Ohje

Tilinhallinta Ohje

Miten GDPR vaikuttaa liiketoimintaani?

Mikä on GDPR?

Yleinen tietosuoja-asetus (GDPR) on Euroopan unionin säädös, joka keskittyy kaikkien Euroopan unionin kansalaisten ja asukkaiden tietosuojaan ja yksityisyyteen. GDPR säätelee, kuinka yritykset (mukaan lukien GoDaddy) voivat käsitellä EU-alueen asukkaita koskevia henkilötietoja. GDPR astui voimaan 25. toukokuuta 2018. Lue kattava kuvaus GDPR:stä ja yritystä GoDaddy koskevista GDPR-yhteensopivuusvaatimuksista Yksityisyyskeskuksestamme.

GoDaddy ei ole asianajotoimisto

Toivomme, että tämä asiakirja selkeyttää GDPR:n tarkoitusta ja sen mahdollista vaikutusta yritykseesi, mutta GoDaddy ei tarjoa lakineuvontaa eikä tämä ole kattava GDPR-opas. Jokaisen yrityksen toiminta on erilaista, ja GDPR on lakina hyvin monimutkainen. Jos sinulla on kysyttävää GDPR:n (ja muiden sovellettavien tietosuojalakien) vaikutuksesta yrityksesi toimintaan, suosittelemme ottamaan yhteyttä asianajajaan.

Emme ole liiketoimintasi asiantuntijoita

Neuvonta GDPR-yhteensopivuuden saavuttamiseksi on mahdotonta tapauskohtaisuuden takia. Jokainen yritys toimii eri tavalla ja eri käytäntöjen sekä protokollien puitteissa, ja työntekijät, toimipisteet ja muut asiat poikkeavat toisistaan. Haluamme tarjota yleiskatsauksen yrityksen GoDaddy GDPR-tulkinnasta, mutta asetukseen liittyy useita pieniä, tässä asiakirjassa mainittuja tekijöitä, joista johtuen sinun täytyy itse selvittää vaatimusten täyttyminen omassa tapauksessasi.

Mikä muuttuu GDPR:n myötä?

GDPR ei lopulta eroa merkittävästi muualla maailmassa voimassa olevista tietosuojalaeista. Ulottuminen Euroopan unionin ulkopuolelle tekee kuitenkin GDPR:stä merkittävän. Sillä on vaikutusta kaikkialla maailmassa toimiviin yrityksiin, jotka käsittelevät EU-alueen asukkaiden tietoja, ja sen noudattamatta jättämisestä seuraavat sakot (enintään 20 miljoonaa euroa tai 4 % vuotuisesta maailmanlaajuisesta tuotosta) ovat huomattavat. Laajempi alue ja suuremmat sakkomaksut ovat tuoneet asetukselle lisää medianäkyvyyttä. Asetus kuitenkin myös eroaa muualla käytettävästä lainsäädännöstä. GDPR edellyttää yrityksiltä tiettyjen oikeuksien (kuten oikeus tulla unohdetuksi ja oikeus siirtää tietoja järjestelmästä toiseen) myöntämistä asiakkaille sekä muutamia toimenpiteitä vaatimustenmukaisuuden takaamiseksi.

Onko asetuksella vaikutusta yritykseeni?

Asetus voi vaikuttaa yritykseesi muutamilla eri tavoilla. Jos yrityksesi sijaitsee Euroopan talousalueella (ETA) tai myy tuotteita tai palveluita alueen asukkaille, jatka lukemista. Jos et harjoita liiketoimintaa ETA-alueella tai muutoin kohdenna toimintaasi sen asukkaille, toimenpiteitä ei ehkä tarvita. (Varmista asia asianajajaltasi.)

Ovatko yritykseni GoDaddy tuotteet ja palvelut GDPR-yhteensopivia?

No products or services are alone 'GDPR compliant'. However, when properly configured for your particular business needs, and used in combination with other measures, policies and processes you implement as necessary to your specific business (some of which are described below), they can be used in a GDPR-compliant manner. No one knows your business better than you. Though GoDaddy hopes to offer the tools and resources to help your business attain GDPR compliance, and we are here for you, we are not suited to ensure your compliance with any laws applicable to your business.

Mitkä ovat vaatimukset GDPR-yhteensopivuudelle?

GDPR keskittyy henkilötietojen suojaamiseen. Lyhyesti sanottuna sillä pyritään varmistamaan, että asiakkaidesi henkilötiedot on suojattu oikein. Ennen tarkempaa käsittelyä seuraavassa on lueteltu muutamia lakiin liittyviä avainkäsitteitä, joiden avulla henkilökohtaisten tietojen käsittelyyn liittyvät vastuut voidaan määrittää.

  • Rekisteröity: Henkilö, jonka henkilökohtaisia tietoja tallennetaan. Kyseessä voi olla asiakas, työntekijä tai verkkosivustosi kävijä (viimeksi mainittu, jos keräät tietoja evästeillä tai vastaavalla tekniikalla).
  • Data Controller: The party that determines the purposes and means for processing personal data.
  • Henkilötietojen käsittelijä: Osapuoli, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.
  • Käsittely: Mikä tahansa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
  • Henkilötiedot: GDPR koskee ainoastaan henkilötietoja eli kaikkia yksittäiseen henkilöön suoraan tai epäsuorasti yhdistettävissä olevia tietoja. Määritelmään sisältyy monia henkilökohtaisia tunnistetietoja, kuten nimi, henkilötunnus, sijaintitiedot ja verkkotunniste. Tämä heijastaa tekniikassa ja yritysten henkilötietojen keräämisessä tapahtuneita muutoksia. Jos tiedon avulla voi tunnistaa käyttäjän, asiakkaan tai muun henkilön, kyse on henkilötiedosta.

What do these definitions mean for me?

In our relationship, there are times when we are a Data Controller (when we collect data from you for the purpose of selling you our products and services - such as your name, address, email, telephone and credit card information), and times when we are a Data Processor and you are the Data Controller (such as when you use our hosted services for your own business purposes and information happens to be passed on to our servers so that we can provide, manage and maintain the services for you (more on all this below)).

Mitkä ovat lainsäädännön tarkat vaatimukset?

GDPR-asetuksen virallinen versio on 261 sivua pitkä, ja se sisältää 173 kappaletta ja 99 artiklaa. Kuten sanottu, se on monimutkainen, paikoin epäselvä ja monitulkintainen. Seuraavassa kerrotaan vain muutamista asetuksen pääkohdista:

  • Läpinäkyvyys

    Mitä tietoja kerätään ja kuinka niitä käytetään? Näihin kysymyksiin vastaaminen helposti ymmärrettävässä muodossa on tärkeää kaikessa tietosuojalainsäädännössä, niin myös GDPR:ssä.

    Olet varmaankin saanut omaan sähköpostiisi runsaasti sähköpostia, jossa eri yritykset kertovat tietosuojakäytäntöihin tehdyistä muutoksista. Tämä ei ole sattumaa. GDPR edellyttää, että yritykset toimivat aiempaa läpinäkyvämmin ja viestivät selvemmin tavoistaan kerätä ja käsitellä asiakkaidensa tietoja. Tietosuojakäytäntö tarjoaa sinulle mahdollisuuden lisätä läpinäkyvyyttä. Yrityksesi voi kertoa asiakkaille selkeästi, kuinka heidän henkilötietojaan kerätään ja käytetään, ja tarjota yhteystiedot tietosuojaan liittyvien oikeuksien käyttämistä varten.

    GoDaddy tarjoaa työkalut, joilla voit lisätä yksityisyyskäytäntöjä verkkosivustoillesi, sekä muutamia mallipohjia tähän. Meillä ei kuitenkaan ole tarkkaa tietoa tai asiantuntemusta liiketoiminnastasi, joten täysin yhteensopivaa yksityisyyskäytäntöä on mahdotonta tarjota.

  • Asiakkaan valinnat ja suostumuksen hallinta

    Läpinäkyvyys on hyvä alku, mutta jos käytät (tai keräät) asiakkailtasi ylimääräisiä tietoja myymiesi tavaroiden tai palvelun toimittamista varten, sinun täytyy lisäksi varmistaa, että heille tarjotaan mahdollisuus suostua tietojen ylimääräiseen käyttöön, ja tarjota heille mahdollisuus perua suostumus myöhemmin.

    Yleisimpänä esimerkkinä on sähköpostiosoitteiden tai puhelinnumeroiden tallentaminen asiakkaiden kanssa tapahtuvaa viestintää varten (usein tällainen viestintä perustuu suostumukseen). Asiakkaat voivat luovuttaa kyseiset tiedot tilin luomisen yhteydessä tai ostaessaan tuotetta tai palvelua. Niihin lukeutuvat myös verkkosivuston kävijöiltä evästeiksi kutsutuilla työkaluilla (ja vastaavilla tekniikoilla, kuten pikseleiden, komentosarjojen jne. avulla) kerättävät tiedot. Olet luultavasti nähnyt evästepalkkeja verkkosivustoilla. Nämä palkit tarjoavat tietosuojakäytännön tavoin mahdollisuuden lisätä läpinäkyvyyttä. Evästepalkista käyttäjät voivat saada lisätietoja heihin liittyvien tietojen keräämisestä, hyväksyä tai hylätä tällaisen käytön ja/tai valita käytettävät evästeet.

    GDPR edellyttää, että asiakkaillesi tarjotaan mahdollisuus antaa suostumus tietojen keräämiseen ja käyttöön. Suostumuksen voi pyytää ainoastaan helposti ymmärrettävällä, tarkalla (tiettyyn käyttötarkoitukseen viittaavalla) ja selkeällä tavalla. Esivalitut valintaruudut, hiljaisuus tai jonkin toimen tekemättä jättäminen eivät käy osoitukseksi asiakkaan suostumuksesta. Jos verkkosivustollasi on esimerkiksi valintaruutu, jossa on teksti ”Jaamme tietosi kolmansien osapuolten mainostajien kanssa”, et voi lisätä valmiiksi valintamerkkiä ruutuun saadaksesi suostumuksen tietojen käsittelyyn. Valintaruudun täytyy olla valitsematta ETA-alueelta saapuville kävijöille, jotka voivat sitten lisätä valinnan tai ilmaista suostumuksensa tietojen käsittelyyn vapaaehtoisesti.

    Sinun täytyy varmistaa, että asiakkaasi pystyvät hallitsemaan omia tietojaan, heihin kohdistuvaa viestintää ja antamiaan suostumuksia, joista viimeksi mainittuun kuuluu myös oikeus suostumuksen perumiseen.

  • Oikeus tulla unohdetuksi

    Kuten mainitsimme, GDPR vastaa hyvin pitkälti muualla maailmassa käytössä olevaa tietosuojalainsäädäntöä. Kyseinen oikeus kuitenkin tekee GDPR:stä poikkeuksellisen. GDPR myöntää käyttäjille ”oikeuden tulla unohdetuksi” (laissa ”poistamisoikeus”). Sen myötä asiakas voi pyytää henkilötietojensa poistamista silloin, kun kerätyt henkilötiedot eivät ole enää oleellisia niiden keräämisen tai käsittelyn alkuperäisen tarkoituksen kannalta.

    Kun oikeus on voimassa, sinun täytyy poistaa rekisteröidyn käyttäjän henkilötiedot järjestelmistäsi, jos niiden säilyttämiselle ei ole liiketoiminnallista tai laillista perustelua (esimerkiksi hyödyntäminen tilinpäätöksessä tai oikeustoimista johtuva tietojen pidättäminen).

    Esimerkiksi liikesuhteen päättävä asiakas voi pyytää keräämiesi ja säilyttämiesi henkilötietojen poistamista. Vaikka oikeutta rajoitetaan joissakin tapauksissa, tällaisten pyyntöjen käsittelyä ja toteuttamista täytyy miettiä ennalta.

    Tietojenkäsittelyn lisäsopimuksen mukaisesti GoDaddy huomioi kaikki sinun (rekisterinpitäjä) esittämät pyynnöt, jotka liittyvät asiakkaan tietojen poistamiseen järjestelmistämme.

  • Oikeus tietojen siirtämiseen

    Oikeus tietojen siirtämiseen on toinen GDPR:lle ainutlaatuinen oikeus, jonka puitteissa käyttäjillä on oikeus hankkia palveluun tallennetut henkilötietonsa ja käyttää niitä uudelleen muissa palveluissa. Oikeuden puitteissa käyttäjille täytyy tarjota mahdollisuus siirtää tai kopioida henkilötietoja yhdestä IT-ympäristöstä toiseen turvallisesti ja niin, ettei tämä haittaa tietojen käytettävyyttä.

    Sanotaan, että olet tapahtumajärjestäjä. Asiakkaasi on luovuttanut kaikki tarvittavat yhteystiedot ja tehnyt henkilökohtaiset asetusvalinnat, mutta sittemmin päättänyt palkata toisen tapahtumajärjestäjän. ETA-alueella tällaisella asiakkaalla täytyy olla mahdollisuus pyytää henkilökohtaisista tiedoistaan sähköistä kopiota, jonka asiakas voi helposti toimittaa uudelle tapahtumajärjestäjälle. GoDaddy auttaa tällaisten pyyntöjen täyttämisessä sikäli kuin asiakkaasi henkilötiedot on tallennettu tarjoamiimme tuotteisiin tai palveluihin ja niiden tuominen niistä on mahdollista.

  • Sisäänrakennettu tietosuoja

    Sisäänrakennettu tietosuoja tarkoittaa, että henkilötietojen keräämisessä, käsittelyssä, tallentamisessa ja käytössä käytetään ennalta harkittuja suojausmenetelmiä. Tähän ei tarvita erityisjärjestelyjä tai ylimääräisiä vaiheita: tietoja kerätään vain tarvittava minimimäärä, joka tallennetaan turvallisessa (eli salatussa) muodossa turvalliseen sijaintiin, johon vain riittävästi koulutetuilla ja tietoja perustellusta syystä käsittelevillä henkilöillä on pääsy. Tähän sisältyy sen varmistaminen, että kolmannet osapuolet suojaavat asiakkaidesi henkilötietoja ennen niiden siirtämistä sinulle.

    Tilanne vastaa periaatteessa potilaan ja lääkärin suhdetta. Potilas olettaa, että hänen terveystietonsa, hänestä tehdyt muistiinpanot ja hänelle annetut neuvot pidetään salassa. Tässä tapauksessa sama vastuu koskee rekisteröityjen käyttäjien tietoja.

    Huomioi joka tilanteessa, kuinka yrityksen GoDaddy tuotteita ja palveluita voidaan käyttää tietoturvallisesti. Vaikka toivomme, että tuotteemme ja palvelumme voidaan sovittaa tarpeisiisi, vastuu niiden käytön yhteensopivuudesta sovellettavien tietosuojalakien kanssa on aina viime kädessä sinulla.

  • Tietoturvaloukkauksista ilmoittaminen

    Tietoturvaloukkauksen tapahtuessa yrityksillä on velvollisuus ilmoittaa asiasta valvovalle viranomaiselle 72 tunnin kuluessa siitä, kun loukkaus on havaittu. Kysy asianajajaltasi lisätietoja tiedottamisesta ja siihen liittyvistä tarvittavista toimenpiteistä.

Mitä tämä siis tarkoittaa?

Kuten aiemmin mainittiin, GoDaddy toimii henkilötietojen käsittelijän roolissa suurimman osan ajasta. Käsittelemme tietojasi vaatimusten mukaisesti ostamiesi palveluiden toimittamista varten tai muulla sovitulla tavalla. Käytätkö palveluitamme tietojen keräämiseen, jonka tarkoituksena on tavaran myynti, tapaamistietojen kerääminen tai asiakashankinta? Ei hätää. Varmistamme, että tiedot käsitellään turvallisesti puolestasi.

As the Data Controller, you control how the data is used and stored, and we will only process it per the terms of our Data Processing Addendum in providing and maintaining the services on your behalf. This means you need to pay close attention to your internal policies and employee access of records, including how you share data with 3rd parties and how easily someone could access the data subject's information.

Kuten yllä olevista avainkohdista ilmenee, GDPR (ja muut tietosuojalait) keskittyvät yritysten keräämien ja käyttämien henkilötietojen suojaamiseen.


Oliko tästä artikkelista hyötyä?
Kiitoksia palautteestasi. Jos haluat puhua asiakaspalveluedustajan kanssa, käytä yllä näkyvää puhelinnumeroa tai chat-vaihtoehtoa.
Kiva, että meistä oli apua. Voimmeko tehdä jotain muuta?
Olen pahoillani asiasta. Kerro meille, mikä on epäselvää tai miksi ratkaisu ei toiminut oman ongelmasi kohdalla.