Jos yrityksesi kotisivuilla on yhteydenottolomake, uutiskirjeen tilaus, verkkokauppa tai edes Google Analytics, tarvitset tietosuojaselosteen. Kotisivujen tietosuojaseloste ei ole pelkkä lakitekstipohja jonka kopioit kilpailijan sivuilta — se on dokumentti, joka kertoo kävijälle selkeästi, mitä tietoja keräät, miksi ja miten niitä käsittelet. Ja kyllä, GDPR edellyttää sitä kaikilta.
Tämä artikkeli käy läpi kohta kohdalta, mitä tietosuojaselosteessa pitää olla, miten sen kirjoitat käytännössä ja mitkä virheet näkyvät suomalaisten pk-yritysten sivuilla kerta toisensa jälkeen.
Miksi tietosuojaseloste on pakollinen
EU:n yleinen tietosuoja-asetus (GDPR) velvoittaa jokaista henkilötietoja käsittelevää tahoa kertomaan rekisteröidyille, miten heidän tietojaan käsitellään. Käytännössä tämä tarkoittaa lähes jokaista verkkosivustoa — jo evästeiden kautta kerätään henkilötietoja.
Monella yrittäjällä on käsitys, että tietosuojaseloste tarvitaan vain jos kerää arkaluonteisia tietoja tai pyörittää isoa verkkokauppaa. Tämä on myytti. Pelkkä yhteydenottolomake, jossa kysytään nimi ja sähköposti, riittää. Sama koskee analytiikkatyökaluja, jotka tallentavat IP-osoitteita.
Tietosuojaselosteen pakolliset sisällöt
GDPR:n artikla 13 listaa tiedot, jotka rekisteröidylle on annettava. Käytännössä tietosuojaselosteessa pitää olla vähintään seuraavat asiat:
1. Rekisterinpitäjän tiedot
Yrityksen nimi, Y-tunnus, osoite ja yhteyshenkilö tai yhteystiedot tietosuoja-asioissa. Jos yrityksellä on nimetty tietosuojavastaava, myös hänen yhteystietonsa.
2. Mitä henkilötietoja kerätään
Listaa konkreettisesti: nimi, sähköpostiosoite, puhelinnumero, IP-osoite, evästetiedot, ostotiedot — kaikki mitä sivusto kerää. Älä kirjoita ”saatamme kerätä”, vaan kerro mitä oikeasti keräät.
3. Mihin tarkoitukseen tietoja käytetään
Esimerkiksi: yhteydenottopyyntöjen käsittely, tilausten toimitus, uutiskirjeen lähettäminen, sivuston käytön analysointi. Jokainen käyttötarkoitus erikseen.
4. Käsittelyn oikeusperuste
GDPR vaatii, että jokaiselle käsittelytoimelle on laillinen peruste: suostumus, sopimus, lakisääteinen velvoite tai oikeutettu etu. Esimerkiksi uutiskirje perustuu suostumukseen, tilauksen käsittely sopimukseen.
5. Tietojen luovutus ja siirto
Kerro, luovutetaanko tietoja kolmansille osapuolille — esimerkiksi maksupalveluntarjoajalle, sähköpostimarkkinointityökalulle tai pilvipalvelulle. Jos tietoja siirretään EU:n ulkopuolelle (esim. Mailchimp, Google Analytics), se on mainittava ja kerrottava siirron suojamekanismi.
6. Tietojen säilytysaika
Kuinka kauan tietoja säilytetään? Älä kirjoita ”niin kauan kuin tarpeellista” — anna konkreettinen aika tai peruste, esimerkiksi ”yhteydenottolomakkeen tiedot poistetaan 12 kuukauden kuluttua asian käsittelystä.”
7. Rekisteröidyn oikeudet
Oikeus tarkastaa omat tiedot, oikeus vaatia tietojen oikaisua tai poistamista, oikeus siirtää tiedot toiselle palveluntarjoajalle, oikeus vastustaa käsittelyä ja oikeus tehdä valitus tietosuojavaltuutetulle.
8. Evästeet
Jos sivustolla on evästeitä — ja niitä on lähes aina — tietosuojaselosteessa tai erillisessä evästeselosteessa on kerrottava mitä evästeitä käytetään, mihin tarkoitukseen ja miten käyttäjä voi hallita niitä.
Käytännön esimerkki: pienen yrityksen tietosuojaseloste
Tyypillinen tilanne: remonttifirma tilaa kotisivut, joilla on yhteydenottolomake ja Google Analytics. Tietosuojaselosteeseen tulee silloin rekisterinpitäjän tiedot, maininta yhteydenottolomakkeen kautta kerättävistä nimestä, sähköpostista ja puhelinnumerosta, käsittelyperusteena oikeutettu etu tai suostumus, tieto Google Analyticsin käytöstä ja IP-osoitteiden keräämisestä, säilytysajaksi esimerkiksi 12 kuukautta ja rekisteröidyn oikeudet.
Tämä ei vaadi lakimiestä. Se vaatii, että käyt läpi mitä sivustosi oikeasti tekee ja kirjoitat sen auki rehellisesti.
Yleisimmät virheet tietosuojaselosteissa
Vuosien varrella olen nähnyt samat ongelmat toistuvasti:
Kopioitu suoraan toiselta sivustolta. Seloste ei vastaa sivuston todellista toimintaa. Puhutaan verkkokaupasta, vaikka sivustolla ei ole kauppaa.
Puuttuvat kolmannet osapuolet. Google Analytics, Facebook-pikseli, Hotjar, chat-widgetit — kaikki nämä käsittelevät henkilötietoja, mutta niitä ei mainita selosteessa.
Ei päivitystä muutosten jälkeen. Sivustolle lisätään uusi lomake tai työkalu, mutta tietosuojaselostetta ei päivitetä. Sivuston säännöllinen päivitys koskee myös lakisääteisiä dokumentteja.
Vaikeaselkoinen kieli. GDPR edellyttää, että tieto on ymmärrettävässä muodossa. Lakijargon ilman selityksiä ei riitä.
Miten tietosuojaseloste kannattaa toteuttaa kotisivuille
Tee selosteelle oma sivu — esimerkiksi /tietosuojaseloste/ — ja linkitä se sivuston alatunnisteeseen jokaiselle sivulle. Näin se on aina saavutettavissa.
Kirjoita selkosuomella. Käytä väliotsikoita ja lyhyitä kappaleita, jotta lukija löytää etsimänsä nopeasti. Esteettömyys koskee myös lakisääteistä sisältöä — huolehdi, että sivu on luettavissa ruudunlukijalla.
Jos käytät WordPressiä, voit hyödyntää Yksityisyys-sivupohjaa, mutta älä jätä sitä oletusmuotoonsa. Muokkaa teksti vastaamaan juuri sinun sivustosi toimintaa.
Merkitse selosteeseen päivämäärä, jolloin se on viimeksi päivitetty. Tämä on sekä hyvä käytäntö että osoittaa, että dokumenttia ylläpidetään aktiivisesti.
Tietosuojaseloste ja evästebanneri — miten ne liittyvät toisiinsa?
Evästebanneri ja tietosuojaseloste ovat eri asioita, mutta ne kulkevat käsi kädessä. Evästebanneri pyytää suostumuksen evästeiden käyttöön. Tietosuojaseloste kertoo laajemmin kaikesta henkilötietojen käsittelystä. Bannerin kautta annettu suostumus ei korvaa tietosuojaselostetta, eikä tietosuojaseloste korvaa evästebannerin vaatimaa suostumusta.
Käytännössä evästebannerin ”Lue lisää” -linkki kannattaa ohjata joko tietosuojaselosteeseen tai erilliseen evästeselosteeseen.
UKK
Tarvitseeko jokainen verkkosivusto tietosuojaselosteen?
Käytännössä kyllä. Jos sivustolla on minkäänlainen lomake, analytiikka tai evästeet, henkilötietoja kerätään ja tietosuojaseloste vaaditaan GDPR:n nojalla.
Voiko tietosuojaselosteen kirjoittaa itse vai tarvitaanko lakimies?
Pienen yrityksen perusseloste onnistuu hyvin itse, kunhan käyt huolellisesti läpi mitä tietoja sivusto kerää ja kirjoitat sen rehellisesti auki. Monimutkaisemmissa tapauksissa — esimerkiksi arkaluonteisia tietoja käsiteltäessä — lakimiehen konsultaatio voi olla paikallaan.
Kuinka usein tietosuojaseloste pitää päivittää?
Aina kun sivuston tiedonkeruu muuttuu: uusi lomake, uusi analytiikkatyökalu, uusi kolmannen osapuolen palvelu. Hyvä käytäntö on tarkistaa seloste vähintään kerran vuodessa.
Tietosuojaseloste ei ole byrokraattinen pakko vaan osa luotettavaa verkkonäkyvyyttä. Kun kävijä näkee, että yrityksesi kertoo avoimesti tietojen käsittelystä, se rakentaa luottamusta — ja luottamus on verkossa kaiken kaupankäynnin perusta.