EU:n tietosuoja-asetus GDPR astuu voimaan 25. toukokuuta. Asetus edellyttää, että nettisivuilla on saatavilla selkeä seloste yksityisyydensuojasta. Olemme työstäneet sellaisen itsellemme ja oppineet paljon matkan varrella. Linkki selosteeseemme on kirjoituksen lopulla.

Selkeys on uusi vaatimus selosteelle

Asetus ei määrää selosteen nimeä, mutta selkeys on nimenomainen vaatimus. Kenen tahansa tulee selosteen luettuaan ymmärtää, miksi ja miten hänen henkilötietojaan käsitellään. Tämä on merkittävä uudistus.

Rekisteri- ja muilla tavoin otsikoituja vastaavia selosteita on ollut yritysten sivustoilla jo pitkään.  Usein nämä ovat olleet sisällöltään siinä määrin raskaita, että lukeminen aiheuttaa kävijälle fyysistä pahoinvointia.

Mitä henkilötietoja ja miksi

Selkeä yksityisyydensuojaseloste kertoo selkein ja arkisin termein, mitä henkilötietoja nettisivujen kävijöiltä kerätään ja miksi. Kaiken henkilötiedon keräämiseen tulee olla peruste ja vain kuhunkin käyttötarkoitukseen välttämättömiä tietoja saa kerätä.

Kuinka kauan henkilötietoja säilytetään - ei ainakaan ikuisesti

GDPR edellyttää, että yritykset säilyttävät henkilötietoja suunnitelmallisesti ja vain niin pitkään, kuin se on tarpeen. Yksityisyydensuojaselosteesta tulee käydä ilmi, kuinka kauan henkilötietoja säilytetään. Useassa tapauksessa henkilötietojen järjestelmällinen poistaminen vaatii yrityksessä uusia käytäntöjä.

Mitä oikeuksia rekisteröidyllä on

Ihmisillä on jatkossa yhä vahvempi valta siihen, miten heidän henkilötietojaan säilytetään ja käsitellään. Rekisteröidyn keskeiset oikeudet on tarpeen kertoa yksityisyydensuojaselosteessa - nämäkin mielellään mahdollisimman selkokielisesti.

Itse oikeuksiin yritys ei juurikaan voi vaikuttaa. Rekisteröidyllä on mm. oikeus tietää, mitä tietoja hänestä säilytetään sekä saada tietonsa poistetuksi. Rekisteröidyn oikeudet on ansiokkaasti kuvattu mm. tässä Elina Koivumäen blogikirjoituksessa.

Kenelle henkilötietoja siirtyy

Lähes jokainen yritys käyttää kumppaneita osana henkilötietojen käsittelyä. Esimerkiksi ohjelmistotoimittajat, nettisivujen rakentajat ja sähköisen suoramarkkinoinnin kumppanit saavat usein pääsyn yrityksen henkilörekistereihin. Nämä kumppanuudet tulee yksityisyydensuojaselostetta varten kartoittaa ja kirjoittaa auki. Tästä on esimerkki omassa selosteessamme.

Jos seloste on selkeä, helppolukuinen ja jopa sympaattinen, koko yritys vaikuttaa asiansa osaavalta.

Yksityisyydensuojaseloste

Tietojen siirto EU:n ulkopuolelle, apuna Privacy Shield

GDPR-aikana henkilötietojen luovuttaminen EU:n ulkopuolelle vaatii aiempaa suurempaa harkintaa ja dokumentointia. Kun aloimme tutustua tietosuoja-asetukseen, rajoitukset tietojen luovuttamiselle vaikuttivat mittavalta haasteelta, koska käytämme myös USA:ssa toimivia pilvipalveluita ja kumppaneita.

Tilannetta helpottaa kuitenkin EU:n ja USA:n Privacy Shield -ohjelma. Siihen kuuluvat  amerikkalaiset IT-palveluntarjoajat ovat käytännössä samalla viivalla EU:ssa toimivien kilpailijoidensa kanssa. Tietojen luovuttaminen unionin ulkopuolelle ja Privacy Shieldin käyttö tulee kuvata yksityisyydensuojaselosteessa.

Seloste on väline luottamuksen kasvattamiseen

Yksityisyydensuojaseloste on väline, jolla yritys voi kasvattaa asiakkaidensa luottamusta. Jos seloste on selkeä, helppolukuinen ja jopa sympaattinen, koko yritys vaikuttaa asiansa osaavalta.

GDPR:n astuessa voimaan selosteita katsellaan ja luetaan tarkemmin kuin koskaan aiemmin. Hyvät ja huonot esimerkit saavat lähikuukausina osakseen paljon huomiota.

Tällainen on meidän tietosuojaselosteemme

Olemme tehneet omaa GDPR-projektiamme yhteistyössä lakiasiaintoimisto Turre Legalin kanssa. Yksi projektimme konkreettisista tuloksista on yksityisyydensuojaselosteemme, jota moni on kiittänyt selkeäksi.

Oman selosteemme työstämisessä olemme saaneet hyvät eväät myös asiakkaidemme tukemiseen selosteprojekteissa. Suosituksemme on, että jokainen yritys kartoittaa kattavasti omat henkilötietojen käsittelyprosessinsa ja tuottaa siihen liittyvän dokumentaation - seloste mukaanlukien - yhdessä lainopillisten asiantuntijoiden kanssa.

Lue myös muista GDPR:n vaikutuksista

GDPR vaikuttaa nettisivuihin ja sähköiseen suoramarkkinointiin monin tavoin. Olemme käsitelleet GDPR:n vaikutuksia Karhulla on asiaa -blogimme kirjoituksissa.

Jos GDPR-asiat askarruttavat, ota meihin yhteyttä.