Etusivu
Blogi
Tietoturva
https://www.janneparri.fi/blogi/gdpr-ja-verkkosivut

GDPR ja verkkosivut

Janne Parri Blogi
Janne Parri
Julkaistu
15.1.2023
Päivitetty
5.2.2023
GDPR ja verkkosivut

TL;DR

Sisällys­luettelo

Text Link
Text Link
Näytä koko luettelo

GDPR eli EU:n yleinen tietosuoja-asetus on ollut verkkosivujen ylläpitäjien huulilla jo useamman vuoden. Pöly alkaa vihdoin laskeutua ja uusia kohuja on horisontissa.

Vastuuvapautus: En ole lakimies ja noudatat näitä neuvoja täysin omalla vastuullasi.

GDPR määrää henkilötiedon käsittelystä

GDPR ei varsinaisesti määrää verkkosivuista. Se määrää henkilötietojen käsittelystä, johon verkkosivut usein liittyvät. Sivuston, jonka kautta ei kulje henkilötietoa, ei siis tarvitse miettiä asiaa. Todellisuus on kuitenkin se, että lähes jokaisella verkkosivulla on jonkinlainen yhteydenottokaavake. Näiden kaavakkeiden kautta kulkee tietenkin henkilötietoja. Toinen mahdollinen paikka henkilötiedon siirtymiselle on kävijäseuranta. Tämä saattaa aluksi kuulostaa oudolta, mutta kyse on yleensä IP-osoitteesta, joka määritellään henkilötiedoksi. Lisää siitä mikä määritellään henkilötiedoksi voit lukea tietosuojavaltuutetun sivuilta.

Evästeet ja GDPR

GDPR ei oikeastaan määrää evästeistäkään. Evästeet saattavat sisältää henkilötietoja, jolloin ne tippuvat taas GDPR:n piiriin. Sähköisen viestinnän tietosuojadirektiivi on se EU:n ensisijainen evästeohjenuora. EU:n virallisella sivustolla on hyvä ohjeistus, mitkä evästeet tulee hyväksyttää ja mitkä ei.

Evästeistä on hiljattain ollut paljon puhetta, kun selaimet ovat alkaneet estämään kolmennan osapuolen evästeiden asentamisen. Tämä ei suoranaisesti liity GDPR:n, mutta lisää samaan tapaan harmaita hiuksia digimarkkinoijille.

Henkilötiedon siirtäminen EU:n ulkopuolelle

Äppikset ja softat ovat yllättävän usein jonkin valtavan Piilaaksofirman käsialaa. Näin ollen sovellus ja sen mukana henkilötiedotkin elävät ainakin osittain jossain jenkkilässä. Tämä sinänsä ei ole kiellettyä, mutta vaatii varmisteluja.

Jälleen tietosuojavaltuutetun sivuilla on mahtava artikkeli henkilötietojen siirtämisestä EU:n ulkopuolelle. Siellä mm. tarkennetaan, että henkilötietoja saa siirtää EU:n ulkopuolelle, kunhan seuraavat kaksi ehtoa täyttyvät:

  1. Henkilötietojen käsittelyn on oltava sallittua kyseisessä tilanteessa.
  2. Henkilötietojen siirroille on lisäksi oltava tietosuoja-asetuksen V luvussa määritelty siirtoperuste. Siirtoperusteen tehokkuus ja täydentävien suojatoimien tarve on arvioitava tapauskohtaisesti.

Mikä he****in siirtoperuste? Noh... Tietosuojavaltuutetun mukaan siirtoperusteiksi soveltuvat hieman tapauksesta riippuen:

Tuo ensimmäinen "päätös riittävästä tietosuojan tasosta" olisi mahtava, jos USA olisi EU:n listalla. Asiaan perehtyneet saattavat muistaa Privacy Shield ohjelman, joka oli EU:n ja USA:n välinen sopimus juurikin tähän liittyen. Privacy Shield kuitenkin kumottiin ns. Schrems II -ratkaisussa heinäkuussa 2020.

Tiedonsiirto ja komission hyväksymät vakiolausekkeet

Privacy Shieldin seuraajaa odotellessa moni turvautuu edellisen listan kakkosvaihtoehtoon. Komission hyväksymät vakiolausekkeet ovat lisäys tiedonsiirtoa käsittelevään sopimukseen, joita tiedonsiirron osapuolet sitoutuvat noudattamaan.

Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.

Jos yritykselläsi on google-tili, tuskin muistat tehneesi mitään tiedonsiirtosopimusta. Tässä välissä rekisterin pitäjänä sinun tulisi varmistaa, että sopiva vaikiolauseke löytyy niistä sopimuksista. Koska myös itse sitoudut noudattamaan niitä, sitoudut mm. huolehtimaan varmistetaan etteivät rekisteröityjen oikeudet vaarannu tietojen siirtämisen yhteydessä.

Lue lisää vakiolausekkeista tietosuojavaltuutetun sivuilta.

Tietosuojaseloste

Tähän se verkkosivujen GDPR-tekeminen yleensä kulminoituu. Tietosuojaselostetta kutsutaan toisinaan tietoturvaselosteeksi tai rekisteriselosteeksi. Hauskaa tässä on se, että GDPR ei määrää yrityksiä tekemään varsinaista selostetta. Sen mukaan yritysten on informoitava tiiviisti, läpinäkyvästi, helposti ja ymmärrettävästi.

Rekisterinpitäjän on annettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa.

Alla on lista, jotka tulisi käydä ilmi henkilötietojen käsittelystä. Lista on napattu suoraan tietosuojavaltuutetun sivuilta.

  • kuka rekisterinpitäjä on
  • mitä tarkoitusta varten rekisteröidyn henkilötietoja tarvitaan
  • kuinka kauan henkilötietoja tarvitaan
  • luovutetaanko henkilötietoja eteenpäin tai siirretäänkö niitä ETA-maiden ulkopuolelle
  • miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksiaan
  • rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä

Koonti ja tehtävälista

Onhan tämä aivan mieltä ylentävä aihe. Mahtavaa, että jaksoit lukea tänne asti. GDPR ja sen ympärillä olevat asiat kehittyvät jatkossakin ja välillä on hyvä päivittää tietoja. Lopuksi vielä tehtävälista oman yrityksen GDPR-tarkistusta varten. Muistutuksena vielä, että en ole lakimies, joten noudatat näitä ohjeita omalla vastuullasi.

  • Kartoita, missä henkilötietoja säilytetään.
  • Kartoita, mitä henkilötietoja säilytetään.
  • Kartoita, mitkä järjestelmät lähettävät niitä EU:n talousalueen ulkopuolelle ja varmista, että siirtoon on peruste (komission hyväksymä vakiolauseke sopimuksessa).
  • Varmista, että henkilötiedon käytänteistä on kerrottu selkeästi nettisivuillasi.
  • Varmista, että evästekäytänteesi ovat tietosuojadirektiivin ja GDPR:n mukaiset.
  • Jos jokin edelleen mietityttää, soita lakimiehelle.
Jaa tämä kirjoitus
Tietoturva
GDPR
Janne Parri Blogi
Janne Parri
Suunnittelija, yrittäjä
Sinua saattaisi kiinnostaa myös nämä:
Webflow tuo kaikki CSS-ominaisuudet ja arvot suunnittelijoiden ulottuvilleWebflow tuo kaikki CSS-ominaisuudet ja arvot suunnittelijoiden ulottuville
Webflow

Webflow tuo kaikki CSS-ominaisuudet ja arvot suunnittelijoiden ulottuville

Webflow on julkaissut merkittävän päivityksen, joka laajentaa tuettujen CSS-ominaisuuksien ja -arvojen valikoimaa.
Janne Parri
1.3.2024
Webflow
Webflow esittelee tyylipaneelin asetteluparannuksiaWebflow esittelee tyylipaneelin asetteluparannuksia
Webflow

Webflow esittelee tyylipaneelin asetteluparannuksia

Webflow on julkaissut päivityksiä, jotka tekevät tyylipaneelin asettelukontrolleista intuitiivisempia ja tehokkaampia.
Janne Parri
1.3.2024
Webflow
Nettisivun kääntäminen ja monikielisen sivun ylläpitoNettisivun kääntäminen ja monikielisen sivun ylläpito
Nettisivut

Nettisivun kääntäminen ja monikielisen sivun ylläpito

Kukapa meistä ei haluaisi asiakkaita myös ulkomailta. Usein ensimmäinen vaihe on yrityksen nettisivujen kääntäminen englanniksi. Sivujen kääntäminen ei välttämättä onnistukaan käden käänteessä.
Janne Parri
8.12.2023
Nettisivut
Webflow
Wordpress
5 työkalua nettisivujen värien valintaan5 työkalua nettisivujen värien valintaan
Ulkoasu

5 työkalua nettisivujen värien valintaan

Värien valinta verkkosivustollesi ei ole vain esteettinen päätös, vaan se kommunikoi yrityksesi persoonaa ja arvoja ennen kuin kävijä on lukevat sanaakaan.
Janne Parri
23.10.2023
Ulkoasu
Brändi
Keksejä kaikille!
Kyllä! Minäkin haluan seurata sinua ja käyttää eväisteitä kaiken maailman hämäriin tarkoituksiin. Asetuksista voit hyväksyä evästeet osittain ja evästepolitiikasta voit lukea niiden käytöstä tarkemmin.
AsetuksetEI!! No! Njet! en hyväksy!Ihan sama kaikki ok...
sulje
cookies