8 asiaa, jotka sinun tulee tehdä GDPR-asetuksen myötä sivustollasi

1) Laadi selkeä tietosuojakäytäntö, koska se tulee pakolliseksi

EU:n uusi tietosuoja-asetus eli GDPR astuu voimaan 25. toukokuuta. GDPR-asetus edellyttää, että nettisivuilla on saatavilla selkeä seloste yksityisyydensuojasta.

Tässä Karhu Helsingin tiivistämänä viisi tärkeintä selostetta koskevaa asiaa

Selkeys on uusi vaatimus selosteelle
Asetus ei määrää selosteen nimeä, mutta selkeys on nimenomainen vaatimus. Kenen tahansa tulee selosteen luettuaan ymmärtää, miksi ja miten hänen henkilötietojaan käsitellään.

Mitä henkilötietoja ja miksi
Selkeä yksityisyydensuojaseloste kertoo selkein ja arkisin termein, mitä henkilötietoja nettisivujen kävijöiltä kerätään ja miksi. Kaiken henkilötiedon keräämiseen tulee olla peruste ja vain kuhunkin käyttötarkoitukseen välttämättömiä tietoja saa kerätä.

Kuinka kauan henkilötietoja säilytetään – ei ainakaan ikuisesti
GDPR edellyttää, että yritykset säilyttävät henkilötietoja suunnitelmallisesti ja vain niin pitkään, kuin se on tarpeen. Selosteesta tulee käydä ilmi, kuinka kauan henkilötietoja säilytetään.

Mitä oikeuksia rekisteröidyllä on
Ihmiset voivat jatkossa vaikuttaa entistä enemmän siihen, miten heidän henkilötietojaan säilytetään ja käsitellään. Rekisteröidyn keskeiset oikeudet kannattaa kertoa yksityisyydensuojaselosteessa selkokielisesti.
Itse oikeuksiin yritys ei juurikaan voi vaikuttaa. Rekisteröidyn oikeudet on ansiokkaasti kuvattu mm. tässä Elina Koivumäen blogikirjoituksessa – http://www.elinakoivumaki.com/gdpr-rekisteroidyn-oikeudet/

Kenelle henkilötietoja siirtyy
Lähes jokainen yritys käyttää kumppaneita osana henkilötietojen käsittelyä. Esimerkiksi ohjelmistotoimittajat, nettisivujen rakentajat ja sähköisen suoramarkkinoinnin kumppanit saavat usein pääsyn yrityksen henkilörekistereihin. Nämä kumppanuudet tulee yksityisyydensuojaselostetta varten kartoittaa ja kirjoittaa auki.

Voit lukea koko artikkelin täältä – https://www.karhuhelsinki.fi/yksityisyydensuojaseloste-jonka-lapsikin-ymmartaa-nain-gdprn-vaatimustason-voi-ylittaa

Tässä kaksi mallia selosteen laatimisen tueksi:
https://acqua.fi/tietosuojaseloste/ (laadittu Karhu Helsingin mallin mukaan)
http://www.innowise.fi/fi/gdprn-mukainen-rekisteri-ja-tietosuojaselosteen-malli/

Ja jos olet Suomen yrittäjien jäsen, voit ladata Tietosuojaseloste-, Tiedonsiirtosopimus- ja Sopimus henkilötietojen käsittelystä -asiakirjojen mallit täältä: https://www.yrittajat.fi/yrittajan-abc/asiakirjapankki-lomakkeet-yrittajalle-560368#

2) Lisää lomakkeisiin linkki tietosuojaselosteeseen ja  hyväksymisen valintaruutu

Yhteydenottolomakkeet

Linkin lisäksi yhteydenottolomakkeella on oltava selkeä maininta siitä, että viestin lähettäjään voidaan olla yhteydessä tästä nimenomaisesta asiasta. Tähän ei välttämättä tarvita erikseen valintaruutua hyväksymisen merkiksi, koska viestin ja omien yhteystietojen kirjoittaminen sekä viestin lähettäminen katsotaan selkeäksi luvan antamiseksi.

Kyselylomakkeet ja kommentointi

Kyselylomakkeissa tai kommenttitoiminnoissa on kerrottava, mihin ja miksi tietoja kerätään ja asiakkaan on annettava suostumus laittamalla rasti ruutuun.

Esim. “Keräämme yhteystietoja vain siksi, että voimme seurata sivustollamme tapahtuvaa kommentointia ja keskustelua ja vastata tarvittaessa yksityisviestinä kommenttikenttien kautta lähetettyihin kysymyksiin”

https://fakta.tietosuojamalli.fi/gdpr-asetus/7-suostumuksen-edellytykset

3) Kerää lomakkeilla vain olennaista tietoa

Lomakkeiden avulla ei saa jatkossa kerätä muuta kuin sellaista tietoa, joka on olennaista lomakkeen täyttäjälle tarjottavan palvelun tuottamiseksi.

Jos esimerkiksi asiakkaan puhelinnumero ei ole tilattavan tuotteen tai tarjottavan palvelun kannalta olennainen tieto, sitä ei tule myöskään kerätä. Tämä koskee etenkin kaikkia “arkaluonteiseksi” luonnehdittavia tietoja.

4) Tarkista uutiskirjeen, liidimagneetin tai muun sisällön tilaus- ja latauslomakkeet

Jos tarjoat sivustollasi ladattavaa sisältöä tai oppaita, tarvitset erilllisen luvan muun markkinoinnin lähettämiseeen yksityishenkilöille. Pelkkä lataamista varten sähköpostin ilmoittaminen ei riitä. Liidimagneetin lataaminen antaa siis luvan lähettää vain ja ainoastaan siihen liittyvää sisältöä, kuten mahdollisia tarkennuksia.

Tarkennusviestien yhteydessä voi ja kannattaa kuitenkin tarjota mahdollisuutta liittyä muille mahdollisille postituslistoille.

Tämä muutos korostaa edelleen viestiesi sisällön hyödyllisyyden tärkeyttä.

Kirjoita oikeasti hyödyllistä sisältöä ja voit olla varma, että asiakkaasi haluaa liittyä listallesi ja pysyä siellä.

Huom! B2B-markkinointi on edelleen sallittua
Yrityksen tai muun yhteisön edustajille voi lähettää uutiskirjeitä ja sähköistä suoramarkkinointia, vaikka ei olisi pyytänyt sitä koskevaa lupaa ennakolta. GDPR ei tuo tähän muutosta, vaikka toisenlaisiakin tulkintoja esiintyy. Lue asiasta tarkemmin tästä Karhun artikkelista.

5) Tarkista kuluttajia sisältävän listasi tilanne

Jos yrityksessä on kuluttajien tietoja sisältävä sähköinen postituslista, voi sen kohtalo olla toinen. Jos ihmisiltä ei ole etukäteen nimenomaisesti pyydetty lupaa tietynlaisten viestien lähettämiseen, heidät on poistettava listalta. Periaate on tosin sama jo nykyisen lainsäädännön perusteella. GDPR:n myötä väärinkäytökset voivat kuitenkin pahimmillaan johtaa raskaisiin sakkoihin.

6) Mieti valmiiksi jo menetelmät tietojen toimittamiseen ja poistamiseen asiakkaan pyynnöstä

GDPR määrää, ettei henkilötietoja saa säilöä ikuisesti, vaan ainoastaan niin kauan, kuin niille on tarvetta. Tämä tarkoittaa, että lomakkeilla kerättyjä tietoja tulee hävittää järjestelmällisesti.

Jos tietoja tulee paljon, prosessi kannattaa ehdottomasti automatisoida, ettei se ei aiheuta jatkuvaa lisätyötä sivuston päivittäjille, koska siitä aiheutuu helposti lisäkustannuksia, jotka voidaan välttää järkevillä toimintamalleilla.

7) Ole hyvä tyyppi

Monet asiantuntijat epäilevät, että suurin uhka yhdistyksille ja yrityksille ei tule olemaan viranomaisten tekemät tarkastukset, vaan ulkopuolisten tekemät ilmiannot.

Näiden ilmiantojen pohjimmainen syy on usein jokin aivan muu kuin huoli siitä, ettei toimija noudata uutta säädöstä, eli ilmiantaja haluaa vain tehdä kiusaa ilmiannon kohteena olevalle toimijalle.

Näin ollen vanha “Ole hyvä tyyppi” -ohje (tai Don’t be a dick kuten englantia puhuvat hieman voimallisemmin asian ilmaisevat) on erittäin hyvä ohje myös GDPR-ongelmien ehkäisemiseen.

8) Etsi tietoa ja pyydä apua

Netissä on paljon loistavia GPDR-asetusta ja tietosuojaa koskevia sivustoja, joten etsi tietoa niiltä tai käänny asiantuntijoiden puoleen.

Tietolähteitä:

https://www.karhuhelsinki.fi/gdpr-tuo-konkreettisia-muutostarpeita-nettisivuille-5-kohdan-muistilista

https://www.karhuhelsinki.fi/b2b-uutiskirjeen-tilaajilta-ei-tarvitse-kysya-lupaa-gdpr-ei-tuo-tahan-muutosta

https://fakta.tietosuojamalli.fi/aihe/gdpr

http://tietosuoja.fi/fi/index/euntietosuojauudistus.html


Tästä loistavasta yhteenvedosta on kiittäminen Hannu Jaatista Digitoimisto Jargon Oy:stä. Julkaisen tekstin sivuillani hänen luvallaan. Kiitos, Hannu!