Evästeiden kerääminen ja muuta GDPR-asiaa

Tietosuojaan kuuluu paljon muutakin, kuin tietosuojaselosteen tekeminen. On evästeitä, rekisteriselotuksia, on pakkoa ja suositeltua. Sakkojakin jaetaan jo, vaikka koko setti on tavalliselle yrittäjälle suhteellisen tiheä viidakko. Onko GDPR jo ”vanha kulunut juttu” vai pitäisikö sitä miettiä kuitenkin vähän lisää?

GDPR. Yök. Eikö siitä ole jo jauhet­tu tarpeek­si?

Ei ilmeis­es­ti.

Posti: 100 000 euroa.

ParkkiPate Oy: 75 000 euroa.

Tak­si Helsin­ki Oy: 72 000 euroa.

Vas­taamo: Kaik­ki meni, maine ja fir­ma.

GDPR ei ole vain suurten yri­tys­ten pään­vai­va, vaan jokainen yri­tys on mah­dol­lista ilmoit­taa tieto­suo­javal­tu­ute­tun toimis­toon epäillystä rik­keestä. GDPR:ää ei myöskään kan­na­ta kat­soa pään­vaivana, sil­lä GDPR:n mukaisen toimin­nan toteut­tamisel­la yri­tyk­sesi ja siinä toimivien henkilöi­den ris­ki saa­da pysyvä tahra maineeseen piene­nee huo­mat­tavasti.

Koko GDPR on mon­es­sa yri­tyk­sessä lev­äl­lään kuin Jokisen
eväät, väärinymmär­ryk­siä on paljon. Eikä ihme. GDPR-asiantun­ti­ja Juha Sal­lisen mukaan Trafi­com neu­voi koko ajan eri taval­la, kuin muu Euroop­pa, lisäk­si markki­na tul­vahti eri­lais­ten kon­sult­tien, some­postausten ja uuti­sot­sikoiden myötä hyvin kir­javaan käsi­tyk­seen tieto­jen tur­vaamis­es­ta. Otimme Juhan etäy­htey­den päähän ja kysy­imme puolestanne niitä tyh­miäkin
kysymyk­siä GDPR:stä.

Juha Salli­nen

Mitä GDPR tarkoittaa?

GDPR, eli Gen­er­al Data Pro­tec­tion Reg­u­la­tion, säätelee sitä, miten me yri­tyk­sis­sä ja yri­tyk­si­in ver­rat­tavis­sa organ­isaa­tiois­sa käsit­telemme henkilöti­eto­ja. Henkilöti­eto tarkoit­taa sitä, että pystymme tiedon avul­la tun­nista­maan henkilön tai tieto on muuten henkilöl­lisyy­teen liit­tyvää.

GDPR ei liity pelkästään verkko­sivui­hin vaan koko toim­intaan. Esimerkik­si Tak­si Helsin­ki sai 72 000 € sakot, kos­ka ääni­tal­len­tei­den nauhoituk­ses­ta ei san­ot­tu asi­akkaille mitään ja muitakin epä­selvyyk­siä löy­tyi. 

Tun­nis­tet­tavis­sa ole­vana pide­tään henkilöä, joka voidaan suo­raan tai epä­suo­rasti tun­nistaa eri­tyis­es­ti tun­nis­teti­eto­jen, kuten nimen, sijain­ti­tiedon, verkko­tun­nis­teti­eto­jen tai yhden tai use­am­man henkilölle tun­nu­so­maisen fyy­sisen, fys­i­ol­o­gisen, geneet­tisen, psyykkisen, taloudel­lisen, kult­tuuril­lisen tai sosi­aalisen tek­i­jän perus­teel­la. – Juha Salli­nen, GDPR yrit­täjälle-koulu­tus

Kerä­tyn tiedon tulee olla vain tarpeel­lista ja sen käsit­te­ly läpinäkyvää. Hyv­inä nyrkkisään­töinä voidaan pitää kerä­tyn tiedon min­i­moimisen, sit­o­mi­nen tarkoituk­seen­sa ja säi­lyt­tämisen rajoit­tamisen ajal­lis­es­ti.

Tieto­jen käsit­te­lyä ja sen tur­va­toimia kan­nat­taa läh­estyä riskien kaut­ta: mitä tapah­tuu, jos esimerkik­si läp­pärisi varaste­taan tai hukkaat puhe­lime­si?

Milloin minulle syntyy henkilötietorekisteri?

Lyhyt vas­taus: aina, kun keräät henkilöön liit­tyviä tieto­ja. Oli kyseessä sit­ten vaikka­pa yhtey­de­not­tolo­make koti­sivuil­la, ja sen joku täyt­tää, yri­tyk­selle­si muo­dos­tuu henkilöti­etorek­isteri. Ei siis ole väliä, onko kyseessä yksi tieton­sa antanut vai tuhan­sia henkilöitä. 

Käytän­nössä kat­soen jokaisel­la yri­tyk­sel­lä ja yri­tyk­seen ver­ran­nol­lisel­la organ­isaa­ti­ol­la on henkilöti­etorek­isteri. Jos yhtiö laskut­taa, myy, arpoo, käsit­telee poten­ti­aal­isia asi­akkai­ta jär­jestelmis­sä tai vaik­ka kenkälaatikos­sa sijait­sevil­la muis­ti­la­puil­la, on kyseessä henkilöistä kerät­ty tieto ja näin ollen GDPR:n alaista.

 

Henkilöti­eto­ja ovat esimerkik­si:

  • Nimi
  • Sähkö­pos­tiosoite
  • Tilaushis­to­ria
  • Selaushis­to­ria inter­netis­sä
  • Tulotiedot
  • Some­his­to­ria, esim. FB tai vas­taa­va
  • Sijain­ti­ti­eto
 

Arkalu­on­teisia henkilöti­eto­ja ovat:

  • Etni­nen alku­perä
  • Poli­it­ti­nen mielipi­de
  • Uskon­nolli­nen vakau­mus
  • Ammat­tili­iton jäsenyys
  • Ter­veyt­tä koske­vat tiedot
  • Sek­suaaliseen käyt­täy­tymiseen liit­tyvät tiedot
 

Mitä eroa on tietosuojaselosteella ja rekisteriselosteella – ja onko ne pakko olla kotisivuilla?

GDPR:ssä ei itseasi­as­sa ole lainkaan kyseisiä ter­me­jä, vaan puhutaan infor­moin­tivelvol­lisu­ud­es­ta.

Seloste käsit­te­ly­toimista on yhtiön sisäi­nen doku­ment­ti, joka ker­too meille mitä tieto­ja säi­lytämme ja käsit­telemme ja miten niiden elinkaari yhtiössämme toteu­tuu. Tieto­suo­jaseloste on tiedo­nan­to asi­akkaille ja muille sidos­ryh­mille, miten me henkilöti­eto­ja keräämme, käsit­telemme ja säi­lytämme.

Vas­toin yleistä luu­loa, mikään laki ei velvoita kir­joit­ta­maan tieto­suo­jaselostet­ta koti­sivuille. Tiedo­nan­to ja osoi­tusvelvol­lisu­us täy­tyy kuitenkin toteu­tua, joten mon­et ovat koke­neet kir­joite­tun tieto­suo­jaselosteen hyväk­si tavak­si ilmaista, että meil­lä toim­i­taan GDPR:n mukaises­ti. Tiedo­nan­to voi kuitenkin olla vaikka­pa video tai asi­akkaalle lähetet­tävä kir­je! 

Lisää tietosuoja.fi/osoitusvelvollisuus

 

Evästeet – mitä saa kerätä, miten evästehyväksyntä pitää toteuttaa?

Evästeis­sä tulee olla ns. akti­ivi­nen hyväksyn­tä, eli sivukävi­jän tulee hyväksyä kol­man­nen osa­puolen evästei­den keräämi­nen. Eväste­hyväksyn­tä ei saa estää sivus­ton käyt­töä, ja kieltäy­tymi­nenkin tulee olla mah­dol­lisuute­na. 

”Suos­tu­muk­sen pyytämiseen käytet­täväl­lä mekanis­mil­la ei tule kuitenkaan kohtu­ut­tomasti häir­itä ja estää käyt­täjän pääsyä sivus­tolle tai palvelu­un. Mikäli käyt­täjä jatkaa palvelu­un eväste­val­in­to­ja tekemät­tä, tulee sivus­ton toimia ole­tuk­se­na vain vält­tämät­tömi­in evästeisi­in perustuen. Eli muiden kuin vält­tämät­tömien evästei­den hyväksyn­tää sivus­tolle pääsyn edel­ly­tyk­senä ei ole lähtöko­htais­es­ti asian­mukaista käyt­tää, kos­ka suos­tu­mus­ta ei voi­da sil­loin kat­soa vapaae­htois­es­ti annetuk­si.”
Lähde: Trafi­com

 

Mikä sit­ten on kol­man­nen osa­puolen eväste?

- Mikä ihmeen kol­mas osa­puoli? Vähän kuin kol­mas pyörä tre­f­feil­lä! Sinä olet käyt­täjänä osa­puoli ja yri­tyk­sen verkko­sivu on toinen osa­puoli. Kol­mas osa­puoli voi olla esimerkik­si Google-ana­lyti­ik­ka, jol­la seu­rataan sin­un toim­intaasi, mis­tä tulit, kuka olet, mihin menit, Juha sel­ven­tää.

Tiesitkö, että voit tark­istaa, kerääkö sivus­to evästeitä klikkaa­mal­la osoi­teriv­il­lä lukon kuvaa? Tässä kuvakaap­paus snuup.fi-sivulta.

 

Teiltä tulleita kysymyksiä

Kuin­ka tark­ka tulee olla pk-yri­tys­ten tai niiden kokoon samas­tut­tavien organ­isaa­tioiden osal­lis­tu­jarek­iste­rien suh­teen?

Aika avoin kysymys sinäl­lään. Yhtiön kool­la ei oikein ole merk­i­tys­tä. Olemme vas­tu­us­sa kaikesta tiedos­ta, mitä meil­lä on. 

 

Mis­tä tiedän, onko meil­lä GDPR-asi­at hoi­dos­sa, eli mitkä ovat niitä perusjut­tu­ja mitkä vähin­tään pitää olla kun­nos­sa?

Osoi­tusvelvol­lisu­us tulee täyt­tyä. Käytän­nössä osoi­tusvelvol­lisu­us tarkoit­taa, että rek­ister­in­pitäjän on myös pystyt­tävä osoit­ta­maan nou­dat­ta­vansa tieto­suo­jalain­säädän­töä. Ei siis riitä, että yri­tyk­sel­lä on seloste asi­as­ta, vaan niitä toimia täy­tyy myös tehdä käytän­nössä. 

 

Meil­lä ei lukui­sista työn­tek­i­jöi­den huo­mau­tuk­sista huoli­mat­ta ole hoidet­tu tieto­suo­jaa kun­toon, mitä voin tehdä? Onko ilmoit­ta­mi­nen nimetön­tä?

Ilmi­an­non voi tehdä nimet­tömänä, yhteystiedot eivät ole lomak­keel­la pakol­lisia. EU hyväksyi Whistle­blow­er-direk­ti­ivin vuon­na 2019, joka paran­taa union­in oikeu­den rikkomis­es­ta ilmoit­tavien henkilöi­den suo­jaa. Direk­ti­ivi velvoit­taa vähin­tään 50 henkilöä työl­listäviä yri­tyk­siä ja julk­isia organ­isaa­tioi­ta jär­jestämään kana­van väärinkäytösepäi­ly­jen nimet­tömään ilmoit­tamiseen. Direk­ti­ivi tekee jouluku­us­sa 2021 epäilty­jen väärinkäytösten ilmoi­tuskana­van ja ‑pros­essin pakol­lisek­si ja se kos­kee sekä julk­ista sek­to­ria että yri­tys­toim­intaa.

 

Mitä eroa on B2B ja B2C puo­lil­la?

Paljonkin. Esimerkik­si oikeutet­tu peruste on laa­jem­pi B2B-puolel­la. Buukkausten ja yri­tys­main­on­nan osil­ta voidaan läh­estyä henkilöä, jon­ka vas­tu­ualueelle voidaan olet­taa asian kuu­lu­van. Emme siis voi esimerkik­si soittaa/mainostaa siis­ti­jälle IT-pro­jek­tista. B2C-puolel­la markki­noin­nil­la tulee olla hyväksyn­tä tai esimerkik­si asi­akku­us­pe­ruste – mis­sä siinäkin on omat kom­mer­venkkin­sä.

Yri­tyk­sen ei siis tule tehdä b2b-sähko­pos­ti­markki­noin­tia lähet­tämäl­lä mas­salähetyk­siä työsähkö­posti­soit­teisi­in ilman lupaa, asi­akku­ut­ta tai markki­noita­van hyödyk­keen lain­säädän­nön edel­lyt­tämää yhteyt­tä vas­taan­ot­ta­jan työte­htävi­in tai vas­tu­ualueeseen. Lähde: ASML.fi

 

Mis­tä johtuen jotkut yri­tyk­set joutu­vat tark­istuk­seen? Onko naa­puri kielinyt? 

Joku on tehnyt ilmoituk­sen tieto­suo­javal­tu­us­ton toimis­toon. Epäilty­jen rikko­muk­sen kaut­ta joutuu siis syyni­in – mikä ei lop­pu­peleis­sä ole tieto­suo­jan kannal­ta ollenkaan huono jut­tu. 

 

Onko ole­mas­sa sel­l­aista selkeää käytän­nön­läheistä GDPR-koulu­tus­ta pk-yri­tyk­sille, mikä olisi vielä suh­teel­lisen edulli­nen?

Me tsekkasimme Sal­lisen tun­nin koulu­tuk­sen matskut, ja voimme suositel­la. Ahaa ja OHO! elämyk­siä täyn­nä.

juha@gdprtech.com  

+358 40 566 6900 

 

Vastaa kyselyyn!

Kyse­lyn tavoit­teena on kar­toit­taa, miten yli 3 vuot­ta voimas­sa ollut EU:n tieto­suo­ja-ase­tus (GDPR) on vaikut­tanut suo­ma­lais­ten organ­isaa­tioiden – yri­tys­ten ja kun­tien — toim­intaan.

Kyse­lyyn tästä 

 

Takaisin blo­gei­himme