EU:n yleinen tietosuoja-asetus (GDPR) muuttaa henkilötietojen käsittelyä yrityksissä. Kaikkien EU:n alueella sijatsevien yritysten on noudatettava asetusta 25.5.2018 alkaen riippumatta siitä, suoritetaanko henkilötietojen käsittely EU:n alueella. Lisäksi EU:n ulkopuolella sijaitsevien yritysten on noudatettava asetusta muun muassa, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille.
Toimi seuraavasti 25.5.2018 mennessä:
Toimi seuraavasti tämän vuoden aikana:
Asetus koskee kaikkia EU:n alueella sijaitsevia yrityksiä, yhdistyksiä ja organisaatioita, jotka käsittelevät henkilötietoja automaattisesti tai osittain automaattisesti riippumatta siitä, onko varsinainen rekisteri olemassa tai käsitelläänkö henkilötietoja EU:n alueella vai esimerkiksi pilvipalvelussa EU:n ulkopuolella.
Asetus koskee myös EU:n ulkopuolella sijaitsevia yrityksiä, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille. Lisäksi asetus koskee myös muutakin kuin automaattista käsittelyä, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa rekisterin osan.
Toisin sanoen asetuksen soveltamisala on erittäin laaja ja sen ilmeinen tarkoitus on suojata EU:n alueella sijaitsevia henkilöitä koko maailman alueella.
Asetusta sovelletaan kuitenkin vain luonnollisten henkilöiden henkilötietojen käsittelyyn. Sitä ei sovelleta esimerkiksi yritysasiakkaiden nimiin ja osoitteisiin.
Asetuksen mukaan rekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Esimerkkejä henkilörekistereistä, jotka ovat asetuksen tarkoittamia rekistereitä:
Asetusta on sovellettava, vaikka henkilörekisteriä ei olisi olemassa. Esimerkiksi tietoturvaloukkaus voi kohdentua henkilörekisterin ulkopuolella sijaitseviin henkilötietoihin ja siitä on tietyissä tilanteissa ilmoitettava uudelle valvontaviranomaiselle (uudelle tietosuojavirastolle). Esimerkkejä henkilörekistereistä, jotka eivät ole asetuksen tarkoittamia rekistereitä, mutta joihin voi kohdistua tietoturvaloukkauksia:
Esimerkkejä henkilörekistereistä, jotka eivät kuulu asetuksen piiriin:
Verkkokauppias saa käsitellä luonnollisten henkilöiden henkilötietoja vain, jos käsittelyn oikeusperusteena on suostumus, sopimus, laki, suojaaminen, julkinen tehtävä tai oikeutettu etu.
Esimerkkejä henkilötietojen käsittelyn tarkoituksesta ja oikeusperusteesta:
Tietosuojaselosteessa on mainittava henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste. Esimerkki: "Keräämme henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn oikeusperusteena on meidän välinen sopimus ja siitä johtuvat lakisääteiset velvoitteet."
Clover Shoppia käyttävä verkkokauppias toimii jatkossakin rekisterinpitäjänä.
Clover Shoppia käyttävä verkkokauppias toimii jatkossakin itse henkilötietojen käsittelijänä.
Verkkokauppias saa antaa muille yrityksille luvan käsitellä verkkokaupan asiakkaiden henkilötietoja. Esimerkiksi kuljetusyritys käsittelee verkkokaupan asiakkaiden henkilötietoja tavaroita kuljettaessaan, maksunvälittäjä maksuja vastaanottaessaan ja me teknistä tukea antaessamme. Verkkokauppiaan on kirjattava nämä yritykset nimeltä mainiten tai yleisellä tasolla (eli "vastaanottajaryhmänä") julkiseen tietosuojaselosteeseen ja yleisellä tasolla salaiseen käsittelytoimiselosteeseen.
Tietosuojaselosteessa on mainittava henkilötietojen säilytysaika tai säilytysaikoihin aikuttavat tekijät. Säilytysaikojen on oltava mahdollisimman lyhyitä. Verkkokaupankäynnissä henkilötietojen käsittelyn oikeusperusteena on usein sopimus, laki tai oikeutettu etu (kts. käsittelyn lainmukaisuus), jolloin säilytysajat voivat olla pitkiä.
Tulkintamme mukaisia esimerkkejä henkilötietojen säilytysajoista:
Kirjanpitolain mukaan tositteet ja liiketapahtumia koskeva kirjeenvaihto on säilytettävä vähintään kuusi vuotta tilikauden päättymisestä alkaen, eli jopa seitsemän vuoden ajan.
Verkkokauppiaan on laadittava tietosuojaseloste, joka sisältää tietosuoja-asetuksen artiklassa 13 ↗ luetellut tiedot. Selosteen nimi, otsikko ja muoto ovat kuitenkin vapaasti päätettävissä eikä selosteen tarvitse olla virallisen oloinen. Tietosuoja-asetus kannustaa tiiviiseen ja selkeään ilmaisuun, jonka lapsetkin voivat ymmärtää.
Selosteessa ei tarvitse luetella käsiteltäviä henkilötietoryhmiä (esim. nimi, osoite, sähköpostiosoite...), koska artikla 13 ei edellytä niiden ilmoittamista.
Tietosuojavaltuutetun toimisto julkaisi 16.3.2018 ohjeen [pdf] ↗ siitä, mitä selosteen tulisi sisältää. Päivitimme alla olevaa mallia sen pohjalta 24.3.2018.
Tietosuojaseloste 21.5.2018 Rekisterinpitäjä: Example Oy Testikatu 1 00100 Testinen info@example.com Keräämme henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn oikeusperusteena on meidän välinen sopimus ja siitä johtuvat lakisääteiset velvoitteet. Henkilötietojen antaminen on edellytys sopimuksen syntymiselle. Toisin sanoen et voi tilata meiltä tavaroita tai palveluja, jos et anna henkilötietojasi. Keräämme henkilötietoja myös markkinointia varten. Henkilötietojen käsittelyn oikeusperusteena on tällöin suostumus. Emme tee sinua koskevia profilointeja ja automaattisia päätöksiä. Henkilötietojasi vastaanottavat: - sinä itse - yhtiömme ja sen työntekijät - yhtiö, joka vastaa verkkosivujemme toiminnasta - maksunvälittäjä, joka vastaanottaa sinulta maksun - kuljetusyritys, joka kuljettaa tavaran sinulle - tilitoimisto, joka kirjaa tilauksen kirjanpitoomme - tilintarkastaja, joka tarkastaa kirjanpitomme Säilytämme henkilötietojasi: - verkkokaupassa viiden vuoden ajan - sähköpostiarkistosssa seitsemän vuoden ajan - kirjanpitoaineistossa seitsemän vuoden ajan Sinulla on seuraavat oikeudet: - oikeus tarkastaa itseäsi koskevat henkilötiedot - oikeus tietojen oikaisemiseen - oikeus käsittelyn rajoittamiseen - oikeus vastustaa käsittelyä - oikeus peruuttaa suostumus - oikeus tehdä valitus valvontaviranomaiselle Huomioithan, että sinulla on "oikeus tulla unohdetuksi" vain, jos meillä ei ole lakisääteisiä velvoitteita jatkaa henkilötietojesi käsittelyä.
Asetus jättää tulkinnanvaraiseksi sen, onko tietosuojaseloste toimitettava verkkokaupan asiakkaalle ennen vai jälkeen tietojen keräämisen. Clover Shop näyttää tietosuojaselosteen etukäteen, jos seloste on lisätty verkkokaupan hallintaliittymän asetukset / markkinointi -kohtaan.
Jos verkkokaupan asiakas on ilmoittanut tilauslomakkeella jonkun toisen henkilön henkilötietoja, verkkokauppiaan on toimitettava tälle toiselle henkilölle asetuksen artiklassa 14 ↗ luetellut tiedot, jotka ovat melkein samat kuin artiklassa 13 ↗. Ainoat erot taitavat olla, mistä henkilötiedot on saatu ja mistä henkilötietoryhmistä on kysymys.
Joidenkin verkkokauppiaiden on ylläpidettävä salaista käsittelytoimiselostetta, joka sisältää tietosuoja-asetuksen artiklassa 30 ↗ luetellut tiedot. Käsittelytoimiseloste on pyydettäessä toimitettava uudelle valvontaviranomaiselle (uusi tietosuojavirasto).
Jos verkkokauppias on antanut muille yrityksille luvan käsitellä verkkokaupan asiakkaiden henkilötietoja, verkkokauppiaan on kirjattava nämä yritykset käsittelytoimiselosteeseen yleisellä tasolla (eli "vastaanottajaryhmänä"). Kirjaus voi olla esimerkiksi seuraavanlainen: "Luovutamme henkilötietoja kuljetus-, maksunvälitys-, kirjanpito- ja tietotekniikka-alalla toimiville yhteistyökumppaneillemme." Vastaava kirjaus on tehtävä julkiseen tietosuojaselosteeseen yritykset nimeltä mainiten tai yleisellä tasolla.
Käsittelytoimiselosteen ylläpitäminen on vapaaehtoista muun muassa, jos yrityksessä on alle 250 työntekijää ja käsittely on satunnaista. Tähän mennessä (25.4.2018) viranomaisilta ei ole saatu ohjeistusta sen suhteen, mitä "satunnainen käsittely" tarkoittaa. Otetaanko satunnaisuuden arvioinnissa huomioon "yksittäisen henkilön henkilötietojen käsittelyn satunnaisuus" vai "yhdenkin henkilön henkilötietojen käsittelyn satunnaisuus".
Verkkokauppiaan on pystyttävä osoittamaan, että henkilötietoja käsiteltäessä toteutuu lainmukaisuus, kohtuullisuus, läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus.
Verkkokauppiaan on esimerkiksi pystyttävä osoittamaan, että asiakas on antanut suostumuksensa asiakaskirjeen vastaanottamiseen tai että verkkokauppiaalla on oikeutettu etu lähettää asiakaskirje.
Tietosuoja-asetuksessa ei kuitenkaan mainita, kenelle näiden vaatimusten toteutuminen pitää osoittaa ja missä laajuudessa. Todennäköisesti vaatimusten toteutuminen pitää osoittaa tapauskohtaisesti joko verkkokaupan asiakkaalle tai uudelle valvontaviranomaiselle (uusi tietosuojavirasto), mutta vain pyynnöstä.
Verkkokauppiaan on nimitettävä tietosuojavastaava, jos verkkokaupan ydintehtävänä on henkilötietojen käsittely tai jos verkkokauppa käsittelee asetuksessa mainittuja arkaluonteisia tietoja. Useinkaan näin ei ole.
Verkkokauppiaan on tehtävä tietosuojaa koskeva vaikutustenarviointi, jos verkkokaupan asiakkaiden henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Uusi valvontaviranomainen (uusi tietosuojavirasto) julkaisee luettelon käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan vaikutustenarviointi.
Sertifiointipalvelut ovat kaupallista liiketoimintaa samalla tavalla kuin luotettavuus- ja kotimaisuusmerkkien myöntäminen maksua vastaan. Sertifiointitodistus ei vapauta verkkokauppaa vastuusta, sakoista eikä se ole myöskään vakuutus. Verkkokaupan on joka tapauksessa käsiteltävä henkilötietoja huolellisesti asetuksen edellyttämällä tavalla.
Verkkokaupassa asioivalta henkilöltä (tilaajalta) ei tarvitse pyytää suostumusta henkilötietojen käsittelylle. Tämä johtuu siitä, että tilaaminen johtaa sopimukseen, joka on henkilötietojen käsittelyn oikeusperuste (kts. käsittelyn lainmukaisuus).
Suostumus on kuitenkin pyydettävä esimerkiksi seurantaa ja markkinointia varten. Suostumus voidaan hankkia joko yksiselitteisesti (unambiguous) tai nimenomaisesti (explicit). Molemmissa tapauksissa suostumus on hankittava myönteisellä suostumuksella (affirmative). Lähtökohtaisesti yksiselitteinen myönteinen tahdonilmaus riittää.
Yksiselitteinen suostumus riittää esimerkiksi silloin, kun verkkokaupan asiakas tilaa asiakaskirjeen oma-aloitteisesti lomakkeella, joka on tarkoitettu ainoastaan asiakaskirjeen tilaamista varten (kts. demokaupan sivu). Jos asiakaskirjeen tilaaminen tapahtuu verkkokaupan tilauslomakkeella, kilpailulomakkeella tai palautelomakkeella, niin nimenomainen suostumus (käytännössä valintaruutu) on ainoa mahdollinen toteutustapa, jotta asiakas voi lähettää lomakkeen myös ilman suostumusta (kts. demokaupan sivu). Nimenomainen suostumus vaaditaan myös, jos kysytään arkaluonteisia henkilötietoja.
Verkkokaupan yhteydenottolomake kuuluu joko suostumuksiin tai oikeutettuihin etuihin (kts. käsittelyn lainmukaisuus). Lomakkeen täyttävältä henkilöltä ei tarvitse pyytää nimenomaista suostumusta henkilötietojen käsittelylle. Riittää, että tietosuojaseloste on esillä lomakkeen yhteydessä.
Verkkokauppiaan on tietenkin kunnioitettava kaikkia "pyytämättä ja yllättäen" saatuja henkilötietoja ja käsiteltävä niitä ainoastaan asian hoitamisen yhteydessä.
Kilpailulomake on vaikeampi tapaus. Kilpailulomake kuuluu suostumuksiin (kts. käsittelyn lainmukaisuus). Kilpailuun osallistuvalta henkilöltä ei tarvitse pyytää nimenomaista suostumusta henkilötietojen käsittelylle. Riittää, että tietosuojaseloste on esillä lomakkeen yhteydessä. Jos verkkokauppias aikoo kuitenkin julkaista voittajan nimen, siitä on mainittava lomakkeella selkeästi muista asioista erillään.
Tässäkin tapauksessa verkkokauppiaan on kunnioitettava henkilötietoja. Henkilötietoja ei saa käyttää muuhun tarkoitukseen kuin arvonnan järjestämiseen.
Henkilötietoja voidaan käsitellä suoramarkkinointia varten, jos käsittelyn oikeusperusteena on joko suostumus tai oikeutettu etu (kts. käsittelyn lainmukaisuus). Molemmissa tapauksissa tietosuojaselosteessa on oltava maininta suoramarkkinoinnista.
Sähköinen suoramarkkinointi on sallittua seuraavissa toisistaan riippumattomissa tapauksissa:
Suosittelemme suostumukseen perustuvaa suoramarkkinointia, koska oikeutetun edun käyttämisestä voi olla verkkokaupalle haittaa: verkkokaupan asiakkaat eivät tiedä sen olevan laillista ja saattavat tunnekuohuissaan pilata verkkokaupan maineen.
Asetus rajoittaa alle 16-vuotiaiden lasten (Suomessa alle 13-vuotiaiden) henkilötietojen käsittelyä ainoastaan silloin, kun tietoyhteiskunnan palvelua tarjotaan suoraan lapselle ja henkilötietojen käsittelyn oikeusperusteena on suostumus. Tällaisessa tapauksessa henkilötietojen käsittelyyn tarvitaan lapsen vanhempien suostumus.
Jos lapsi tilaa verkkokaupasta tavaran, niin henkilötietojen käsittelyn oikeusperusteena on sopimus. Vanhempien suostumusta henkilötietojen käsittelyyn ei tarvita. Lasten oikeuskelpoisuus tehdä sopimuksia on asia erikseen. Asetus koskee vain henkilötietojen käsittelyä eikä se vaikuta EU:n jäsenvaltioiden noudattamiin sopimusoikeudellisiin kysymyksiin.
Jos lapsi tilaa verkkokaupasta tavaran ja rastittaa tilauslomakkeella "kyllä, haluan tilata asiakaskirjeen", niin tämä onkin vaikeampi kysymys. Asiakaskirje kuuluu suostumuksiin (kts. käsittelyn lainmukaisuus), mutta onko asiakaskirje tietoyhteiskunnan palvelu, jota on tarjottu suoraan lapselle? Autotarvikekaupoissa ei, mutta lelukaupoissa kyllä. Lelukauppias voisi halutessaan siirtää asiakaskirjeen oikeutettuihin etuihin, jolloin vanhempien suostumusta asiakaskirjeeseen ei tarvittaisi, mutta käytännössä se ei kannata, kuten totesimme edellä.
Jos tapahtuu tietoturvaloukkaus, se on dokumentoitava uuden valvontaviranomaisen (uusi tietosuojavirasto) tarkastusta varten. Jos ilmoittamiskynnys ylittyy, loukkauksesta on ilmoitettava uudelle valvontaviranomaiselle (uudelle tietosuojavirastolle) ja tietyissä tapauksissa myös verkkokaupan asiakkaalle.
Ilmoittamiskynnys valvontaviranomaiselle on matalampi kuin verkkokaupan asiakkaalle. Jos esimerkiksi tietokannan varmuuskopio on salakirjoitettu ja se varastetaan, ilmoitus on tehtävä valvontaviranomaiselle, mutta ei verkkokaupan asiakkaalle.
Clover Shop kirjaa verkkokaupan hallintaliittymän tapahtumalokiin tiettyjä tietoja verkkokaupan hallintaliittymän käytöstä. Lokiin kirjautuu muun muassa tiedot hallitsijoiden sisäänkirjautumisista, tietokorttien päivittämisistä ja asiakaskorttien katseluista. Tapahtumaloki sijaitsee verkkokaupan tietokannassa, eikä meillä ole ohjelmiston valmistajana siihen lukuoikeuksia.
Tapahtumaloki ei sisällä henkilötietoja. Jokaisella verkkokaupan hallitsijalla on oma id-numero. Tapahtumalokin pituus on kaksi vuotta taaksepäin.
Verkkokaupan hallintaliittymän kautta luodut tietokannan varmuuskopiot eivät ole asetuksessa tarkoitettuja henkilörekisterejä, mutta niihin voi kohdistua tietoturvaloukkauksia, joten niitä kannattaa säilyttää huolellisesti.
Jokaisella henkilöllä on oikeus tarkastaa henkilörekisteriin tallennetut omat henkilötiedot. Kun joku henkilö käyttää tarkastusoikeuttaan, verkkokauppiaan on ilmoitettava hänelle seuraavat tiedot:
Jokaisella henkilöllä on oikeus saada oikaistuksi henkilörekisteriin tallennetut, itseään koskevat, epätarkat ja virheelliset henkilötiedot.
Jokaisella henkilöllä on oikeus saada jäljennös henkilötiedoista, jotka hän on itse toimittanut henkilörekisteriin ja jotka on tallennettu henkilörekisteriin. Siirto-oikeus on voimassa ainoastaan, jos henkilötietojen käsittelyn oikeusperusteena on suostumus tai sopimus (kts. käsittelyn lainmukaisuus) ja käsittely suoritetaan automaattisesti.
Siirto-oikeuden käyttämiselle ei ole vielä markkinoita. Ehkä tulevaisuudessa verkkokauppojen asiakkaat voivat kilpailuttaa ostoksensa eri verkkokauppojen välillä ja siirtää asiakkuutensa automaattisesti verkkokaupasta toiseen?
Jokaisella henkilöllä on oikeus saada poistettua häntä itseään koskevat henkilötiedot henkilörekisteristä, paitsi jos henkilötietojen käsittelyn oikeusperusteena on laki tai julkinen tehtävä (kts. käsittelyn lainmukaisuus). Asetuksessa mainitaan myös muutamia muita poikkeuksia. Kaikkein herkimmin poistaminen tulee tehdä, jos henkilötietojen käsittelyn oikeusperusteena on suostumus.
Poisto-oikeutta koskeva artikla 17 on kuitenkin vaikeaselkoinen. Tulkintamme mukaan se koskee ainoastaan tilanteita, joissa henkilö pyytää tietojensa poistamista. Näin ollen artiklan 17 kohdan 1 alakohta a, jossa tietojen tarpeettomuus mainitaan yhtenä poiston perusteena, koskisi vain tilanteita, joissa henkilö pyytää tietojensa poistamista.
Henkilötietojen poistaminen tarkoittaa käytännössä esimerkiksi seuraavaa:
Myyntiin liittyviä sähköpostiviestejä ei kannata poistaa asiakkaan pyynnöstä, koska se on kirjanpitolain vastaista. Nimittäin kirjanpitolaki vaatii liiketapahtumia koskevan kirjanpidon säilyttämistä kuuden vuoden ajan tilikauden päättymisestä alkaen. Jos verkkokauppias poistaa viestit, siitä voi olla haittaa verotarkastuksessa.
Henkilötiedot on kuitenkin joka tapauksessa poistettava vain henkilörekisteristä.
Yleistä asiaa:
Clover Shopin ominaisuudet:
Tällä sivulla esitetty tieto ei ole oikeudellista neuvontaa. Emme vastaa mistään suorasta tai epäsuorasta vahingosta, joka johtuu sivulla esitettyjen tietojen käytöstä tai soveltamisesta. Ohjelmiston käyttöön liittyvistä vastuunrajoituksista on sovittu lisenssisopimuksessa.
Asenna ohjelmisto tai tilaa meiltä maksuton asennustyö. Maksuton asiakaspalvelumme ja tekninen tukemme neuvoo tarvittaessa kummassakin tapauksessa.
Kirjaudu selaimella verkkokaupan hallintaliittymään ja perusta verkkokauppa. Tarjoamme maksuttomat Maxi-ominaisuudet verkkokaupan perustamisen ajaksi.
Tilaa lisenssi vasta, kun olet perustanut verkkokaupan, eli verkkokauppa on ns. laitettu tulille. Voit myös olla tilaamatta lisenssiä ja luopua hankkeesta.