sinun pitäisi tarkasti huolehtia siitä, että tiedot eivät päädy vääriin käsiin.

Alla on siis Erno Penttilän esimerkin perusteella koostettu tietosuojaseloste, jonka voin vaikkapa laittaa tänne omille sivuilleni. Huomaa, että sinun täytyy kohta kohdalta miettiä, miten asiat toteutuvat omassa yrityksessäsi.

Huom! Omat asiakkaani ovat yritysasiakkaita. Jos sinulla on kuluttaja-asiakkaita tai esimerkiksi verkkokauppa, mm. henkilötietojen käyttötarkoitus ja peruste voivat olla erilaisia. Ja jos sinulla on erilaisia kohderyhmiä, voit tehdä erilliset tietosuojaselosteet jokaiselle.

Löydät hyvän esimerkin tietosuojaselosteesta Verkkokauppablogista!

Esimerkki omasta tietosuojaselosteestani:

Tietosuojaseloste 25.4.2018

Rekisterinpitäjä:
Miia Ylinen
Viitavuorentie 251
63400 Alavus as
miia@miiaylinen.fi.

Kerään henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn perusteena on oikeutettu etu ja lakisääteiset velvoitteet.

Kerään tietoja myös markkinointia varten. Henkilötietojen käsittelyn oikeusperusteena on suostumus.

En tee käyttäjiä koskevia profilointeja ja automaattisia päätöksiä.

Henkilötietojasi vastaanottavat
– yrityksemme, siis minä itse
– sinä itse, jos keskustelemme esim. sähköpostitse

Säilytämme henkilötietojasi:
– sähköpostiarkistossa seitsemän vuoden ajan
– kirjanpitoaineistossa seitsemän vuoden ajan.

Sinulla on seuraavat oikeudet:
– oikeus tarkastaa itseäsi koskevat henkilötiedot
– oikeus tietojen oikaisemiseen
– oikeus käsittelyn rajoittamiseen (voit esimerkiksi kieltää markkinoinnin)
– oikeus vastustaa käsittelyä
– oikeus peruuttaa suostumus (voit esimerkiksi peruuttaa suostumuksesi markkinointiin)
– oikeus tehdä valitus valvontaviranomaiselle

Huomioithan, että sinulla on ”oikeus tulla unohdetuksi” vain, jos meillä ei ole lakisääteisiä velvoitteita jatkaa henkilötietojesi käsittelyä.

Tutustu Verkkokauppablogin ohjeisiin ja tee oma tietosuojaseloste!

Entäs sitten ne evästeilmoitukset?

Niin, täytyykö näytölle ilmestyä se häiritsevä evästeilmoitus, jossa evästeet pitää erikseen hyväksyä?

Jatkossa selaimen evästeasetus riittää yleensä suostumukseksi ihan virallisesti kaikkialla EU:ssa. Euroopan komission lehdistötiedotteessa mainitaan yksinkertaisemmat säännöt evästeistä:

“Evästeiden käytön säännöt ovat johtaneet siihen, että internetin käyttäjät hukkuvat suostumuspyyntöihin. Nyt sääntöjä kevennetään. Suostumusta ei edellytetä, jos eväste ei ole tungetteleva, vaan sillä varmistetaan internetin käyttökokemus – esimerkiksi ostoskorin historiatietojen muistaminen. Suostumusta ei myöskään enää edellytetä, jos kyseessä ovat kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet.”

Eli jos käyttäjä (sivujesi kävijä) on laittanut oman nettiselaimensa asetuksiin, että selain hyväksyy evästeet, niin tämä riittää suostumukseksi. Käyttäjä voi kieltäytyä evästeiden käytöstä estämällä niiden asentumisen omaan selaimeensa.

Ajankohtaista 2021, 2022 ja 2023:

HUOM! Lisätty tietoa evästeilmoituksiin liittyen tähän artikkeliin: Evästeilmoitus ponnahdusikkunassa – lue koko artikkeli ja sen uudet hyödylliset linkit!

PS. Tämä artikkeli ei ole lainopillinen neuvo. En ole vastuussa sen oikeellisuudesta, joten noudata sitä omalla vastuullasi!

Lue lisää aiheesta

Tietosuoja-asetus selkokielellä (Verkkokauppablogi.fi)
Täällä yksi esimerkki tietosuojaselosteesta: https://www.ostokset.fi/tietosuojaseloste-kayttajille.html

GDPR ei ole pop-up-ikkuna eikä WordPressin lisäosa

Evästeilmoitus ponnahdusikkunassa

Tietosuoja ja tietoturva – toisesta korvasta sisään ja toisesta ulos

Näitä vinkkejä saa laittaa jakoon!

14 Kommenttia

  1. Hei. Hyvät ohjeet, jolla pääsee alkuun. Olet perehtynyt asiaan.

    Sellainen asia mikä kiinnostaa on että jos sivuilta ei kerätä esim newsletteriin maileja mutta siellä on yhteydenottolomake, niin onko se sinun mielestä rekisteri? Siis lomake lähettää tiedot suoraan mailiin eikä tallenna niitä palvelimelle.

    Kyllähän tämä koko GDPR tulee räjähtämään käsiin, koska jos ihan tarkkoja ollaan niin eikös myös yrittäjän puhelimen osoitekirja ole tavallaan rekisteri?

    Onko rekisteriseloste pakollinen sivulla joka ei kerää tietoja?

    Toni

    1. Hyviä kysymyksiä!

      Henkilörekisteri muodostuu henkilötiedoista, olivat ne sitten palvelimella, sähköpostilaatikossa tai vaikka ruutuvihkossa. Eli kyllä, lomakkeella kerätyt yhteystiedot ovat yhtä lailla henkilörekisteri, vaikkei näihin yhteystietoihin lähetettäisi uutiskirjeitä tai mitään muutakaan.

      Puhelimessa olevat yhteystiedot ovat myös rekisteri. Ja se on aivan ok – tämä vain kirjataan selosteeseen.

      Yrityksellä on lähes aina henkilörekisterejä – eli yrityksessä käsitellään henkilötietoja, vaikka ne olisivat vain nimiä, puhelinnumeroita tai vaikkapa laskutusosoitteita. GDPR:n mukaan yrityksen tulee tietää, miten henkilötietojen käsittelyyn liittyvät asiat on hoidettu. Käsittelytoimista laaditaan seloste. Kenen tahansa pitää seloste lukemalla ymmärtää, miten yritys kerää ja käsittelee henkilötietoja.

      Tietosuojaseloste on laitettava näkyviin kaikkiin sellaisiin verkkopalveluihin, joissa tavalla tai toisella kerätään ihmisten henkilötietoja. Eli esimerkiksi verkkokaupassa tai sivuilla, joilla on yhteydenottolomake, tarvitaan tietosuojaseloste.

      Jos yritys ei kerää netissä tietoja, selosteen henkilötietojen käsittelystä on oltava saatavilla esim. toimipaikassa. Mutta samalla vaivalla kun sen laatii toimipaikkaan, sen voi tietysti julkaista myös netissä.

      GDPR:stä on tehty iso numero Suomessa. Mielestäni pienyrittäjän ei tarvitse siitä kauheasti stressiä ottaa: kyllähän yrittäjä tietää, mitä tietoja kerää, mistä näitä tietoja kerää, mihin tietoja käyttää, miten niitä säilyttää jne. Tiedot näistä asioita vain kirjataan ylös.

      Ja asiakkaan saatavilla olevassa tietosuojaselosteessa tämän kaiken voi ilmaista selkeästi – esimerkiksi ”Asiakkaan yhteystietoja käytetään yhteydenpitoon ja laskutukseen” ja vaikkapa ”Asiakkaan yhteystietoja säilytetään lakisääteisten vaatimusten mukaisesti”. Selosteeseen ei siis pidä tunkea mitään vaikeaselkoista lakitekstiä, vaikka lähes kaikki GDPR-ohjeet on laadittu sillä tavalla 🙂

  2. Hei,

    Saako esimerkkiäsi tietosuojaselosteesta käyttää, jos vain teen pieniä muutoksia, eli tietenkin yrityksen tiedot?

    1. Hei,

      Kiitos viestistäsi!

      Kyllä tätä esimerkkiä saa minun puolestani käyttää ja muokata omaan käyttöön – omien toimintatapojesi mukaisesti ja omalla vastuullasi. Tämän oman esimerkkini olin laatinut siltä pohjalta, miten itse sillä hetkellä toimin. Tuon selosteen laatimiseen olin käyttänyt Verkkokauppablogin laatimaa esimerkkiä, luvan kanssa tietysti.

      Joten jos vaikkapa tilitoimisto tai joku muu taho käsittelee asiakkaidesi tietoja, myös se pitäisi lisätä selosteeseen.

      Yleisesti ottaen sopimuksia ei saa kopioida – esimerkiksi verkkokaupan toimitusehtojakaan ei saa kopioida omaan käyttöön: https://www.finlex.fi/fi/oikeus/ho/2007/tho20070315

      Terveisin Miia

  3. Hei! Onko tietosuojaseloste oltava, jos yksityinen henkilö perustaa blogin ja blogin lukijoille ei anneta mahdollisuutta liittyä sähköpostilistalle, mutta lukijoiden on mahdollista kommentoida blogia ja kommentointia varten lukijan on annettava sähköpostiosoitteensa, joka tallentuu palvelimelle? Entä onko yksityisen henkilön blogissa aina oltava linkki, mistä saa lisätietoa evästeistä? Mistä tiedän, mitä evästeitä WordPress tai valitsemani lisäosat käyttävät?

    1. Hei Ihmettelijä!

      Erinomaisia kysymyksiä!

      Tietosuoja-asetus koskee vain yrityksiä ja organisaatioita, ei yksityishenkilöitä, jotka pitävät blogiaan esim. huvin vuoksi. Tietosuojavaltuutetun sivulla todetaan seuraavaa: ”Tietosuojalainsäädäntöä ei sovelleta ihmisen suorittamaan henkilötietojen käsittelyyn, jos käsittely on henkilökohtaista, eikä liity ammatilliseen tai kaupalliseen toimintaan. Tällaista henkilötietojen käsittelyä voi olla esimerkiksi osoitteiston pitäminen ja sosiaalinen verkostoituminen.” (Lähde: Mikä on henkilötieto).

      Evästeistä:

      En muuten tiedä asiasta yksityishenkilön kannalta ollenkaan, joten tässä kappaleessa on pelkkää arvailua. Omasta mielestäni sivujen toiminnan mahdollistavat normaalit evästeet ovat sellaisia, että niistä on aivan turha tiedottaa yksityishenkilön sivuilla, mutta mikäs nyt maalaisjärjen mukaan menisi. Se että kävijä pystyy kommentoimaan tai itse pystyt kirjautumaan sivustolle, ovat niin perusasioita. En myöskään äkkiä kahlaten löytänyt netistä mitään ohjetta tähän. Mikäli joku lakihenkilö osaa vastata tähän kysymykseen selkeästi (esim. kyllä tarvitsee tiedottaa tai ei tarvitse tiedottaa), niin mielelläni kuulisin vastauksen. Tosin ei yksityishenkilöllekään varmaan ole mikään ongelma laittaa sivustolle tiedotetta siitä, mihin evästeitä käytetään (esim. linkki Evästekäytännöt vaikkapa johonkin sivujen alaosaan). WordPressissähän on myös hyvät pohjat evästekäytännöistä tiedottamiselle – esimerkiksi juuri tuon kommentoinnin suhteen.

      Jos haluat tietää, mitä evästeitä sivuillasi (tai kenen tahansa sivuilla) on, siirry sivuillesi ja klikkaa osoitteen vieressä olevaa lukon kuvaa. Klikkaa kohtaa ”Evästeet” (jonka perässä näkyy evästeiden lukumäärä) (Näin ainakin Chrome-selaimella). Näet tarkat tiedot, mihin liittyviä evästeitä sivuillesi on liitetty. Toki nimistä ei voi välttämättä päätellä, onko joukossa sellaisia evästeitä, joista tarvitsee tiedottaa.

      Yksityisenä henkilönä et todennäköisesti esim. kerää demografisia tietoja, kohdenna markkinointia analytiikan perusteella tai yhdistä tietoja esim. markkinoinnin automaatioon. Jos siis et keräile ja yhdistele tämän tyyppisiä tietoja, sivuillasi tuskin on sellaisia evästeitä, joiden käyttöön esim. tarvitsisi pyytää lupa.

  4. Kiitos tosi paljon erittäin kattavasta vastauksesta! Samalla kiitän loistavasta blogista!

  5. Mietin vielä, lasketaankohan kaupalliseksi toiminnaksi, jos yksityinen blogin pitäjä saa esim. tuotteita arvosteltavaksi blogissa…?

    1. Hei!

      Kun yritys antaa bloggaajalle tuotteitaan arvosteltavaksi blogiin, kyse on (yrityksen) kaupallisesta toiminnasta. Kilpailu- ja kuluttajaviraston sivuilla sanotaan seuraavaa:

      ”Harrastusbloggaajaa ei velvoita suoraan kuluttajansuojalainsäädäntö tai Journalistin ohjeet, mutta mainostava yritys on siitä huolimatta vastuussa lainsäädännön noudattamisesta blogin kautta markkinoidessaan. Bloggaaja, joka suosittelee yritykseltä saamiaan tuotteita, palveluita tai muita vastikkeettomia etuja blogissaan, markkinoi tosiasiassa yrityksen lukuun, vaikka bloggaajalla ei olisikaan velvollisuutta kertoa tuotteesta blogissaan. Siksi yrityksen, joka lähettää tuotteitaan bloggaajalle siinä tarkoituksessa, että niistä kirjoitetaan positiivisia arvioita, tulee neuvoa bloggaajaa toimimaan niin, että yhteistyöstä tai vastikkeettomien etujen vastaanottamisesta kerrotaan avoimesti postauksien yhteydessä.”

      KKV:n sivuilta löytyy lisää tietoa asiasta, sekä esimerkkejä, miten tällaisesta yhteistyöstä voisi sivuillaan tiedottaa:
      https://www.kkv.fi/ratkaisut-ja-julkaisut/julkaisut/kuluttaja-asiamiehen-linjaukset/aihekohtaiset/mainonnan-tunnistettavuus-blogeissa/

  6. Kiitos, linkki oli tosi hyödyllinen! Viittasin siis kysymykselläni kaupallisesta toiminnasta siihen, että jos yksityisenä henkilönä bloggaava saa tuotteita arvosteltavaksi, niin vaikuttaako se tuohon tietosuojaselosteen tarpeeseen, mistä keskustelimme yllä.

    ”Tietosuojalainsäädäntöä ei sovelleta ihmisen suorittamaan henkilötietojen käsittelyyn, jos käsittely on henkilökohtaista, eikä liity ammatilliseen tai kaupalliseen toimintaan. Tällaista henkilötietojen käsittelyä voi olla esimerkiksi osoitteiston pitäminen ja sosiaalinen verkostoituminen.” (Lähde: Mikä on henkilötieto).

    1. Kaupallisesta yhteistyöstä tiedottaminen ei liity henkilötietojen keräämiseen, jota tietosuojaselosteessa käsitellään.

      Eli voit tiedottaa kaupallisesta yhteistyöstä esim. blogikirjoituksen yhteydessä tai tehdä vaikkapa oman sivun, jossa kerrot kaupallisesta yhteistyöstä – ja kaupallisesta bloggauksesta linkki ko. tiedotussivulle.

  7. Jos harrastusbloggaajan blogissa on käytössä Google Analytics ja sivustolla näytetään Googlen mainoksia, seuraako tästä jotain velvotteita?

    Eli esim.
    Pitääkö pyytää blogin lukijalta lupa evästeiden käyttöön ja/tai mainosten näyttämiseen?
    Pitääkö lisätä sivu, jossa kerrotaan näistä evästeistä?
    Tarvitseeko luoda tietosuojaseloste tms?

    Kiitos jos ehdit vastata. Sivustosi on muuten erinomainen.

    1. Hei!

      Kiitos kysymyksestä ja palautteesta!

      Evästeistä kertovaa pop-uppia ei tarvitse olla, kunhan sivuilla muuten kerrotaan evästeistä vaikkapa omalla sivullaan:

      ”Suomessa evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.” – Kyberturvallisuuskeskus

      Täällä olen käsitellyt pop-up-asiaa: https://miiaylinen.fi/evasteilmoitus-ponnahdusikkunassa/. Mainosten näyttämiseen en ole perehtynyt. Mahdollisista velvoitteista toivottavasti infotaan mainonnan aloittamisen yhteydessä, mutta tuon samaisen periaatteen mukaan voisin kuvitella että riittää, kun evästeistä tiedotetaan omalla sivullaan, ei pop-upissa.

      Tietosuoja-asetus koskee vain yrityksiä ja organisaatioita, ei yksityishenkilöitä, jotka pitävät blogiaan esim. huvin vuoksi. Tietosuojavaltuutetun sivulla todetaan seuraavaa: ”Tietosuojalainsäädäntöä ei sovelleta ihmisen suorittamaan henkilötietojen käsittelyyn, jos käsittely on henkilökohtaista, eikä liity ammatilliseen tai kaupalliseen toimintaan. Tällaista henkilötietojen käsittelyä voi olla esimerkiksi osoitteiston pitäminen ja sosiaalinen verkostoituminen.” (Lähde: Mikä on henkilötieto).

Kommentit on suljettu.