Nimi, henkilötunnus ja muut yhteystiedot, verkko- ja mobiililaitteiden tunnisteet, kävijöiden IP-osoitteet – verkkosivut ovat nykyisin yritysten yksi näkyvimmistä ja tehokkaimmista keinoista kerätä, säilyttää ja käsitellä asiakkaidensa erilaisia henkilötietoja sekä tunnistaa heidät yksilöllisesti. Asiakkaiden jättämä datajälki vieraillessaan yrityksen verkkosivuilla sekä antamansa tiedot täyttäessään esimerkiksi viestilomakkeita sen kautta usein sisältävät henkilökohtaisten, välillä jopa erittäin arkaluontoisten yksityistietojen luovuttamista yrityksen henkilötietorekisteriin.
Henkilötietojen keräämisestä ja käsittelystä – ennen kaikkea niiden suojaamisesta – on yrityksen ollut ensiarvoisen tärkeää huolehtia verkkosivuillaan sekä ilmoittaa sen kävijöille jo pelkästään hyvien käytäntöjen, asiakaspalvelun ja luotettavuuden viestimisen kannalta. Vuoden 2018 keväällä voimaan astuva EU:n uusi tietosuoja-asetus, eli GDPR (General Data Protection Regulation) tekee näistä kohdista viimeistään välttämätöntä.
Mutta miten verkkosivut saisi varustettua toimimaan GDPR:n mukaisesti? Näillä seuraavilla ratkaisuilla sen vaatimustasot voidaan ylittää!
1. Yleiset pelisäännöt
GDPR:n tärkeimpänä tavoitteena on parantaa sekä yhtenäistää EU:n kansalaisten yksityisyydensuojaa. Verkkosivujen kannalta tämä tarkoittaakin entistä tarkempia ja tiukempia vaatimuksia käytännöissä niiden tietoturvaan sekä verkkoyhteyden suojaamiseen. Asetus ennen kaikkea velvoittaa rekisterinpitäjiltä läpinäkyvyyden parantamista siihen, kuinka yritys käsittelee ja säilyttää myös verkkosivujensa kautta kerättyjä henkilötietoja.
Verkkosivujen kävijöistä saa GDPR:n mukaan kerätä ja säilyttää vain sellaista tietoa, joka on asianmukaista sekä välttämätöntä yrityksen palveluiden tuottamiseksi ja niiden tarjoamiseen asiakkaille. Tämä vaatimus näkyy erityisesti yrityksen verkkosivuille laadittavissa lomakkeissa, kuten vaikkapa yhteydenotto-, tarjouspyyntö- sekä uutiskirjeen tilauslomakkeiden tietokentissä. Jatkossa edes puhelinnumeroa ei tule kysyä, jos se ei ole tarpeellista tietoa tilattavan tuotteen tai tarjotun palvelun kannalta.
Lisäksi GDPR:n vaatimuksena on, että yritykset säilyttävät henkilötietoja suunnitelmallisesti ja vain tarpeellisen ajan verran. Henkilörekisteriin kerätyt tiedot tuleekin pitää jatkuvasti päivitettynä sekä ajankohtaisina – turhaa ja vanhentunutta tietoa ei saa säilyttää, vaan ne täytyy hävittää rekisteristä mahdollisimman pian! Tämä vaikuttaa myös lomakkeisiin, joiden avulla kerätyt tiedot tulee myös poistaa järjestelmällisesti.
2. Selkeä tietosuojaseloste!
GDPR:n tarkoituksena on ennen kaikkea vahvistaa EU:n kansalaisten oikeuksia valvoa yksityistietojensa käsittelyä velvoittamalla yrityksiä kertomaan heille avoimesti käytännöistään henkilötietojen rekisterinpitäjänä. Verkkosivuilta tulee siten löytyä ehdottomasti selkeä yrityksen itsensä laatima tietosuojaseloste, joka kertoo sivuston kävijöille perustellusti ja tarkoin yrityksen ja sen rekisteriasioista vastaavan yhteystiedot sekä tarjoaa tietoa siitä, mitä ja minkä vuoksi henkilötietoja kerätään sekä kenelle näitä tietoja luovutetaan. Lisäksi selosteessa tarkennetaan kävijöiden oikeudet esimerkiksi pyytää korjauksia yksityistietoihinsa, henkilötietojen säilytysaika ja niiden tekniset suojauskäytännöt sekä evästeiden käyttö sivuilla. Valmiita rekisteri- ja tietosuojaselosteen mallipohjia sekä ohjeita niiden laatimiseen voi löytää muun muassa Tietosuojavaltuutetun toimiston tai Tietosuojamallin sivuilta.
Myös verkkosivujen lomakkeiden tulee sisältää linkitys tietosuojaselosteeseen, jotta ne täyttävät GDPR:n vaatimuksen tarjota sivujen kävijöille mahdollisuuden valvoa henkilötietojensa käsittelyä!
3. Suojaa SSL-sertifikaatilla
GDPR:n myötä vain SSL-suojatuilla verkkosivuilla on lupa pyytää ja kerätä kävijöiden henkilötietoja. SSL-sertifikaatti on siten välttämätön asennus verkkosivuille, jotta ne voivat toimia GDPR:n vaatimusten mukaisesti! Tiivistettynä SSL (Secure Sockets Layer) tarkoittaakin suojausmenetelmää, jolla sivuston ja kävijöiden käyttämän selainohjelman välinen yhteys saadaan turvallisesti suojattua.