Tietosuoja-asetus (GDPR) Hennaksi

Tietosuoja-asetus (GDPR) Hennaksi

Tässä kuussa kulminoituu tietosuoja-asetuksen tähtipiste. Päätin kantaa oman korteni kekoon, koska nyt kamppaillaan yrityksissä sen kanssa, miten tietosuoja-asetuksen informaatiovelvoite eli tiedotusvelvoite tuodaan esille. Mielestäni tärkeintä on, että ainakin tietosuoja-asetuksen mukaiset selosteet ovat sivuillasi yleisesti luettavissa. Koska olen samalla tässä rakennellut omiani, päätin kertoa teille tästä prosessista ja tuoda esille muutaman seikan, mihin olen törmännyt ja mitkä asiat ovat olleen omalla kohdallani ongelmallisia.

 

Yksinyrittäjänä homma oli aluksi outo ja pelottava. Mistä minä tiedän, mitä minä kerään? Mitkä asiat minun tulee ilmoittaa? Apua! Tarvitsenko lakimiestä? Loppujen lopuksi, kun katsoin muutaman videon ja opiskelin muutaman oppaan tiedot, huomasin, että tietosuoja-asetuksen täyttäminen on oikeastaan helppoa. Yksintekijälle ja yksinyrittäjälle on olennaisinta vain huolehtia, että toimii omassa hommassaan oikein ja varmistaa, että kumppanisi toimivat myös asetuksen mukaisesti.

Aloitus ei ollut iso asia. Aluksi minun piti kartoittaa ja dokumentoida, minkä kautta tietoja asiakkaistani kerään. Minun sivustoni kerää tietoja seuraavasti tai keräsi tietoja seuraavasti. Päätin listata alle myös aikaisemmat tapani, ja miksi luovuin niistä. Tuottivatko ne ns. turhia listoja ja jättivät olemaan turhia tietoja?

Keräämäni tiedot:

Yhteydenottolomake: Sivuillani oli aiemmin yhteystietolomake. Pohdin sen käyttöä pitkään. Olenko saanut sen kautta samassa suhteessa yhteydenottoja kuin esimerkiksi sähköpostiin tai puhelimitse? Loppujen lopuksi vastaus oli en. Päätin siis poistaa lomakkeen ja laittaa ko. kohtaan vain yhteystietoni sekä myyntilausekkeen. Miksi näin? Yhteydenottolomake keräsi tietopankiksi kaikki lähetetyt yhteystiedot ja asiat. Olihan se helposti hallittava taulukko, mutta oliko se tarpeellista tietoa?

Julkaisin aiemmin uutiskirjettä, mutta sitä ei enää sivuillani ole, joten sen keräämistä tiedoista ei enää tarvitse kertoa. Jos laittaisin sen uudelleen käyntiin, laittaisin sen oheen suostumuslaatikon, missä kerron, miksi tietoja kerään ja mihin tietojen antaja suostuu, jos hän laittaa raksin laatikkoon. Sen yhteyteen pitäisi laittaa rekisteriselosteeseen linkki ja tietosuojaselosteeseen linkki. Laatikon viereen voisi lisätä seuraavan tekstin: ”Suostun, että antamaani sähköpostiosoitetta voidaan käyttää Hennaksi-sivuston/Hennaksin suoramarkkinointitarkoituksiin.” Jos ruksia ei laita, suoramarkkinointia ei tehdä. Miksi laatikko? No, tämmöiseen sähköiseen suoramarkkinointiin tulee aina saada henkilöltä suostumus ennalta.

Blogikommenteissa pyydän pakollisina tietoina nimen ja sähköpostin sekä ehdollisesti verkkosivuosoitteen. Lisäksi sähköpostin kautta sivustolle voi tallentua käyttäjän kuva, jos sähköpostitiedoista näin sellainen kulkeutuu sivuilleni. Näistä tiedoista muodostuu sivuilleni admin-puolelle kommentti-kohtaan lista, jossa on kaikki käyttäjän antamat tiedot sekä IP-osoite. Lista on suojattu salasanalla ja tietoturva on kunnossa. Jos aion käyttää tietoja suoramarkkinointiin tai muuhun tarkoitukseen, minun tulisi ilmoittaa se tuolla kommenttiruudussa. Ilmoitus asiasta tulee vielä sinne siis. Joko laitan sinne tuon ilmoituksen tai sitten kerron, että en aio käyttää tietoja suoramarkkinointiin, vaan tiedoista kertyy tiedosto, jota aion käyttää verkostoitumistarkoituksessa.

Evästeet – ne pienen pienet tekstitiedostot, joita sivustoilla käytetään käyttäjäkokemuksen tehostamiseksi. Niistä pitää olla näkyvä ilmoitus sivustolla. Se vaatii vielä muokkaamista sivuillani, koska entinen ilmoitus on vanhanmallinen. Joillakin sivustoilla on eritelty evästeet omikseen, mutta mielestäni tuo evästeiden käyttöilmoitus riittänee. Kunhan siinä on mukana suora linkki myös ”evästeselosteeseen”, missä kerron, millaisia tietoja niiden kautta kerätään. Näillä sivuilla käytetään evästeitä vain oikeastaan sisällön räätälöimiseen, sosiaalisen median ominaisuuksien tukemiseen ja kävijämäärän analysoimiseen. Evästeet antavat ensinnäkin siis olennaista tietoa minulle siitä, mitkä asiat kiinnostavat Sinua sivustollani ja millaisia tekstisisältöjä voisit kaivata lisää. Näiden evästeiden kautta kulkee myös sosiaalisen median ja analytiikka-alan yrityksille tietoja siitä, miten Sinä käytät sivustoani. Evästeiden antamien tietojen kautta nämä yritykset voivat yhdistää näitä tietoja muihin tietoihin, joita olet antanut heille tai joita on kerätty, kun olet käyttänyt heidän palveluitaan.

Evästeitä on monenlaisia ja monimuotoisia. Siksi selvitin, millaisia evästeitä sivustot voivat kerätä. Evästeet voivat jakautua mm. seuraavalla tavalla: sivuston kannalta välttämättömät evästeet (sivusto toimii tehokkaammin ja paremmin, latausaika lyhenee, kuvat latautuvat paremmin), sivustolla käyttäytymiseen liittyvät evästeet (kielivalinnat, sijainnit), tilastointiin liittyvät evästeet (nimettömänä kerätyt vuorovaikutukselliset tiedot eli linkkien painallukset jne, esim. Google Analytics, Adwords tms.) ja markkinointiin liittyvät evästeet (kävijöiden seurantaan liittyvät, jos sivustolla käytetään mainoksia eli näytetään sopivin ja kiinnostavin mainos yksittäiselle käyttäjälle) ja lisäksi sivuston omat evästeet yrityksen omiin tarkoituksiin.

 

Näiden lisäksi kerään rekisteriä omaan tarkoitukseen asiakassuhteista, mutta niihin liittyvää tietojenkeruulomaketta ei sivustoillani ole. Siitä ei tarvitse kertoa muuten kuin ilmoittamalla siitä tietosuojaselosteessa, kun kerron, mitä tietoja kerään ja miten tietoja säilytän. Tapanani on, että allekirjoitetut dokumentit säilytän lukollisessa kaapissa ja sähköiset dokumentit säilytän salasanalla suojatussa kansiossa. Näillä tiedoilla pääsee siis hyvin alkuun. Jos löydän vielä lisää näitä kohteita, lisäilen ne tänne. Jos teillä tulee mieleen muita, kertokaa, koska mielelläni korjailen kaikki nämä tietosuoja-asetuksen mukaiseksi. Pääasia on, että käyttäjälläni on hyvä olla ja minulla on myös turvallista olla.

 

Miten sitten selosteet laaditaan?

 

Ainakin täällä Oulussa on tarjolla useita kursseja, missä saadaan perusteet tietosuojasta sekä lopuksi tietosuojaselosteet laaditaan yhdessä. Mielestäni sellaiseen tiedot löytyvät mahtavasti myös netistä. Olen erittäin iloinen Yrittäjät-sivuston luomasta Yrittäjän tietosuojaoppaasta. Siitä löytyy ajankohtaisin tieto aiheesta, ja mitä se tarkoittaa yrittäjän kannalta. Hyvin konkreettinen ja hyvin selkeä opas. Kertoo olennaisesti sen, miten yrityksen tulee varautua tietosuoja-asetukseen. Tärkeintä on dokumentointi ja nimenomaan selosteiden julkaisu eli tiedotusvastuun täyttäminen asiasta omalta osalta.

Lisäksi sivustolla on suorat linkit valmiisiin pohjiin, jotka tulee vain täyttää oman yrityksen asioita vastaaviksi. Ei tarvitse siis lakimieheltä tilata tekstiä tai maksaa työpajakursseista, vaan niiden täyttäminen sujuu vaikka yhteistyössä omassa yrityksessä. Paikallehan voi ottaa matkaan esim. kielenmuotoilijan, joka voi auttaa oikoluvussa sekä tekstien rakenteen kanssa. Alla linkki, josta pääse suoraan lomakkeisiin. Lisäksi siellä on myös valmiit sopimuspohjat, jotka tulisi täyttää yhteistyökumppaneiden kanssa. Helppoa!

Valmiit pohjat voit ladata tältä sivustolta: Tietosuojavaltuutetun toimisto – Rekisteri- ja tietosuojaselostemallit 

Näillä pääsin siis hyvin hommassa niskan päälle ja sain helposti selvää, mitä se tietosuoja-asetus oikeasti tarkoittaa ja miten sen voi selättää helposti yksityisyrittäjänä. Pikkaisen siis vaati aikaa ja vaivaa, mutta helppoa hommaa. Siispä omani ovat luettavissa sivuiltani loppuviikosta, miten teillä? Saitteko vinkeistä vaarin?

 


Editoin tekstiä 3.5.2018.