Clover Shop Maxitulosta pdf-kuitti ja pdf-lasku viivakoodillasuomalainen verkkokauppaohjelmistolataa ja asennanopea ja helppokäyttöinen verkkokauppaohjelmistomobiiliyhteensopiva verkkokauppaohjelmistohuipputurvallinen ohjelmistolyhyt ostopolku ja ostoskori
Ajankohtaista
Uusin ohjelmistoversio 1310
HTTPS-yhteyden käyttöönotto
Tietosuoja-asetus 2018

EU:n yleinen tietosuoja-asetus

OhjeetKäyttöohjeet › EU:n yleinen tietosuoja-asetus

EU:n yleinen tietosuoja-asetus

EU:n yleinen tietosuoja-asetus (GDPR) muuttaa henkilötietojen käsittelyä yrityksissä. Kaikkien EU:n alueella sijatsevien yritysten on noudatettava asetusta 25.5.2018 alkaen riippumatta siitä, suoritetaanko henkilötietojen käsittely EU:n alueella. Lisäksi EU:n ulkopuolella sijaitsevien yritysten on noudatettava asetusta muun muassa, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille.

Päivitämme tätä sivua tämän kevään aikana. Tiedot voivat muuttua uusien tulkintojen vuoksi!

Aikataulu

Suosittelemme seuraavia toimenpiteitä 25.5.2018 mennessä:

Soveltamisala

Asetus koskee kaikkia EU:n alueella sijaitsevia yrityksiä, yhdistyksiä ja organisaatioita, jotka käsittelevät henkilötietoja automaattisesti tai osittain automaattisesti riippumatta siitä, onko varsinainen rekisteri olemassa tai käsitelläänkö henkilötietoja EU:n alueella vai esimerkiksi pilvipalvelussa EU:n ulkopuolella.

Asetus koskee myös EU:n ulkopuolella sijaitsevia yrityksiä, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille. Lisäksi asetus koskee myös muutakin kuin automaattista käsittelyä, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa rekisterin osan.

Toisin sanoen asetuksen soveltamisala on erittäin laaja ja sen ilmeinen tarkoitus on suojata EU:n alueella sijaitsevia henkilöitä koko maailman alueella.

Asetusta sovelletaan kuitenkin vain luonnollisten henkilöiden henkilötietojen käsittelyyn. Sitä ei sovelleta esimerkiksi yritysasiakkaiden nimiin ja osoitteisiin. Siksi tietosuojaselosteesta kannattaa poistaa kaikki muut kuin luonnollisiin henkilöihin liittyvät tietoryhmät.

Henkilörekisteri

Asetuksen mukaan rekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Esimerkkejä henkilörekistereistä, jotka ovat asetuksen tarkoittamia rekistereitä:

  • Asiakas- ja tilausrekisteri
  • Excel-taulukko asiakkaiden yhteystiedoista
  • Sähköpostiarkisto
  • Lasku- ja kuittipinot (jos pinot ovat järjestyksessä)
  • Puhelimeen tallennetut yhteystiedot

Asetusta on sovellettava, vaikka henkilörekisteriä ei olisi olemassa. Esimerkiksi tietoturvaloukkaus voi kohdentua henkilörekisterin ulkopuolella sijaitseviin henkilötietoihin ja siitä on tietyissä tilanteissa ilmoitettava uudelle valvontaviranomaiselle (uudelle tietosuojavirastolle). Esimerkkejä henkilörekistereistä, jotka eivät ole asetuksen tarkoittamia rekistereitä, mutta joihin voi kohdistua tietoturvaloukkauksia:

  • Muistitikku pankin tallelokerossa
  • Henkilörekisterin salakirjoitettu varmuuskopiotiedosto

Esimerkkejä henkilörekistereistä, jotka eivät kuulu asetuksen piiriin:

  • Mappi, joka sisältää papereita sekalaisessa järjestyksessä
  • Perintätoimistolle lähetetty asiakirja
...'rekisterillä' mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu... Lähde: Artikla 4 / EU yleinen tietosuoja-asetus / "Määritelmät" ↗
Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokoelmia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti. Lähde: 15 / EU yleinen tietosuoja-asetus ↗

Käsittelyn lainmukaisuus

Verkkokauppias saa käsitellä luonnollisten henkilöiden henkilötietoja vain, jos käsittelyn oikeusperusteena on suostumus, sopimus, laki, suojaaminen, julkinen tehtävä tai oikeutettu etu.

Esimerkkejä henkilötietojen käsittelyn tarkoituksesta ja oikeusperusteesta:

  • Henkilö antaa suostumuksensa sähköiseen suoramarkkinointiin (suostumus)
  • Henkilö tilaa verkkokaupasta tavaroita, jolloin syntyy asiakassuhde (sopimus)
  • Kuitteja säilytetään sähköisessä tositearkistossa (laki)
  • Henkilölle toimitetaan vaarallinen tavara (suojaaminen)
  • Verkkokauppias vastaa taloyhtiön lukoista ja avaimista (julkinen tehtävä)
  • Verkkokauppias lähettää asiakassuhteessa olevalle henkilölle sähköisen suorakirjeen (oikeutettu etu)

Tietosuojaselosteessa on mainittava henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste. Voidaan esimerkiksi mainita, että "käsittelyn tarkoituksena on asiakassuhteen hoito ja oikeusperusteena on sopimus."

Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy... Lähde: Artikla 6 / EU yleinen tietosuoja-asetus / "Käsittelyn lainmukaisuus" ↗
...henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste... Lähde: Artikla 13 / EU yleinen tietosuoja-asetus / "Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä" ↗

Rekisterinpitäjä

Clover Shoppia käyttävä verkkokauppias toimii jatkossakin rekisterinpitäjänä.

Henkilötietojen käsittelijä

Clover Shoppia käyttävä verkkokauppias toimii jatkossakin itse henkilötietojen käsittelijänä.

On yleistä, että verkkokauppias antaa muille yrityksille luvan käsitellä henkilötietoja verkkokauppiaan lukuun. Esimerkiksi kuljetusyritys käsittelee verkkokaupan asiakkaiden henkilötietoja tavaroita kuljettaessaan, maksunvälittäjä maksuja vastaanottaessaan ja me teknistä tukea antaessamme. Siksi verkkokauppiaan on kirjattava nämä yritykset yleisellä tasolla (eli "vastaanottajaryhmänä") salaiseen käsittelytoimiselosteeseen ja julkiseen tietosuojaselosteeseen.

Säilytysajat

Tietosuojaselosteessa on mainittava henkilötietojen säilytysaika tai säilytysaikoihin aikuttavat tekijät. Säilytysaikojen on oltava mahdollisimman lyhyitä. Verkkokaupankäynnissä henkilötietojen käsittelyn oikeusperusteena on usein kuitenkin sopimus, laki tai oikeutettu etu (kts. käsittelyn lainmukaisuus), jolloin säilytysajat voivat olla pitkiä.

Tulkintamme mukaisia esimerkkejä henkilötietojen säilytysajoista:

  • Tilaustiedot 4-5 vuoden ajan (sopimus)
  • Tilauksiin liittyvät sähköpostiviestit 7-8 vuoden ajan (laki)
  • Laskut ja kuitit 7-8 vuoden ajan (laki)

Selvyyden vuoksi on todettava, että kirjanpitolain mukaan tositteet ja liiketapahtumia koskeva kirjeenvaihto on säilytettävä vähintään kuusi vuotta tilikauden päättymisestä alkaen, eli jopa seitsemän vuoden ajan.

Emme uskalla ottaa kantaa siihen, kuinka kauan muita kuin tilauksiin liittyviä sähköpostiviestejä saa säilyttää.

Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Lähde: 39 / EU yleinen tietosuoja-asetus ↗
...oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen... Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna. Lähde: 47 / EU yleinen tietosuoja-asetus ↗

Tietosuojaseloste

Verkkokauppiaan on pidettävä henkilötietoja kerättäessä esillä tietosuojaselostetta, joka sisältää tietosuoja-asetuksen artiklassa 13 ↗ luetellut tiedot. Selosteen nimi on kuitenkin vapaasti päätettävissä eikä selosteen tarvitse olla virallisen oloinen. Tietosuoja-asetus kannustaa tiiviiseen ja selkeään ilmaisuun, jonka lapsetkin voivat ymmärtää.

Tietosuojaselosteen malli verkkokauppiaille (GDPR)

Tietosuojaseloste 21.5.2018

Rekisterinpitäjä:
Example Oy
Testikatu 1
00100 Testinen
info@example.com

Keräämme henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn oikeusperusteena on meidän välinen sopimus. Myöhemmässä vaiheessa oikeusperusteena on myös laki. Henkilötietojen antaminen on edellytys sopimuksen syntymiselle. Toisin sanoen et voi tilata verkkokaupastamme tavaroita, jos et anna henkilötietojasi.

Keräämme henkilötietoja myös markkinointia varten. Henkilötietojen käsittelyn oikeusperusteena on tällöin suostumus tai oikeutettu etu.

Emme tee sinua koskevia profilointeja ja automaattisia päätöksiä.

Luovutamme henkilötietoja kuljetus-, pankki- ja tietotekniikka-alalla toimiville yhteistyökumppaneillemme verkkokauppamme toiminnan mahdollistamiseksi.

Säilytämme henkilötietoja niin kauan, kuin on tarpeellista rekisterin käyttötarkoitusten toteuttamiseksi tai lain noudattamiseksi.

Sinulla on seuraavat oikeudet:
- oikeus tarkastaa itseäsi koskevat henkilötiedot
- oikeus tietojen oikaisemiseen
- oikeus käsittelyn rajoittamiseen (voit esimerkiksi pyytää markkinointikieltoa)
- oikeus vastustaa käsittelyä
- oikeus peruuttaa suostumus (voit esimerkiksi peruuttaa suostumuksesi markkinointiin)
- oikeus tehdä valitus valvontaviranomaiselle

Selosteessa ei tarvitse mainita käsiteltäviä henkilötietoryhmiä (esim. nimi, osoite, sähköpostiosoite...), koska artikla 13 ei edellytä niiden ilmoittamista. Evästeiden käytöstä ei myöskään tarvitse mainita tässä yhteydessä (lue lisää evästeistä).

Jos verkkokaupan asiakas on ilmoittanut tilauslomakkeella myös toisten henkilöiden henkilötietoja, verkkokauppiaan on toimitettava näille muille henkilöille asetuksen artiklassa 14 ↗ luetellut tiedot, jotka ovat melkein samat kuin artiklassa 13 ↗. Ainoat erot taitavat olla, mistä henkilötiedot on saatu ja mistä henkilötietoryhmistä on kysymys.

Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot... Lähde: Artikla 13 / EU yleinen tietosuoja-asetus / "Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä" ↗
Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot... Lähde: Artikla 14 / EU yleinen tietosuoja-asetus / "Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä" ↗

Käsittelytoimiseloste (seloste käsittelytoimista)

Verkkokauppiaan on ylläpidettävä käsittelytoimiselostetta, joka sisältää tietosuoja-asetuksen artiklassa 30 ↗ luetellut tiedot. Käsittelytoimiseloste on salainen, mutta se on pyydettäessä toimitettava uudelle valvontaviranomaiselle (uusi tietosuojavirasto).

Jos verkkokauppias on antanut muille yrityksille luvan käsitellä henkilötietoja verkkokauppiaan lukuun, verkkokauppiaan on kirjattava nämä yritykset yleisellä tasolla (eli "vastaanottajaryhmänä") selosteeseen. Kirjaus voi olla esimerkiksi seuraavanlainen: "Luovutamme henkilötietoja kuljetus-, pankki- ja tietotekniikka-alalla toimiville yhteistyökumppaneillemme." Vastaava kirjaus on tehtävä myös tietosuojaselosteeseen.

Käsittelytoimiselosteen ylläpitäminen on vapaaehtoista, jos yrityksessä on alle 250 työntekijää, käsittely ei ole satunnaista jne.

Osoitusvelvollisuus

Verkkokauppiaan on pystyttävä osoittamaan, että henkilötietoja käsiteltäessä toteutuu lainmukaisuus, kohtuullisuus, läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus.

Verkkokauppiaan on esimerkiksi pystyttävä osoittamaan, että asiakas on antanut suostumuksensa asiakaskirjeen vastaanottamiseen tai että verkkokauppiaalla on oikeutettu etu lähettää asiakaskirje.

Tietosuoja-asetuksessa ei kuitenkaan mainita, kenelle näiden vaatimusten toteutuminen pitää osoittaa ja missä laajuudessa. Todennäköisesti vaatimusten toteutuminen pitää osoittaa tapauskohtaisesti joko verkkokaupan asiakkaalle tai uudelle valvontaviranomaiselle (uusi tietosuojavirasto), mutta vain pyynnöstä.

Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu ("osoitusvelvollisuus"). Lähde: Artikla 5 / EU yleinen tietosuoja-asetus / "Henkilötietojen käsittelyä koskevat periaatteet" ↗

Tietosuojavastaavaa

Verkkokauppiaan on nimitettävä tietosuojavastaava, jos verkkokaupan ydintehtävänä on henkilötietojen käsittely tai jos verkkokauppa käsittelee asetuksessa mainittuja arkaluonteisia tietoja. Useinkaan näin ei ole.

Vaikutustenarviointi

Verkkokauppiaan on tehtävä tietosuojaa koskeva vaikutustenarviointi, jos verkkokaupan asiakkaiden henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Uusi valvontaviranomainen (uusi tietosuojavirasto) julkaisee luettelon käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan vaikutustenarviointi.

Sertifiointi

Sertifiointipalvelut ovat kaupallista liiketoimintaa samalla tavalla kuin luotettavuus- ja kotimaisuusmerkkien myöntäminen maksua vastaan. Sertifiointitodistus ei vapauta verkkokauppaa vastuusta, sakoista eikä se ole myöskään vakuutus. Verkkokaupan on joka tapauksessa käsiteltävä henkilötietoja huolellisesti asetuksen edellyttämällä tavalla.

Suostumuksen hankkiminen

Verkkokaupassa asioivalta henkilöltä (tilaajalta) ei tarvitse pyytää suostumusta henkilötietojen käsittelylle. Tämä johtuu siitä, että tilaaminen johtaa sopimukseen, joka on henkilötietojen käsittelyn oikeusperuste (kts. käsittelyn lainmukaisuus).

Käsittelyä olisi pidettävä lainmukaisena, kun se on tarpeen sopimuksen yhteydessä tai suunnitellun sopimuksen tekemistä varten. Lähde: 44 / EU yleinen tietosuoja-asetus ↗
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena... Lähde: Artikla 6 / EU yleinen tietosuoja-asetus / "Käsittelyn lainmukaisuus" ↗

Suoramarkkinointi

Henkilötietoja voidaan käsitellä suoramarkkinointia varten, jos käsittelyn oikeusperusteena on joko suostumus tai oikeutettu etu (kts. käsittelyn lainmukaisuus). Molemmissa tapauksissa tietosuojaselosteessa on oltava maininta suoramarkkinoinnista.

Sähköinen suoramarkkinointi on sallittua seuraavissa toisistaan riippumattomissa tapauksissa:

  • Henkilö ei ole asiakas, mutta hän on sallinut sähköisen suoramarkkinoinnin (suostumus)
  • Henkilö on asiakas ja hän on sallinut sähköisen suoramarkkinoinnin (suostumus)
  • Henkilö on asiakas, mutta hän ei ole kieltänyt sähköistä suoramarkkinointia (oikeutettu etu)
...oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen... Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna. Lähde: 47 / EU yleinen tietosuoja-asetus ↗
Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava oikeus milloin tahansa ja maksutta vastustaa käsittelyä... Tämä oikeus olisi nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään. Lähde: 70 / EU yleinen tietosuoja-asetus ↗
Jos luonnollinen henkilö tai oikeushenkilö saa asiakkaaltaan sähköpostiyhteystietoja tuotteen tai palvelun myynnin yhteydessä asetuksen (EU) 2016/679 mukaisesti... Lähde: EU:n uusi sähköisen viestinnän tietosuoja-asetus ↗

Lasten oikeudet

Asetus rajoittaa alle 16-vuotiaiden lasten henkilötietojen käsittelyä ainoastaan silloin, kun tietoyhteiskunnan palvelua (sähköinen etäpalvelu) tarjotaan suoraan lapselle ja henkilötietojen käsittelyn oikeusperusteena on suostumus. Tällaisessa tapauksessa henkilötietojen käsittelyyn tarvitaan lapsen vanhempien suostumus.

Jos verkkokauppias myy esimerkiksi tavaran lapselle, niin henkilötietojen käsittelyn oikeusperusteena on sopimus. Kyseessä ei ole myöskään tietoyhteiskunnan palvelu. Vanhempien suostumusta henkilötietojen käsittelyyn ei tarvita.

Jos verkkokauppias myy esimerkiksi lentomekaanikoille tarkoitettua mobiilisovellusta, niin henkilötietojen käsittelyn oikeusperusteena on sopimus. Vaikka oikeusperusteena olisi suostumus, niin tässä tapauksessa tietoyhteiskunnan palvelua ei tarjota suoraan lapselle. Vanhempien suostumusta henkilötietojen käsittelyyn ei tarvita.

Lasten oikeuskelpoisuus tehdä sopimuksia on asia erikseen. Asetus koskee vain henkilötietojen käsittelyä eikä se vaikuta EU:n jäsenvaltioiden noudattamiin sopimusoikeudellisiin kysymyksiin.

Sanamuodon "suoraan lapselle" sisällyttäminen viittaa siihen, että artikla 8 on tarkoitettu sovellettavaksi joihinkin, mutta ei kaikkiin tietoyhteiskunnan palveluihin... niin palvelua ei katsota "tarjotun suoraan lapselle" eikä artiklaa 8 ei sovelleta. Lähde: Guidelines on Consent under Regulation 2016/679, wp259 [pdf] ↗

Tietoturvaloukkaukset

Jos tapahtuu tietoturvaloukkaus, se on dokumentoitava uuden valvontaviranomaisen (uusi tietosuojavirasto) tarkastusta varten. Jos ilmoittamiskynnys ylittyy, loukkauksesta on ilmoitettava uudelle valvontaviranomaiselle (uudelle tietosuojavirastolle) ja tietyissä tapauksissa myös verkkokaupan asiakkaalle.

Ilmoittamiskynnys valvontaviranomaiselle on matalampi kuin verkkokaupan asiakkaalle. Jos esimerkiksi tietokannan varmuuskopio on salakirjoitettu ja se varastetaan, ilmoitus on tehtävä valvontaviranomaiselle, mutta ei verkkokaupan asiakkaalle.

...paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Lähde: Artikla 33 / EU yleinen tietosuoja-asetus / "Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle" ↗
Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle... Lähde: Miten valmistautua EU:n tietosuoja-asetukseen? ↗

Tarkastusoikeus

Jokaisella henkilöllä on oikeus tarkastaa henkilörekisteriin tallennetut omat henkilötiedot. Kun joku henkilö käyttää tarkastusoikeuttaan, verkkokauppiaan on ilmoitettava hänelle seuraavat tiedot:

  • Tieto siitä, käsitelläänkö häntä koskevia henkilötietoja tai että niitä ei käsitellä
  • Jos käsitellään, asetuksen artiklassa 15 ↗ luetellut tiedot
  • Jos käsitellään, jäljennös käsiteltävistä henkilötiedoista
Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi kuitenkin pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi. Lähde: Miten valmistautua EU:n tietosuoja-asetukseen? ↗

Oikaisuoikeus

Jokaisella henkilöllä on oikeus saada oikaistuksi henkilörekisteriin tallennetut, itseään koskevat, epätarkat ja virheelliset henkilötiedot.

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Lähde: Artikla 16 / EU yleinen tietosuoja-asetus / "Oikeus tietojen oikaisemiseen" ↗

Siirto-oikeus

Jokaisella henkilöllä on oikeus saada jäljennös henkilötiedoista, jotka hän on itse toimittanut henkilörekisteriin ja jotka on tallennettu henkilörekisteriin. Siirto-oikeus on voimassa ainoastaan, jos henkilötietojen käsittelyn oikeusperusteena on suostumus tai sopimus (kts. käsittelyn lainmukaisuus) ja käsittely suoritetaan automaattisesti.

Siirto-oikeuden käyttämiselle ei ole vielä markkinoita. Ehkä tulevaisuudessa verkkokauppojen asiakkaat voivat kilpailuttaa ostoksensa eri verkkokauppojen välillä ja siirtää asiakkuutensa automaattisesti verkkokaupasta toiseen?

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtääkyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos... Lähde: Artikla 20 / EU yleinen tietosuoja-asetus / "Oikeus siirtää tiedot järjestelmästä toiseen" ↗

Poisto-oikeus

Jokaisella henkilöllä on oikeus saada poistettua häntä itseään koskevat henkilötiedot henkilörekisteristä, paitsi jos henkilötietojen käsittelyn oikeusperusteena on laki tai julkinen tehtävä (kts. käsittelyn lainmukaisuus). Asetuksessa mainitaan myös muutamia muita poikkeuksia.

Poisto-oikeutta koskeva artikla 17 on kuitenkin vaikeaselkoinen. Kaikkein herkimmin poistaminen tulee tehdä, jos henkilötietojen käsittelyn oikeusperusteena on suostumus.

Henkilötietojen poistaminen tarkoittaa käytännössä esimerkiksi seuraavaa:

  • Asiakas- ja tilauskortit poistetaan verkkokaupan hallintaliittymästä
  • Sähköpostiviestit poistetaan sähköpostiarkistosta, jos sähköpostinlukijassa on järjestämis- tai hakutoimintoja
  • Henkilötiedot poistetaan Excel-tiedostoista

Henkilötiedot on kuitenkin joka tapauksessa poistettava vain henkilörekisteristä. Nimittäin tietosuoja-asetus ja myös VAHTI-raportti ↗ vuodelta 2016 antavat ymmärtää, että tiedon eristäminen vastaa poistamista. Verkkokauppias voi esimerkiksi tulostaa asiakas- ja tilauskortit sekä sähköpostiviestit paperille ennen niiden poistamista henkilörekisteristä.

...käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten... Lähde: Artikla 17 / EU yleinen tietosuoja-asetus / "Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")" ↗

Lokitiedot

Clover Shop tallentaa verkkokauppiaan omaan järjestelmään lokitietoja verkkokaupan hallintaliittymässä tehdyistä sivupyynnöistä. Lisäksi verkkokaupan kotisivutilan www-palveluntarjoja tallentaa lokitietoja, joihin verkkokauppiaalla on pääsy. Selvitämme vielä tarkemmin, mitä muutospaineita näihin lokitietoihin kohdistuu.

Varmuuskopiot

Verkkokaupan hallintaliittymän kautta luodut varmuuskopiot eivät ole asetuksessa tarkoitettuja henkilörekisterejä, mutta niihin voi kohdistua tietoturvaloukkauksia, joten niitä kannattaa säilyttää huolellisesti.

Vastuunrajoitus

Tällä sivulla esitetty tieto ei ole oikeudellista neuvontaa. Emme vastaa mistään suorasta tai epäsuorasta vahingosta, joka johtuu sivulla esitettyjen tietojen käytöstä tai soveltamisesta.