EU:n tietosuoja-asetus GDPR astuu voimaan 25.5. Asetus on ollut yksi digialan eniten keskustelua herättäneistä aiheista viimeisen vuoden ajan. GDPR:n vaikutuksista vallitsee edelleen erimielisyyttä eikä kukaan tiedä varmasti, miten sen säännöksiä aletaan tulkita.

Yritysten ja järjestöjen nettisivuille asetus tuo kuitenkin muutamia selkeitä muutostarpeita, joihin on hyvä varautua kuluvan kevään aikana.

1. Selkeä seloste yksityisyydensuojasta muuttuu välttämättömäksi

Yritysten ja järjestöjen sivustoilla tarvitaan jatkossa selkeä yksityisyydensuojakäytännöt kuvaava seloste. Sitä voi kutsua esim. rekisteriselosteeksi tai yksityisyydensuojaselosteeksi. Asetus ei määrää selosteen nimeä. Selkeys on sen sijaan asetuksen erityinen vaatimus. Kenen tahansa pitää seloste lukemalla ymmärtää, miten organisaatio kerää ja käsittelee henkilötietoja. Tämä on hyvä ja tärkeä uudistus. Monet yksityisyydensuojaselosteet ovat olleet  kryptistä luettavaa.

2. Lomakkeisiin tarvitaan linkki yksityisyydensuojaselosteeseen

Kun nettisivujen kävijän halutaan antavan sivustolle henkilötietojaan, linkki niiden käsittelyä koskeviin tietoihin tulee olla näkyvissä siinä kohtaa, missä tietoja annetaan. Tyypillisesti henkilötietoja kerätään sähköisillä lomakkeilla. Suosittelemme että selostelinkki sijoitetaan selvästi näkyviin viestilomakkeen lähetysnapin yhteyteen. Tämä on uutta useimmilla nettisivustoilla.

Aiemmin on luotettu käytäntöön, jossa yksityisyydensuojaselosteeseen johtava linkki on sivujen alareunassa. Siis varsin huolella piilotettuna. Uusi käytäntö on avoimempi ja reilumpi kuin vanha.

3. Lomakkeilla saa kerätä vain olennaista tietoa

Nettisivujen kävijöiltä ei saa enää jatkossa kerätä muuta kuin sellaista tietoa, joka on olennaista heille tarjottavan palvelun tuottamiseksi. Jos asiakkaan puhelinnumero ei ole tilattavan tuotteen tai tarjottavan palvelun kannalta olennainen tieto, sitä ei tule myöskään kerätä.

Erityisen kriittisesti tulee suhtautua tietoihin, jotka asetus määrittää arkaluonteisiksi. Esimerkiksi tietoa henkilön terveydestä, seksuaalisesta suuntautumisesta tai ammattiliiton jäsenyydestä saa kerätä vain painavin perustein.

GDPR:n aikakaudella nettilomakkeet lyhenevät. Tämä tarkoittaa useimmissa tapauksissa sujuvampaa käyttökokemusta, jolla on edellytykset myös parantaa sivuston konversiota. Harva nettisivun kävijä innostuu pitkistä lomakkeista.

4. Henkilötietojen käsittelyn hyväksyntäpyyntö lisättävä rekisteröitymisen vaativiin palveluihin

Jos sivustolla on rekisteröitymistä vaativia osia, tulee rekisteröityvältä kävijältä pyytää erikseen lupa henkilötietojen käsittelyyn. Enää ei riitä, että hän hyväksyy palvelun yleiset käyttöehdot. Hyväksyntä voidaan pyytää perinteisellä ”rasti ruutuun” -tekniikalla, mutta rasti ei saa olla valmiiksi ruudussa, vaan kävijän tulee aktiivisesti hyväksyä tietojensa käsittely. Kuten muissakin lomakkeissa, myös rekisteröitymislomakkeessa tulee olla linkki yksityisyydensuojaselosteeseen.

5. Vakioitu toimintatapa henkilötietojen poistoon

GDPR määrää, ettei henkilötietoja saa säilöä ikuisesti, vaan ainoastaan niin kauan, kuin niille on tarvetta. Tämä vaikuttaa merkittävällä tavalla nettilomakkeiden toimintaan. Lomakkeilla kerättyjä tietoja tulee hävittää järjestelmällisesti. Hävittämiseen on hyvä toteuttaa automaatio, jotta se ei aiheuta jatkuvaa lisätyötä nettisivuston päivittäjille.

Juttu jatkuu kuvan jälkeen.

GDPR:n aikakaudella nettilomakkeet lyhenevät. Tämä tarkoittaa useimmissa tapauksissa sujuvampaa käyttökokemusta.

EU:n tietosuoja-asetus välikuva

Karhun GDPR-työ on hyvässä vauhdissa

Tätä kirjoitettaessa me Karhu Helsingissä olemme hyvässä vauhdissa GDPR:ään valmistautumisessa, mutta tekemistä riittää vielä. Suhtaudumme kuitenkin tilanteeseen rauhallisin mielin. Uskomme että olemme kevään edetessä tilanteessa, jossa sekä oma tekemisemme että asiakkaidemme sivustot ovat asetuksen mukaisia tai ainakin suunnitelmallisesti matkalla tavoitteiden mukaiseen tilanteeseen.

Tietosuoja-asetus koskettaa yritysten toimintaa monin tavoin - verkkopalvelu on pieni osa

GDPR vaikuttaa paljon muuhunkin kuin nettisivuihin. Yritykset ja järjestöt käsittelevät ja säilövät henkilötietoja lukuisissa paikoissa, joista verkkopalvelu on vain yksi. Siksi tietosuoja-asetukseen varautuminen vaatii monipuolista työtä ja varautumista organisaation sisällä. Nettisivut saadaan kuitenkin GDPR:n kannalta jo varsin hyvällä tolalle, kun yllä kuvatut 5 toimenpidettä on laitettu täytäntöön. Ota meihin yhteyttä ja kysy lisää.

Lue myös aiempi blogikirjoituksemme GDPR:n vaikutuksista.