Viimeisimmässä blogissani näpyttelin selko-ohjeita tietosuojaselosteelle, tai miksi sitä missäkin kutsutaan, sitä rekisteriselostetta.

Tarkkasilmäinen verkkokauppa-asiantuntija Erno Penttilä löysi blogikirjoituksestani lukuisia muinaisjäänteitä nykyisistä tietosuojamääräyksistä, jotka siis eivät enää päde 25.5.2018 jälkeen.

Koska GDPR-aiheen ympärille on kehkeytynyt pääasiassa porua ja rahastusta, säikähdin jo itsekin Ernon yhteydenottoa. Onko minun sittenkin päntättävä lakitekstiä, maksettava itseni kipeäksi ja pukeuduttava kokovartalokondomiin selvitäkseni tulevaisuuden uusista haasteista?

Tietosuojaseloste voi olla jopa yksinkertaisempi kuin aiemmin

Huh! Ei sentään. Ernon suomentamana ymmärsin, että ainakin minun kohdallani asia on jopa helpompi kuin tällä hetkellä voimassa olevan henkilötietolain mukaan. Ja selosteen tekstimäärä väheni ainakin puolella!

Lisäys 4.5.2018: Tietosuojavaltuutetun toimistosta kerrotaan myös, että tietosuoja-asetus ei edellytä entisen kaltaista rekisteri- tai tietosuojaselostetta:

”Rekisteri- ja tietosuojaselosteista on liikkeellä virheellistä tietoa. Henkilötietolaista poiketen EU:n yleinen tietosuoja-asetus ei edellytä rekisteri- tai tietosuojaselosteen laatimista. Rekisteröityjä täytyy kuitenkin informoida henkilötietojen käsittelystä.”

Edelleenkin täytyy itse tietää, mitä tietoja yrityksessään käsittelee, mitä näille tiedoille tekee, miten niitä säilyttää ja niin edelleen. Tietosuojaselosteen yksinkertaisuus, selkeys tai lyhyys ei myöskään poista sitä, etteikö sinun pitäisi tarkasti huolehtia siitä, että tiedot eivät päädy vääriin käsiin.

Alla on siis Erno Penttilän esimerkin perusteella koostettu tietosuojaseloste, jonka voin vaikkapa laittaa tänne omille sivuilleni. Huomaa, että sinun täytyy kohta kohdalta miettiä, miten asiat toteutuvat omassa yrityksessäsi.

Huom! Omat asiakkaani ovat yritysasiakkaita. Jos sinulla on kuluttaja-asiakkaita tai esimerkiksi verkkokauppa, mm. henkilötietojen käyttötarkoitus ja peruste voivat olla erilaisia. Ja jos sinulla on erilaisia kohderyhmiä, voit tehdä erilliset tietosuojaselosteet jokaiselle.

Löydät hyvän esimerkin tietosuojaselosteesta Verkkokauppablogista!

Esimerkki omasta tietosuojaselosteestani:

Tietosuojaseloste 25.4.2018

Rekisterinpitäjä:
Miia Ylinen
Viitavuorentie 251
63400 Alavus as
miia@miiaylinen.fi.

Kerään henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn perusteena on oikeutettu etu ja lakisääteiset velvoitteet.

Kerään tietoja myös markkinointia varten. Henkilötietojen käsittelyn oikeusperusteena on suostumus.

En tee käyttäjiä koskevia profilointeja ja automaattisia päätöksiä.

Henkilötietojasi vastaanottavat
– yrityksemme, siis minä itse
– sinä itse, jos keskustelemme esim. sähköpostitse

Säilytämme henkilötietojasi:
– sähköpostiarkistossa seitsemän vuoden ajan
– kirjanpitoaineistossa seitsemän vuoden ajan.

Sinulla on seuraavat oikeudet:
– oikeus tarkastaa itseäsi koskevat henkilötiedot
– oikeus tietojen oikaisemiseen
– oikeus käsittelyn rajoittamiseen (voit esimerkiksi kieltää markkinoinnin)
– oikeus vastustaa käsittelyä
– oikeus peruuttaa suostumus (voit esimerkiksi peruuttaa suostumuksesi markkinointiin)
– oikeus tehdä valitus valvontaviranomaiselle

Huomioithan, että sinulla on ”oikeus tulla unohdetuksi” vain, jos meillä ei ole lakisääteisiä velvoitteita jatkaa henkilötietojesi käsittelyä.

Tutustu Verkkokauppablogin ohjeisiin ja tee oma tietosuojaseloste!

Entäs sitten ne evästeilmoitukset?

Niin, täytyykö näytölle ilmestyä se häiritsevä evästeilmoitus, jossa evästeet pitää erikseen hyväksyä?

Jatkossa selaimen evästeasetus riittää yleensä suostumukseksi ihan virallisesti kaikkialla EU:ssa. Euroopan komission lehdistötiedotteessa mainitaan yksinkertaisemmat säännöt evästeistä:

“Evästeiden käytön säännöt ovat johtaneet siihen, että internetin käyttäjät hukkuvat suostumuspyyntöihin. Nyt sääntöjä kevennetään. Suostumusta ei edellytetä, jos eväste ei ole tungetteleva, vaan sillä varmistetaan internetin käyttökokemus – esimerkiksi ostoskorin historiatietojen muistaminen. Suostumusta ei myöskään enää edellytetä, jos kyseessä ovat kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet.”

Eli jos käyttäjä (sivujesi kävijä) on laittanut oman nettiselaimensa asetuksiin, että selain hyväksyy evästeet, niin tämä riittää suostumukseksi. Käyttäjä voi kieltäytyä evästeiden käytöstä estämällä niiden asentumisen omaan selaimeensa.

Mikäli aiheesta tulee tarkempia ohjeita (ja taatusti tulee), täydennän niitä tähän artikkeliin! HUOM! Lisätty tietoa evästeilmoituksiin liittyen tähän artikkeliin: Evästeilmoitus ponnahdusikkunassa – lue koko artikkeli ja sen uudet hyödylliset 2020 lisätyt linkit!

Esimerkiksi Google Analyticsin ja muiden seurantatyökalujen osalta liikkeellä on nyt paljon ristiriitaista tietoa. Mutta näihinkin palaan vielä!

PS. Tämä artikkeli ei ole lainopillinen neuvo. En ole vastuussa sen oikeellisuudesta, joten noudata sitä omalla vastuullasi!

Lue lisää aiheesta

Tietosuoja-asetus selkokielellä (Verkkokauppablogi.fi)
Täällä yksi esimerkki tietosuojaselosteesta: https://www.ostokset.fi/tietosuojaseloste-kayttajille.html