Toukokuussa 2018 voimaan astuva EU:n yleinen tietosuoja-asetus eli lyhyesti GDPR (General Data Protection Regulation) tuo mukanaan muutoksia henkilötietojen käsittelyyn ja samalla luonnollisesti paljon kysymyksiä. Alla vastaamme verkkosivuihin ja GDPR:ään liittyviin kysymyksiin, joita muun muassa asiakkaamme ovat esittäneet meille. Jos sinulla on kysymys, johon et saa vastausta alta, voit lähettää sen meille sivun alareunasta löytyvän lomakkeen kautta.

1. Milloin GDPR astuu voimaan?

Euroopan parlamentti hyväksyi yleisen tietosuoja-asetuksen huhtikuussa 2016, ja kahden vuoden siirtymäaika päättyy toukokuussa 2018. Tietosuoja-asetusta sovelletaan 25.5.2018 alkaen.

2. Koskeeko GDPR minun yritystäni?

EU:n alueella sijaitsevien organisaatioiden lisäksi GDPR koskee myös EU:n ulkopuolisia organisaatioita, jotka tarjoavat tuotteita tai palveluita EU:n alueella tai seuraavat EU-kansalaisten verkkokäyttäytymistä. GDPR vaikuttaa siis kaikkiin yrityksiin, jotka käsittelevät ja säilyttävät EU-kansalaisten henkilötietoja.

3. Mitkä tiedot luokitellaan henkilötiedoiksi?

Henkilötietoja ovat kaikki sellaiset luonnolliseen henkilöön liittyvät tiedot, joiden avulla henkilö voidaan identifioida suorasti tai epäsuorasti. Tällaisia tietoja ovat esimerkiksi nimi, osoite, sähköpostiosoite, kuva, puhelinnumero, pankkitiedot ja tietokoneen IP-osoite.

4. Milloin tietosuojaseloste pitää laatia?

Tietosuojaseloste on laadittava, jos yritys käsittelee käyttäjien henkilötietoja. Suositeltavaa kuitenkin olisi laatia tietosuojaseloste, vaikka verkkosivuillasi ei olisi minkäänlaista seurantaa. Näin vältyt turhilta kyselyiltä.

5. Verkkosivuillani on käytössä vain Google Analytics. Onko tietosuojaseloste silti laadittava?

Joidenkin tulkintojen mukaan pelkän Google Analyticsin käyttö ei vaadi tietosuojaselostetta. Koska GDPR:n mukaan IP-osoite voidaan kuitenkin luokitella henkilötiedoksi, tietosuojaseloste kannattaa laatia. Google Analytics myös tallentaa käyttäjän IP-osoitteen, joten Google Analytics voidaan katsoa tietojen käsittelijäksi.

6. Mitä tietosuojaselosteessa on kerrottava?

Tietosuojaselosteesta käyvät yleensä ilmi seuraavat tiedot:

  1. Rekisterinpitäjä
  2. Yhteyshenkilö rekisteriasioissa
  3. Rekisterin nimi
  4. Henkilötietojen käsittelyn tarkoitus
  5. Rekisterin tietosisältö
  6. Säännönmukaiset tietolähteet
  7. Tietojen säännönmukaiset luovutukset
  8. Tietojen siirto EU:n tai ETA:n ulkopuolelle
  9. Rekisterin suojauksen periaatteet
  10. Tarkastusoikeus
  11. Oikeus vaatia tiedon korjaamista
  12. Muut henkilötietojen käsittelyyn liittyvät oikeudet

Katso mallia Kanavan tietosuojaselosteesta.

7. Verkkosivuillani on yhteydenottolomake. Voidaanko yhteydenottoihin vastaaminen tulkita henkilötietojen käsittelyksi?

Nimi, sähköpostiosoite ja puhelinnumero luokitellaan henkilötiedoiksi, jolloin sinusta tai yrityksestäsi tulee rekisterinpitäjä ja/tai henkilötietojen käsittelijä.

8. Miten markkinointisuostumus kysytään esimerkiksi verkkosivulla olevassa lomakkeessa?

Henkilötietojen käsittely edellyttää henkilön itsensä antamaa suostumusta. Tämä tarkoittaa, että markkinointiviestien lähettämiseen tarvitaan suostumus, jonka käyttäjä on antanut vapaaehtoisesti ja omalla aktiivisella toiminnallaan. Valmiiksi rastitettuja ruutuja ei enää siis sallita.

9. Onko verkkosivulla vierailevien voitava kieltää seuranta verkkosivuilla?

Kyllä. Verkkosivulla vieraileville on tarjottava mahdollisuus sekä hyväksyä että hylätä kaikenlainen seuranta verkkosivuilla. Pelkkä ilmoitus verkkosivuilla tapahtuvasta seurannasta ei siis enää riitä.

10. Pitääkö henkilötietojen tallennuspaikka ilmoittaa?

Tietosuojaselosteessa pitäisi mainita, jos rekisterin henkilötietoja säilytetään Euroopan unionin tai Euroopan talousalueen ulkopuolella. Mikäli tietoja siirretään esimerkiksi Yhdysvaltoihin kolmannen osapuolen palveluun, kannattaa tarkistaa, noudattaako ko. palvelu/yritys EU:n ja Yhdysvaltojen välisiä Privacy Shield -säädöksiä.

Tutustu myös GDPR:ään liittyviin blogikirjoituksiimme: GDPR – EU:n tietosuoja-asetus ja GDPR ja osoitusvelvollisuus.

Onko sinulla GDPR:ään liittyviä lisäkysymyksiä?

Voit lähettää ne meille oheisella lomakkeella. Kysymyksiin vastaa GDPR-kumppanimme Lukander Ruohola HTO. Päivitämme tätä sivua aina sitä mukaa, kun uusia kysymyksiä tulee.