GDPR verkkokaupassa: mikä se on ja miten siihen voi valmistautua?

Mikä on GDPR?

GDPR eli EU:n yleinen tietosuoja-asetus on suuri lainsäädännöllinen kokonaisuus. Sen tavoitteena on nykyaikaistaa henkilötietojen käsittelyä ja tehdä niiden säilyttämisestä, keräämisestä ja käsittelystä läpinäkyvämpää.

Toukokuun lopusta lähtien EU-kansalaisilla on oikeus tietää, mitä tietoja yritykset ovat heistä keränneet, kuka tiedot näkee ja miten niitä säilytetään. Asiakkaalla on myös oikeus vaatia tarkistamaan, muuttamaan ja poistamaan henkilötietonsa.

Tietosuoja-asetus vaatii myös, että asiakkaiden henkilötiedot säilytetään rekistereissä asianmukaisesti ja turvallisesti. GDPR muuttaa siis sitä, miten ja millaista tietoa yritykset asiakkaistaan säilyttävät ja käyttävät. Kuluttajien näkökulmasta tietosuoja paranee, mutta yritysten vastuut ja velvollisuuden lisääntyvät. Yrityksestä riippuen uudistus voi vaatia mittaviakin muutoksia.

Minkä tiedon keräämistä GDPR säätelee?

Asetuksen silmissä kaikki tieto, josta yksittäinen henkilö on tunnistettavissa, on henkilötietoa. Jatkossa yritysten on saatava asiakkaalta selvä suostumus, kun se kerää siltä esimerkiksi seuraavia tietoja: nimi, sähköposti, henkilötunnus, puhelinnumero, osoite, IP-osoite, evästeet, maksutiedot.

Ketä GDPR koskee?

GDPR koskee kaikkia EU:ssa toimivia yrityksiä ja organisaatioita, joilla on asiakkaita tai työntekijöitä ja joilla on heistä hallussa mitä tahansa dataa. Käytännössä asetus koskee siis kaikki EU:ssa toimivia yrityksiä.

Asiakkaistaan paljon dataa eri muodoissa keräävät ja hyödyntävien verkkokauppojen on ensiarvoisen tärkeää pitää huolta siitä, että lain vaatimukset täyttyvät. Uhkana on sanktio, joka voi olla neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.

Miksi se puhuttaa?

GDPR on puhututtanut siitä lähtien, kun siirtymäkausi alkoi vuonna 2016. Asetus on aiheuttanut keskustelua ja spekulaatiota, koska lainsäädäntö on vaikeaselkoinen.

Mitä asetus käytännössä tarkoittaa ja miten se tulee henkilötietojen käsittelyä muuttamaan, selviää vasta, kun asetus on tullut voimaan ja ensimmäiset ennakkotapaukset on käsitelty tuomioistuimissa.

Valmistautuminen “uuteen aikaan” on epäselvyyksistä huolimatta tarpeen. Monet periaatteet säilyvät ennallaan, mutta tietosuoja-asetus tuo myös uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien (eli henkilötietoa keräävien tahojen) ja henkilötietojen käsittelijöiden on valmistauduttava.

Toukokuun loppuun mennessä on syytä selvittää, miten uusi tietosuoja-asetus vaikuttaa omaan verkkokauppaan ja sen toimintaan. Tässä muutamia tärkeimpiä toimenpiteitä.

1) Kaikki kartalle
Varmista, että kaikilla verkkokaupan avainhenkilöillä ja henkilötietoja käsittelevillä työntekijöillä on hallussa perustiedot GDPR:stä.

2) Tee datainventaario
Valmistautuminen on hyvä aloittaa selvittämällä, mitä asiakastietoja on kerätty ja miten niitä on säilytetty tähän mennessä.

3) Päivitä selosteet ja sopimukset
Uuden GDPR-lainsäädännön mukaan yrityksellä on oikeus kerätä vain toiminnan kannalta tarpeellista tietoa, johon on saatu asiakkaalta vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen suostumus. Suostumus kerätä henkilötietoja syntyy automaattisesti, kun verkkokaupan asiakas tilaa, ostaa tai varaa tuotteita tai palveluita. Suostumus on erikseen pyydettävä esimerkiksi markkinointia ja analytiikkaa varten. Muista päivittää myös rekisteriselosteet, myyntiehdot ja asiakassopimukset vastaamaan GDPR:n vaatimuksia.

4) Laita sopimukset kuntoon toimittajien kanssa
Mitkä ulkopuoliset toimijat käyttävät verkkokaupan keräämiä henkilötietoja? Tahoja voivat olla esimerkiksi ohjelmistokehittäjä tai mainostoimistot. Identifoi tarpeelliset toimijat ja päivitä toimittajien kanssa sopimukset niin, että ne täyttävät uudet vaatimukset.

5) Tarkista tietoturva
Uusi asetus vaatii entistä tiukempia käytäntöjä tietoturvaongelmien monitoroimiseen, selvittämiseen ja raportoimiseen. Jatkossa yrityksillä on 72 tuntia aikaa ilmoittaa asiakkailleen tietomurroista. Tarkista, että tietoturva ja siihen liittyvät prosessit ovat kunnossa.

6) Laadi prosessikuvaukset
GDPR:n myötä asiakkaat voivat pyytää tarkistamaan, muuttamaan tai poistamaan tietojaan verkkokaupan rekisteristä. Tämä mahdollisuus silmällä pitäen on syytä olla valmiina kuvaukset siitä, miten asiakkaiden oikeuksia toteutetaan käytännössä. Huomioi lain säätämät määräajat.

Uuden tietosuoja-asetuksen vaatimien toimenpiteiden laatu ja laajuus riippuvat esimerkiksi verkkokaupan käsittelemistä henkilötiedoista, niiden käsittelyyn kohdistuvista riskeistä ja nykyisistä käytännöistä. Suosittelemme konsultoimaan lakitoimistoa ja varmistamaan, että uuden asetuksen vähimmäisvaatimukset täyttyvät.

• Yleistä tietoa GDPR:stä löydät Euroopan komission sivuilta.
• Tutustu Tietosuojavaluutetun toimiston ohjeisiin siitä, miten GDPR:ään kannattaa valmistautua.
• Euroopan komission kampanjasivusto selittää GDPR:n yksinkertaisesti sekä yksilöiden että organisaatioiden näkökulmasta.
• Ohjelmistokehityksen näkökulmia GDPR:n soveltamiseen.
• Jos kiinnostusta riittää, kahlaa läpi koko tietosuojalainsäädäntö.