Tietosuojakäytäntö verkkosivuille – Ilmainen malli

Harva yrittäjä pysähtyy miettimään tietosuojakäytäntöjä verkkosivuja rakentaessaan. Tämä on kuitenkin nykyään välttämätöntä Euroopan unionin yhteisen tietosuoja-asetuksen eli GDPR:n astuttua voimaan toukokuussa 2018.

Olemme koonneet tähän artikkeliin kaikki toimivan tietosuojakäytännön tärkeät elementit. Lisäksi löydät sivun alaosasta GDPR:n mukaisen ilmaisen mallin, jonka avulla voit alkaa rakentamaan omia tietosuojaehtojasi.

Verkon tietosuojakäytäntöjen perusteet

Tutustutaanpa aluksi verkkosivustojen tietosuojakäytäntöjen perusteisiin.

Minkä tyyppisillä sivustoilla tulee olla tietosuojakäytäntö?

Kaikilla verkkosivuilla tai -palveluilla, jotka keräävät dataa käyttäjistä, harjoittavat kävijäseurantaa tai esittävät mainoksia tulee laatia tietosuojakäytäntö. Jos yritys sijaitsee EU:n alueella tai aikoo harjoittaa liiketoimintaansa EU:ssa, sen tulee varmistaa että tietosuojakäytännöt vastaavat GDPR:n ehtoja.

Miksi näitä käytäntöjä tarvitaan?

Tietosuojakäytäntö kertoo käyttäjille:

• Mitä tietoja kerätään
• Miten tietoja kerätään
• Miten tietoja säilytetään ja suojataan

Onko kerättävien tietojen välillä jotain eroa?

Kyllä. Useimmissa tietosuojakäytännöissä erotellaan erikseen tunnistettavissa olevat henkilötiedot (personally identifiable information) sekä ei-yksityiset tiedot (non-private data).

Yhdysvaltain kansallinen standardointi- ja teknologialaitos (The National Institute of Standards and Technology, NIST) määrittelee tunnistettavissa olevat henkilötiedot seuraavasti (vapaasti suomennettuna):

”Kaikki tiedot, joita virastolla on henkilöstä, mukaan lukien (1) kaikki tiedot, joita voidaan käyttää henkilön identiteetin tunnistamiseksi tai jäljittämiseksi, kuten nimi, sosiaaliturvatunnus, syntymäaika ja -paikka, äidin äitinimi tai biometriset tiedot; sekä (2) kaikki muut tiedot, jotka on yhdistetty tai yhdistettävissä henkilöön, kuten terveyttä, koulutusta, taloutta tai työsuhdetta koskevat tiedot.”

Ei-yksityiset (non-private data) määritellään seuraavasti:

“Tiedot, jotka voivat vastata tiettyä henkilöä, käyttäjätiliä tai profiilia, mutta jotka eivät riitä tunnistamaan tai paikantamaan henkilöä, johon kyseiset tiedot viittaavat.”

Esimerkkejä tämän kaltaisista tiedoista ovat mm:

• Selaimen tyyppi
• Selaimen liitännäisten tiedot
• Paikallinen aikavyöhyke
• Jokaisen vierailijan pyynnön aika ja päivämäärä (ts. verkkosivulle saapuminen ja sieltä poistuminen)
• Valittu kieli
• Viittaava sivu
• Laitetyyppi (ts. pöytätietokone, kannettava tietokone, älypuhelin)
• Näytön koko, näytön värisyvyys ja järjestelmän fontit

click here.

Monet käyttäjät, jotka eivät halua jakaa näitä ei-yksityisiä tietoja käyttävät selainlaajennuksia tehdäkseen niistä vaikeammin tunnistettavia. Lisäksi VPN:t auttavat välttämään tietyn tyyppisten ei-yksityisten tietojen jakamista. VPN voi esimerkiksi naamioida käyttäjän paikallisen aikavyöhykkeen sekä kellonajan, jolloin hän vieraili sivulla. Jos haluat oppia lisää VPN:stä, klikkaa tästä.

Onko sillä oikeudellisia seuraamuksia, jos en julkaise tietosuojakäytäntöä?

Kyllä. Tietojen kerääminen ilman toiminnan erittelyn kuvaamista käyttäjille on laissa rangaistava teko. Riski on olemassa myös siinä tapauksessa, että rikot tietosuojakäytännössäsi mainittuja ehtoja keräämällä käyttäjistä enemmän tietoja, kuin mitä kerrot tai muutat jollakin toisella tavalla tapaa, jolla keräät/käytät tietoja päivittämättä tietosuojakäytäntöäsi.

Sivustoja, jotka eivät ole GDPR-asetuksen mukaisia voidaan rangaista sakoilla, jotka voivat olla jopa 20 miljoonaa euroa tai 4% kokonaistuloista.

Tietosuojakäytäntö – Ilmaiset mallit

Pitkästä ja monimutkaisesta sisällöstään johtuen useimpia tietosuojakäytäntöjä ei lueta. Erään tutkimuksen mukaan osa niistä on jopa niin vaikeaselkoisia, että normaalilla henkilöllä kestäisi keskimäärin 30 täyttä työpäivää lukea kaikkien hänen vuoden aikana vierailemiensa sivustojen tietosuojakäytännöt.

Jotta verkkosivujen ylläpitäjät voivat pitää tietosuoja-asetuksensa GDPR:n mukaisina, yksi tärkeä muutos on lyhentää tietosuojakäytäntöä tehden siitä ytimekkään ja helposti ymmärrettävän.

Vaikka tietosuojakäytännöt voivatkin olla monimutkaisia, ne vastaavat myös moniin käyttäjien merkittävimpiin Internetiin liittyviin huolenaiheisiin: tietoturvaan, yksityisyyteen sekä suojautumiseen petoksilta. Koska verkkokuluttajista on tulossa entistä tietoisempia yksityisyyteen liittyvistä ongelmista, se pakottaa verkkosivujen ylläpitäjiä tekemään tietosuojakäytännöistään mahdollisimman selkeitä ja ytimekkäitä. Erottelemme alla näiden ehtojen tärkeimpiä kohtia sekä tarjoamme ilmaisen mallin, joka vastaa lakikielellisiä vaatimuksia.

Kohta #1: Tietojen kerääminen

Jokaisen tietosuojakäytännön tulisi kuvata nimenomaisesti, mitä tietoja sivusto kerää, miten se kerää niitä ja mitä kerätyille tiedoille tehdään.

Kohta #2: Tietojen käyttäminen

Kun tietojen keräämistä koskevat tiedot on eritelty, tietosuojakäytännön tulee kuvata, miten verkkosivun omistajat käyttävät niitä. Facebookilla oli vaikeuksia tämän kanssa, kun se pyrki päivittämään tietosuojakäytäntönsä vuonna 2013. Yritys halusi lisätä tietosuojakäytäntöihinsä sekavaa lakikieltä, jotta se voisi käyttää hyväkseen käyttäjistään – alle 18-vuotiaat lapset mukaan lukien – mainostustarkoituksiin.

Facebook hankkiutui lopulta eroon tästä, kun valvontaryhmät veivät asian eteenpäin Yhdysvaltain kuluttajansuojaa valvovan Federal Trade Commission -elimelle. Vuonna 2014 Facebook julkaisi englanninkielisen, selkokielellä kirjoitetun version tietosuojakäytännöstään, joka vähensi lakitekstin määrää yli puolella.

Yritykset sekä yritysten kotisivut, jotka suhtautuvat vakavasti tietosuojaasi:

• Eivät koskaan myy tunnistettavissa olevia henkilötietoja kolmansille osapuolille
• Anonymisoivat ja/tai salaavat datan suojatakseen niitä vuodoilta
• Säilyttävät tietoja ainoastaan lyhyitä aikoja

Kohta #3: Huomioitavaa verkkokaupoille

Verkkokauppasivustojen osalta tietosuojakäytäntöjen tulisi kertoa yksityiskohtaisesti, miten se suojaa käyttäjiltä maksujen käsittelyä varten kerättyjä henkilökohtaisia maksutietoja. Näitä ovat mm. luottokortin numero, sosiaaliturvatunnus tai pankkitilin tiedot.

Kohta #4: Kolmansiin osapuoliin liittyvien tietojen ilmoittaminen

Tietosuojakäytännössä tulisi kertoa selkeästi verkkosivun ja kolmansien osapuolien välisistä suhteista. Ihanteellisimmassa tapauksessa sivustosi ei tulisi myydä tai jakaa tunnistettavissa olevia henkilötietoja, ellei kyseessä ole jokin lainvelvoittama syy. Sen tulisi myös eritellä, mitä yrityksesi tekee ei-yksityisille tiedoille.

Kohta #5: Tietosuoja ja -seuranta

Nykypäivän parhaat tietosuojakäytännöt korostavat tietosuojaa sekä erittelevät evästeiden käyttöä koskevat käytännöt.

GoGoogle kamppaili tietosuojakäytäntöihin liittyvien ongelmien kanssa viime vuonna sen evästeitä koskevien tietojen takia. Yhdistyneen kuningaskunnan tietosuojavaltuutetun Information Commissioner’s Office -virasto pakotti Internet-jättiä lisäämään tietosuojakäytäntöön tiedot siitä, ketkä voivat kerätä evästeitä muistuttavia ”anonyymejä tunnisteita” sekä mihin tarkoituksiin yritys käyttää näitä tietoja.

Kohta #6: Tilauksen peruuttamistavat

Jokaisessa verkon tietosuojakäytännössä tulisi kertoa, miten asiakas voi peruuttaa ei-toivotun viestinnän.

Kohta #7: Suostumus

Perinteisessä tietosuojakäytännössä kerrotaan, että käyttäjä hyväksyy tietosuojakäytännön ehdot yksinkertaisesti käyttämällä sivustoa. Lisäksi tietosuojakäytännössä tulee kertoa henkilön oikeudet, kuten oikeus lähettää pyyntö tietojen poistamiseksi tai muuttamiseksi ja/tai häneltä kerättyjen tietojen tarkasteleminen.

Klikkaa tästä ladataksesi valmiin mallin, jota voit käyttää.

Yhteenveto: Tietosuojakäytäntösi parantaa käyttäjien luottamusta

Tietosuojakäytäntösi tarjoaa arvokasta suojaa yrityksellesi ja käyttäjillesi. Ennen kaikkea se parantaa käyttäjien luottamusta sivustoasi kohtaan. Selkeällä kielellä kirjoitettu, suoraviivainen tietosuojakäytäntö, jossa kuvataan konkreettisesti, miten käyttäjää suojataan antaa sivustollesi etulyöntiaseman monimutkaisien ja sekavien tietosuojakäytäntöjen laatineisiin kilpailijoihin verrattuna.

Tässä artikkelissamme esittämiemme tietojen tulisi toimia ainoastaan lähtökohtana oman tietosuojakäytäntösi laatimiseksi. Jokaisella verkkosivustolla on omat metodinsa ja tarkoituksensa, ja parhaita tietosuojakäytäntöjä on mukautettu tarkasti juuri kyseiselle sivustolle sopivaksi. Varmistaaksesi, että oma tietosuojakäytäntösi on todella tehokas, käänny yksityisyyteen erikoistuneen lakimiehen puoleen ja tutustu oman yrityksesi kaltaisten sivustojen tietosuojakäytäntöihin. Muista myös ennen kaikkea tarkistaa ajankohtaisimmat tiedot tietosuojakäytäntöjen vaatimuksista sekä muista tärkeistä yksityisyyteen liittyvistä tekijöistä www.vpnmentor.com  -sivustolta.