Verkkokauppa ja GDPR

EU:n tietosuoja-asetuksen vaikutukset verkkokauppiaalle

Toukokuussa 2018 astuu voimaan GPDR – General Data Protection Regulation. Yhdenmukainen henkilötietolainsäädäntö EU:ssa tukee rajat ylittävää kaupankäyntiä. Tämä tietosuoja-asetus koskee siis kaikkien kansalaisten henkilötietojen käsittelyä.

GDPR määrittelee henkilötiedon seuraavasti: ’henkilötiedoilla tarkoitetaan ” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’ liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella” (GPDR 4 art. kohta 1)

Käytännössä jatkossa kaikki tieto on jatkossa henkilötietojen käsittelyn piirissä ja osoitusvelvollisuus rekisterinpitäjällä.

Verkkokauppias ja henkilötietojen käsittely

Asetus määrittelee milloin henkilötietoja saa kerätä. Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

  1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
  2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
  3. käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
  4. käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
  5. käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
  6. käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Verkkokauppias saa käsitellä henkilötietoja tilauksen perusteella. Verkkokaupan asiakkaalta ei aina tarvitse pyytää suostumusta henkilötietojen käsittelylle. Tämä johtuu siitä, että tilaus on sopimus, jossa asiakas on osapuolena. Jos yrityksen asiakkaaksi rekisteröitynyt henkilö on tehnyt verkkopalvelussa ostoksen, tilauksen, varauksen tms, on osapuolten välille muodostunut henkilötietojen käsittelyyn oikeuttava asiallinen yhteys. Jos osapuolten välille ei ole rekisteröitymisen seurauksena muodostunut asiakassuhdetta, kyse on muusta henkilön suostumukseen perustuvasta tietojen käsittelystä.

Mikä sitten muuttuu?

Henkilötietojen käsittely perustuu osoitusvelvollisuuteen ja se edellyttää dokumentointia. Vaatimukset rekisterinpitäjille kasvavat sekä yksilön oikeuden lisääntyvät. Lisäksi asetuksen noudattamatta jättämiseen on asetettu sanktio. Uutena asiana on henkilötietojen käsittely rekisterinpitäjän lukuun.

Rekisterinpitäjän osoitusvelvollisuus

GDPR:n keskiössä on rekisterinpitäjän osoitusvelvollisuus, jonka myötä rekisterinpitäjällä tulee olla niin sanottu laillinen oikeusperuste henkilötiedon käsittelylle. Henkilötietojen käsittelyä koskevat periaatteet kuvataan GDPR-asetuksen artiklassa 5 ja oikeusperusteet määritellään artiklassa 6.

Sähköpostimarkkinointi

Verkkokaupan asiakkaalle saa lähettää jatkossa sähköistä markkinointia, jos asiakas on aktiivisesti sallinut sen tai jos sähköpostiosoite on saatu tilauksen yhteydessä, eikä asiakas ole aktiivisesti kieltänyt sitä, vaikka kieltomahdollisuutta on tarjottu. Rekisteriselosteessa on oltava maininta sähköisestä markkinoinnista.

Rekisterinpitäjä vs henkilötietojen käsittelijä

GDPR käsittelee asetusta eri roolien kautta. Verkkokauppiaan on tärkeää tunnistaa seuraavat roolit:
Rekisterinpitäjä on se, jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan, ja
• Ohjelmiston toimittava yritys on henkilötietojen käsittelijä , eli se todellinen tietoa tallentava, kokoava ja säilyttävä taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta.

Verkkokauppiaalla on jatkossa useampi asetuksen näkökulmasta henkilötietojen käsittelijä, kuten verkkokauppa-alusta, NettiVarasto, Uutiskirjeohjelma jne. Näiden roolien välisistä velvollisuuksista määritellään erikseen.

Mitä verkkokauppiaan tulee nyt huomioida?

Asetukseen voi valmistautua jo nyt saattamalla kuntoon nykyinen tietosuojaseloste, erityisesti profiloinnin osalta. ’Profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin,
Lisäksi kannattaa päivittää myyntiehdot ja asiakassopimukset vastaamaan GDPR:n vaatimuksia.

Uutena asiana on tarkistaa sopimukset rekisterinpitäjän ja henkilötietojen käsittelijöiden välillä, jotta jatkossakin verkkokauppiaan lukuun voivat määritellyt tahot tehdä henkilötietojen käsittelyyn liittyvää toimintaa.

Henkilötietojen käsittelijan ja rekisterinpitäjän välinen sopimus

Verkkokauppias on asetuksen mukaan Rekisterinpitäjä, jonka lukuun henkilötietoja käsitellään. Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä:
a) käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti,
b) varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;
c) toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet;
d) noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;
e) ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;
f) auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;
g) rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;
h) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Rekisteröidyn oikeus saada pääsy tietoihin

Uusi asetus määrittää jokaiselle rekisteröidylle mahdollisuuden pyytää yritykseltä tiedot omista henkilötiedoistaan ja niiden säilytyksestä. Asetus ei koske ainoastaan rekisteröidyn oikeutta, vaan määrittää tarkasti myös sen, miten yritysten tulee kyetä toimittamaan pyydetyt tiedot. Asetuksessa sanotaan, että rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Toisin sanottuna tiedot toimitetaan sähköisesti. Ensimmäistä kertaa itseään koskevia tietoja tulee voida pyytää helposti ja ilman kustannuksia. On siis myös oletettavaa, että ihmiset myös käyttävät oikeuttaan huomattavasti aiempaa enemmän. Tietosuoja-asetus takaa rekisteröidylle tietyin poikkeuksin myös oikeuden tietojen oikaisemiseen sekä oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi.

NettiVarasto henkilötietojen käsittelijänä

Me NettiVarastolla olemme päivittäneet sisäisiä prosesseja ja järjestelmiämme varmistaaksemme, että olemme valmiita toukokuussa 2018. Asiakkaamme voivat jatkaa EU:n henkilötietojen laillista siirtoa järjestelmiimme, kun GDPR tulee voimaan.

Huomaathan, että tämä kirjoitus on blogi ja tarkoitettu tiedotuskäyttöön. Kirjoituksen tarkoitus ei ole antaa juridisia ohjeita.

Avainsanat: , , , ,

Jäikö jokin askarruttamaan?

Kysy rohkeasti, kerromme mielellämme lisää!

Pyrimme vastaamaan kaikkiin kysymyksiin 24 tunnin kuluessa!