Clover Shop Maxitulosta pdf-kuitti ja pdf-lasku viivakoodillasuomalainen verkkokauppaohjelmistolataa ja asennanopea ja helppokäyttöinen verkkokauppaohjelmistomobiiliyhteensopiva verkkokauppaohjelmistohuipputurvallinen ohjelmistolyhyt ostopolku ja ostoskori
Ajankohtaista
Uusin ohjelmistoversio 1394
Tietosuoja-asetus (GDPR)
SmartShip-liitäntä
Shipit-liitäntä

EU:n yleinen tietosuoja-asetus

OhjeetKäyttöohjeet › EU:n yleinen tietosuoja-asetus

EU:n yleinen tietosuoja-asetus

EU:n yleinen tietosuoja-asetus (GDPR) muuttaa henkilötietojen käsittelyä yrityksissä. Kaikkien EU:n alueella sijatsevien yritysten on noudatettava asetusta 25.5.2018 alkaen riippumatta siitä, suoritetaanko henkilötietojen käsittely EU:n alueella. Lisäksi EU:n ulkopuolella sijaitsevien yritysten on noudatettava asetusta muun muassa, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille.

Päivitämme tätä sivua tämän kevään 2018 aikana. Tiedot voivat muuttua uusien tulkintojen vuoksi!

Toimi seuraavasti 25.5.2018 mennessä:

Toimi seuraavasti tämän vuoden aikana:

  • Päivitä ohjelmisto versioon 1357 tai uudempaan

Soveltamisala

Asetus koskee kaikkia EU:n alueella sijaitsevia yrityksiä, yhdistyksiä ja organisaatioita, jotka käsittelevät henkilötietoja automaattisesti tai osittain automaattisesti riippumatta siitä, onko varsinainen rekisteri olemassa tai käsitelläänkö henkilötietoja EU:n alueella vai esimerkiksi pilvipalvelussa EU:n ulkopuolella.

Asetus koskee myös EU:n ulkopuolella sijaitsevia yrityksiä, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille. Lisäksi asetus koskee myös muutakin kuin automaattista käsittelyä, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa rekisterin osan.

Toisin sanoen asetuksen soveltamisala on erittäin laaja ja sen ilmeinen tarkoitus on suojata EU:n alueella sijaitsevia henkilöitä koko maailman alueella.

Asetusta sovelletaan kuitenkin vain luonnollisten henkilöiden henkilötietojen käsittelyyn. Sitä ei sovelleta esimerkiksi yritysasiakkaiden nimiin ja osoitteisiin.

Henkilörekisteri

Asetuksen mukaan rekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Esimerkkejä henkilörekistereistä, jotka ovat asetuksen tarkoittamia rekistereitä:

  • Asiakas- ja tilausrekisteri
  • Excel-taulukko asiakkaiden yhteystiedoista
  • Sähköpostiarkisto
  • Lasku- ja kuittipinot (jos pinot ovat järjestyksessä)
  • Puhelimeen tallennetut yhteystiedot

Asetusta on sovellettava, vaikka henkilörekisteriä ei olisi olemassa. Esimerkiksi tietoturvaloukkaus voi kohdentua henkilörekisterin ulkopuolella sijaitseviin henkilötietoihin ja siitä on tietyissä tilanteissa ilmoitettava uudelle valvontaviranomaiselle (uudelle tietosuojavirastolle). Esimerkkejä henkilörekistereistä, jotka eivät ole asetuksen tarkoittamia rekistereitä, mutta joihin voi kohdistua tietoturvaloukkauksia:

  • Muistitikku pankin tallelokerossa
  • Henkilörekisterin salakirjoitettu varmuuskopiotiedosto

Esimerkkejä henkilörekistereistä, jotka eivät kuulu asetuksen piiriin:

  • Mappi, joka sisältää papereita sekalaisessa järjestyksessä
  • Perintätoimistolle lähetetty asiakirja
...'rekisterillä' mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu... Lähde: Artikla 4 / EU yleinen tietosuoja-asetus / "Määritelmät" ↗
Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokoelmia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti. Lähde: 15 / EU yleinen tietosuoja-asetus ↗

Käsittelyn lainmukaisuus

Verkkokauppias saa käsitellä luonnollisten henkilöiden henkilötietoja vain, jos käsittelyn oikeusperusteena on suostumus, sopimus, laki, suojaaminen, julkinen tehtävä tai oikeutettu etu.

Esimerkkejä henkilötietojen käsittelyn tarkoituksesta ja oikeusperusteesta:

  • Henkilö antaa suostumuksensa sähköiseen suoramarkkinointiin (suostumus)
  • Henkilö tilaa verkkokaupasta tavaroita, jolloin syntyy asiakassuhde (sopimus)
  • Kuitteja säilytetään sähköisessä tositearkistossa (laki)
  • Henkilölle toimitetaan vaarallinen tavara (suojaaminen)
  • Verkkokauppias vastaa taloyhtiön lukoista ja avaimista (julkinen tehtävä)
  • Yritysasiakkaalta kysytään yhteyshenkilö nimi (oikeutettu etu)

Tietosuojaselosteessa on mainittava henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste. Esimerkki: "Keräämme henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn oikeusperusteena on meidän välinen sopimus ja siitä johtuvat lakisääteiset velvoitteet."

Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy... Lähde: Artikla 6 / EU yleinen tietosuoja-asetus / "Käsittelyn lainmukaisuus" ↗
...henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste... Lähde: Artikla 13 / EU yleinen tietosuoja-asetus / "Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä" ↗

Rekisterinpitäjä

Clover Shoppia käyttävä verkkokauppias toimii jatkossakin rekisterinpitäjänä.

Henkilötietojen käsittelijä

Clover Shoppia käyttävä verkkokauppias toimii jatkossakin itse henkilötietojen käsittelijänä.

Verkkokauppias saa antaa muille yrityksille luvan käsitellä verkkokaupan asiakkaiden henkilötietoja. Esimerkiksi kuljetusyritys käsittelee verkkokaupan asiakkaiden henkilötietoja tavaroita kuljettaessaan, maksunvälittäjä maksuja vastaanottaessaan ja me teknistä tukea antaessamme. Verkkokauppiaan on kirjattava nämä yritykset nimeltä mainiten tai yleisellä tasolla (eli "vastaanottajaryhmänä") julkiseen tietosuojaselosteeseen ja yleisellä tasolla salaiseen käsittelytoimiselosteeseen.

Säilytysajat

Tietosuojaselosteessa on mainittava henkilötietojen säilytysaika tai säilytysaikoihin aikuttavat tekijät. Säilytysaikojen on oltava mahdollisimman lyhyitä. Verkkokaupankäynnissä henkilötietojen käsittelyn oikeusperusteena on usein sopimus, laki tai oikeutettu etu (kts. käsittelyn lainmukaisuus), jolloin säilytysajat voivat olla pitkiä.

Tulkintamme mukaisia esimerkkejä henkilötietojen säilytysajoista:

  • Asiakaskorttien henkilötiedot 5 vuoden ajan viimeisestä tilauksesta (sopimus)
  • Tilauskorttien henkilötiedot 5 vuoden ajan viimeisestä tilauksesta (sopimus)
  • Tilauksiin liittyvät sähköpostiviestit 8 vuoden ajan (laki)
  • Laskut ja kuitit 8 vuoden ajan (laki)
  • Yhteydenottopyynnöt ja kysymykset 2 vuoden ajan (oikeutettu etu)

Kirjanpitolain mukaan tositteet ja liiketapahtumia koskeva kirjeenvaihto on säilytettävä vähintään kuusi vuotta tilikauden päättymisestä alkaen, eli jopa seitsemän vuoden ajan.

Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Lähde: 39 / EU yleinen tietosuoja-asetus ↗

Tietosuojaseloste

Verkkokauppiaan on laadittava tietosuojaseloste, joka sisältää tietosuoja-asetuksen artiklassa 13 ↗ luetellut tiedot. Selosteen nimi, otsikko ja muoto ovat kuitenkin vapaasti päätettävissä eikä selosteen tarvitse olla virallisen oloinen. Tietosuoja-asetus kannustaa tiiviiseen ja selkeään ilmaisuun, jonka lapsetkin voivat ymmärtää.

Selosteessa ei tarvitse luetella käsiteltäviä henkilötietoryhmiä (esim. nimi, osoite, sähköpostiosoite...), koska artikla 13 ei edellytä niiden ilmoittamista. Evästeiden käyttöä ei myöskään tarvitse mainita.

Tietosuojavaltuutetun toimisto julkaisi 16.3.2018 ohjeen [pdf] ↗ siitä, mitä selosteen tulisi sisältää. Päivitimme alla olevaa mallia sen pohjalta 24.3.2018.

Tietosuojaselosteen malli

Tietosuojaseloste 21.5.2018

Rekisterinpitäjä:
Example Oy
Testikatu 1
00100 Testinen
info@example.com

Keräämme henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn oikeusperusteena on meidän välinen sopimus ja siitä johtuvat lakisääteiset velvoitteet. Henkilötietojen antaminen on edellytys sopimuksen syntymiselle. Toisin sanoen et voi tilata meiltä tavaroita tai palveluja, jos et anna henkilötietojasi.

Keräämme henkilötietoja myös markkinointia varten. Henkilötietojen käsittelyn oikeusperusteena on tällöin suostumus. 

Emme tee sinua koskevia profilointeja ja automaattisia päätöksiä.

Henkilötietojasi vastaanottavat:
- sinä itse
- yhtiömme ja sen työntekijät
- yhtiö, joka vastaa verkkosivujemme toiminnasta
- maksunvälittäjä, joka vastaanottaa sinulta maksun
- kuljetusyritys, joka kuljettaa tavaran sinulle
- tilitoimisto, joka kirjaa tilauksen kirjanpitoomme
- tilintarkastaja, joka tarkastaa kirjanpitomme

Säilytämme henkilötietojasi:
- verkkokaupassa viiden vuoden ajan
- sähköpostiarkistosssa seitsemän vuoden ajan
- kirjanpitoaineistossa seitsemän vuoden ajan

Sinulla on seuraavat oikeudet:
- oikeus tarkastaa itseäsi koskevat henkilötiedot
- oikeus tietojen oikaisemiseen
- oikeus käsittelyn rajoittamiseen
- oikeus vastustaa käsittelyä
- oikeus peruuttaa suostumus
- oikeus tehdä valitus valvontaviranomaiselle

Huomioithan, että sinulla on "oikeus tulla unohdetuksi" vain, jos meillä ei ole lakisääteisiä velvoitteita jatkaa henkilötietojesi käsittelyä.
Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot... Lähde: Artikla 13 / EU yleinen tietosuoja-asetus / "Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä" ↗

Asetus jättää tulkinnanvaraiseksi sen, onko tietosuojaseloste toimitettava verkkokaupan asiakkaalle ennen vai jälkeen tietojen keräämisen. Clover Shop näyttää tietosuojaselosteen etukäteen, jos seloste on lisätty verkkokaupan hallintaliittymän asetukset / markkinointi -kohtaan.

Tietosuojaselosteen jatko

Jos verkkokaupan asiakas on ilmoittanut tilauslomakkeella jonkun toisen henkilön henkilötietoja, verkkokauppiaan on toimitettava tälle toiselle henkilölle asetuksen artiklassa 14 ↗ luetellut tiedot, jotka ovat melkein samat kuin artiklassa 13 ↗. Ainoat erot taitavat olla, mistä henkilötiedot on saatu ja mistä henkilötietoryhmistä on kysymys.

Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot... Lähde: Artikla 14 / EU yleinen tietosuoja-asetus / "Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä" ↗

Käsittelytoimiseloste (seloste käsittelytoimista)

Joidenkin verkkokauppiaiden on ylläpidettävä salaista käsittelytoimiselostetta, joka sisältää tietosuoja-asetuksen artiklassa 30 ↗ luetellut tiedot. Käsittelytoimiseloste on pyydettäessä toimitettava uudelle valvontaviranomaiselle (uusi tietosuojavirasto).

Jos verkkokauppias on antanut muille yrityksille luvan käsitellä verkkokaupan asiakkaiden henkilötietoja, verkkokauppiaan on kirjattava nämä yritykset käsittelytoimiselosteeseen yleisellä tasolla (eli "vastaanottajaryhmänä"). Kirjaus voi olla esimerkiksi seuraavanlainen: "Luovutamme henkilötietoja kuljetus-, maksunvälitys-, kirjanpito- ja tietotekniikka-alalla toimiville yhteistyökumppaneillemme." Vastaava kirjaus on tehtävä julkiseen tietosuojaselosteeseen yritykset nimeltä mainiten tai yleisellä tasolla.

Käsittelytoimiselosteen ylläpitäminen on vapaaehtoista muun muassa, jos yrityksessä on alle 250 työntekijää ja käsittely on satunnaista. Tähän mennessä (25.4.2018) viranomaisilta ei ole saatu ohjeistusta sen suhteen, mitä "satunnainen käsittely" tarkoittaa. Otetaanko satunnaisuuden arvioinnissa huomioon "yksittäisen henkilön henkilötietojen käsittelyn satunnaisuus" vai "yhdenkin henkilön henkilötietojen käsittelyn satunnaisuus".

Osoitusvelvollisuus

Verkkokauppiaan on pystyttävä osoittamaan, että henkilötietoja käsiteltäessä toteutuu lainmukaisuus, kohtuullisuus, läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus.

Verkkokauppiaan on esimerkiksi pystyttävä osoittamaan, että asiakas on antanut suostumuksensa asiakaskirjeen vastaanottamiseen tai että verkkokauppiaalla on oikeutettu etu lähettää asiakaskirje.

Tietosuoja-asetuksessa ei kuitenkaan mainita, kenelle näiden vaatimusten toteutuminen pitää osoittaa ja missä laajuudessa. Todennäköisesti vaatimusten toteutuminen pitää osoittaa tapauskohtaisesti joko verkkokaupan asiakkaalle tai uudelle valvontaviranomaiselle (uusi tietosuojavirasto), mutta vain pyynnöstä.

Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu ("osoitusvelvollisuus"). Lähde: Artikla 5 / EU yleinen tietosuoja-asetus / "Henkilötietojen käsittelyä koskevat periaatteet" ↗

Tietosuojavastaavaa

Verkkokauppiaan on nimitettävä tietosuojavastaava, jos verkkokaupan ydintehtävänä on henkilötietojen käsittely tai jos verkkokauppa käsittelee asetuksessa mainittuja arkaluonteisia tietoja. Useinkaan näin ei ole.

Vaikutustenarviointi

Verkkokauppiaan on tehtävä tietosuojaa koskeva vaikutustenarviointi, jos verkkokaupan asiakkaiden henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Uusi valvontaviranomainen (uusi tietosuojavirasto) julkaisee luettelon käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan vaikutustenarviointi.

Sertifiointi

Sertifiointipalvelut ovat kaupallista liiketoimintaa samalla tavalla kuin luotettavuus- ja kotimaisuusmerkkien myöntäminen maksua vastaan. Sertifiointitodistus ei vapauta verkkokauppaa vastuusta, sakoista eikä se ole myöskään vakuutus. Verkkokaupan on joka tapauksessa käsiteltävä henkilötietoja huolellisesti asetuksen edellyttämällä tavalla.

Suostumuksen hankkiminen

Verkkokaupassa asioivalta henkilöltä (tilaajalta) ei tarvitse pyytää suostumusta henkilötietojen käsittelylle. Tämä johtuu siitä, että tilaaminen johtaa sopimukseen, joka on henkilötietojen käsittelyn oikeusperuste (kts. käsittelyn lainmukaisuus).

Suostumus on kuitenkin pyydettävä esimerkiksi seurantaa ja markkinointia varten. Suostumus voidaan hankkia joko yksiselitteisesti (unambiguous) tai nimenomaisesti (explicit). Molemmissa tapauksissa suostumus on hankittava myönteisellä suostumuksella (affirmative). Lähtökohtaisesti yksiselitteinen myönteinen tahdonilmaus riittää.

Yksiselitteinen suostumus riittää esimerkiksi silloin, kun verkkokaupan asiakas tilaa asiakaskirjeen oma-aloitteisesti lomakkeella, joka on tarkoitettu ainoastaan asiakaskirjeen tilaamista varten (kts. demokaupan sivu). Jos asiakaskirjeen tilaaminen tapahtuu verkkokaupan tilauslomakkeella, kilpailulomakkeella tai palautelomakkeella, niin nimenomainen suostumus (käytännössä valintaruutu) on ainoa mahdollinen toteutustapa, jotta asiakas voi lähettää lomakkeen myös ilman suostumusta (kts. demokaupan sivu). Nimenomainen suostumus vaaditaan myös, jos kysytään arkaluonteisia henkilötietoja.

Käsittelyä olisi pidettävä lainmukaisena, kun se on tarpeen sopimuksen yhteydessä tai suunnitellun sopimuksen tekemistä varten. Lähde: 44 / EU yleinen tietosuoja-asetus ↗
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena... Lähde: Artikla 6 / EU yleinen tietosuoja-asetus / "Käsittelyn lainmukaisuus" ↗

Evästeet

Uusi EU:n sähköisen viestinnän tietosuoja-asetus (ePrivacy Regulation) selkeyttää tilannetta. Verkkokaupassa vierailevalta henkilöltä ei tarvitse pyytää suostumusta evästeiden käytölle, jos evästeitä käytetään asioinnin kannalta tarpeellisiin käyttötarkoituksiin, kuten esimerkiksi ostoskorin toimintaan.

Jos suostumus evästeiden käytölle on jostain syystä hankittava, selaimen asetus riittää suostumukseksi.

... suostumus voidaan ilmaista käyttämällä internetiin pääsyn mahdollistavan ohjelmistosovelluksen asianmukaisia teknisiä asetuksia... Lähde: Artikla 9 / EU:n sähköisen viestinnän tietosuoja-asetus (ehdotus) ↗

Yhteydenottolomake

Verkkokaupan yhteydenottolomake kuuluu joko suostumuksiin tai oikeutettuihin etuihin (kts. käsittelyn lainmukaisuus). Lomakkeen täyttävältä henkilöltä ei tarvitse pyytää nimenomaista suostumusta henkilötietojen käsittelylle. Riittää, että tietosuojaseloste on esillä lomakkeen yhteydessä.

Verkkokauppiaan on tietenkin kunnioitettava kaikkia "pyytämättä ja yllättäen" saatuja henkilötietoja ja käsiteltävä niitä ainoastaan asian hoitamisen yhteydessä.

Kilpailulomake (arvonta)

Kilpailulomake on vaikeampi tapaus. Kilpailulomake kuuluu suostumuksiin (kts. käsittelyn lainmukaisuus). Kilpailuun osallistuvalta henkilöltä ei tarvitse pyytää nimenomaista suostumusta henkilötietojen käsittelylle. Riittää, että tietosuojaseloste on esillä lomakkeen yhteydessä. Jos verkkokauppias aikoo kuitenkin julkaista voittajan nimen, siitä on mainittava lomakkeella selkeästi muista asioista erillään.

...pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä... Lähde: Artikla 7 / EU yleinen tietosuoja-asetus / "Suostumuksen edellytykset" ↗

Tässäkin tapauksessa verkkokauppiaan on kunnioitettava henkilötietoja. Henkilötietoja ei saa käyttää muuhun tarkoitukseen kuin arvonnan järjestämiseen.

Suoramarkkinointi

Henkilötietoja voidaan käsitellä suoramarkkinointia varten, jos käsittelyn oikeusperusteena on joko suostumus tai oikeutettu etu (kts. käsittelyn lainmukaisuus). Molemmissa tapauksissa tietosuojaselosteessa on oltava maininta suoramarkkinoinnista.

Sähköinen suoramarkkinointi on sallittua seuraavissa toisistaan riippumattomissa tapauksissa:

  • Henkilö ei ole asiakas, mutta hän on sallinut sähköisen suoramarkkinoinnin (suostumus)
  • Henkilö on asiakas ja hän on sallinut sähköisen suoramarkkinoinnin (suostumus)
  • Henkilö on asiakas, mutta hän ei ole kieltänyt sähköistä suoramarkkinointia (oikeutettu etu)

Suosittelemme suostumukseen perustuvaa suoramarkkinointia, koska oikeutetun edun käyttämisestä voi olla verkkokaupalle haittaa: verkkokaupan asiakkaat eivät tiedä sen olevan laillista ja saattavat tunnekuohuissaan pilata verkkokaupan maineen.

...oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen... Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna. Lähde: 47 / EU yleinen tietosuoja-asetus ↗
Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava oikeus milloin tahansa ja maksutta vastustaa käsittelyä... Tämä oikeus olisi nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään. Lähde: 70 / EU yleinen tietosuoja-asetus ↗
Jos luonnollinen henkilö tai oikeushenkilö saa asiakkaaltaan sähköpostiyhteystietoja tuotteen tai palvelun myynnin yhteydessä asetuksen (EU) 2016/679 mukaisesti... Lähde: Artikla 16 / EU:n sähköisen viestinnän tietosuoja-asetus (ehdotus) ↗

Lasten oikeudet

Asetus rajoittaa alle 16-vuotiaiden lasten (Suomessa alle 13-vuotiaiden) henkilötietojen käsittelyä ainoastaan silloin, kun tietoyhteiskunnan palvelua tarjotaan suoraan lapselle ja henkilötietojen käsittelyn oikeusperusteena on suostumus. Tällaisessa tapauksessa henkilötietojen käsittelyyn tarvitaan lapsen vanhempien suostumus.

...että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle... Lähde: Artikla 8 / EU yleinen tietosuoja-asetus / "Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot" ↗

Jos lapsi tilaa verkkokaupasta tavaran, niin henkilötietojen käsittelyn oikeusperusteena on sopimus. Vanhempien suostumusta henkilötietojen käsittelyyn ei tarvita. Lasten oikeuskelpoisuus tehdä sopimuksia on asia erikseen. Asetus koskee vain henkilötietojen käsittelyä eikä se vaikuta EU:n jäsenvaltioiden noudattamiin sopimusoikeudellisiin kysymyksiin.

Jos lapsi tilaa verkkokaupasta tavaran ja rastittaa tilauslomakkeella "kyllä, haluan tilata asiakaskirjeen", niin tämä onkin vaikeampi kysymys. Asiakaskirje kuuluu suostumuksiin (kts. käsittelyn lainmukaisuus), mutta onko asiakaskirje tietoyhteiskunnan palvelu, jota on tarjottu suoraan lapselle? Autotarvikekaupoissa ei, mutta lelukaupoissa kyllä. Lelukauppias voisi halutessaan siirtää asiakaskirjeen oikeutettuihin etuihin, jolloin vanhempien suostumusta asiakaskirjeeseen ei tarvittaisi, mutta käytännössä se ei kannata, kuten totesimme edellä.

Sanamuodon "suoraan lapselle" sisällyttäminen viittaa siihen, että artikla 8 on tarkoitettu sovellettavaksi joihinkin, mutta ei kaikkiin tietoyhteiskunnan palveluihin... niin palvelua ei katsota "tarjotun suoraan lapselle" eikä artiklaa 8 sovelleta. Lähde: Guidelines on Consent under Regulation 2016/679, wp259 [pdf] ↗

Tietoturvaloukkaukset

Jos tapahtuu tietoturvaloukkaus, se on dokumentoitava uuden valvontaviranomaisen (uusi tietosuojavirasto) tarkastusta varten. Jos ilmoittamiskynnys ylittyy, loukkauksesta on ilmoitettava uudelle valvontaviranomaiselle (uudelle tietosuojavirastolle) ja tietyissä tapauksissa myös verkkokaupan asiakkaalle.

Ilmoittamiskynnys valvontaviranomaiselle on matalampi kuin verkkokaupan asiakkaalle. Jos esimerkiksi tietokannan varmuuskopio on salakirjoitettu ja se varastetaan, ilmoitus on tehtävä valvontaviranomaiselle, mutta ei verkkokaupan asiakkaalle.

...paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Lähde: Artikla 33 / EU yleinen tietosuoja-asetus / "Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle" ↗
Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle... Lähde: Miten valmistautua EU:n tietosuoja-asetukseen? ↗

Lokitiedot

Clover Shop kirjaa verkkokaupan hallintaliittymän tapahtumalokiin tiettyjä tietoja verkkokaupan hallintaliittymän käytöstä. Lokiin kirjautuu muun muassa tiedot hallitsijoiden sisäänkirjautumisista, tietokorttien päivittämisistä ja asiakaskorttien katseluista. Tapahtumaloki sijaitsee verkkokaupan tietokannassa, eikä meillä ole ohjelmiston valmistajana siihen lukuoikeuksia.

Tapahtumaloki ei sisällä henkilötietoja. Jokaisella verkkokaupan hallitsijalla on oma id-numero. Tapahtumalokin pituus on kaksi vuotta taaksepäin.

Tietokannan varmuuskopiot

Verkkokaupan hallintaliittymän kautta luodut tietokannan varmuuskopiot eivät ole asetuksessa tarkoitettuja henkilörekisterejä, mutta niihin voi kohdistua tietoturvaloukkauksia, joten niitä kannattaa säilyttää huolellisesti.

Tarkastusoikeus

Jokaisella henkilöllä on oikeus tarkastaa henkilörekisteriin tallennetut omat henkilötiedot. Kun joku henkilö käyttää tarkastusoikeuttaan, verkkokauppiaan on ilmoitettava hänelle seuraavat tiedot:

  • Tieto siitä, käsitelläänkö häntä koskevia henkilötietoja tai että niitä ei käsitellä
  • Jos käsitellään, asetuksen artiklassa 15 ↗ luetellut tiedot
  • Jos käsitellään, jäljennös käsiteltävistä henkilötiedoista
Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi kuitenkin pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi. Lähde: Miten valmistautua EU:n tietosuoja-asetukseen? ↗

Oikaisuoikeus

Jokaisella henkilöllä on oikeus saada oikaistuksi henkilörekisteriin tallennetut, itseään koskevat, epätarkat ja virheelliset henkilötiedot.

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Lähde: Artikla 16 / EU yleinen tietosuoja-asetus / "Oikeus tietojen oikaisemiseen" ↗

Siirto-oikeus

Jokaisella henkilöllä on oikeus saada jäljennös henkilötiedoista, jotka hän on itse toimittanut henkilörekisteriin ja jotka on tallennettu henkilörekisteriin. Siirto-oikeus on voimassa ainoastaan, jos henkilötietojen käsittelyn oikeusperusteena on suostumus tai sopimus (kts. käsittelyn lainmukaisuus) ja käsittely suoritetaan automaattisesti.

Siirto-oikeuden käyttämiselle ei ole vielä markkinoita. Ehkä tulevaisuudessa verkkokauppojen asiakkaat voivat kilpailuttaa ostoksensa eri verkkokauppojen välillä ja siirtää asiakkuutensa automaattisesti verkkokaupasta toiseen?

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtääkyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos... Lähde: Artikla 20 / EU yleinen tietosuoja-asetus / "Oikeus siirtää tiedot järjestelmästä toiseen" ↗

Poisto-oikeus

Jokaisella henkilöllä on oikeus saada poistettua häntä itseään koskevat henkilötiedot henkilörekisteristä, paitsi jos henkilötietojen käsittelyn oikeusperusteena on laki tai julkinen tehtävä (kts. käsittelyn lainmukaisuus). Asetuksessa mainitaan myös muutamia muita poikkeuksia. Kaikkein herkimmin poistaminen tulee tehdä, jos henkilötietojen käsittelyn oikeusperusteena on suostumus.

Poisto-oikeutta koskeva artikla 17 on kuitenkin vaikeaselkoinen. Tulkintamme mukaan se koskee ainoastaan tilanteita, joissa henkilö pyytää tietojensa poistamista. Näin ollen artiklan 17 kohdan 1 alakohta a, jossa tietojen tarpeettomuus mainitaan yhtenä poiston perusteena, koskisi vain tilanteita, joissa henkilö pyytää tietojensa poistamista.

Henkilötietojen poistaminen tarkoittaa käytännössä esimerkiksi seuraavaa:

  • Verkkokaupan hallintaliittymän asiakas- ja tilauskorteista poistetaan henkilötiedot (kortteja ei tarvitse poistaa)
  • Henkilötiedot poistetaan Excel-tiedostoista

Myyntiin liittyviä sähköpostiviestejä ei kannata poistaa asiakkaan pyynnöstä, koska se on kirjanpitolain vastaista. Nimittäin kirjanpitolaki vaatii liiketapahtumia koskevan kirjanpidon säilyttämistä kuuden vuoden ajan tilikauden päättymisestä alkaen. Jos verkkokauppias poistaa viestit, siitä voi olla haittaa verotarkastuksessa.

Henkilötiedot on kuitenkin joka tapauksessa poistettava vain henkilörekisteristä.

...käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi... Lähde: Artikla 17 / EU yleinen tietosuoja-asetus / "Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")" ↗

Hyvä tietää

Yleistä asiaa:

  • Verkkokaupan tietosuojaselosteessa ei tarvitse mainita, mitä henkilötietoja (esim. nimi, osoite, sähköpostiosoite...) käsitellään. Tämä johtuu suoraan yleisestä tietosuoja-asetuksesta.
  • Verkkokaupan sivuille ei tarvitse lisätä ns. evästelaatikkoa. Tämä johtuu uudesta sähköisen viestinnän tietosuoja-asetuksesta, joka on yleisen tietosuoja-asetuksen sisar.
  • Asiakas- tai suorakirjeen tilausmerkintöjä ei tarvitse poistaa, jos olet toiminut nykyisen henkilötietolain edellyttämällä tavalla.
  • Emme käsittele verkkokaupan asiakkaiden henkilötietoja.
  • Jos pyydät apua tai tukea tiettyyn rajattuun ongelmaan, olemme sopineet etukäteen verkkokaupan asiakkaiden henkilötietojen käsittelystä (kts. lisenssisopimuksen kohta 7).

Clover Shopin ominaisuudet:

  • Clover Shop kirjaa asiakas- ja tilauskorttien muistilappuihin automaattisesti ns. osoitusvelvollisuuden kannalta merkittävät tapahtumat.
  • Clover Shop kirjaa verkkokaupan hallintaliittymän tapahtumalokiin tiettyjä tietoja verkkokaupan hallintaliittymän käyttämisestä (kts. lokitiedot)
  • Asiakas- ja suorakirjeiden tilaaminen voi tapahtua Clover Shopissa asetuksista riippuen joko "kyllä haluan" tai "en halua" -periaatteella. Sähköisen viestinnän tietosuoja-asetuksen mukaan ensimmäinen on sallittua jokaisella lomakkeella, mutta jälkimmäinen vain tilauslomakkeella. Suosittelemme ensimmäistä periaatetta.
  • Tietosuojaseloste näkyy verkkokaupan lomakkeissa (kts. esimerkki). Vaihtoehtoisesti verkkokaupan sivuille, lomakkeisiin ja tilaustapahtuman eri vaiheisiin on mahdollista lisätä omia html-elementtejä, joissa kerrotaan tietosuojasta.
  • Verkkokaupan hallintaliittymässä on tarpeettomien henkilötietojen poistotyökalu.
    - Voit asettaa poistoille aikarajan, kuten esimerkiksi "jos asiakas ei ole tilannut viiteen vuoteen".
  • Verkkokaupan hallintaliittymässä on tarpeettomien kilpailukorttien poistotyökalu.
  • Clover Shop poistaa asiakaskortista sähköpostiosoitteen (automaattisesti), jos asiakaskortin ainoa yhteystieto on sähköpostiosoite eikä asiakas enää tilaa asiakas- tai suorakirjettä. Asiakaskortti kuitenkin säilytetään ja muistilappuun kirjataan: sähköpostiosoite etu...com poistettu automaattisesti.

Vastuunrajoitus

Tällä sivulla esitetty tieto ei ole oikeudellista neuvontaa. Emme vastaa mistään suorasta tai epäsuorasta vahingosta, joka johtuu sivulla esitettyjen tietojen käytöstä tai soveltamisesta. Ohjelmiston käyttöön liittyvistä vastuunrajoituksista on sovittu lisenssisopimuksessa.