Mikä on GDPR ja millaista tietoa kotisivu saa kerätä ja – ennen kaikkea mitä tietoa se ei saa kerätä? Tämän luettuasi GDPR ei ole enää omituinen ja vaikea akronyymi.

Suurin ”hype” tuon merkillisen kirjainyhdistelmän ympärillä on laantunut. Olemme kuitenkin huomanneet, että edelleen on paljon kotisivuja, jotka eivät täytä näitä vaatimuksia. On aika kertoa selvällä suomen kielellä, mitä GDPR tarkoittaa suomalaisten pienten ja keskisuurten yritysten kotisivujen sekä Hostingpalvelun asiakkaiden näkökulmasta.

  1. Mikä on GDPR?
  2. Mitä GDPR-tietoja saa kerätä?
  3. Kerääkö kotisivuni henkilötietoja?
  4. Kuinka kauan henkilötietoja saa säilyttää?
  5. Tarvitseeko kotisivuilla olla tietosuojaseloste?
  6. Minulla on WordPress tai Kotisivukoneella tehdyt kotisivut, miten GDPR vaikuttaa minuun?
  7. GDPR:n huomioiminen omilla kotisivuilla

Mikä on GDPR?

Lyhyesti sanottuna GDPR tulee sanoista General Data Protection Regulation eli se on yleinen tietosuoja-asetus. Henkilötietojen käsittelyä säätelevä laki on olemassa antaakseen paremman suojan kaikkien meidän henkilötiedoillemme ja yksityisyydellemme sekä mahdollistamaan enemmän keinoja henkilötietojen käsittelyn hallintaan. Asetus on tullut voimaan kaikissa EU-maissa vuonna 2018.

Meillä jokaisella on oikeus tietää mitä henkilötietoja eri organisaatiot meistä säilyttävät. Kaikilla on milloin tahansa oikeus kysyä mihin omia tietoja käytetään, pyytää omiin henkilötietoihin liittyviä tietoja yritykseltä, pyytää tietojen poistamista tai muuttamista, tai vastustaa tietojen käsittelyä.

Henkilötietoja ovat:

  • Nimi
  • Puhelinnumero
  • Sijaintitiedot
  • Sairauksia koskevat tiedot
  • Mikä tahansa tieto, joka on liitettävissä tunnistettavaan henkilöön

Lähde: Tietosuoja.fi

Mitä GDPR-tietoja saa kerätä?

Vastaus kuulostaa yksinkertaiselta, ja sitä se onkin. Tiedon soveltaminen sitten tuottaakin yleensä enemmän päänsärkyä. Tiivistettynä GDPR:n puitteissa saa kerätä vain välttämättömiä henkilötietoja. Kerää siis vain tietoja, jotka ovat tarpeellisia sen kannalta mitä olet tekemässä.

Esimerkiksi: Jos keräät kotisivuillasi tietoja uutiskirjettä varten, tarvitset henkilön sähköpostin, et vaikkapa kotiosoitetta. Tällöin siis sähköposti on ainoa välttämätön tieto, jotta henkilön voi lisätä postituslistalle. Jos sinulla on verkkokauppa, niin luonnollisesti ostovaiheessa tarvitset laajemmat yhteystiedot laskutusta tai korttiostoa varten.

Varmin tapa tietojen lailliseen käsittelyyn on yksinkertaisimmillaan pyytää henkilöltä lupa tietojen käyttöön. Tällöin ei kuitenkaan enää riitä teksti pienellä fontilla tietojen keräämisestä ja säilyttämisestä, vaan henkilön on voitava itse aktiivisesti esimerkiksi rasti ruutuun -menetelmällä tehdä valinta tietojen luovuttamisesta.

Kerääkö kotisivuni henkilötietoja?

Jos kotisivuillasi on esimerkiksi yhteydenottolomake tai jokin analytiikkatyökalu liitettynä (esim. Google Analytics), tällöin sivustollasi kerätään henkilötietoja. Jos asiakastiedossasi on vain yritystietoja, ei yrityksen henkilöedustajaa, se ei ole silloin henkilötieto eikä näin ollen GDPR:n piirissä.

Tiedon keräämiseen kannattaakin kiinnittää erityishuomiota, jos kerättävät tiedot ovat erityisen arkaluontoisia, kuten henkilöiden terveystietoja.

Kuinka kauan henkilötietoja saa säilyttää?

GDPR-asetuksen mukaisesti tietojen säilyttämiselle on mahdollisuuksien mukaan määriteltävä jokin aikajakso – tietoja ei siis saa säilyttää toistaiseksi. Toisin sanoen tietoja ei saa säilyttää periaatteella ”jos joskus tarvitaan”.

Huomaa myös että jos tietosuojaselosteeseen kirjattu aika kuinka kauan tietoja säilytetään, on yrityksen myös varmistettava, että tämän ajan täyttyessä tiedot myös poistuvat. Tärkeää on tiedostaa myös erilaiset toimialakohtaiset tietojen säilyttämiseen liittyvät lait ja asetukset, jotka on huomioitava aina ennen GDPR:ää.

Tarvitseeko kotisivuilla olla tietosuojaseloste?

Tietosuojaseloste ei ole määrämuotoinen, kuten rekisteriseloste aikanaan oli. Sen sijaan tietosuojaselosteen päällimmäinen tarkoitus on informoida selkeästi kotisivukävijöitä heitä koskevista henkilötietoihin liittyvistä oikeuksista. Tietosuojaselosteesta ilmenee miten ja mistä henkilö voi tarkistaa häntä koskevat tiedot ja miten muuttaa tai poistaa heitä koskevia tietoja.

Tietosuojaseloste itsessään ei siis ole tarpeellinen, mutta sivustolla on oltava selkeästi ilmaistuna tiedot henkilötietojen käsittelystä. Lisätietoa tietosuojaselosteesta ja sen tarpeellisuudesta löydät täältä.

Minulla on WordPress tai Kotisivukoneella tehdyt kotisivut, miten GDPR vaikuttaa minuun?

WordPressistä löytyy lukuisia erilaisia GDPR:ää tukevia lisäosia. WordPressin lisäosilla sivuston ylläpitäjä voi toimittaa sivukävijälle heidän pyytämiään tietoja tai esittää mahdollisuuden käyttäjän tietojen poistoon. Käyttäjälle tulee olla mahdollisuus estää tietojen käyttäminen tai tehdä sivukäynnistä anonyymi.

Jos olet Hostingpalvelun asiakas ja sinulla on joko webhotellipaketti meidän kauttamme, sinulla on sivustoosi sisällytettynä myös SSL-sertifikaatti. GDPR:n myötä SSL-suojatut kotisivut voivat pyytää ja kerätä henkilötietoja. SSL eli Secure Sockets Layer on suojausmenetelmä, joka suojaa käyttäjän ja selaimen välistä yhteyttä.

GDPR:n huomioiminen omilla kotisivuilla

GDPR-asioihin liittyen on hyvä huomioida että tietoja saa edelleen kerätä, mutta yrityksen, yhdistyksen tai yhteisön tulee pystyä osoittamaan mihin tarkoitukseen tietoja kerätään ja esittää tiedot henkilölle läpinäkyvästi.

Jos henkilötietojen keräämiselle ei ole olemassa perustetta, ei näitä henkilötietoja tällöin saa kerätä. Kyse ei siis ole niinkään tiedosta itsestään, vaan käyttötarkoituksesta ja tietojen keräämisen perusteista. Tiedot on myös pystyttävä tarvittaessa poistamaan välittömästi henkilön niin halutessa.