Sivustolla käytetään verkkokaupassa oleellisia sekä kolmannen osapuolten evästeitä. Kolmannen osapuolten evästeitä käytetään tilastojen keräämiseen sekä kävijän käyttäytymisen seurantaan, minkä avulla voimme parantaa käyttäjäkokemusta.
Evästeiden kerääminen ja muuta GDPR-asiaa
- etusivu
- /
- Liiketoiminta
- Yleinen
- /
- Evästeiden kerääminen ja muuta GDPR-asiaa
Tietosuojaan kuuluu paljon muutakin, kuin tietosuojaselosteen tekeminen. On evästeitä, rekisteriselotuksia, on pakkoa ja suositeltua. Sakkojakin jaetaan jo, vaikka koko setti on tavalliselle yrittäjälle suhteellisen tiheä viidakko. Onko GDPR jo ”vanha kulunut juttu” vai pitäisikö sitä miettiä kuitenkin vähän lisää?
GDPR. Yök. Eikö siitä ole jo jauhettu tarpeeksi?
Ei ilmeisesti.
Posti: 100 000 euroa.
ParkkiPate Oy: 75 000 euroa.
Taksi Helsinki Oy: 72 000 euroa.
Vastaamo: Kaikki meni, maine ja firma.
GDPR ei ole vain suurten yritysten päänvaiva, vaan jokainen yritys on mahdollista ilmoittaa tietosuojavaltuutetun toimistoon epäillystä rikkeestä. GDPR:ää ei myöskään kannata katsoa päänvaivana, sillä GDPR:n mukaisen toiminnan toteuttamisella yrityksesi ja siinä toimivien henkilöiden riski saada pysyvä tahra maineeseen pienenee huomattavasti.
Koko GDPR on monessa yrityksessä levällään kuin Jokisen
eväät, väärinymmärryksiä on paljon. Eikä ihme. GDPR-asiantuntija Juha Sallisen mukaan Traficom neuvoi koko ajan eri tavalla, kuin muu Eurooppa, lisäksi markkina tulvahti erilaisten konsulttien, somepostausten ja uutisotsikoiden myötä hyvin kirjavaan käsitykseen tietojen turvaamisesta. Otimme Juhan etäyhteyden päähän ja kysyimme puolestanne niitä tyhmiäkin
kysymyksiä GDPR:stä.

Mitä GDPR tarkoittaa?
GDPR, eli General Data Protection Regulation, säätelee sitä, miten me yrityksissä ja yrityksiin verrattavissa organisaatioissa käsittelemme henkilötietoja. Henkilötieto tarkoittaa sitä, että pystymme tiedon avulla tunnistamaan henkilön tai tieto on muuten henkilöllisyyteen liittyvää.
GDPR ei liity pelkästään verkkosivuihin vaan koko toimintaan. Esimerkiksi Taksi Helsinki sai 72 000 € sakot, koska äänitallenteiden nauhoituksesta ei sanottu asiakkaille mitään ja muitakin epäselvyyksiä löytyi.
Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. – Juha Sallinen, GDPR yrittäjälle-koulutus
Kerätyn tiedon tulee olla vain tarpeellista ja sen käsittely läpinäkyvää. Hyvinä nyrkkisääntöinä voidaan pitää kerätyn tiedon minimoimisen, sitominen tarkoitukseensa ja säilyttämisen rajoittamisen ajallisesti.
Tietojen käsittelyä ja sen turvatoimia kannattaa lähestyä riskien kautta: mitä tapahtuu, jos esimerkiksi läppärisi varastetaan tai hukkaat puhelimesi?
Milloin minulle syntyy henkilötietorekisteri?
Lyhyt vastaus: aina, kun keräät henkilöön liittyviä tietoja. Oli kyseessä sitten vaikkapa yhteydenottolomake kotisivuilla, ja sen joku täyttää, yrityksellesi muodostuu henkilötietorekisteri. Ei siis ole väliä, onko kyseessä yksi tietonsa antanut vai tuhansia henkilöitä.
Käytännössä katsoen jokaisella yrityksellä ja yritykseen verrannollisella organisaatiolla on henkilötietorekisteri. Jos yhtiö laskuttaa, myy, arpoo, käsittelee potentiaalisia asiakkaita järjestelmissä tai vaikka kenkälaatikossa sijaitsevilla muistilapuilla, on kyseessä henkilöistä kerätty tieto ja näin ollen GDPR:n alaista.
Henkilötietoja ovat esimerkiksi:
- Nimi
- Sähköpostiosoite
- Tilaushistoria
- Selaushistoria internetissä
- Tulotiedot
- Somehistoria, esim. FB tai vastaava
- Sijaintitieto
Arkaluonteisia henkilötietoja ovat:
- Etninen alkuperä
- Poliittinen mielipide
- Uskonnollinen vakaumus
- Ammattiliiton jäsenyys
- Terveyttä koskevat tiedot
- Seksuaaliseen käyttäytymiseen liittyvät tiedot
Mitä eroa on tietosuojaselosteella ja rekisteriselosteella – ja onko ne pakko olla kotisivuilla?
GDPR:ssä ei itseasiassa ole lainkaan kyseisiä termejä, vaan puhutaan informointivelvollisuudesta.
Seloste käsittelytoimista on yhtiön sisäinen dokumentti, joka kertoo meille mitä tietoja säilytämme ja käsittelemme ja miten niiden elinkaari yhtiössämme toteutuu. Tietosuojaseloste on tiedonanto asiakkaille ja muille sidosryhmille, miten me henkilötietoja keräämme, käsittelemme ja säilytämme.
Vastoin yleistä luuloa, mikään laki ei velvoita kirjoittamaan tietosuojaselostetta kotisivuille. Tiedonanto ja osoitusvelvollisuus täytyy kuitenkin toteutua, joten monet ovat kokeneet kirjoitetun tietosuojaselosteen hyväksi tavaksi ilmaista, että meillä toimitaan GDPR:n mukaisesti. Tiedonanto voi kuitenkin olla vaikkapa video tai asiakkaalle lähetettävä kirje!
Lisää tietosuoja.fi/osoitusvelvollisuus
Evästeet – mitä saa kerätä, miten evästehyväksyntä pitää toteuttaa?
Evästeissä tulee olla ns. aktiivinen hyväksyntä, eli sivukävijän tulee hyväksyä kolmannen osapuolen evästeiden kerääminen. Evästehyväksyntä ei saa estää sivuston käyttöä, ja kieltäytyminenkin tulee olla mahdollisuutena.
”Suostumuksen pyytämiseen käytettävällä mekanismilla ei tule kuitenkaan kohtuuttomasti häiritä ja estää käyttäjän pääsyä sivustolle tai palveluun. Mikäli käyttäjä jatkaa palveluun evästevalintoja tekemättä, tulee sivuston toimia oletuksena vain välttämättömiin evästeisiin perustuen. Eli muiden kuin välttämättömien evästeiden hyväksyntää sivustolle pääsyn edellytyksenä ei ole lähtökohtaisesti asianmukaista käyttää, koska suostumusta ei voida silloin katsoa vapaaehtoisesti annetuksi.”
Lähde: Traficom
Mikä sitten on kolmannen osapuolen eväste?
- Mikä ihmeen kolmas osapuoli? Vähän kuin kolmas pyörä treffeillä! Sinä olet käyttäjänä osapuoli ja yrityksen verkkosivu on toinen osapuoli. Kolmas osapuoli voi olla esimerkiksi Google-analytiikka, jolla seurataan sinun toimintaasi, mistä tulit, kuka olet, mihin menit, Juha selventää.
Tiesitkö, että voit tarkistaa, kerääkö sivusto evästeitä klikkaamalla osoiterivillä lukon kuvaa? Tässä kuvakaappaus snuup.fi-sivulta.

Teiltä tulleita kysymyksiä
Kuinka tarkka tulee olla pk-yritysten tai niiden kokoon samastuttavien organisaatioiden osallistujarekisterien suhteen?
Aika avoin kysymys sinällään. Yhtiön koolla ei oikein ole merkitystä. Olemme vastuussa kaikesta tiedosta, mitä meillä on.
Mistä tiedän, onko meillä GDPR-asiat hoidossa, eli mitkä ovat niitä perusjuttuja mitkä vähintään pitää olla kunnossa?
Osoitusvelvollisuus tulee täyttyä. Käytännössä osoitusvelvollisuus tarkoittaa, että rekisterinpitäjän on myös pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä. Ei siis riitä, että yrityksellä on seloste asiasta, vaan niitä toimia täytyy myös tehdä käytännössä.
Meillä ei lukuisista työntekijöiden huomautuksista huolimatta ole hoidettu tietosuojaa kuntoon, mitä voin tehdä? Onko ilmoittaminen nimetöntä?
Ilmiannon voi tehdä nimettömänä, yhteystiedot eivät ole lomakkeella pakollisia. EU hyväksyi Whistleblower-direktiivin vuonna 2019, joka parantaa unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojaa. Direktiivi velvoittaa vähintään 50 henkilöä työllistäviä yrityksiä ja julkisia organisaatioita järjestämään kanavan väärinkäytösepäilyjen nimettömään ilmoittamiseen. Direktiivi tekee joulukuussa 2021 epäiltyjen väärinkäytösten ilmoituskanavan ja ‑prosessin pakolliseksi ja se koskee sekä julkista sektoria että yritystoimintaa.
Mitä eroa on B2B ja B2C puolilla?
Paljonkin. Esimerkiksi oikeutettu peruste on laajempi B2B-puolella. Buukkausten ja yritysmainonnan osilta voidaan lähestyä henkilöä, jonka vastuualueelle voidaan olettaa asian kuuluvan. Emme siis voi esimerkiksi soittaa/mainostaa siistijälle IT-projektista. B2C-puolella markkinoinnilla tulee olla hyväksyntä tai esimerkiksi asiakkuusperuste – missä siinäkin on omat kommervenkkinsä.
Yrityksen ei siis tule tehdä b2b-sähkopostimarkkinointia lähettämällä massalähetyksiä työsähköpostisoitteisiin ilman lupaa, asiakkuutta tai markkinoitavan hyödykkeen lainsäädännön edellyttämää yhteyttä vastaanottajan työtehtäviin tai vastuualueeseen. Lähde: ASML.fi
Mistä johtuen jotkut yritykset joutuvat tarkistukseen? Onko naapuri kielinyt?
Joku on tehnyt ilmoituksen tietosuojavaltuuston toimistoon. Epäiltyjen rikkomuksen kautta joutuu siis syyniin – mikä ei loppupeleissä ole tietosuojan kannalta ollenkaan huono juttu.
Onko olemassa sellaista selkeää käytännönläheistä GDPR-koulutusta pk-yrityksille, mikä olisi vielä suhteellisen edullinen?
Me tsekkasimme Sallisen tunnin koulutuksen matskut, ja voimme suositella. Ahaa ja OHO! elämyksiä täynnä.
juha@gdprtech.com
+358 40 566 6900
Vastaa kyselyyn!
Kyselyn tavoitteena on kartoittaa, miten yli 3 vuotta voimassa ollut EU:n tietosuoja-asetus (GDPR) on vaikuttanut suomalaisten organisaatioiden – yritysten ja kuntien — toimintaan.