GDPR (General Data Protection Regulation) eli EU:n yleinen tietosuoja-asetus on henkilötietojen käsittelyä koskeva lainsäädäntö, joka tuli voimaan 25. toukokuuta 2018. Se koskee kaikkia yrityksiä, jotka käsittelevät EU-kansalaisten henkilötietoja — riippumatta yrityksen koosta tai sijainnista.
Mitä henkilötietoja GDPR koskee?
GDPR kattaa kaikki tiedot, joilla henkilö voidaan suoraan tai epäsuorasti tunnistaa:
- Suorat tunnisteet: nimi, sähköpostiosoite, puhelinnumero
- Epäsuorat tunnisteet: IP-osoite, evästeet, laitetunnisteet
- Arkaluontoiset tiedot: terveystiedot, uskonto, poliittinen vakaumus (tiukemmat säännöt)
Verkkosivuston näkökulmasta GDPR koskee erityisesti yhteydenottolomakkeita, analytiikkaa, evästeitä ja uutiskirjeen tilaajarekisteriä.
GDPR:n keskeiset periaatteet
| Periaate | Mitä tarkoittaa |
|---|---|
| Lainmukaisuus | Henkilötietojen käsittelylle on oltava laillinen peruste |
| Käyttötarkoitussidonnaisuus | Tietoja saa käyttää vain ilmoitettuun tarkoitukseen |
| Tietojen minimointi | Kerää vain tarvittavat tiedot |
| Täsmällisyys | Tietojen on oltava ajantasaisia |
| Säilytyksen rajoittaminen | Älä säilytä tietoja tarpeettoman kauan |
| Eheys ja luottamuksellisuus | Tiedot on suojattava asianmukaisesti |
GDPR ja verkkosivusto käytännössä
Pk-yrityksen verkkosivustolla GDPR vaikuttaa konkreettisesti näihin asioihin:
Yhteydenottolomake
- Kerro mitä tietoja keräät ja miksi
- Pyydä suostumus tietojen käsittelyyn (rasti ruutuun)
- Linkki tietosuojaselosteeseen
Evästeet
- Evästebanneri ei-välttämättömille evästeille
- Suostumuksen pyytäminen ennen evästeiden asettamista
- Mahdollisuus peruuttaa suostumus
Analytiikka
- Tietosuojailmoitus analytiikan käytöstä
- IP-anonymisointi (Google Analytics)
- Suostumuspohjainen seuranta
Tietosuojaseloste
- Pakollinen dokumentti, joka kertoo henkilötietojen käsittelystä
- Selkeä ja ymmärrettävä kieli
- Helposti löydettävissä sivustolta
GDPR-rikkomusten seuraukset
GDPR:n rikkomisesta voi seurata merkittäviä sanktioita:
- Kevyemmät rikkomukset: sakko enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
- Vakavammat rikkomukset: sakko enintään 20 miljoonaa euroa tai 4 % liikevaihdosta
Suomessa tietosuojavaltuutettu valvoo GDPR:n noudattamista. Käytännössä pk-yrityksille annetaan yleensä ensin huomautus ja kehotus korjata puutteet, mutta sakkoja on jaettu myös pienemmille yrityksille.
GDPR-tarkistuslista pk-yritykselle
Pk-yrityksen verkkosivuston GDPR-vaatimukset tiivistyvät:
- Tietosuojaseloste sivustolle — kuvaa henkilötietojen käsittely
- Evästebanneri — jos käytät analytiikka- tai markkinointievästeitä
- SSL-sertifikaatti — salaa lomakkeiden tiedot
- Lomakkeiden suostumus — rasti ruutuun + linkki tietosuojaselosteeseen
- Tietojen minimointii — kerää vain tarvittavat tiedot
- Rekisteröidyn oikeudet — valmius vastata tietopyyntöihin
Yhteenveto
GDPR on EU:n tietosuoja-asetus, joka koskee kaikkia yrityksiä, jotka käsittelevät henkilötietoja. Verkkosivuston näkökulmasta se tarkoittaa tietosuojaselostetta, evästebanneria, SSL-salausta ja lomakkeiden suostumushallintaa. Sivustoissamme GDPR-vaatimukset huomioidaan suunnittelusta lähtien — tietosuojaseloste, evästebanneri ja salattu yhteys kuuluvat aina toimitukseen.