GDPR ja verkkosivut

Janne Parri
/
28.7.2022
/
Blogi
/

GDPR eli EU:n yleinen tietosuoja-asetus on ollut verkkosivujen ylläpitäjien huulilla jo useamman vuoden. Pöly alkaa vihdoin laskeutua ja uusia kohuja on horisontissa.

Vastuuvapautus: En ole lakimies ja noudatat näitä neuvoja täysin omalla vastuullasi.

GDPR määrää henkilötiedon käsittelystä

GDPR ei varsinaisesti määrää verkkosivuista. Se määrää henkilötietojen käsittelystä, johon verkkosivut usein liittyvät. Sivuston, jonka kautta ei kulje henkilötietoa, ei siis tarvitse miettiä asiaa. Todellisuus on kuitenkin se, että lähes jokaisella verkkosivulla on jonkinlainen yhteydenottokaavake. Näiden kaavakkeiden kautta kulkee tietenkin henkilötietoja. Toinen mahdollinen paikka henkilötiedon siirtymiselle on kävijäseuranta. Tämä saattaa aluksi kuulostaa oudolta, mutta kyse on yleensä IP-osoitteesta, joka määritellään henkilötiedoksi. Lisää siitä mikä määritellään henkilötiedoksi voit lukea tietosuojavaltuutetun sivuilta.

Evästeet ja GDPR

GDPR ei oikeastaan määrää evästeistäkään. Evästeet saattavat sisältää henkilötietoja, jolloin ne tippuvat taas GDPR:n piiriin. Sähköisen viestinnän tietosuojadirektiivi on se EU:n ensisijainen evästeohjenuora. EU:n virallisella sivustolla on hyvä ohjeistus, mitkä evästeet tulee hyväksyttää ja mitkä ei.

Evästeistä on hiljattain ollut paljon puhetta, kun selaimet ovat alkaneet estämään kolmennan osapuolen evästeiden asentamisen. Tämä ei suoranaisesti liity GDPR:n, mutta lisää samaan tapaan harmaita hiuksia digimarkkinoijille.

Henkilötiedon siirtäminen EU:n ulkopuolelle

Äppikset ja softat ovat yllättävän usein jonkin valtavan Piilaaksofirman käsialaa. Näin ollen sovellus ja sen mukana henkilötiedotkin elävät ainakin osittain jossain jenkkilässä. Tämä sinänsä ei ole kiellettyä, mutta vaatii varmisteluja.

Jälleen tietosuojavaltuutetun sivuilla on mahtava artikkeli henkilötietojen siirtämisestä EU:n ulkopuolelle. Siellä mm. tarkennetaan, että henkilötietoja saa siirtää EU:n ulkopuolelle, kunhan seuraavat kaksi ehtoa täyttyvät:

  1. Henkilötietojen käsittelyn on oltava sallittua kyseisessä tilanteessa.
  2. Henkilötietojen siirroille on lisäksi oltava tietosuoja-asetuksen V luvussa määritelty siirtoperuste. Siirtoperusteen tehokkuus ja täydentävien suojatoimien tarve on arvioitava tapauskohtaisesti.

Mikä he****in siirtoperuste? Noh... Tietosuojavaltuutetun mukaan siirtoperusteiksi soveltuvat hieman tapauksesta riippuen:

Tuo ensimmäinen "päätös riittävästä tietosuojan tasosta" olisi mahtava, jos USA olisi EU:n listalla. Asiaan perehtyneet saattavat muistaa Privacy Shield ohjelman, joka oli EU:n ja USA:n välinen sopimus juurikin tähän liittyen. Privacy Shield kuitenkin kumottiin ns. Schrems II -ratkaisussa heinäkuussa 2020.

Tiedonsiirto ja komission hyväksymät vakiolausekkeet

Privacy Shieldin seuraajaa odotellessa moni turvautuu edellisen listan kakkosvaihtoehtoon. Komission hyväksymät vakiolausekkeet ovat lisäys tiedonsiirtoa käsittelevään sopimukseen, joita tiedonsiirron osapuolet sitoutuvat noudattamaan.

Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.

Jos yritykselläsi on google-tili, tuskin muistat tehneesi mitään tiedonsiirtosopimusta. Tässä välissä rekisterin pitäjänä sinun tulisi varmistaa, että sopiva vaikiolauseke löytyy niistä sopimuksista. Koska myös itse sitoudut noudattamaan niitä, sitoudut mm. huolehtimaan varmistetaan etteivät rekisteröityjen oikeudet vaarannu tietojen siirtämisen yhteydessä.

Lue lisää vakiolausekkeista tietosuojavaltuutetun sivuilta.

Tietosuojaseloste

Tähän se verkkosivujen GDPR-tekeminen yleensä kulminoituu. Tietosuojaselostetta kutsutaan toisinaan tietoturvaselosteeksi tai rekisteriselosteeksi. Hauskaa tässä on se, että GDPR ei määrää yrityksiä tekemään varsinaista selostetta. Sen mukaan yritysten on informoitava tiiviisti, läpinäkyvästi, helposti ja ymmärrettävästi.

Rekisterinpitäjän on annettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa.

Alla on lista, jotka tulisi käydä ilmi henkilötietojen käsittelystä. Lista on napattu suoraan tietosuojavaltuutetun sivuilta.

  • kuka rekisterinpitäjä on
  • mitä tarkoitusta varten rekisteröidyn henkilötietoja tarvitaan
  • kuinka kauan henkilötietoja tarvitaan
  • luovutetaanko henkilötietoja eteenpäin tai siirretäänkö niitä ETA-maiden ulkopuolelle
  • miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksiaan
  • rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä

Koonti ja tehtävälista

Onhan tämä aivan mieltä ylentävä aihe. Mahtavaa, että jaksoit lukea tänne asti. GDPR ja sen ympärillä olevat asiat kehittyvät jatkossakin ja välillä on hyvä päivittää tietoja. Lopuksi vielä tehtävälista oman yrityksen GDPR-tarkistusta varten. Muistutuksena vielä, että en ole lakimies, joten noudatat näitä ohjeita omalla vastuullasi.

  • Kartoita, missä henkilötietoja säilytetään.
  • Kartoita, mitä henkilötietoja säilytetään.
  • Kartoita, mitkä järjestelmät lähettävät niitä EU:n talousalueen ulkopuolelle ja varmista, että siirtoon on peruste (komission hyväksymä vakiolauseke sopimuksessa).
  • Varmista, että henkilötiedon käytänteistä on kerrottu selkeästi nettisivuillasi.
  • Varmista, että evästekäytänteesi ovat tietosuojadirektiivin ja GDPR:n mukaiset.
  • Jos jokin edelleen mietityttää, soita lakimiehelle.