EU:n uusi tietosuoja-asetus (GDPR) – Ovatko ohjelmistosi kunnossa?

25.5.2018 voimaan astuva EU:n uusi tietosuoja-asetus eli GDPR muuttaa radikaalisti markkinoinnin pelisääntöjä. Monelle on varmasti tuttua, että käytyään jonkun yrityksen verkkosivuilla, on alkanut nähdä kyseisen yrityksen mainoksia ympäri nettiä. Tämä on kohdennettua mainontaa, joka on yksi GDPR:n hampaisiin joutunut markkinointikeino.

Ennen uutta tietosuoja-asetusta verkkosivuilla käyneille henkilöille on voinut asentaa heti sivun latautuessa evästeen, joka mahdollistaa kohdennetun mainonnan tekemisen. GDPR:n voimaantulon jälkeen verkkosivuilla käyneiltä henkilöiltä pitää kysyä lupa tämän evästeen asentamiseen, ennen kuin tuo eväste asennetaan.

Mistä tällainen tulkinta tulee?

Uusi tietosuoja-asetus sisältää kohdan (kappale 30), jossa sanotaan, että evästeet ja IP-osoitteet luetaan henkilötiedoiksi, jos niiden avulla voidaan tunnistaa joku tietty henkilö. Mikäli ne luetaan henkilötiedoiksi, niitä koskevat samat oikeudet kuin muitakin henkilötietoja. Tämä taas tarkoittaa sitä, että rekisteröidylla henkilöllä on oikeus muun muassa:

  • Saada tietonsa poistetuksi
  • Muokata rekisterissä olevia tietoja

Suomessa yleisesti käytössä olevat “Hyväksyn evästeet”-ilmoitukset eivät tämän vuoksi enää riitä. Verkkosivuilla on oltava kehittyneempi ohjelmisto, joka estää evästeiden asentamisen ennen kuin kävijä on antanut siihen suostumuksensa.

Uusi tietosuoja-asetus vaatii, että kävijän on pystyttävä myös muokkaamaan antamiaan suostumuksia. Evästesuostumukset on myös kysyttävä uudestaan 12 kuukauden välein.

Evästelupiin liittyvät muutokset ovat vain pieni osa GDPR:n sisällöstä, mutta näillä näyttäisi olevan todella laajat seuraukset. Yritysten on tehtävä teknisiä muutoksia verkkosivuilleen.

Kerrataanpa vielä tietosuoja-asetus lyhyesti

Tietosuoja-asetuksen perimmäisenä tarkoituksena on verkossa liikkuvien ihmisten oikeuksien parantaminen. Ennen tietosuoja-asetusta yritysten digitaalinen markkinointi on ollut hyvin löyhästi säänneltyä. Yritykset ovat voineet säilöä ihmisten henkilötietoja omiin rekistereihinsä erittäin vapaalla otteella. GDPR tulee muuttamaan juuri näitä sääntöjä.

GDPR:n liittyvät määritelmät

Eväste

Tekstitiedosto, jonka selain asentaa kävijän koneelle nettisivun latauksen yhteydessä. Evästeen avulla voidaan kohdistaa esimerkiksi mainontaa juuri tälle kyseiselle henkilölle Facebookissa tai Googlessa. Eväste on kuitenkin myös hyvin tärkeä verkkosivujen sujuvalle toiminnalle: esimerkiksi verkkokaupoissa evästeet varmistavat, että tuotteet pysyvät ostoskorissa koko ostoprosessin ajan. Tietosuoja-asetuksen tulkinta muuttaa evästeet monessa tapauksessa henkilötiedoiksi.

Rekisterinpitäjä

Yritys, joka kerää henkilötietoja. Henkilötiedoiksi lasketaan sekä yrityksen ulkoiset (asiakkaat) että sisäiset (työntekijät) tahot.

Henkilötietojen käsittelijä

Yritys, joka käsittelee rekisterinpitäjän henkilötietoja. Rekisterinpitäjän ja henkilötietojen käsittelijän väliset suhteet ovat hyvin yleisiä digitaalisessa liiketoiminnassa. Esimerkiksi yritys, joka ylläpitää toisen yrityksen verkkosivuja, on henkilötietojen käsittelijä. Mikäli yritys taas käyttää verkkosivuillaan Google Analyticsia kävijätietojen seurantaan, niin heidän henkilötietojen käsittelijänään toimii Google.

Tietosuojavastaava

Yrityksen sisäinen henkilö, joka vastaa siitä, että yritys noudattaa tietosuoja-asetusta. Tietosuojavastaavan tehtävä voidaan myös ulkoistaa, jos yrityksen sisältä ei löydy soveltuvaa henkilöä. Tietosuoja-asetuksen astuessa voimaan tietosuojavastaavasta tulee monelle yritykselle pakollinen.

Toimeksiantosopimus

Toimeksiantosopimus muodostetaan rekisterinpitäjän ja henkilötietojen käsittelijän välillä. Toimeksiantosopimus on GDPR:n mukaan solmittava kirjallisesti.

Henkilötietojen kerääminen

Jatkossa yritysten on ilmoitettava yksiselitteisellä ja selkeällä tavalla, että mitä tarkoitusta varten he keräävät henkilötietoja. Ennen sähköpostiosoitteita on voinut kerätä esimerkiksi niin, että rekisteriselosteessa on ollut maininta, että yritys käyttää sähköpostiosoitteita markkinointitarkoituksiin. Jatkossa sähköpostiosoitteen keräyksen yhteydessä on ilmoitettava selkeästi, että missä tätä markkinointia aiotaan kohdistaa (“Käytämme sähköpostiosoitetta sähköpostimarkkinointiin”). Ilmoitusta ei voi piilottaa jonnekin sivun alalaitaan, vaan se on oltava selkeästi näkyvillä.

Samaten evästeiden keräyksen yhteydessä on yksilöitävä mihin evästeitä käytetään (“Käytämme evästeitä Facebook-mainontaan”). Jos yritys on ilmoittanut käyttävänsä evästeitä Facebook-mainontaan, niin se ei voi yhtäkkiä alkaa kohdistamaan mainontaa myös Googlessa. Kävijältä on kysyttävä uudestaan lupa, jos mainontaa halutaan tehdä myös Googlessa.

Henkilötietojen säilöminen

Henkilötietoja ei voida myöskään säilöä rajattoman pituiseksi ajaksi, vaan henkilötietojen säilömiseen on oltava joku perusteltu syy. Tietosuoja-asetus pakottaa näin yritykset ennakoimaan markkinointitoimenpiteitään useita vuosia eteenpäin.

Esimerkiksi asiakkuussuhteita varten kerättyjä henkilötietoja ei ole välttämättä pakko säilyttää asiakkuuden päättymisen jälkeen. Näin ollen asiakassuhteen päätyttyä voi olla perusteltua poistaa nämä henkilötiedot.

Markkinointitarkoituksia varten kerättyjen henkilötietojen vanhenemisaika taas riippuu esimerkiksi siitä, että koska alkaa olla todennäköistä, että henkilö ei aio ostaa yrityksen tuotteita. Kun yritykselle alkaa olla selvillä, että henkilö ei todennäköisesti aio muuttua maksavaksi asiakkaaksi, niin henkilötietojen säilömiselle ei ole enää perusteltua syytä.

Rekisterissä olevien henkilöiden oikeudet

GDPR:n myötä rekisterissä oleville henkilöille tulee jo edellä mainittuja oikeuksia. Heillä on siis jatkossa oikeus pyytää tietojensa poistamista tai muokkaamista, taikka tietojen siirtoa järjestelmästä toiseen. Yritysten on siis siirrettävä henkilön tiedot omista järjestelmistään henkilön haluamaan toiseen järjestelmään, jos se vain on teknisesti mahdollista. Monessa tapauksessa tällainen ei onnistu, mutta ainakin tiedot on pystyttävä toimittamaan henkilölle itselleen yleisesti käytössä olevassa sähköisessä muodossa.

Yritykset, joiden kohderyhmää ovat alle 16-vuotiaat, joutuvat miettimään markkinointiprosessinsa täysin uusiksi. Alle 16-vuotiaiden henkilötietoja ei näet voi kerätä 25.5.2018 jälkeen ilman heidän vanhempiensa suostumusta.

Mitä minun pitäisi käytännössä tehdä?

1. Tee tietotilinpäätös

Tietotilinpäätös on dokumentti, jossa käydään kirjallisesti läpi yrityksen tietosuoja-asetukseen liittyvät käytänteet. EU:n uusi tietosuoja-asetus vaatii, että yritysten on pystyttävä myös todistamaan, että he noudattavat GDPR:n vaatimuksia. Jatkossa siis pelkät puheet eivät riitä. On myös näytettävä, että mitä asian eteen on tehty.

Tietotilinpäätös on hyvä tapa todistaa, että yritys noudattaa henkilötietojen käsittelyssä ja tietosuojassa oikeita käytänteitä. Tietotilinpäätös sisältää muun muassa seuraavia asioita:

  • Yrityksen käytössä olevien henkilötietojen tunnistus ja erittely
  • Henkilötietoja käsittelevien työntekijöiden tunnistus
  • Kenelle kolmansille osapuolille tietoja luovutetaan
  • Kuinka pitkään henkilötietoja säilytetään
  • Miten rekisterissä olevien henkilöiden oikeudet varmistetaan (Yrityksen asiakas pyytää nähdä omat henkilötietonsa -> Miten toimitaan?)
  • Kuvaus tietoturvasta ja henkilötietojen käsittelyprosessista
  • Riskienhallinnan kuvaus

Tietotilinpäätös antaa hyvän kuvan yrityksen nykytilanteesta ja kehityskohteista tietosuojaan liittyen.

2. Tee sopimukset henkilötietojen käsittelijöiden kanssa

GDPR:n myötä yrityksille tulee pakottavana ehtona toimeksiantosopimusten tekeminen sellaisten kolmansien osapuolien kanssa, jotka käsittelevät yrityksen henkilötietoja. Yksi yleisimmistä tilanteista on varmasti suhteet yrityksen verkkosivujen ylläpitäjään. Ylläpitäjällä on pääsyoikeudet yrityksen tietokantaan, joten he toimivat henkilötietojen käsittelijöinä, jos tietokanta sisältää henkilötietoja. Tietosuoja-asetus vaatii, että vanhat sopimukset uusitaan, ja uusissa huomioidaan GDPR:n vaatimukset. Rekisterinpitäjän on on huolehdittava, että tämä kolmas osapuoli noudattaa laissa annetuja ehtoja. Sopimuksessa on huomioitava muun muassa seuraavat seikat:

  • Sopimusosapuolten oikeudet ja vastuut
  • Henkilötietojen käsittelyn luonne ja tarkoitus
  • Miten henkilötietoja käsitellään
  • Rekisterissä olevan datan kuvaus
  • ym.

3. Tarkista tarvitsetko tietosuojavastaavaa

Usealla yrityksellä on oltava tietosuojavastaava 25.5.2018 alkaen. Yritysten pitää nimittää tietosuojavastaava, jos yrityksen henkilötietojen käsittely on laajamittaista, systemaattista sekä yrityksen ydintoimintaa. Näin ollen esimerkiksi verkkokauppojen ja aktiivisesti digimarkkinointia harjoittavien yritysten on nimitettävä tietosuojavastaava.

Tietosuojavastaava pitää huolta, että yritys noudattaa GDPR-asetusta. Tämäkään ei ole mitään EU:n tyhjää puhetta, vaan tietosuoja-asetus vaatii, että tietosuojavastaavan nimi on ilmoitettava viranomaiselle. Yrityksen on siis oikeasti myös noudatettava lain määräyksiä, pelkkä puhe ei riitä. Tietosuojavastaava toimii linkkinä viranomaisten ja yrityksen välillä ja opastaa yrityksen työntekijöitä GDPR:n liittyvissä asioissa. Tietosuojavastaava ei ole kuitenkaan henkilökohtaisessa vastuussa, jos yritys joutuu tietosuojavaltuutetun hampaisiin.

4. Hanki evästeohjelmisto verkkosivuillesi

Jos teet kohdennettua mainontaa, niin joudut päivittämään evästekäytäntösi (esimerkiksi Google ja IAB ohjeistavat tähän). Evästeohjelmiston voit hankkia esimerkiksi Nostamon kautta. Toimin itse Nostamossa yrittäjänä, joten huomauttaisin, että tämä teksti on tehty yhteistyössä Nostamon kanssa. 🙂

Johtopäätökset

Tietosuoja-asetus muuttaa yritysten toimintaa varsinkin markkinoinnin saralla. Kohdennettuun mainontaan tulee muutoksia ja henkilötietojen keruu vaikeutuu. Suurimpia ongelmia aiheuttavat laveasti muotoillut lain tekstit. Lain soveltamisesta ei ole vielä ennakkotapauksia, joten mitään ei voi sanoa vielä täysin varmaksi. Järkevintä on kuitenkin pyrkiä noudattamaan lain tiukimpiakin tulkintoja.

GDPR:n voimaantuloon on alle 2 kuukautta, joten nyt alkaa olla viimeisiä hetkiä suojata yrityksesi sen mukanaan tuomilta riskeiltä. GDPR:n rikkomisesta seuraava sakko voi olla jopa 20 miljoonaa euroa tai 4 % liikevaihdosta. Itse uskon, että viranomaiset tulevat myös langettamaan noita sakkoja, sillä tietosuoja-asetus on säädetty jo 2 vuotta sitten, joten yrityksillä on ollut hyvin aikaa valmistautua siihen.

Erään arvion mukaan 80 % yrityksistä kuitenkin epäonnistuu GDPR:n noudattamisessa. Ethän kuulu tähän joukkoon?

Jaa kirjoitus

2 thoughts on “EU:n uusi tietosuoja-asetus (GDPR) – Ovatko ohjelmistosi kunnossa?

  1. Tosi mielenkiintoista. Olen itse juuri aloittelemassa maahantuonti yritystä .Mistä pitäisi aloittaa? Voiko sen verkkokaupan tehdä itse vai ? Kuinka paljon pääomaa tarvitsee suunilleen ? Mistä tietää mikä hinnoittelutapa on paras ? Mikä on paras tapa ottaa yhteyttää kyseisen yritykseen jonka tavaroita haluaa maahantuoda ?
    Miten käytännössä kannattaa aloittaa?

    • Terve,

      Lähtisin liikkeelle esimerkiksi tällä oppikirjalla: https://shop.almatalent.fi/uuden-yrittajan-kasikirja.html. Tuo löytyy varmasti kirjastoistakin lainaksi. Tuosta löytyy tietoa hinnoittelusta, yrityksen rahoittamisesta ja yritystoiminnasta ylipäätään. Hinnoittelutapa ja pääoman tarve riippuu täysin yrityksen liiketoiminnasta ja tuotteista. Yritys on mahdollista käynnistää pienelläkin rahalla, jos toimiala on oikea ja on valmis tekemään itse kaiken kirjanpidosta verkkokauppaan ja markkinointiin.

      Kirjoitin artikkelin verkkokaupan perustamisesta: https://www.yritysvinkit.fi/verkkokaupan-perustaminen-alle-200-euron-budjetilla/. Verkkokaupan voi tehdä itsekin, jos haluaa testata liikeidean toimivuutta mahdollisimman pienellä rahalla. Pitää olla kuitenkin valmis perehtymään asiaan kunnolla, jotta verkkokaupan toimivuus ja tietoturva on tarvittavalla tasolla.

      Maahantuontia varten kannattaa ottaa markkinapaikan (Alibaba, Amazon, ym…) tai suoraa sähköpostin kautta yhteyttä haluttuun toimijaan. Maahantuontiartikkelissani on ohjeita tähän: https://www.yritysvinkit.fi/miten-aloittaa-maahantuonti/

Leave a Comment