Kysymyksiä ja vastauksia
Tietosuoja verkkosivuilla, uutiskirjeissä ja sen informoiminen tietosuojaselosteella.
Ensimmäinen näkyvä osa tietosuojasta ja jokaisen yrityksen kohdalla siihen liittyvistä valmiuksista on nähtävissä jo yrityksen verkkosivuilla:
- evästebanneri
- tietosuojaselosteet
Jos sivusto kerää analytiikkaa tai muuta tietoa kävijöistä, niin evästebannerilla käyttäjä hyväksyy tai hylkää ne. Toiminnallisuuden kannalta välttämättömiä evästeitä ei tarvitse hyväksyttää.
Toinen verkkosivuilla oleva tietosuojaan liitetty asia on tietosuojaseloste. Sen tehtävänä on kertoa sidosryhmille, miten heidän tietoja juuri teidän yrityksessänne käsitellään.
Asiakirjan luonteen vuoksi sen kopioiminen muualta ei siis johda vaatimusten mukaisiin tuloksiin.
Olemme keränneet yleisimpiä verkkosivuihin, uutiskirjeisiin ja tietosuojaselosteisiin liittyviä kysymyksiä vastauksineen alle. Mikäli sieltä ei suoraa vastausta löydy, laita sähköposti: info (a) d-fence .eu
Kuka vastaa verkkosivuston tietosuoja- eli GDPR-asioista?
Siitä vastaa se, kenen sivuista on kysymys, joka yleisimmin on ns. rekisterinpitäjä.Tietosuojasta ei vastaa maninostoimisto, sivujen tekijä tai koodaaja, vaikka olisivatkin tehneet ne työt, jolla evästebanneri ja tietosuojaselosteet on sivustolle lisätty.
Mitä kaikkea sivustolla pitää olla, jotta se täyttää lakisääteiset GDPR:n vaatimukset?
Jos yritys kerää tietoja verkkosivuilla kävijöistä, tarvitsee se vaatimusten mukaisen evästebannerin.
Jos kävijä voi verkkosivujen kautta olla yhteydessä yritykseen siten, että esim. lomakkeella menee hänen henkilötietojaan (nimi, puhelin, sähköpostiosoite tms.) niin linkki tietosuojaselosteeseen on oltava helposti saatavilla lomakkeen yhteydessä.
Muutenkin verkkosivut on hyvä ja läpinäkyvä paikka informoida sidosryhmiä siitä, miten kunkin tietoja kyseisessä organisaatiossa käsitellään. Olemme laatineet maksuttoman oppaan, josta löytyy hyviä vinkkejä ja voit ladata sen täältä >>
Onko evästebanneri pakollinen verkkosivustolla?
Ainoastaan sivun toiminnallisuuden kannalta välttämättömiin evästeisiin ei tarvitse kysyä kävijältä suostumusta. Jos kävijöiden selausta, kävijätietoa, paikkatietoa tms . seurataan, on niihin saatava suostumus joka toteutuu parhaiten evästebannerilla.
Esimerkiksi Google Analytics (ja vastaavat) EIVÄT ole evästeitä, joita voisi määritellä välttämättömiksi ja ne vaativat poikkeuksetta aina suostumuksen.
Voiko Google Analyticsin (tai vastaavan kolmannen osapuolen evästeen) määritellä ns. ”pakolliseksi evästeeksi?”
Ei voi. Ainoastaan sivujen toiminnan kannalta välttämättömille evästeille ei tarvita käyttäjän suostumusta.
Muille, ”ei-pakollisille” evästeille se tarvitaan. Näitä ovat mm. evästeet, joiden tarkoitus on kerätä tietoa kävijän käyttäytymisestä tai mieltymyksistä. Näitä evästeitä kutsutaan monilla nimillä. Eväste-sanan etuliitteessä näkyy esimerkiksi tällaisia termejä:
- seuranta
- tilastointi
- personalisointi
- kohdentaminen
- markkinointi.
Google Analytics ja vastaavat ovat juuri näitä ”ei pakollisia” evästeitä ja niitä ei voi siis määritellä pakollisiksi, vaan ne tarvitsevat poikkeuksetta käyttäjän nimenomaisen suostumuksen.
Mitä kaikkea tietosuojaselosteessa pitää kertoa?
EU Tietosuoja-asetus määrittelee sen tiedon, mitä tietosuojaselosteessa tulee kertoa.
Olemme laatineet kätevän oppaan, joka helpottaa selosteen laatimista. Voit ladata sen maksutta täältä >>
Onko tietosuojaselosteista olemassa valmista pohjaa eri rekistereitä varten? Missä?
Tietosuojaseloste on informointiasiakirja, jolla rekisterinpitäjä asetuksen vaatimusten mukaisesti kertoo sidosryhmilleen, miten heidän tietojaan organisaatiossa käsitellään.
Kaikkein valmiimmat pohjat löytyvät D-Fence Easy GDPR -palvelusta.
Voiko tietosuojaselosteen kopioida netistä valmiina?
Voi, mutta miten se siinä tapauksessa toteuttaisi sen mitä varten se ylipäätään sivuilla on?
Kyseessähän on lain vaatima informointivelvoitteeseen perustuva asiakirja, jolla yritys viestii sidosryhmilleen sen, miten heidän tietojaan kyseisessä yrityksessä käsitellään.
Tietosuojatietoisuuden kasvun myötä tietosuojaseloste on näyteikkuna yrityksen tietosuojaan liittyviin toimintatapoihin: se voi joko tuoda asiakkaan tai… menettää sen.
Voiko verkkokaupasta ostaneelle asiakkaalle lähettää uutiskirjeitä ilman erillistä suostumusta?
Kyllä, jos käsittelyn oikeusperusteeksi on valittu joku muu kuin suostumus, esimerkiksi oikeutettu etu tai sopimus. Joka on mahdollista silloin kun kyseessä on asiakassuhde.
Taustaa:
Rekisterinpitäjän ei tarvitse pyytää suostumusta sähköiseen suoramarkkinointiin, kun kaikki seuraavat edellytykset täyttyvät:
- rekisterinpitäjä saa asiakkaalta tämän sähköisen yhteystiedon, jota käyttää esim. tekstiviestin tai sähköpostin lähettämiseen (aiempi asiakkuus); ja
- tämä yhteystieto saadaan aikaisemmin ostotapahtuman yhteydessä (viestimuoto); ja
- tätä yhteystietoa käytetään myöhemmin ainoastaan samaan tuoteryhmään kuuluvien tuotteiden tai palveluiden suoramarkkinoinnissa; ja
- sähköinen suoramarkkinointi tapahtuu saman rekisterinpitäjän toimesta.
Tällöinkin myyjän on annettava asiakkaalle yhteystiedon keräämisen ja myöhemmin jokaisen sähköisen suoramarkkinointiviestin yhteydessä mahdollisuus ilman erillistä maksua ja helposti kieltää yhteystiedon käyttö (Opt-out).
Lähde: Tietosuojavaltuutetun toimisto.
Miten asiakasviestintä ja suoramarkkinointi eroavat toisistaan lain silmissä?
Asiakasviestintää on esimerkiksi sellainen viestintä, jossa asiakas saa tietoja valitsemansa palvelun tilanteesta, jatkuvuudesta tai muuttumisesta. Asiakkaan määritelmä: kun osapuoli on sopimuksellisessa suhteessa rekisterinpitäjään (esim. ostanut jotain tuotetta tai palvelua).
Suoramarkkinointia (sähköistä) on esimerkiksi uutiskirjeet ja vastaavat, joita lähetetään sellaisille tahoille, jotka eivät (vielä) ole asiakkaita.
Kun asiakasuhteeksi luokiteltavaa tilannetta ei ole, on kyse uutiskirje/tms. markkinoinnista ja asia on merkityksellinen siksi, että status määrittelee sen, mitä oikeusperustetta rekisterinpitäjä voi toiminnassaan näille eri ryhmille käyttää.
Eroaako B2B ja B2C kontaktin henkilötietojen käsittely toisistaan? Miten?
Tässä yhteydessä otan esimerkiksi uutiskirjeen ja sen, että kysymys ei ole asiakassuhteesta.
B2B
B2B kontakteissa henkilötietojen käsittelyperusteena voidaan käyttää oikeutettua etua (joka vaatii tasapainotestin! –Mikä se on >>) ja uutiskirjeen voi lähettää näille tahoille mainittua käsittelyperustetta käyttäen.
B2C
B2C kontakteissa uutiskirjeen lähettäminen vaatii vastaanottajilta selkeän, yksiselitteisen tahdonilmaisun sille, että he haluavat vastaanottaa uutiskirjeitä kyseessä olevalta lähettäjältä. Tätä kutsutaan suostumukseksi, joka tässä tapauksessa vaaditaan käsittelyperusteeksi, kun asiakassuhdetta ei vielä ole.
Jos asiakassuhdetta (sopimus tai osto) ei vielä ole muodostunut, saako ihmiselle lähettää uutiskirjeitä ilman erillistä hyväksyntää?
B2C: Ei saa:, se vaatii vastaanottajalta suostumuksen.
B2B: saa, koska käsittelyperusteena voidaan käyttää oikeutettua etua, jolloin on myös tehtävä tasapainotesti.
On tärkeää huomioida näiden kahden ryhmän ero: kuluttajille suuntautuva sähköinen markkinointi (uutiskirje, sms-viesti, robottopuhelu) vaatii aina vastaanottajan suostumuksen, kun asiakassuhdetta ei vielä ole olemassa.
Yhteisöille suuntautuva sähköinen markkinointi voidaan toteuttaa oikeutetun edun kautta, jolloin vastaanottajille on tarjottava mahdollisuus kieltäytyä markkinointiviestien vastaanottamisesta.
Olemme laatineet maksuttoman oppaan, josta saa hyviä vinkkejä ja sen voi ladata täältä >>