EU:n yleinen tietosuoja-asetus (GDPR) ja verkkosivustot

Henkilötietojen käsittelyyn liittyvät tietosuojalait

EU:n yleinen tietosuoja-asetus (GDPR; 679/2016) on suoraan sovellettavaa lainsäädäntöä Suomessa 25.5.2018 alkaen.

Tietyt tietosuojaan liittyvät yksityiskohdat on jätetty Euroopan Unionin jäsenmaiden oman toimivallan varaan. Niistä määrätään muun muassa Suomen tietosuojalaissa (5.12.2018/1050).

Suosittelemme tutustumaan myös Tietosuojavaltuutetun toimiston sivustoon, jossa on ohjeita asetuksen soveltamisesta, sekä Suomen Yrittäjät ry:n helppotajuiseen Yrittäjän tietosuojaoppaaseen.

GDPR:n asettamat vaatimukset asiakkaillemme

EU:n yleinen tietosuoja-asetus (GDPR) koskee käytännössä kaikkia organisaatioita ja henkilötietoja käsitteleviä palveluntarjoajia ja asetuksen rikkominen voi johtaa huomattavan suuriin sakkoihin (artikla 83).

Asetus määrittää suojattavaksi henkilötiedoksi kaikki tunnistettavissa olevaan luonnolliseen henkilöön liittyvän tiedon (artikla 4). Näin ollen suojattavia henkilötietoja ovat muun muassa nimi, yhteystiedot (mm. sähköpostiosoite, puhelinnumero, postiosoite), henkilötunnus, käyttäjätunnus, valokuva, sijainti tai verkkotunnistetiedot (mm. IP-osoite, evästeet). Tämä tarkoittaa sitä, että käytännössä kaikki verkkosivustot sisältävät asetuksen mukaisia henkilörekistereitä, samoin kuin uutiskirjejärjestelmät, analytiikkajärjestelmät, mainosjärjestelmät ja muut verkossa toimivat tietotekniset järjestelmät.

Asetuksen mukaan henkilörekisterin omistajan (rekisterinpitäjän, asiakkaamme) vastuulla on tehdä kunkin palveluntarjoajan (henkilötietojen käsittelijän, meidän) kanssa tapauskohtainen sopimus henkilötietojen käsittelystä (artikla 28). Henkilötietojen käsittelysopimuksessa tulee asetuksen mukaan olla mukana useita asetuksen määrittelemiä ehtoja. Lisäksi siinä tulee kuvailla kyseessä olevia henkilörekistereitä.

GDPR:n vaatimusten täyttäminen helpommin

Olemme huomioineet EU:n yleisen tietosuoja-asetuksen ja tietosuojalain velvoitteet yleisissä sopimusehdoissamme, jotta niiden noudattaminen olisi mahdollisimman helppoa. Lisäksi tarjoamme asiakkaillemme valmiiksi täytetyn pohjan asiakaskohtaista henkilötietojen käsittelysopimusta varten. Tämä säästää huomattavasti asiakkaidemme aikaa ja kustannuksia verrattuna omien sopimusten laatimiseen.

Tarvittaessa voimme myös konsultoida muiden vaatimusten täyttämisessä teknisen osaamisemme pohjalta, esimerkiksi:

  • yksityisyys- ja tietosuojakuvaukset
  • rekisteriselosteet
  • selosteet käsittelytoimista
  • rekisteröityjen informointi
  • rekisteröidyn oikeuksien täyttäminen