GDPR:n mukainen Evästetallennin - EU:n uusi tietosuoja-asetus muuttaa evästekäytännöt

Lähes kaikki verkkosivut käyttävät evästeitä. EU:n uusi tietosuoja-asetus (GDPR) vaatii, että evästeitä käyttävillä verkkosivuilla on oltava ohjelmisto, joka kysyy kävijän luvan tiettyihin evästeisiin ennen niiden asentamista. Kävijällä on oltava myös oikeus kieltäytyä evästeiden asentamisesta.

25.5.2018 voimaan astuva EU:n uusi tietosuoja-asetus eli GDPR mullistaa yritysten tavan toimia internetissä. Käytännön tasolla isoimpia muutoksia aiheuttaa EU:n uusi tulkinta, jonka mukaan eväste luetaan henkilötiedoksi, jos se pystytään yhdistämään johonkin tiettyyn henkilöön.

Perinteinen evästeilmoitus ei enää uuden lain myötä riitä. Tietosuojaamon Evästetallentimella varmistat, että verkkosivusi täyttää GDPR:n vaatimukset ja on lainmukainen. Voit tutustua Evästetallentimeen Tietosuojaamon sivuilla.

Näin ollen esimerkiksi markkinointitarkoituksia tai analytiikkaa varten käytetyt evästeet muuttuvat henkilötiedoiksi, joten niitä koskevat samat oikeudet kuin muitakin henkilötietoja. Kävijän on pystyttävä muun muassa hallitsemaan antamiaan suostumuksia evästeiden asennukseen. Normaali evästeilmoitus ei enää riitä, vaan käyttöön on otettava kehittyneempi ohjelmisto.

Tietosuoja-asetuksen rikkomisesta seuraava sakko saattaa olla jopa 20 miljoonaa euroa tai 4 % liikevaihdosta.

Tietosuojaamon evästeohjelmistolla varmistat, että yrityksenne täyttää kaikki GDPR:n vaatimat uudet evästekäytännöt.

Onko koko GDPR vielä hämärän peitossa? Mikä on EU:n uusi tietosuoja-asetus ja miten se tulee vaikuttamaan teidänkin yritykseenne?

Lue lisää tästä

Mikä on eväste?

Eväste on tekstitiedosto, jonka selain asentaa käyttäjän laitteelle verkkosivun latauksen yhteydessä. Evästeen avulla käyttäjä voidaan tunnistaa, ja hänelle voidaan kohdentaa esimerkiksi Facebookissa tai Googlessa mainontaa hänen verkkokäyttäytymisensä perusteella. Jos evästeet kytkettäisiin pois, käyttäjät eivät voisi kirjautua sivuillesi, tai tehdä ostoksia verkkokaupassasi. Toisin sanoen evästeet ovat välttämättömiä modernien verkkosivujen toiminnan kannalta.

Mitä GDPR vaatii evästeiltä?

Evästeiden osalta EU:n uuden tietosuojalain vaatimuksista ei selviä pelkillä toimintatapojen muutoksilla. Ennen GDPR:n voimaantuloa verkkosivuille tulevan käyttäjän koneelle on voinut asentaa esimerkiksi markkinointitarkoituksia varten evästeen heti sivuston latautuessa. GDPR:n voimaantulon jälkeen verkkosivuilla on oltava kehittynyt ohjelmisto, joka kysyy kävijän lupaa evästeiden asentamiseen. Pelkkä "Hyväksyn"-nappi ei riitä, vaan kävijällä on oltava lupa myös kieltäytyä evästeiden asentamisesta ja silti jatkaa sivujen käyttöä.

Miksi yrityksenne tarvitsee Evästetallentimen

Onko käytössänne Google Analytics, Google AdWords, Facebook- tai muu sosiaalisen median mainontapalvelu, tai muita käyttäjästä tietoa tallentavia työkaluja? Tällöin tarvitsette ohjelmiston evästeiden tallentamiseen. Myös Google vaatii omissa ehdoissaan jo tällä hetkellä GDPR:n mukaisesti, että kaikkien Googlen markkinointipalveluja käyttävien yrityksien tulee saada käyttäjältä lupa evästeiden tallentamiseen, käyttäjällä tulee olla koska vain mahdollisuus evätä lupa ja käyttäjäkohtaisten lupien tulee olla tallennettuna tietokantaan.

Tietosuojaamon evästeohjelmisto täyttää kaikki GDPR:n evästevaatimukset

GDPR:n vaatimus

Tietosuojaamon evästeohjelman ratkaisu

Evästelupien hallinta

Käyttäjältä pitää kysyä suostumus evästeiden asentamiseen. Käyttäjällä pitää olla mahdollisuus perua antamansa suostumus koska tahansa suostumuksen antamisen jälkeen.

Evästelupien hallinta

Evästetallentimen avulla sivuston käyttäjältä kysytään tyylikkään bannerin avulla tarvittavat evästeluvat hänen tullessaan sivuille. Käyttäjä voi muuttaa hyväksyntäänsä koska tahansa. Päivitetty tieto siirtyy automaattisesti yrityksen markkinointikampanjaan, jos yrityksen markkinointi on automatisoitua, ja käyttäjä joka lisätään tai poistetaan markkinointilistalta.

Evästelupien uusiminen

Suostumus evästeiden asentamiseen on kysyttävä uudestaan 12 kuukauden välein.

Evästelupien uusiminen

Evästetallentimen avulla suostumus evästeiden asentamiseen kysytään automaattisesti vuoden välein. Et joudu huolehtimaan sivustosi vierailijoiden mahdollisesti laittomasti tallennetuista evästetiedoista, kun luvat ovat aina ajan tasalla.

Tilaa nyt ja varmista verkkosivusi GDPR-lainmukaisuus!

Katso hinnasto ja tee tilaus Tietosuojaamon kautta.

Siirry Tietosuojaamon sivuille

Tietosuoja-asetus lyhyesti

EU:n uusi tietosuoja-asetus eli GDPR on 25.5.2018 voimaan astuva tietosuojalaki, jonka tarkoituksena on turvata verkossa liikkuvien ihmisten oikeuksia. Henkilötietoja keräävien yritysten datan käyttöä on ennen asetuksen voimaantuloa säännelty erittäin maltillisesti. Tämän ansiosta yritykset ovat voineet kohdentaa esimerkiksi verkkomainontaa hyvin vapaasti pelkän evästeilmoituksen perusteella. Uusi tietosuoja-asetus muuttaa tilanteen sellaiseksi, että yritysten on kysyttävä lupa henkilötietojen keräämiseen paljon tarkemmalla tasolla. Henkilötietojen käsittelylle tulee myös uudenlaisia vaatimuksia esimerkiksi tarkemman dokumentoinnin muodossa. GDPR tulee koskettamaan käytännössä kaikkia verkossa toimivia yrityksiä. Alla on kerrottu tarkemmin, miten voit valmistautua EU:n uuteen tietosuojalakiin.

GDPR:n liittyviä määritelmiä

Eväste

Eväste on tekstitiedosto, jonka selain asentaa käyttäjän laitteelle verkkosivun latauksen yhteydessä. Evästeen avulla käyttäjä voidaan tunnistaa, ja hänelle voidaan kohdentaa esimerkiksi Facebookissa mainontaa hänen verkkokäyttäytymisensä perusteella.

Rekisterinpitäjä

Yritys, joka kerää asiakkaidensa tai työntekijöidensä henkilötietoja. Näin ollen yritys, joka kerää verkkosivuillaan asiakkaiden sähköposteja, myy verkkokaupan kautta jotain tai työllistää muita henkilöitä on rekisterinpitäjä.

Henkilötietojen käsittelijä

Rekisterinpitäjän lukuun henkilötietoja käsittelevä yritys. Esimerkiksi markkinointiyritys, joka hoitaa rekisterinpitäjän Facebook-kampanjaa hänen puolestaan, on henkilötietojen käsittelijä.

Tietosuojavastaava

Henkilö, joka vastaa, että yritys noudattaa GDPR:n vaatimuksia. Laki edellyttää tietosuojavastaavan nimittämistä monen yrityksen kohdalla.

Tietotilinpäätös

Yrityksen henkilötietojen käsittelyyn ja tietosuojaan liittyvien prosessien kartoituksen seurauksena syntyvä dokumentti.

Toimeksiantosopimus

Toimeksiantosopimus on rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus. Tämä sopimus on lain mukaan pakollinen, kun toimeksiantoon liittyy henkilötietojen käsittelyä. Esimerkiksi henkilötietoja verkkosivuillaan keräävän yrityksen (rekisterinpitäjä) ja kerättyjen henkilötietojen tietokannasta vastaavan ulkopuolisen yrityksen (henkilötietojen käsittelijä) välillä on oltava sopimus, jossa huomioidaan GDPR:n vaatimukset.

GDPR parantaa nettikansan oikeuksia

EU:n uusi tietosuoja-asetus asettaa mittavia vaatimuksia yritysten henkilötietojen käsittelylle. Verkkosivuilta vaaditut kattavat evästeilmoitukset ovat yksi GDPR:n näkyvimmistä muutoksista aikaisempaan nähden. Evästeilmoitusten lisäksi tietosuoja-asetus muuttaa yritysten toimintakulttuuria monella muullakin tapaa.

Rekisterissä olevien henkilöiden oikeudet

Verkossa liikkuvien ihmisten oikeudet saavat toukokuussa lain antaman suojan. Rekisteriin kirjattavilla henkilöillä on tämän jälkeen oikeus muun muassa:

Yrityksen on siis GDPR:n voimaantulon jälkeen toteutettava rekisterissä olevan henkilön pyynnöt. Esimerkiksi kopio henkilötiedoista on toimitettava käyttäjäystävällisessä muodossa kuukauden kuluessa pyynnöstä. Tämä asettaa yrityksille täysin uudenlaisia vaatimuksia, kun mahdolliset pyynnöt on oikeasti pystyttävä toteuttamaan. Yrittäjän on näin ollen tunnettava tietojärjestelmänsä ja osattava hallita tietojärjestelmässä olevia tietoja. Rekisterissä olevien henkilöiden oikeuksien lisäksi tietosuoja-asetus muuttaa paria korkeamman tason periaatetta.

Tietosuoja-asetus mullistaa markkinointikentän

GDPR:n perimmäisenä tarkoituksena on internetin käyttäjien yksityisyyden varjeleminen. Aikaisemmin digitaalinen markkinointi on ollut hyvin löyhästi säädeltyä, eikä esimerkiksi kohdennettuun mainontaan ole joutunut kysymään erikseen lupaa. Asian on voinut kuitata ilmoittamalla sivuillaan esimerkiksi, että "sivusto kerää evästeitä ja käyttää niitä markkinoinnillisiin tarkoituksiin". Evästeet on voinut asentaa käyttäjän koneelle heti sivuston ensilatauksen yhteydessä.

GDPR:n voimaantulon jälkeen evästeitä ei voi enää asentaa heti sivuston latautuessa, vaan niiden asentamiseen on kysyttävä lupa. Lupaa ei voi myöskään kysyä epämääräisesti (esimerkiksi "käytämme evästeitä markkinoinnillisiin tarkoituksiin"), vaan evästeiden keräämisen syy on esitettävä selkeästi ("käytämme evästeitä kohdennettuun Facebook-mainontaan"). Lisäksi jokaiseen käyttötarkoitukseen on kysyttävä erikseen lupa. Jos yritys seuraa sivuston analytiikkaa kohdennetun mainonnan lisäksi, niin näihin molempiin käyttötarkoituksiin on kysyttävä erikseen lupa. Käyttäjällä on oltava myös oikeus kieltäytyä mainonnasta, mutta sallia analytiikan käyttö. Saatua lupaa ei voida myöskään käyttää myöhemmin hyväksi tarkoitukseen, josta ei mainittu alkuperäistä lupaa kysyessä. Yritys ei voi siis kohdentaa sähköpostimarkkinointia henkilölle, joka on antanut suostumuksensa vain Google-mainonnan esittämiselle.

Tietomurrosta tiedottaminen

Korkea tietosuojan taso nousee entistä tärkeämmäksi tekijäksi uuden GDPR-asetuksen myötä. Tietoturvaloukkauksesta on ilmoitettava asianmukaiselle viranomaiselle 72 tunnin kuluessa tietoturvaloukkauksesta. Lisäksi tietoturvaloukkauksesta on ilmoitettava rekisterissä olleille henkilöille, mikäli tietojen leviäminen aiheuttaa korkean riskin heidän oikeuksille ja vapauksilleen.

Kartoita yrityksesi prosessit

EU:n uusi tietosuoja-asetus muuttaa nykyisiä käytänteitä niin, että nyt yrityksen on myös pystyttävä todistamaan, että he noudattavat tietosuoja-asetuksen vaatimuksia. Yhtiön on siis ylläpidettävä dokumentteja, joissa kerrotaan yhtiön tietosuojakäytänteistä ja henkilötietojen käsittelystä. Dokumentti on pyydettäessä toimitettava viranomaiselle. Lisäksi monen yrityksen on nimitettävä erillinen tietosuojavaltuutettu valvomaan lain noudattamista.

Tietotilinpäätös

Tietosuojavaltuutettu suosittelee yrityksille tietotilinpäätöksen laatimista. Tietotilinpäätös on dokumentti, jossa selvitetään yrityksen tietosuoja-asetukseen liittyvät käytänteet. Dokumentissa käydään läpi muun muassa seuraavat asiat:

Tietotilinpäätöksen avulla yritys löytää helpoiten kehittämiskohteet tietoturvaan ja henkilötietojen käsittelyyn liittyen. Dokumentissa voidaan myös varautua jo ennakolta mahdolliseen tietoturvaloukkaukseen luomalla loukkauksen ilmoittamiselle ja selvittämiselle oma protokollansa.

Tarvitsetko tietosuojavastaavaa?

Monella yrityksellä on oltava 25.5.2018 eteenpäin tietosuojavastaava, joka vastaa tietosuoja-asetuksen noudattamisesta. Tietosuojavastaava on nimettävä, jos:

Näistä yrittäjien huomio kiinnittyy erityisesti toiseen kohtaan. Henkilötietojen käsittely edellyttää tietosuojavastaavan nimittämistä esimerkiksi silloin, kun

Kaikkien aktiivisesti digitaalista markkinointia harjoittavien yritysten on näin ollen nimitettävä tietosuojavastaava. Henkilötietojen kerääminen on myös esimerkiksi verkkokauppayrittäjille säännöllistä, järjestelmällistä ja laajamittaista toimintaa, joten myös heidän on nimitettävä tietosuojavastaava. Tietosuojavastaajan tehtävät koskevat tietosuoja-asetuksen noudattamisen seurantaa. Tietosuojavastaavan on seurattava henkilötietojen käsittelyn lainmukaisuutta ja autettava organisaatiota täyttämään lainsäädännön asettamat velvoitteet. Tietosuojavastaava toimii myös linkkinä viranomaisten ja yrityksen välillä, ja opastaa ja neuvoo yrityksen sisäisiä henkilöitä tietosuoja-asetukseen liittyvissä asioissa.

Tietosuojavastaavan tehtävät ovat sen verran teknisiä, että viranomaisten mukaan tietosuojavastaavalla on oltava oikea asiantuntemuksen taso, ammattipätevyys sekä valmiudet tehtävien hoitamiseen. Näin ollen tietosuojavastaavaksi on hyvä nimittää IT-asioista perillä oleva henkilö. Yritysten kannattaa nimittää tietosuoja-asioista vastaava henkilö myös niissä tapauksissa, joissa tietosuojavastaavan nimittäminen ei ole lain mukaan pakollista. Tietosuojavastaava voidaan nimittää myös talon ulkopuolelta, jos yrityksestä ei löydy ketään sopivaa henkilöä kyseiseen tehtävään. Tietosuojavastaavan henkilötiedot on ilmoitettava viranomaiselle.

Toimeksiantosopimus - rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus

EU:n uusi tietosuoja-asetus asettaa myös lain nojalla rekisterinpitäjän ja henkilötietojen käsittelijän väliset sopimukset pakollisiksi. Rekisterinpitäjänä pidetään yritystä, joka kerää käyttäjistä dataa esimerkiksi evästeiden tai uutiskirjeiden postituslistan kautta. Henkilötietojen käsittelijänä taas pidetään esimerkiksi markkinointifirmaa, joka hoitaa kohdennetun markkinoinnin näiden tietojen avulla. Samaten esimerkiksi verkkokaupan ylläpitoa hoitava IT-yritys toimii verkkokaupan henkilötietojen käsittelijänä, kun taas verkkokauppaa tekevä yritys on rekisterinpitäjä. Rekisterinpitäjän on huolehdittava, että henkilötietojen käsittelijä noudattaa GDPR:n asettamia vaatimuksia. Sopimuksessa on huomioitava muun muassa:

Tämä asetus koskee siis todella suurta joukkoa internetissä toimivista yrityksistä. Tietosuojalaki vaatii, että vanhat sopimukset on uusittava, ja uusissa sopimuksissa on huomioitava tietosuoja-asetuksen vaatimukset. Nostamo huomioi omissa sopimuksissaan GDPR:n vaatimukset täysimääräisesti.

Mistä lähtisin liikkeelle?

Tietosuoja-asetus saa helposti pään pyörälle. Uutta asiaa on paljon, eikä viranomaisilla ole asiaan vielä aukottomia ohjeita. Alla on lista asioista, jotka jokaisen yrittäjän pitäisi laittaa kuntoon ennen 25.5.2018 astuvaa tietosuojalakia.

  1. Tarkista, että käytätkö verkkosivuillasi evästeitä.
  2. Hanki ohjelmisto evästeiden hallintaa varten.
  3. Tee tietotilinpäätös.
  4. Uusi sopimuksesi henkilötietojen käsittelijöiden kanssa.
  5. Nimitä tietosuojavastaava, jos laki sellaista vaatii.