Tilinhallinta Ohje

Miten GDPR vaikuttaa liiketoimintaani?

Mikä on GDPR?

Yleinen tietosuoja-asetus (GDPR) on Euroopan unionin säädös, joka keskittyy kaikkien Euroopan unionin kansalaisten ja asukkaiden tietosuojaan ja yksityisyyteen. GDPR säätelee, kuinka yritykset (mukaan lukien GoDaddy) voivat käsitellä EU-alueen asukkaita koskevia henkilötietoja. GDPR astui voimaan 25. toukokuuta 2018. Lue kattava kuvaus GDPR:stä ja yritystä GoDaddy koskevista GDPR-yhteensopivuusvaatimuksista Yksityisyyskeskuksestamme.

GoDaddy ei ole asianajotoimisto

Toivomme, että tämä asiakirja selkeyttää GDPR:n tarkoitusta ja sen mahdollista vaikutusta yritykseesi, mutta GoDaddy ei tarjoa lakineuvontaa eikä tämä ole kattava GDPR-opas. Jokaisen yrityksen toiminta on erilaista, ja GDPR on lakina hyvin monimutkainen. Jos sinulla on kysyttävää GDPR:n (ja muiden sovellettavien tietosuojalakien) vaikutuksesta yrityksesi toimintaan, suosittelemme ottamaan yhteyttä asianajajaan.

Emme ole liiketoimintasi asiantuntijoita

Neuvonta GDPR-yhteensopivuuden saavuttamiseksi on mahdotonta tapauskohtaisuuden takia. Jokainen yritys toimii eri tavalla ja eri käytäntöjen sekä protokollien puitteissa, ja työntekijät, toimipisteet ja muut asiat poikkeavat toisistaan. Haluamme tarjota yleiskatsauksen yrityksen GoDaddy GDPR-tulkinnasta, mutta asetukseen liittyy useita pieniä, tässä asiakirjassa mainittuja tekijöitä, joista johtuen sinun täytyy itse selvittää vaatimusten täyttyminen omassa tapauksessasi.

Mikä muuttuu GDPR:n myötä?

GDPR ei lopulta eroa merkittävästi muualla maailmassa voimassa olevista tietosuojalaeista. Ulottuminen Euroopan unionin ulkopuolelle tekee kuitenkin GDPR:stä merkittävän. Sillä on vaikutusta kaikkialla maailmassa toimiviin yrityksiin, jotka käsittelevät EU-alueen asukkaiden tietoja, ja sen noudattamatta jättämisestä seuraavat sakot (enintään 20 miljoonaa euroa tai 4 % vuotuisesta maailmanlaajuisesta tuotosta) ovat huomattavat. Laajempi alue ja suuremmat sakkomaksut ovat tuoneet asetukselle lisää medianäkyvyyttä. Asetus kuitenkin myös eroaa muualla käytettävästä lainsäädännöstä. GDPR edellyttää yrityksiltä tiettyjen oikeuksien (kuten oikeus tulla unohdetuksi ja oikeus siirtää tietoja järjestelmästä toiseen) myöntämistä asiakkaille sekä muutamia toimenpiteitä vaatimustenmukaisuuden takaamiseksi.

Onko asetuksella vaikutusta yritykseeni?

Asetus voi vaikuttaa yritykseesi muutamilla eri tavoilla. Jos yrityksesi sijaitsee Euroopan talousalueella (ETA) tai myy tuotteita tai palveluita alueen asukkaille, jatka lukemista. Jos et harjoita liiketoimintaa ETA-alueella tai muutoin kohdenna toimintaasi sen asukkaille, toimenpiteitä ei ehkä tarvita. (Varmista asia asianajajaltasi.)

Ovatko yritykseni GoDaddy tuotteet ja palvelut GDPR-yhteensopivia?

Tuotteet tai palvelut eivät ole yksistään GDPR-yhteensopivia. Niitä voidaan kuitenkin käyttää GDPR-yhteensopivasti, kun yrityksesi harjoittamaa tietojen käsittelyä muokataan ja niitä käytetään yhdessä muiden tarpeellisten toimenpiteiden, menettelyiden ja prosessien (osa on kuvattu alempana) kanssa. Tunnet oman liiketoimintasi parhaiten. Vaikka GoDaddy tahtoo tarjota yrityksellesi työkalut ja resurssit GDPR-yhteensopivuutta varten, emme pysty varmistamaan yrityksesi toiminnan lainmukaisuutta.

Mitkä ovat vaatimukset GDPR-yhteensopivuudelle?

GDPR keskittyy henkilötietojen suojaamiseen. Lyhyesti sanottuna sillä pyritään varmistamaan, että asiakkaidesi henkilötiedot on suojattu oikein. Ennen tarkempaa käsittelyä seuraavassa on lueteltu muutamia lakiin liittyviä avainkäsitteitä, joiden avulla henkilökohtaisten tietojen käsittelyyn liittyvät vastuut voidaan määrittää.

  • Rekisteröity: Henkilö, jonka henkilökohtaisia tietoja tallennetaan. Kyseessä voi olla asiakas, työntekijä tai verkkosivustosi kävijä (viimeksi mainittu, jos keräät tietoja evästeillä tai vastaavalla tekniikalla).
  • Rekisterinpitäjä: Osapuoli, joka määrittelee henkilötietojen käsittelyn käyttötarkoitukset ja tavat.
  • Henkilötietojen käsittelijä: Osapuoli, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.
  • Käsittely: Mikä tahansa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
  • Henkilötiedot: GDPR koskee ainoastaan henkilötietoja eli kaikkia yksittäiseen henkilöön suoraan tai epäsuorasti yhdistettävissä olevia tietoja. Määritelmään sisältyy monia henkilökohtaisia tunnistetietoja, kuten nimi, henkilötunnus, sijaintitiedot ja verkkotunniste. Tämä heijastaa tekniikassa ja yritysten henkilötietojen keräämisessä tapahtuneita muutoksia. Jos tiedon avulla voi tunnistaa käyttäjän, asiakkaan tai muun henkilön, kyse on henkilötiedosta.

Mitä määritelmät merkitsevät oman yritykseni kannalta?

Asiakassuhteessamme on vaiheita, joissa toimimme rekisterinpitäjänä (kun keräämme sinulta tietoja, kuten nimen, osoitteen, sähköpostiosoitteen, puhelinnumeron ja luottokortin numeron tuotteidemme ja palveluidemme myymistä varten), ja vaiheita, joissa me toimimme henkilötietojen käsittelijänä ja sinä olet rekisterinpitäjä (kun käytät tarjoamiamme palveluita oman liiketoimintasi harjoittamiseen ja tiedot siirretään palvelimiemme kautta palveluiden toimittamista ja hallintaa varten; lisätietoja tästä alempana).

Mitkä ovat lainsäädännön tarkat vaatimukset?

GDPR-asetuksen virallinen versio on 261 sivua pitkä, ja se sisältää 173 kappaletta ja 99 artiklaa. Kuten sanottu, se on monimutkainen, paikoin epäselvä ja monitulkintainen. Seuraavassa kerrotaan vain muutamista asetuksen pääkohdista:

  • Läpinäkyvyys

    Mitä tietoja kerätään ja kuinka niitä käytetään? Näihin kysymyksiin vastaaminen helposti ymmärrettävässä muodossa on tärkeää kaikessa tietosuojalainsäädännössä, niin myös GDPR:ssä.

    Olet varmaankin saanut omaan sähköpostiisi runsaasti sähköpostia, jossa eri yritykset kertovat tietosuojakäytäntöihin tehdyistä muutoksista. Tämä ei ole sattumaa. GDPR edellyttää, että yritykset toimivat aiempaa läpinäkyvämmin ja viestivät selvemmin tavoistaan kerätä ja käsitellä asiakkaidensa tietoja. Tietosuojakäytäntö tarjoaa sinulle mahdollisuuden lisätä läpinäkyvyyttä. Yrityksesi voi kertoa asiakkaille selkeästi, kuinka heidän henkilötietojaan kerätään ja käytetään, ja tarjota yhteystiedot tietosuojaan liittyvien oikeuksien käyttämistä varten.

    GoDaddy tarjoaa työkalut, joilla voit lisätä yksityisyyskäytäntöjä verkkosivustoillesi, sekä muutamia mallipohjia tähän. Meillä ei kuitenkaan ole tarkkaa tietoa tai asiantuntemusta liiketoiminnastasi, joten täysin yhteensopivaa yksityisyyskäytäntöä on mahdotonta tarjota.

  • Asiakkaan valinnat ja suostumuksen hallinta

    Läpinäkyvyys on hyvä alku, mutta jos käytät (tai keräät) asiakkailtasi ylimääräisiä tietoja myymiesi tavaroiden tai palvelun toimittamista varten, sinun täytyy lisäksi varmistaa, että heille tarjotaan mahdollisuus suostua tietojen ylimääräiseen käyttöön, ja tarjota heille mahdollisuus perua suostumus myöhemmin.

    Yleisimpänä esimerkkinä on sähköpostiosoitteiden tai puhelinnumeroiden tallentaminen asiakkaiden kanssa tapahtuvaa viestintää varten (usein tällainen viestintä perustuu suostumukseen). Asiakkaat voivat luovuttaa kyseiset tiedot tilin luomisen yhteydessä tai ostaessaan tuotetta tai palvelua. Niihin lukeutuvat myös verkkosivuston kävijöiltä evästeiksi kutsutuilla työkaluilla (ja vastaavilla tekniikoilla, kuten pikseleiden, komentosarjojen jne. avulla) kerättävät tiedot. Olet luultavasti nähnyt evästepalkkeja verkkosivustoilla. Nämä palkit tarjoavat tietosuojakäytännön tavoin mahdollisuuden lisätä läpinäkyvyyttä. Evästepalkista käyttäjät voivat saada lisätietoja heihin liittyvien tietojen keräämisestä, hyväksyä tai hylätä tällaisen käytön ja/tai valita käytettävät evästeet.

    GDPR edellyttää, että asiakkaillesi tarjotaan mahdollisuus antaa suostumus tietojen keräämiseen ja käyttöön. Suostumuksen voi pyytää ainoastaan helposti ymmärrettävällä, tarkalla (tiettyyn käyttötarkoitukseen viittaavalla) ja selkeällä tavalla. Esivalitut valintaruudut, hiljaisuus tai jonkin toimen tekemättä jättäminen eivät käy osoitukseksi asiakkaan suostumuksesta. Jos verkkosivustollasi on esimerkiksi valintaruutu, jossa on teksti ”Jaamme tietosi kolmansien osapuolten mainostajien kanssa”, et voi lisätä valmiiksi valintamerkkiä ruutuun saadaksesi suostumuksen tietojen käsittelyyn. Valintaruudun täytyy olla valitsematta ETA-alueelta saapuville kävijöille, jotka voivat sitten lisätä valinnan tai ilmaista suostumuksensa tietojen käsittelyyn vapaaehtoisesti.

    Sinun täytyy varmistaa, että asiakkaasi pystyvät hallitsemaan omia tietojaan, heihin kohdistuvaa viestintää ja antamiaan suostumuksia, joista viimeksi mainittuun kuuluu myös oikeus suostumuksen perumiseen.

  • Oikeus tulla unohdetuksi

    Kuten mainitsimme, GDPR vastaa hyvin pitkälti muualla maailmassa käytössä olevaa tietosuojalainsäädäntöä. Kyseinen oikeus kuitenkin tekee GDPR:stä poikkeuksellisen. GDPR myöntää käyttäjille ”oikeuden tulla unohdetuksi” (laissa ”poistamisoikeus”). Sen myötä asiakas voi pyytää henkilötietojensa poistamista silloin, kun kerätyt henkilötiedot eivät ole enää oleellisia niiden keräämisen tai käsittelyn alkuperäisen tarkoituksen kannalta.

    Kun oikeus on voimassa, sinun täytyy poistaa rekisteröidyn käyttäjän henkilötiedot järjestelmistäsi, jos niiden säilyttämiselle ei ole liiketoiminnallista tai laillista perustelua (esimerkiksi hyödyntäminen tilinpäätöksessä tai oikeustoimista johtuva tietojen pidättäminen).

    Esimerkiksi liikesuhteen päättävä asiakas voi pyytää keräämiesi ja säilyttämiesi henkilötietojen poistamista. Vaikka oikeutta rajoitetaan joissakin tapauksissa, tällaisten pyyntöjen käsittelyä ja toteuttamista täytyy miettiä ennalta.

    Tietojenkäsittelyn lisäsopimuksen mukaisesti GoDaddy huomioi kaikki sinun (rekisterinpitäjä) esittämät pyynnöt, jotka liittyvät asiakkaan tietojen poistamiseen järjestelmistämme.

  • Oikeus tietojen siirtämiseen

    Oikeus tietojen siirtämiseen on toinen GDPR:lle ainutlaatuinen oikeus, jonka puitteissa käyttäjillä on oikeus hankkia palveluun tallennetut henkilötietonsa ja käyttää niitä uudelleen muissa palveluissa. Oikeuden puitteissa käyttäjille täytyy tarjota mahdollisuus siirtää tai kopioida henkilötietoja yhdestä IT-ympäristöstä toiseen turvallisesti ja niin, ettei tämä haittaa tietojen käytettävyyttä.

    Sanotaan, että olet tapahtumajärjestäjä. Asiakkaasi on luovuttanut kaikki tarvittavat yhteystiedot ja tehnyt henkilökohtaiset asetusvalinnat, mutta sittemmin päättänyt palkata toisen tapahtumajärjestäjän. ETA-alueella tällaisella asiakkaalla täytyy olla mahdollisuus pyytää henkilökohtaisista tiedoistaan sähköistä kopiota, jonka asiakas voi helposti toimittaa uudelle tapahtumajärjestäjälle. GoDaddy auttaa tällaisten pyyntöjen täyttämisessä sikäli kuin asiakkaasi henkilötiedot on tallennettu tarjoamiimme tuotteisiin tai palveluihin ja niiden tuominen niistä on mahdollista.

  • Sisäänrakennettu tietosuoja

    Sisäänrakennettu tietosuoja tarkoittaa, että henkilötietojen keräämisessä, käsittelyssä, tallentamisessa ja käytössä käytetään ennalta harkittuja suojausmenetelmiä. Tähän ei tarvita erityisjärjestelyjä tai ylimääräisiä vaiheita: tietoja kerätään vain tarvittava minimimäärä, joka tallennetaan turvallisessa (eli salatussa) muodossa turvalliseen sijaintiin, johon vain riittävästi koulutetuilla ja tietoja perustellusta syystä käsittelevillä henkilöillä on pääsy. Tähän sisältyy sen varmistaminen, että kolmannet osapuolet suojaavat asiakkaidesi henkilötietoja ennen niiden siirtämistä sinulle.

    Tilanne vastaa periaatteessa potilaan ja lääkärin suhdetta. Potilas olettaa, että hänen terveystietonsa, hänestä tehdyt muistiinpanot ja hänelle annetut neuvot pidetään salassa. Tässä tapauksessa sama vastuu koskee rekisteröityjen käyttäjien tietoja.

    Huomioi joka tilanteessa, kuinka yrityksen GoDaddy tuotteita ja palveluita voidaan käyttää tietoturvallisesti. Vaikka toivomme, että tuotteemme ja palvelumme voidaan sovittaa tarpeisiisi, vastuu niiden käytön yhteensopivuudesta sovellettavien tietosuojalakien kanssa on aina viime kädessä sinulla.

  • Tietoturvaloukkauksista ilmoittaminen

    Tietoturvaloukkauksen tapahtuessa yrityksillä on velvollisuus ilmoittaa asiasta valvovalle viranomaiselle 72 tunnin kuluessa siitä, kun loukkaus on havaittu. Kysy asianajajaltasi lisätietoja tiedottamisesta ja siihen liittyvistä tarvittavista toimenpiteistä.

Mitä tämä siis tarkoittaa?

Kuten aiemmin mainittiin, GoDaddy toimii henkilötietojen käsittelijän roolissa suurimman osan ajasta. Käsittelemme tietojasi vaatimusten mukaisesti ostamiesi palveluiden toimittamista varten tai muulla sovitulla tavalla. Käytätkö palveluitamme tietojen keräämiseen, jonka tarkoituksena on tavaran myynti, tapaamistietojen kerääminen tai asiakashankinta? Ei hätää. Varmistamme, että tiedot käsitellään turvallisesti puolestasi.

Rekisterinpitäjänä sinä hallitset, kuinka tietoja käytetään ja tallennetaan, ja me käsittelemme niitä vain tietojenkäsittelyn lisäyksemme mukaisesti tarjotessamme ja ylläpidämme palveluja puolestasi. Tämä tarkoittaa, että sinun on kiinnitettävä erityistä huomiota sisäisiin käytäntöihisi ja työntekijöiden pääsyyn tietueisiin, mukaan lukien se, miten jaat tietoja kolmansille osapuolille ja kuinka helposti joku pääsee rekisteröidyn tietoihin.

Kuten yllä olevista avainkohdista ilmenee, GDPR (ja muut tietosuojalait) keskittyvät yritysten keräämien ja käyttämien henkilötietojen suojaamiseen.