Tietosuojaseloste (englanniksi privacy policy) on asiakirja, joka kuvaa miten yritys käsittelee henkilötietoja — mitä tietoja kerätään, miksi, miten niitä säilytetään ja kenelle niitä mahdollisesti luovutetaan. Se on GDPR:n vaatima pakollinen dokumentti jokaiselle verkkosivustolle, joka kerää henkilötietoja.
Mitä tietosuojaselosteen tulee sisältää?
GDPR:n artikla 13 määrittelee tietosuojaselosteen vähimmäissisällön:
Rekisterinpitäjän tiedot
- Yrityksen nimi ja yhteystiedot
- Tietosuojavastaavan yhteystiedot (jos nimitetty)
Henkilötietojen käsittely
- Mitä tietoja kerätään — nimi, sähköposti, puhelinnumero, IP-osoite jne.
- Miksi tietoja kerätään — yhteydenottopyyntöjen käsittely, analytiikka, markkinointi
- Käsittelyn oikeusperuste — suostumus, sopimus, oikeutettu etu tai lakisääteinen velvoite
- Säilytysaika — kuinka kauan tietoja säilytetään
- Tietojen luovutus — kenelle tietoja mahdollisesti siirretään
Rekisteröidyn oikeudet
- Oikeus saada pääsy omiin tietoihinsa
- Oikeus tietojen oikaisemiseen
- Oikeus tietojen poistamiseen (“oikeus tulla unohdetuksi”)
- Oikeus käsittelyn rajoittamiseen
- Oikeus siirtää tiedot järjestelmästä toiseen
- Oikeus tehdä valitus tietosuojavaltuutetulle
Evästeet
- Mitä evästeitä sivusto käyttää
- Evästeiden tarkoitus ja kesto
- Miten evästeitä voi hallita
Tietosuojaselosteen muotovaatimukset
GDPR edellyttää, että tietosuojaseloste on:
- Helposti saatavilla — linkki jokaisella sivulla (tyypillisesti alatunnisteessa)
- Ymmärrettävä — selkeää kieltä, ei juridista jargonia
- Tiivis — kattava mutta ei tarpeettoman pitkä
- Ajantasainen — päivitetään kun käsittelytavat muuttuvat
- Ilmainen — käyttäjän on päästävä lukemaan se ilman maksua
Tyypillisen pk-yrityksen tietosuojaseloste
Pk-yrityksen verkkosivuston tietosuojaseloste kattaa tyypillisesti:
| Rekisteri | Tiedot | Peruste |
|---|---|---|
| Yhteydenottolomake | Nimi, sähköposti, puhelin, viesti | Suostumus |
| Uutiskirje | Sähköpostiosoite | Suostumus |
| Kävijäseuranta | IP-osoite, evästedata | Oikeutettu etu / suostumus |
| Asiakasrekisteri | Yhteystiedot, laskutustiedot | Sopimus |
Yleisimmät virheet tietosuojaselosteissa
Pk-yritysten sivustoilla näkyy usein näitä puutteita:
- Seloste puuttuu kokonaan — GDPR-rikkomus, jos henkilötietoja kerätään
- Kopioitu suoraan toiselta sivustolta — ei vastaa yrityksen todellista käsittelyä
- Vanhentunut — ei päivitetty analytiikkatyökalujen vaihdon jälkeen
- Liian yleinen — ei kerro konkreettisesti mitä tietoja kerätään
- Vain englanniksi — suomenkielisellä sivustolla seloste tulisi olla suomeksi
Yhteenveto
Tietosuojaseloste on pakollinen asiakirja, joka kuvaa miten yritys käsittelee henkilötietoja. Sen tulee olla selkeä, kattava ja helposti löydettävissä sivustolta. Sivustoissamme tietosuojaseloste laaditaan yrityksen todellisten tarpeiden mukaan ja sijoitetaan näkyvästi sivuston alatunnisteeseen — näin GDPR-vaatimukset täyttyvät asianmukaisesti.