Janne Parri
Julkaistu
15.1.2023
Päivitetty
5.2.2023
GDPR eli EU:n yleinen tietosuoja-asetus on ollut verkkosivujen ylläpitäjien huulilla jo useamman vuoden. Pöly alkaa vihdoin laskeutua ja uusia kohuja on horisontissa.
Vastuuvapautus: En ole lakimies ja noudatat näitä neuvoja täysin omalla vastuullasi.
GDPR ei varsinaisesti määrää verkkosivuista. Se määrää henkilötietojen käsittelystä, johon verkkosivut usein liittyvät. Sivuston, jonka kautta ei kulje henkilötietoa, ei siis tarvitse miettiä asiaa. Todellisuus on kuitenkin se, että lähes jokaisella verkkosivulla on jonkinlainen yhteydenottokaavake. Näiden kaavakkeiden kautta kulkee tietenkin henkilötietoja. Toinen mahdollinen paikka henkilötiedon siirtymiselle on kävijäseuranta. Tämä saattaa aluksi kuulostaa oudolta, mutta kyse on yleensä IP-osoitteesta, joka määritellään henkilötiedoksi. Lisää siitä mikä määritellään henkilötiedoksi voit lukea tietosuojavaltuutetun sivuilta.
GDPR ei oikeastaan määrää evästeistäkään. Evästeet saattavat sisältää henkilötietoja, jolloin ne tippuvat taas GDPR:n piiriin. Sähköisen viestinnän tietosuojadirektiivi on se EU:n ensisijainen evästeohjenuora. EU:n virallisella sivustolla on hyvä ohjeistus, mitkä evästeet tulee hyväksyttää ja mitkä ei.
Evästeistä on hiljattain ollut paljon puhetta, kun selaimet ovat alkaneet estämään kolmennan osapuolen evästeiden asentamisen. Tämä ei suoranaisesti liity GDPR:n, mutta lisää samaan tapaan harmaita hiuksia digimarkkinoijille.
Äppikset ja softat ovat yllättävän usein jonkin valtavan Piilaaksofirman käsialaa. Näin ollen sovellus ja sen mukana henkilötiedotkin elävät ainakin osittain jossain jenkkilässä. Tämä sinänsä ei ole kiellettyä, mutta vaatii varmisteluja.
Jälleen tietosuojavaltuutetun sivuilla on mahtava artikkeli henkilötietojen siirtämisestä EU:n ulkopuolelle. Siellä mm. tarkennetaan, että henkilötietoja saa siirtää EU:n ulkopuolelle, kunhan seuraavat kaksi ehtoa täyttyvät:
Mikä he****in siirtoperuste? Noh... Tietosuojavaltuutetun mukaan siirtoperusteiksi soveltuvat hieman tapauksesta riippuen:
Tuo ensimmäinen "päätös riittävästä tietosuojan tasosta" olisi mahtava, jos USA olisi EU:n listalla. Asiaan perehtyneet saattavat muistaa Privacy Shield ohjelman, joka oli EU:n ja USA:n välinen sopimus juurikin tähän liittyen. Privacy Shield kuitenkin kumottiin ns. Schrems II -ratkaisussa heinäkuussa 2020.
Privacy Shieldin seuraajaa odotellessa moni turvautuu edellisen listan kakkosvaihtoehtoon. Komission hyväksymät vakiolausekkeet ovat lisäys tiedonsiirtoa käsittelevään sopimukseen, joita tiedonsiirron osapuolet sitoutuvat noudattamaan.
Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.
Jos yritykselläsi on google-tili, tuskin muistat tehneesi mitään tiedonsiirtosopimusta. Tässä välissä rekisterin pitäjänä sinun tulisi varmistaa, että sopiva vaikiolauseke löytyy niistä sopimuksista. Koska myös itse sitoudut noudattamaan niitä, sitoudut mm. huolehtimaan varmistetaan etteivät rekisteröityjen oikeudet vaarannu tietojen siirtämisen yhteydessä.
Lue lisää vakiolausekkeista tietosuojavaltuutetun sivuilta.
Tähän se verkkosivujen GDPR-tekeminen yleensä kulminoituu. Tietosuojaselostetta kutsutaan toisinaan tietoturvaselosteeksi tai rekisteriselosteeksi. Hauskaa tässä on se, että GDPR ei määrää yrityksiä tekemään varsinaista selostetta. Sen mukaan yritysten on informoitava tiiviisti, läpinäkyvästi, helposti ja ymmärrettävästi.
Rekisterinpitäjän on annettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa.
Alla on lista, jotka tulisi käydä ilmi henkilötietojen käsittelystä. Lista on napattu suoraan tietosuojavaltuutetun sivuilta.
Onhan tämä aivan mieltä ylentävä aihe. Mahtavaa, että jaksoit lukea tänne asti. GDPR ja sen ympärillä olevat asiat kehittyvät jatkossakin ja välillä on hyvä päivittää tietoja. Lopuksi vielä tehtävälista oman yrityksen GDPR-tarkistusta varten. Muistutuksena vielä, että en ole lakimies, joten noudatat näitä ohjeita omalla vastuullasi.