Clover Shop X4 Maxitulosta pdf-kuitti ja pdf-lasku viivakoodillalataa ja asennasuomalainen verkkokauppaohjelmistonopea ja helppokäyttöinen verkkokauppaohjelmistomobiiliyhteensopiva verkkokauppaohjelmistohuipputurvallinen ohjelmistolyhyt ostopolku ja ostoskori
Ajankohtaista
Uusin versio 1245
Postin uudistus 2017
Tietosuoja-asetus 2018

EU:n yleinen tietosuoja-asetus

OhjeetKäyttöohjeet › EU:n yleinen tietosuoja-asetus

EU:n yleinen tietosuoja-asetus muuttaa henkilötietojen käsittelyä yrityksissä. Kaikkien EU:n alueella toimivien yritysten on noudatettava asetusta 25.5.2018 alkaen. Asetus on kaikille uusi asia. Tässä on siitä ensimmäiset konkreettiset tulkinnat. Täydennämme ja korjaamme tietoja asioiden edistyessä.

Varaudu ennakkoon

Suosittelemme seuraavia varotoimenpiteitä vuoden 2017 aikana.

  • Jos lisäät jostain syystä postituslistoille vastaanottajia ilman heidän suostumustaan, kirjoita asiakaskortin muistilappuun jokin oma koodisi, esim. "asiakaskirje STR" tai "ASTR". Voit keksiä koodin itse, kunhan muistat, mitä se tarkoittaa.

Suosittelemme seuraavia toimenpiteitä 25.5.2018 mennessä.

  • Laadi selosteet henkilötietojen käsittelytoimista (lue lisää).
  • Päivitä verkkokaupan rekisteriseloste tai tietosuojaseloste.
  • Päivitä toimitusehdot lasten oikeuksien osalta.
  • Päivitä ohjelmisto uusimpaan X4-versioon vuoden 2018 alussa.

Rekisterinpitäjä

Clover Shoppia käyttävä verkkokauppias toimii jatkossakin itse rekisterinpitäjänä.

Ulkoistaminen

Clover Shoppia käyttävä verkkokauppias ei jatkossakaan ulkoista henkilötietojen käsittelyä (ei edes meille).

Tietosuojavastaavaa

Clover Shoppia käyttävän verkkokauppiaan ei yleensä tarvitse nimittää tietosuojavastaavaa.

Rekisteriseloste

Verkkokauppiaan on pidettävä jatkossakin yleisesti saatavilla rekisteriselostetta tai tietosuojaselostetta. Olemassa oleviin selosteisiin on lisättävä vähintäänkin tieto henkilötietojen säilytysajasta tai säilytysajan määrittämiskriteeri.

Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot... Lähde: Artikla 13 / EU yleinen tietosuoja-asetus / "Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä" ↗

Jos verkkokaupan asiakas (tilaaja) on ilmoittanut tilauslomakkeella jonkun toisen henkilön henkilötietoja, verkkokauppiaan on toimitettava tälle toiselle henkilölle rekisteriseloste, ellei siitä aiheudu kohtuutonta vaivaa.

Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot... Lähde: Artikla 14 / EU yleinen tietosuoja-asetus / "Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä" ↗

Osoitusvelvollisuus

Tietosuoja-asetuksen artiklassa 5 säädetään, että verkkokauppiaan on pystyttävä osoittamaan, että henkilötietoja käsiteltäessä toteutuu lainmukaisuus, kohtuullisuus, läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus.

Kyseisessä artiklassa ei kuitenkaan mainita, kenelle näiden vaatimusten noudattaminen tulisi osoittaa ja missä laajuudessa. Miten tavallinen verkkokauppias voi tietää, millaiseen osoittamiseen kannattaa valmistautua?

Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu ("osoitusvelvollisuus"). Lähde: Artikla 5 / EU yleinen tietosuoja-asetus / "Henkilötietojen käsittelyä koskevat periaatteet" ↗

Lokitiedot

Clover Shop tallentaa verkkokauppiaan omaan järjestelmään lokitietoja verkkokaupan hallintaliittymässä tehdyistä sivupyynnöistä. Lisäksi verkkokaupan kotisivutilan www-palveluntarjoja tallentaa lokitietoja, joihin verkkokauppiaalla on pääsy. Selvitämme vielä tarkemmin, mitä muutospaineita näihin lokitietoihin kohdistuu. Suosittelemme ohjelmiston päivittämistä uusimpaan X4-versioon vuoden 2018 alussa.

Seloste käsittelytoimista

Verkkokauppiaan on ylläpidettävä selostetta vastuullaan olevista henkilötietojen käsittelytoimista. Lisäksi jokaisen, joka käsittelee henkilötietoja verkkokauppiaan lukuun, on ylläpidettävä selostetta kaikista verkkokauppiaan lukuun suoritettavista käsittelytoimista. Viimeksi mainittu vaatimus tarkoittanee(?) käytännössä esimerkiksi sitä, että Postin ja Matkahuollon on ylläpidettävä selostetta verkkokaupan asiakkaiden yhteystietojen käsittelystä.

Nämä selosteet eivät ole julkisia, kuten rekisteriseloste tai tietosuojaseloste. Selosteet voidaankin laatia erittäin seikkaperäisesti ja käytännönläheisesti, ja täten niillä voidaan osoittaa valvontaviranomaiselle (uusi tietosuojavirasto), että asetuksen vaatimuksia on noudatettu.

Vaikutustenarviointi

Verkkokauppiaan on tehtävä tietosuojaa koskeva vaikutustenarviointi, jos henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Valvontaviranomainen (uusi tietosuojavirasto) julkaisee luettelon käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan vaikutustenarviointi. Tämä kohta tarkentuu myöhemmin.

Sertifiointi

Clover Shoppia käyttävän verkkokauppiaan ei tarvitse sertifioida verkkokauppaansa. Sertifiointipalvelut on kaupallista liiketoimintaa samalla tavalla kuin luotettavuus- ja kotimaisuusmerkkien myöntäminen maksua vastaan.

Suostumuksen hankkiminen

Verkkokaupan asiakkaalta (tilaajalta) ei tarvitse pyytää suostumusta henkilötietojen käsittelylle. Tämä johtuu siitä, että tilaus on sopimus, jossa asiakas on osapuolena.

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena... Lähde: Artikla 6 / EU yleinen tietosuoja-asetus / "Käsittelyn lainmukaisuus" ↗

Jos verkkokaupan asiakas (tilaaja) on ilmoittanut tilauslomakkeella jonkun toisen henkilön henkilötietoja, verkkokauppiaan on toimitettava tälle toiselle henkilölle rekisteriseloste, ellei siitä aiheudu kohtuutonta vaivaa.

Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot... Lähde: Artikla 14 / EU yleinen tietosuoja-asetus / "Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä" ↗

Sähköinen markkinointi

Verkkokaupan asiakkaalle (tilaajalle) saa lähettää sähköistä markkinointia, jos asiakas on aktiivisesti sallinut sen tai jos sähköpostiosoite on saatu tilauksen yhteydessä, eikä asiakas ole aktiivisesti kieltänyt sitä, vaikka kieltomahdollisuutta on tarjottu. Rekisteriselosteessa on oltava maininta sähköisestä markkinoinnista.

Jos luonnollinen henkilö tai oikeushenkilö saa asiakkaaltaan sähköpostiyhteystietoja tuotteen tai palvelun myynnin yhteydessä asetuksen (EU) 2016/679 mukaisesti... Lähde: EU:n uusi sähköisen viestinnän tietosuoja-asetus ↗

Lasten oikeudet

Verkkokauppias ei saa käsitellä alle 16-vuotiaiden lasten henkilötietoja ilman lasten vanhempien suostumusta. Asetuksessa mainitaan "kohtuullinen toimenpide suostumuksen tarkistamiseksi käytettävissä olevalla teknologialla". Tämä kohta tarkentuu myöhemmin.

Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia huomioon ottaen. Lähde: Artikla 8 / EU yleinen tietosuoja-asetus / "Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot" ↗

Tietoturvaloukkaukset

Jos tapahtuu tietoturvaloukkaus ja ilmoittamiskynnys ylittyy, verkkokauppiaan pitää ilmoittaa tietoturvaloukkauksesta valvontaviranomaiselle (uudelle tietosuojavirastolle) ja verkkokaupan asiakkaalle.

...paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Lähde: Artikla 33 / EU yleinen tietosuoja-asetus / "Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle" ↗
Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle... Lähde: Miten valmistautua EU:n tietosuoja-asetukseen? ↗

Tarkastusoikeus

Verkkokaupan asiakkaalla on jatkossakin omien henkilötietojen tarkastusoikeus. Tämä tarkoittaa eri asiaa kuin oikeus siirtää tiedot toiseen järjestelmään. Kun asiakas käyttää tarkastusoikeuttaan, hänelle toimitetaan enemmän tietoja kuin silloin, kun asiakas käyttää oikeutta siirtää tiedot toiseen järjestelmään.

Kun verkkokaupan asiakas käyttää tarkastusoikeuttaan, verkkokauppiaan on ilmoitettava asiakkaalle, käsitelläänkö häntä koskevia henkilötietoja sekä toimitettava asiakkaalle jäljennös käsiteltävistä henkilötiedoista ja rekisteriselosteesta.

Verkkokaupan eri asiakkailla saattaa olla samoja henkilötietoja. Esimerkiksi Helsingissä asuu useita Jukka Virtasia. Siksi verkkokauppiaan kannattaakin haarukoida "väärät asiakkaat" pois. Haarukointi tapahtuu etsimällä asiakas- ja tilauskorteista samaa nimeä, sähköpostiosoitetta ja postiosoitetta. Viime kädessä asiakkaalta voidaan pyytää asiakasnumeroa tai häneltä voidaan pyytää allekirjoitus.

Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi kuitenkin pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi. Lähde: Miten valmistautua EU:n tietosuoja-asetukseen? ↗

Oikeus tietojen oikaisuun

Verkkokauppiaan on oikaistava verkkokaupan asiakasta koskevat epätarkat ja virheelliset tiedot, jos verkkokaupan asiakas vaatii oikaisua.

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Lähde: Artikla 16 / EU yleinen tietosuoja-asetus / "Oikeus tietojen oikaisemiseen" ↗

Oikeus siirtää tiedot toiseen järjestelmään

Verkkokaupan asiakkaalla on oikeus saada jäljennös henkilötiedoista, jotka hän on itse toimittanut verkkokauppiaalle. Tämä tarkoittaa eri asiaa kuin tarkastusoikeus. Kun asiakas käyttää oikeutta siirtää tiedot toiseen järjestelmään, hänelle toimitetaan vähemmän tietoja kuin silloin, kun asiakas käyttää tarkastusoikeutta.

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos... Lähde: Artikla 20 / EU yleinen tietosuoja-asetus / "Oikeus siirtää tiedot järjestelmästä toiseen" ↗

Oikeus tulla unohdetuksi

Verkkokauppiaan on poistettava verkkokaupan asiakkaan henkilötiedot asiakkaan pyynnöstä, paitsi jos verkkokauppiaan on säilytettävä niitä jonkin lakisääteisen velvoitteen noudattamiseksi. Esimerkiksi myyjän virhevastuu ja takuu ovat tällaisia velvoitteita. Vastaavasti esimerkiksi kuitteja ja laskuja ei tarvitse poistaa kirjanpidosta, koska kirjanpitolaissa on määrätty niille säilytysaika.

Oikeus tulla unohdetuksi tarkoittaa käytännössä asiakas- ja tilauskortin poistamista. Samoin muun muassa sähköpostiviestit tulee poistaa. Varmuuskopiot eivät kuulu tietosuoja-asetuksen piiriin.

VAHTI-raportti ↗ vuodelta 2016 antaa ymmärtää, että tiedon eristäminen vastaa poistamista. Tämä kuulostaa loogiselta, sillä esimerkiksi kassakaapissa oleva henkilörekisterin varmuuskopio ei ole tähänkään mennessä ollut henkilötietolain määritelmän mukainen henkilörekisteri. Tämä kohta tarkentuu myöhemmin.

b) rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi... Lähde: Artikla 17 / EU yleinen tietosuoja-asetus / "Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")" ↗

Varmuuskopiot

Verkkokaupan hallintaliittymän kautta luodut varmuuskopiot eivät kuulu tietosuoja-asetuksen piiriin. Niihin ei voida kohdentaa asetuksessa tarkoitettua henkilötietojen käsittelyä.