GDPR, keksit ja muut leivonnaiset

GDPR oli muutama vuosi sitten tapetilla maailmanlaajuisesti lähes kaikilla organisaatioilla. Se vaikuttaa laaja-alaisesti kaikkiin yrityksiin ja yhdistyksiin jotka käsittelevät tietoa EU:n kansalaisista. Toiset ehkä lakaisivat asetuksen maton alle liian vaikeana ja toiset yrittivät parhaansa mukaan oppia ja noudattaa säännöksiä. Avaamme tekstissä hieman GDPR:ää, evästeitä ja niiden vaikutuksia varsinkin PK-yrityksiin. Toisille tämä voi toima hyvänä muistin virkistyksenä ja toisille täysin uuden oppimisena.

Juha Rantanen

Kirjoittaja

15.12.2021

GDPR ja evästeet. Nuo kaksi asiaa, jotka saavat monella meistä verenpaineet nousemaan vähän liiankin herkästi. Mikä on GDPR, mitkä sen tarkoitukset ovat ja miksi niitä pitää noudattaa? Onko tämä kaikki tehty tavallisten kansalaisten kiusaamiseksi, vai onko lain taustalla kenties ihan järkeäkin? Evästeet ja GDPR liittyvät toisiinsa vahvasti ja usein EU:n laajuiset ja valtakunnallisetkin evästelait ja -muutokset mukailevat GDPR:n säännöksiä.

Mitä GDPR tavoittelee tiivistettynä?

GDPR tuli toukokuussa 2018 EU:n laajuisesti voimaan melkoisella ryminällä ja organisaatioita vaaditaan nykyään noudattamaan GDPR:n säännöksiä jos organisaatio käsittelee EU:n kansalaisten henkilötietoja. GDPR (General Data Protection Regularion) eli yleinen tietosuoja-asetus on ollut monille asia, joka aiheuttaa harmaita hiuksia sen monimutkaisuuden ja laajuuden takia. Varsinkin lain saavuttua vuonna 2018 aiheesta oli todella vaikea löytää tietoa, vaikka sitä olisi halunnut noudattaa.

GDPR:n päätavoitteet ovat: 

  • Suojella yksilöiden yksityisyyttä.
  • Antaa yksilöille enemmän valtuuksia omien tietojensa käsittelyyn ja säilyttämiseen.
  • Estää organisaatioita keräämästä yksilöistä dataa ilman suostumusta tai laillista perustetta.
  • Rankaista yrityksiä, jotka väärinkäyttävät henkilökohtaista dataa.

Mitkä ovat GDPR:n pääpointit?

  • Käyttäjien oikeudet. Käyttäjällä on oikeus pyytää pääsy kaikkiin tietoihin, joita organisaatio hänestä pitää. EU:n kansalaisena käyttäjällä on oikeus pyytää yritystä poistamaan kaikki tiedot häneen liittyen ja organisaation on näitä säännöksiä pakko noudattaa. Myös EU:n ulkopuolella toimivat organisaatiot on velvoitettu noudattamaan näitä asetuksia.
  • Yksilön yksityisyys. Organisaatioiden tulee ennakoivasti sisällyttää tietosuojatoimenpiteet uusien järjestelmien ja tuotteiden suunnitteluun ja toimintaan. Datan minimoinnilla tarkoitetaan sitä, että käyttäjistä kerätään mahdollisimman vähän tietoa, mutta kuitenkin riittävästi kunkin palvelun toimintatarkoitukseen. Esimerkiksi verkkosivuille rekisteröityessä organisaatio ei voi vaatia käyttäjältä puhelinnumeroa, ellei sen tallentamiseen ole selkeästi määritettyä toimintoa tai tarkoitusta.
  • Suostumukset. Organisaatioiden on saatava käyttäjiltä nimenomainen suostumus käsitelläkseen tietojaan muita kuin tarpeellisia tarkoituksia varten. Organisaatioilla ei ole lupaa kerätä käyttäjätietoa, jota se ei tarvitse. Esim. organisaatio ei voi vaatia syntymäpäivän täyttämistä yhteystietoihin, ellei siihen ole selvää, määritettyä tarkoitusta.
  • Tietoturvaloukkausilmoitukset. Jos organisaatio joutuu tietomurron kohteeksi, sillä on 72 tuntia aikaa ilmoittaa tietoturvaloukkauksesta valvoville viranomaisille, ja heidän on ilmoitettava siitä käyttäjille mahdollisimman pian.
  • Tietosuojavastaavan nimittäminen. Organisaatioiden, jotka käsittelevät huomattavan määrän henkilötietoja, on nimitettävä tietosuojavastaava, joka vastaa GDPR:n noudattamisesta. Esimerkiksi tarkkaan profiloivaa tai muutoin laajamittaista tietoa keräävät organisaatiot joutuvat nimittämään tietosuojavastaavan.
  • Avoimuus ja läpinäkyvyys. Organisaatioilla on oltava tietosuojakäytäntö, joka selittää avoimesti, kuinka ne keräävät ja käyttävät käyttäjien henkilötietoja. 
  • Tietosuojavaikutusten arviointi. (Data Protection Impact Assessment (DPIA)). Tietosuojavaikutusten arviointia vaaditaan, jos organisaation tietojenkäsittelytoiminta voi vaarantaa yksilöiden oikeudet ja vapaudet. Esimerkiksi, jos organisaatio tallentaa ja käsittelee dataa joka liittyy lapsiin, henkilön terveystietoihin, biometriseen dataan, geneettiseen dataan tai uskonnollisiin tai filosofisiin uskomuksiin.
  • Tietoisuus ja koulutus. Organisaatioiden tulee lisätä työntekijöiden tietoisuutta keskeisistä GDPR-vaatimuksista ja järjestää säännöllisiä koulutuksia varmistaakseen, että työntekijät ovat mahdollisimman tietoisia vastuustaan henkilötietojen suojaamisessa ja henkilötietoloukkausten tunnistamisessa. Organisaatioiden tulee myös kouluttaa työntekijöitään toimimaan tietoturvallisesti, jotta mahdolliset henkilötietoloukkaukset ja tietovuodot voitaisiin välttää.

No mutta nämähän kuulostavat hyvältä?

GDPR:n yksi tarkoitus on toimia yksilön itsemääräämisoikeuden tukena Euroopan Unionin maissa. Käyttäjillä pitää olla valtuudet pyytää organisaatioita muuttamaan tai poistamaan yksilöiviä tietoja heihin liittyen. GDPR myöskin valtuuttaa organisaatioita vastaamaan tallentamistaan tiedoista paremmin. Nimeämällä tietosuojavastaavan organisaatio määrittää tietyn henkilön vastaamaan tietosuojaloukkauksista ja mahdollisten tietovuotojen tapahtumisesta. Tietojenkäsittelyn voi myös jakaa eri henkilöiden ja tahojen välille. Esimerkiksi, jos yrityksen palkanlaskenta tapahtuu ulkoisesti, palkanlaskentatoimisto toimii datan käsittelijänä ja yrityksesi toimii datan omistajana. 

Keksit ja muut leivonnaiset

Keksit eivät tässä yhteydessä tarkoita mitään suuhunpantavaa. Keksit tarkoittavat seurantaevästeitä, joita verkkosivut asettavat käyttäjien tietokoneille. Kaikki meistä ovat varmasti törmänneet ärsyttäviin popup-ikkunoihin verkkosivuilla ja sormet sauhuten hakanneet “hyväksy kaikki” -nappia.

Vaikka evästeet haluaisikin estää, se on usein tehty niin vaikeaksi, että sinun pitää vähintään seisoa päälläsi ja tehdä huipputulos mensan testistä vartissa. Tämä on kuitenkin nykyään laiton menettelytapa evästekäytännöissä. Traficom ja Kyberturvallisuuskeskus ovat antaneet ohjeistuksen evästekäytännöistä ja evästeiden ilmoittamisesta. Ohjeistuksen avulla evästeitä kysytään läpinäkyvämmin ja niistä kieltäytyminen on yksiselitteistä ja yksinkertaista.

Sivuston toiminnan kannalta välttämättömät evästeet voidaan asettaa aina. Esimerkiksi verkkosivuille kirjauduttaessa usein tallennetaan kirjautumiseväste, jonka avulla selain muistaa, että olet kirjautuneena. Ei-välttämättömiä evästeitä ovat esimerkiksi seurantaevästeet, analytiikkaevästeet ja sosiaalisten medioiden evästeet. Käytännössä kaikki, jotka eivät vaikuta käyttäjäkokemukseen sivustolla. Tarkan ohjeistuksen voit lukea Kyberturvallisuuskeskuksen ohjeistuksesta palveluntarjoajille.

Meillä täällä Huimassa on tapana huutaa “LAITON!”, jos evästebannerissa ja evästeissä ilmenee seuraavia asioita.

  • Evästeet tulevat automaattisesti ja niistä ilmoitetaan vain ruudun alareunassa. Esim “Sivustoa käyttämällä hyväksyt evästeiden keräämisen.”
    • Seurantaevästeitä ei saa asettaa ilman käyttäjän hyväksymistä.
  • Evästeet tulevat automaattisesti ilman mitään ilmoitusta.
  • Evästebannerissa on “hyväksy kaikki” ja “muokkaa evästeitä”
    • Evästeiden hyväksyminen ja hylkääminen pitää olla yhtä helppoa.
  • Evästebannerissa on “hyväksy kaikki” vihreällä värillä ja “hylkää kaikki” punaisella tai harmaalla värillä.
    • Evästeiden hyväksymistä tai hylkäämistä ei saa tuoda esille esimerkiksi värillä, fontilla tai fonttikoolla korostaen. Niiden pitää vaikuttaa kaikinpuolin tasavertaisilta valinnoilta.
  • Evästebannerissa on valmiiksi raksittuja ruutuja tai “päällä” asennossa olevia liukukytkimiä.
    • Ei-välttämättömiä evästeitä ei saa asettaa päälle ilman käyttäjän suostumusta.

Pitääkö minun pienyrittäjänä välittää näistä?

GDPR pätee kaikkiin organisaatioihin, jotka keräävät henkilötietoja EU:n sisällä asuvista henkilöistä. Yrityksen laajuudella ei ole väliä. Olit sitten yksityisyrittäjä tai laajamittainen organisaatio, joka toimii kuudella mantereella.

Miten voin PK-yrittäjänä noudattaa GDPR:ää?

GDPR:n noudattaminen ei ole mahdottoman vaikeaa. Se vaatii hieman perehtymistä ja asioiden selvittämistä, mutta niiden noudattaminen on iso taakka pois harteilta. Seuraavan tarkastuslistan avulla pääset hyvin alkuun. Näihin vastaukseen sinun pitää pystyä vastaamaan, jos keräät henkilötietoja.

1. Mitä henkilökohtaista dataa keräät?

  • Sinun tulee tietää mitä henkilökohtaisia tietoja keräät ja ovatko jotkin niistä arkaluonteisia, eli kuuluvatko ne GDPR-artikkelien 9 ja 10 luokkiin. Sinun tulee myös kysyä itseltäsi: 
    • Mistä data tulee?
    • Miksi keräät sitä?
    • Mitä teet sillä?

2. Onko sinulla suostumus?

  • Jos sinulla ei ole laillista perustetta henkilökohtaisen tiedon keräämiseen, sinulla täytyy olla yksilöiden henkilökohtainen suostumus datan keräämiseen. Suostumuksen pitää olla:
    • Vapaasti annettu
    • Tarkka
    • Informoitu
    • Yksiselitteinen
  • Sinun tulee pitää kirjallista kirjaa suostumuksestasi. Sinun on myös tehtävä suostumuksen peruuttamisesta nopeaa ja helppoa. GDPR-yhteensopiva CRM -ohjelmisto voi auttaa tässä. Erityisesti se voi: 
    • Pitää kirjaa ihmisten nimistä ja henkilötiedoista, joita pidät heistä.
    • Tallentaa yksilöiden suostumus ja täsmentää, mihin tarkoitukseen hän on sallinut suostumuksensa tietojen käyttämisen. Esimerkiksi uutiskirjeen vastaanottamiseen.
    • Anna ihmisille helppo tapa peruuttaa suostumuksensa, jos he muuttavat mielensä. (esimerkiksi yhdellä napsautuksella peruutettavien ohjelmien avulla)

3. Onko data turvallista?

  • Yrityksesi on vastuussa keräämistäsi henkilötiedoista. Ja voit saada sakon, jos tietomurron sattuessa ne joutuvat vääriin käsiin.
    • Käytä salausohjelmistoja kun tallennat tai siirrät henkilötietoja verkossa. Henkilötietoja ei saisi koskaan lähettää selkokielisenä salaamatta viestiä.
    • Suojaa verkkosi ja kouluta työntekijäsi. Huolimattomat työntekijät ovat suurin tietomurtojen syy, joten vankka IT-politiikka on välttämätön. Sinun tulisi myös investoida tietoturvaohjelmistoihin, mukaan lukien palomuuri ja päätepisteen suojaus (EPP.) (Virustorjuntaohjelmistot usein sisältävät paljon muutakin kuin pelkän virustorjunnan ja täten luokitellaan EPP-ohjelmistoiksi.)
    • Luo GDPR-yhteensopivia evästeitä ja tietosuojakäytäntöjä. Evästeisiin ja evästesuostumuksiin on Kyberturvallisuuskeskuksella tarkat määritteet ja niiden noudattamatta jättäminen ei ole GDPR yhteensopivaa.
    • Tarkista toimittajiltasi GDPR-vaatimustenmukaisuus. Esimerkiksi kolmansien osapuolien ohjelmistojen täytyy noudattaa GDPR -vaatimuksia.

4. Vakavan murron sattuessa.

  • Sinun on ilmoitettava vakavista rikkomuksista valvojalle 72 tunnin kuluessa, tai voit saada sakon. Varmista, että raportointimenettelyt ovat käytössä. Ja mikä tärkeintä, kouluta työntekijäsi:
    • Olemaan varuillaan
    • Tunnistamaan tietoturvarikkomusten vaaramerkit
    • Ymmärtämään, mikä on vakava tietomurto

Menikö sormi suuhun?