GDPR on akronyymihirviö, joka puistattaa monia ja on herättänyt meidän asiakkaissamme paljon kysymyksiä. Kyse ei kuitenkaan (nettisivujen osalta) ole mistään jättiläisdemonista, eikä hommasta kannata ottaa liikaa stressiä. Yhteydenottojen ja kysymysten myötä päätimme koota yleisimmin esiin tulleet asiat blogin muotoon.

Mistä olikaan kyse?

GDPR eli General Data Protection Regulation on EU:n yleinen tietosuoja-asetus, joka säätelee henkilötietojen käsittelyä. Itse tykkään kiteyttää sen näin: uusien asetusten astuessa voimaan yksilöllä on oikeus tietää, mitä tietoa hänestä kerätään, mihin sitä tietoa käytetään, miten tietoa voi muokata tai miten tiedon saa kokonaan pyyhittyä pois. Uusi asetus tulee voimaan 25.5.2018. GDPR-asetus on poikinut myös verkkosivuja ja verkkokauppoja lähemmin koskevan ePrivacy Regulationin, jota tulemme käsittelemään tarkemmin myöhemmissä blogikirjoituksissamme.

Pitääkö yrityksemme tehdä jotain verkkosivuille, kun GDPR-asetus astuu voimaan?

Hyvänä nyrkkisääntönä voidaan pitää, että mikäli kyseessä on verkkokauppa tai sivuillasi on lomakkeita vastaus on; KYLLÄ. Demonin taltuttaminen lähtee henkilötietojen käsittelyn kokonaiskuvan kartoittamisesta, jonka jälkeen tulee huolehtia siitä, että näistä käytännöistä tiedotetaan esimerkiksi verkkosivujen tietosuojaselosteessa. Mikäli olet kerännyt sivujesi kautta rekisteriä, saattaa sivuiltasi löytyä entuudestaan jo rekisteriseloste. Se on hyvä alku, mutta GDPR:n myötä tietosuojakäytännöistä tulisi kertoa laajemmin ja kertoa lisäksi mm. rekisteröidyn oikeuksista. Selosteita ei suinkaan tarvitse tuulesta temmata. Esimerkkejä ja käytännön ohjeita löydät esimerkiksi tietosuojavaltuutetun toimistosta.

Kartoitusta tehdessä huomio kannattaa kiinnittää erityisesti lomakkeisiin. Mitä tietoja yksilöltä niissä kerätään, onko kaikki tieto relevanttia yrityksen kannalta, mihin tieto säilötään ja miten näitä tietoja voidaan muokata tai poistaa. Useimmissa tapauksissa tietoa säilötään kolmella tapaa: 1) tieto lähtee sähköpostilla eteenpäin 2) se jää WordPressin taustahallintaan tai 3) data siirtyy integraation kautta asiakkaan CRM-järjestelmään. Näissä kolmansien osapuolien integraatioissa huomioon pitää myös ottaa sen kyseisen ohjelman valmiudet käsitellä, muuttaa tai poistaa dataa.

Mystiset evästeet ovat olleet monen GDPR-aiheisen kysymyksen taustalla. Evästeillä tarkoitetaan dataa, jonka palvelin tallentaa käyttäjän koneelle. Osa evästeisteiden avulla kerätystä tiedosta on sellaista, jota ei voida yhdistää tiettyyn käyttäjään. Itse tulkitsemme tietosuoja-asetusta siten, että tälläisistä evästeistä ei tarvitse erikseen tiedottaa tai pyytää käyttäjän suostumusta. Sen sijaan, mikäli evästeiden avulla kerätään tietoa, joka voidaan yhdistää tiettyyn käyttäjään, kuuluvat ne GDPR:n mukaisiksi henkilötiedoiksi. Moni asiakkaistamme on halunnut pelata varman päälle ja lisätä sivuilleen evästeilmoituksen joka tapauksessa. Evästeistä ja niihin liittyvistä käytännöistä tullaan säätämään tarkemmin valmisteilla olevassa ePrivacy-asetuksessa.

Onko WordPressillä jotain ohjeistusta/tiedotusta GDPR-asetuksista ja missä maassa WordPress säilöö tietojaan?

WordPress on avoimeen lähdekoodiin perustuva sisällönhallintajärjestelmä eli ohjelmisto, joka voidaan asentaa ihan mille palvelimelle tahansa. Yrityksesi tietojen lokaatio siis riippuu siitä, missä palvelimesi on. Näihin tietoihin päästään käsiksi WordPressin kautta. WordPress:n kehittäjät tekevät erittäin aktiivisista kehitystä tarjotakseen työkaluja helpottaakseen yrityksiä noudattamaan uusia tietosuoja-asetuksia. (https://wordpress.org/news/2018/04/gdpr-compliance-tools-in-wordpress/)

Voiko Contrast auttaa meitä GDPR-asioiden kanssa?

Tottakai voimme. Voimme esimerkiksi auttaa yritystäsi selvittämään, mihin tietonne tällä hetkellä säilötään ja mihin ne siirtyvät. Olemme myös luoneet lakikumppanimme kanssa tietosuojaselostepohjan, jota voimme tarjota räätälöidysti asiakkaillemme. Tarvittaessa autamme myös evästeilmoituksen lisäämisessä ja käytössä olevien evästeiden kartoittamisessa. Otathan rohkeasti yhteyttä, niin katsotaan yhdessä paras ratkaisu juuri teille.

Muistilista GDPR-taistoon a.k.a. lue ainakin tämä:

  • Päivitä sivuillesi tietosuojaseloste (katso esim. tietosuojavaltuutetun toimisto)
  • Kartoita mitä tietoja verkkosivuillasi kerätään. Siirtyykö data kolmansille osapuolille? Miten säilöt dataa ja miten saat sitä muokattua tai poistettua?
  • Ilmoita evästeistä. Kerro evästekäytännöistäsi paikassa, jonne kävijä löytää helposti.

  • Pyydä tarvittaessa apua. Mikäli et ehdi tehdä muutoksia sivuillesi, anna meidän auttaa.

Artikkelia on tarkennettu 1.6.2018 Tietosuojavaltuutetun Toimiston uutisoinnin ja tiedotteiden perusteella.