Vuosi GDPR:n jälkeen

Tänään on kulunut vuosi siitä, kun EU:n yleinen tietosuoja-asetus (2016/679) , tunnetummalta nimeltään GDPR (General Data Protection Regulation), astui voimaan. Tätä ennen asetuksen toimeenpanolle annettiin pari vuotta armonaikaa, jotta yritykset pystyivät varautumaan muutokseen hyvissä ajoin ja tekemään tarvittavat toimenpiteet. Lakimuutos vaati henkilökohtaisten tietojen tallentajia ottamaan enemmän vastuuta toiminnastaan ja tarjoamaan keinoja, joilla tietoja voitaisiin yksilöidysti poistaa.

Euroopan komission viime kuussa julkistaman Eurobarometri-tutkimuksen mukaan 35% suomalaisista on kuullut ja tietää mikä GDPR on, 31% on kuullut, muttei tiedä tarkkaan mistä on kyse ja 33% ei ole edes kuullut (prosentti on jättänyt kertomatta kantaansa). Kyselyn mukaan 47 prosenttia suomalaisista, jotka tietävät lakimuutoksesta, eivät kuitenkaan tiedä tietosuojaoikeuksia valvovaa kansallista viranomaista. Kysely ei anna siis kovin ruusuista kuvaa informaation leviämisestä. Kun tietosuojavaltuutettua ei tunneta, ei henkilötietojen väärikäytöksiin yleensä puututa.

GDPR pähkinänkuoressa

1. Yritys saa käsitellä henkilötietoja, jos sille on lailliset perusteet, kuten suostumus, sopimus, velvoite, etujen suojaaminen tai muu oikeutettu etu. EU:n kansalaisten tiedot tulee kuitenkin poistaa heti, kun yrityksellä ei ole enää laillisia perusteita tietojen käsittelyyn.
2. Yrityksen on nimitettävä tietosuojavastaava, jos yritys käsittelee mittavasti arkaluonteisia tietoja tai seuraa ihmisiä laajamittaisesti ja järjestelmällisesti tai on julkishallinnon toimija, joka ei ole tuomioistuin.
3. EU:n kansalaisilta on aina kysyttävä suostumus henkilökohtaisten tietojen tallentamiselle. Yritysten tulee ilmoittaa myös mihin tietoja käytetään, ketkä tietoihin pääsevät käsiksi ja kuinka pitkään tietoja säilytetään.
4. EU:n kansalaisille on tarjottava mahdollisuus saada heistä tallennetut tiedot itselleen pyyntöä vastaan ja tarvittaessa myös saada ne poistettua järjestelmistä.
5. Yksityisyydensuoja- ja tietosuojakäytännöt tulee huomioida alusta pitäen yrityksen kaikessa toiminnassa. Tietomurtojen varalta toimintasuunnitelmien tulee olla valmiina, ja tietovuodoista tulee ilmoittaa asianmukaisesti 72 tunnin sisällä vuodon paljastumisesta. Yritysten tulee varautua tilanteisiin ja tehdä tarpeelliset suojaamistoimet.

Mitä vuoden aikana on tapahtunut?

Tietosuoja-asetuksen noudattamatta jättämisestä voidaan määrätä maksimissaan 20 miljoonan euron sakkorangaistus tai sakkoa neljä prosenttia yrityksen edeltävän vuoden kokonaisliikevaihdosta riippuen siitä kumpi näistä on suurempi sekä tuomita kansallisen rikoslain mukaisesti. Suomessa ja Norjassa tietosuoja-asetuksen varalle voidaan ostaa lisäksi vakuutus. Vakuutus ei kuitenkaan kata, jos teko on ollut tahallinen tai kyse on ollut törkeästä huolimattomuudesta. Suomessa voidaan vakuuttaa tapauksen tutkintakustannukset, oikeudenkäynnin puolustuskustannukset, tietomurrosta aiheutuneet vahingot kolmansille osapuolille sekä tietomurrosta seuranneita maineenhallinnan kustannuksia.

Viimeisen vuoden aikana sakkorangaistukset ovat olleet pääosin pieniä, ja useimmiten yrityksiä on vain huomautettu toiminnasta. On hyvä kuitenkin muistaa, että huomautuksen huomioimattomuus saattaa kuitenkin kostautua myöhemmin sakkorangaistuksina. Suurin sakkorangaistus, 50 miljoonaa euroa on annettu Googlelle Ranskan tietosuojavaltuutetun toimesta koskien henkilötietojen käsittelyä ilman käyttäjien suostumusta. Seuraavaksi suurimmat sakot 80 000€ ja 20 000€ annettiin Saksassa. Suurempi näistä langetettiin organisaatiolle, joka vuoti ihmisten terveystietoja Internetiin, ja toinen sosiaalisen median yritykselle, joka ei säilyttänyt käyttäjien salasanoja tietoturvallisesti. Itävallassa annettiin 4 800€ sakko yritykselle, jonka valvontakamera kuvasi laajaa aluetta julkisesta kävelytiestä yrityksen toimitilojen edestä eikä tästä ollut annettu erillistä ilmoitusta.

Sakot ovat olleet siis suhteellisen maltillisia Euroopan laajuisesti, ja Suomessa toistaiseksi olemattomia. EU:n tietosuojalautakunnan tutkimuksesta ilmenee tietosuoja-asetukseen viittaavien valitusten kasvaneen kuukausittain. Ihan kaikkia tapauksia selvityksessä ei ole mukana, koska se tehtiin ennen kuin vuosi oli kokonaisuudessaan kulunut, mutta tapauksia on silti yhteensä ilmoitettu 281 088, joista 37 prosenttia on vielä käsittelemättä. Tulevaisuus näyttää, mitä tapahtuu, mutta viitteitä valitusten kasvusta on nähtävissä. Listaa GDPR-sakoista ylläpitää GDPR Enforcement Tracker

Miten GDPR vaikuttaa verkkosivuihin?

Verkkosivujen kehityksen näkökulmasta lakimuutos muutti jonkin verran entisiä käytäntöjä. Yritykset, jotka tallentavat merkittävästi kävijätietoja ja analysoivat näitä, joutuvat tekemään suunnitelmat huolellisesti. Käytännössä kaikki verkkokaupat tallentavat merkittävästi henkilökohtaisia tietoja, ja näin ollen tietosuojaehtojen ja -suunnitelmien laatimisessa ei kannata kiirehtiä. Verkkokaupoilla on suuri riski myös tietovuotojen osalta, joten niihin kannattaa varautua. Useimmiten mikro- ja pk-yritysten on järkevintä ulkoistaa maksutapahtumien käsittely luotettavalle toimijalle, jotta pahimmat riskit voidaan minimoida.

Jos yrityksesi verkkosivu tai -palvelu tarjoaa kirjautumismahdollisuuden käyttäjille, kuten esimerkiksi keskustelufoorumit, tulee sivuilla kertoa, miten kävijätietoja käsitellään. Samoin jos yritys kerää tietoja yhteydenottolomakkeiden tai muiden kyselyjen kautta, koskee GDPR yritystä.

Suurin ongelmakohta, mihin laki puree, on kuitenkin kävijäanalysointi. Verkkosivuilla vierailijoista tarvitaan tietoa, jotta voidaan nähdä, kuinka tehokasta markkinointi ja sivujen toiminnallisuus on sekä selvittää mahdollisia ongelmakohtia. Tämä ei kuitenkaan läheskään aina ole välttämätöntä tehokkaan liiketoiminnan kannalta, ja siksi kannattaa harkita, hyödyttääkö kävijöiden seuranta ja millä tavoin riskejä voitaisiin minimoida.

Luultavasti suosituimman kävijäanalysoinnin tarjoaa Google, koska sen tarjoama analytiikka on ilmaista ja helppoa lisätä mihin sivustoon tahansa. Alustan käyttäminen jakaa kuitenkin kerätyt tiedot Googlen kanssa ja on siksi ongelmallinen. Google ilmoittaa, että sivuston omistaja on itse vastuussa lakien noudattamisesta ja tietosuojallisesta toteuttamisesta. Tämän vuoksi toteuttamisvaiheessa kannattaa hyödyntää kaikki mahdolliset suojaavat toimenpiteet, kuten IP-osoitteiden anonymisointi palvelimen puolelta ennen tietojen lähettämistä Googlelle sekä tietojen jakamisen kieltäminen Googlen muiden tai kolmansien osapuolten palveluiden kanssa. Nykyisin on onneksi paljon vaihtoehtoja, ja kävijäanalysointi voidaan toteuttaa usealla eri tavalla, mistä kirjoitamme tulevaisuudessa tarkemmin. Käyttäjän yksilöivän analysoinnin käyttäminen vaatii kuitenkin aina sen, että asiasta ilmoitetaan seurattavalle ja tarjotaan mahdollisuus sekä kieltäytyä seurannasta että poistaa aiemmin hänestä tallennetut tiedot.

Mutta tarvitseeko kaikkien pitää sivuillaan tietosuojaehtoja, vaikkei mitään tietoja kerättäisi? Käytännössä on hyvin harvinaista, ettei ylipäätään mitään tietojen keräämistä tapahtuisi, koska usein vähintään palvelinohjelmistot keräävät lokitietoja (tämä voidaan kuitenkin estää). Tavallisesti verkkosivujen omistaja ei kuitenkaan itse huolehdi palvelimesta, ja näin ollen tämä helposti unohtuu. Jos verkkosivut toimivat ilman kävijäanalytiikkaa, CDN-verkostoja tai muita kolmansien osapuolten hyödyntämistä (esim. webfontit, markkinointiverkostot), eivätkä mahdollista kävijöiden kirjautumista tai lomakkeiden täyttöä ja palvelinlokit siistitään järjestelmällisesti, niin tiedonkeruuta ei käytännössä ole. Mutta tällöinkin pienimuotoiset tietosuojaehdot lisäävät kävijän luottamusta sivuun.

Miten Valkohatussa hoidamme asian?

Keräämme itse kävijätietoja tällä verkkosivulla. Ennen kuin aloitamme tietojen keräämisen, kysymme suostumuksen tähän. Jos et käytä analytiikkoja estäviä selainten lisäosia tai Älä seuraa -asetusta selaimessa, olet luultavimminkin törmännyt sivumme oikeasta alareunasta löytyvään robottiin. Ilmoituksella kysymme suostumusta sekä evästeen laittamiselle että kävijäseurannalle. Jos tähän jättää vastaamatta, mitään ei tapahdu ja sivua voi käyttää täysin normaalisti. Yritimme tehdä ilmoituksesta sen verran pienen, että ainakaan tietokoneilla vastaamatta jättämisen ei pitäisi muodostua ongelmaksi sivujen käyttämiselle. Jos suostumuskyselyssä kielletään analysointi eli suljetaan kysely suostumusruutu tyhjänä, asetetaan selaimeen eväste, joka kieltää analysoinnin jatkossakin. Jos taas suostumus annetaan, tallennetaan valinnasta eväste seurantaa varten.

Jos menit vahingossa kuittaamaan kävijäanalysoinnin, mutta et haluakaan ilmoittaa käynnistäsi meille, voit korjata asian helposti. Tietosuojaehdoistamme löydät tarkemmat tiedot, miten poistua seurannasta sekä miten tietoja käytetään. Voit myös ottaa yhteyttä ja pyytää tietojesi poistamista. Kävijäanalysoinnissa käytämme Matomo-verkkosovellusta, jota ylläpidämme itse toisella palvelimella. Kaikki IP-osoitteet ja henkilökohtaiset tiedot anonymisoidaan ja tiedot poistetaan säännöllisesti tietosuojaehtojemme mukaisesti. Tietoja ei myöskään yhdistellä muualta saatujen tietojen kanssa eikä niitä jaeta ulkopuolisille.

Hyvä tietosuoja ja yksityisyydensuojasta kiinnipitäminen on meidän kaikkien etu. Huonosti toteutettuna sakkorangaistukset ovat vähäisempiä murheen aiheita, koska pysyvä maineen menetys voi tuhota bisneksen huomattavasti tehokkaammin. Siksi asioihin kannattaa perehtyä ja tehdä tarvittavat toimenpiteet ajoissa.

Saattaisit kiinnostua myös näistä