GDPR-yhteensopivuus verkkosivustolla: kattava checklist kehittäjille ja sivuston omistajille

GDPR (General Data Protection Regulation) on edelleen yksi maailman kattavimmista tietosuojalainsäädännöistä. Jos käsittelet EU:ssa asuvien henkilöiden henkilötietoja — pyörititpä pientä blogia, verkkokauppaa tai SaaS-palvelua — vaatimukset koskevat sinua. Ja koska seuraamukset voivat nousta jopa 20 miljoonaan euroon tai 4 %:iin maailmanlaajuisesta vuosiliikevaihdosta (kumpi on suurempi), perusasiat kannattaa laittaa kuntoon sekä juridisesti että teknisesti.

Alla oleva checklist kokoaa yhteen keskeiset velvoitteet (mukana tarkat GDPR-viittaukset, esim. Article 30, Article 37), sekä konkreettiset toteutusaskeleet: evästebanneri, lomakkeet, sähköpostimarkkinoinnin suostumukset, tietoturvatoimet, ja erityishuomiot WordPressiin.

Mikä GDPR on?

GDPR (EU:n yleinen tietosuoja-asetus) on EU:n valvoma tietosuojalaki, jota on sovellettu 25.5.2018 lähtien. Se määrittää selkeät säännöt sille, miten organisaatiot saavat kerätä, käyttää, säilyttää ja jakaa henkilötietoja. Asetus koskee sekä EU:n sisällä että EU:n ulkopuolella toimivia yrityksiä, jos ne käsittelevät EU:ssa asuvien henkilöiden henkilötietoja.

Roolit: mitä olet GDPR:n näkökulmasta?

Ensimmäinen askel on tunnistaa, missä roolissa toimit, koska vastuut ja velvoitteet vaihtelevat.

• Data Controller (rekisterinpitäjä): organisaatio, joka päättää miksi ja miten henkilötietoja käsitellään. Kantaa ensisijaisen vastuun GDPR-yhteensopivuudesta.
• Data Processor (käsittelijä): kolmas osapuoli, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Velvollinen toteuttamaan asianmukaiset tekniset ja organisatoriset suojaukset.
• Data Subject (rekisteröity): henkilö, jonka henkilötietoja kerätään ja käsitellään. GDPR on olemassa nimenomaan hänen oikeuksiensa suojaamiseksi.

Sama organisaatio voi olla samanaikaisesti sekä rekisterinpitäjä että käsittelijä (esim. jos pyörität palvelua, jossa käsittelet asiakkaiden loppukäyttäjädataa asiakkaan ohjeiden mukaisesti, mutta myös omaa laskutustasi varten kerättyä dataa itse määrittelemilläsi tavoilla).

GDPR:n 7 periaatetta (kannattaa sisäistää ennen checklistiä)

1. Lawfulness, fairness, and transparency: käsittele henkilötietoja lainmukaisesti ja kerro ihmisille läpinäkyvästi, miten tietoja käytetään.
2. Purpose limitation: kerää tietoa vain tiettyihin, laillisiin tarkoituksiin.
3. Data minimization: kerää vain minimimäärä tarpeellista tietoa.
4. Accuracy: pidä tiedot paikkansapitävinä ja ajan tasalla.
5. Storage limitation: älä säilytä tietoa pidempään kuin on tarpeen.
6. Integrity and confidentiality: suojaa tieto luvattomalta käytöltä asianmukaisilla turvatoimilla.
7. Accountability: pysty osoittamaan, että noudatat vaatimuksia (dokumentointi ja prosessit).

Täydellinen GDPR compliance -checklist (verkkosivuston omistajalle)

Checklist on jaettu teemoihin. Jokaisen kohdan alla on myös tieto siitä, koskeeko se erityisesti rekisterinpitäjää (Data Controller), käsittelijää (Data Processor) vai molempia, sekä viittaus relevanttiin GDPR-artiklaan.

Data (mitä tietoa sinulla on ja missä se liikkuu)

1) Sinulla on lista kaikista hallussasi olevista henkilötietotyypeistä, niiden lähteistä, jakamisesta, käyttötarkoituksesta ja säilytysajasta

Applies to: Data Controller, Data Processor

Tee luettelo konkreettisista tietokentistä (”kolumneista”), joita säilytät: esimerkiksi nimi, henkilötunnus, osoite. Jokaiselle tietotyypille dokumentoi:

• mistä tieto tulee (lähde)
• kenelle tieto jaetaan (vastaanottajat / palveluntarjoajat)
• mihin tarkoitukseen tieto kerätään ja käsitellään
• kuinka kauan tieto säilytetään (retention).

Reference: GDPR Article 30 – Records of processing activities

2) Sinulla on lista paikoista, joissa säilytät henkilötietoja, ja kuvaus siitä, miten data virtaa niiden välillä

Applies to: Data Controller, Data Processor

Tämä voi olla lista tietokannoista (esim. MySQL), mutta mukaan pitää ottaa myös offline-varastot (paperiarkistot). Lisäksi kuvaa dataflow: mistä lomakkeesta tieto menee mihin järjestelmään, mitä integraatioita on (API, webhook), ja mitä kopioita syntyy (esim. varmistukset, lokit).

Reference: GDPR Article 30 – Records of processing activities

3) Sinulla on julkisesti saatavilla oleva tietosuojaseloste (privacy policy), joka kuvaa kaikki henkilötietoprosessit

Applies to: Data Controller, Data Processor

Tietosuojaselosteessa tulee kuvata kaikki henkilötietojen käsittelyyn liittyvät prosessit. Dokumenttiin kannattaa sisällyttää (tai linkittää) myös: mitä henkilötietotyyppejä säilytät ja missä järjestelmissä niitä pidetään.

Reference: GDPR Article 30 – Records of processing activities

4) Tietosuojaselosteessa on lainmukainen peruste (lawful basis) sille, miksi tietoja käsitellään

Applies to: Data Controller

Tietojen käsittelylle pitää olla perustelu, esimerkiksi sopimuksen täyttäminen (contract).

Reference: GDPR Article 6 – Lawfulness of processing

Accountability & Management (vastuut, sopimukset, turvallisuus ja hallinta)

5) Olet nimennyt tietosuojavastaavan (DPO) silloin kun se on pakollista

Applies to: Data Controller, Data Processor

DPO (Data Protection Officer, tietosuojavastaava) vaaditaan vain kolmessa tilanteessa:

1. Käsittelyä tekee viranomainen tai julkinen elin (tuomioistuimet poislukien niiden tuomiovallan käytössä).
2. Liiketoiminnan ydintoiminta koostuu käsittelystä, joka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi vaatii rekisteröityjen säännöllistä ja järjestelmällistä seurantaa suuressa mittakaavassa.
3. Liiketoiminnan ydintoiminta koostuu Article 9:n mukaisten erityisten henkilötietoryhmien (sensitive data) tai Article 10:n mukaisten rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen laajamittaisesta käsittelystä.

Jos DPO vaaditaan, hänellä tulee olla osaaminen GDPR-ohjeistuksesta sekä ymmärrys organisaation sisäisistä prosesseista, joissa henkilötietoja käsitellään.

Reference: GDPR Article 37 – Designation of the data protection officer

6) Varmistat, että päätöksentekijät tuntevat GDPR-ohjeistuksen

Applies to: Data Controller, Data Processor

Käytännössä tämä tarkoittaa, että avainhenkilöillä ja päätöksentekijöillä on ajantasainen käsitys tietosuojalainsäädännöstä ja siitä, miten se vaikuttaa tuote- ja teknisiin valintoihin.

Reference: GDPR Article 25 – Data protection by design and by default

7) Tekninen tietoturva on ajan tasalla

Applies to: Data Controller, Data Processor

Erityisesti SaaS-yrityksissä on järkevää käyttää turvallisuuschecklistejä lähtökohtana, jotta tekniset toimenpiteet ovat oikealla tasolla (mm. kovennus, pääsynhallinta, lokitus, varmuuskopiot, haavoittuvuuksien hallinta).

Reference: GDPR Article 25 – Data protection by design and by default

8) Koulutat henkilöstön tietosuoja- ja tietoturvatietoisuuteen

Applies to: Data Processor

Monet haavoittuvuudet syntyvät siitä, että hyväuskoinen henkilö, jolla on pääsy sisäisiin järjestelmiin, toimii huijauksen tai virheen kautta. Varmista, että työntekijät tunnistavat riskit ja ymmärtävät toimintamallit.

Reference: GDPR Article 25 – Data protection by design and by default

9) Sinulla on lista alikäsittelijöistä (sub-processors) ja tietosuojaseloste mainitsee niiden käytön

Applies to: Data Processor

Asiakkaille tulee kertoa, jos käytät alikäsittelijöitä. Suostumus saadaan käytännössä, kun asiakas hyväksyy tietosuojaselosteen.

Reference: GDPR Article 28 – Processor

10) Jos toimit EU:n ulkopuolelta, olet nimennyt edustajan EU:hun

Applies to: Data Controller, Data Processor

Jos yritys toimii EU:n ulkopuolella ja kerää EU-kansalaisten tietoja, tulee nimetä edustaja johonkin jäsenvaltioon. Tämä henkilö hoitaa käsittelyyn liittyviä asioita, ja paikallisen viranomaisen on voitava ottaa häneen yhteyttä.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

11) Ilmoitat henkilötietojen tietoturvaloukkaukset viranomaiselle ja rekisteröidyille

Applies to: Data Controller, Data Processor

Henkilötietojen tietoturvaloukkaus pitää raportoida 72 tunnin sisällä valvontaviranomaiselle. Raportissa kuvataan mitä dataa menetettiin, seuraukset ja mitä vastatoimia on tehty. Ellei vuotanut data ollut salattu (encrypted), loukkauksesta pitää myös ilmoittaa niille henkilöille (data subjects), joiden tiedot menetit.

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

12) Sinulla on sopimus jokaisen käsittelijän kanssa, jolle jaat dataa

Applies to: Data Controller

Sopimuksessa pitää olla selkeät ohjeet siitä, miten käsittelijä saa tallentaa tai käsitellä dataa. Sopimuksen tulee määrittää:

• käsittelyn kohde ja kesto
• käsittelyn luonne ja tarkoitus
• henkilötietojen tyyppi
• rekisteröityjen kategoriat
• rekisterinpitäjän velvollisuudet ja oikeudet.

Käytännössä tämä voi olla esimerkiksi sopimus webhotellin/hosting-palvelun kanssa. Samat sopimusvaatimukset pätevät myös tilanteessa, jossa käsittelijä käyttää alikäsittelijää toteuttaakseen käsittelytoimia rekisterinpitäjän puolesta.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

New Rights (käytännön prosessit rekisteröidyn pyyntöihin)

13) Käyttäjä voi helposti pyytää pääsyn omiin henkilötietoihinsa

Applies to: Data Controller, Data Processor

Tarvitset selkeästi määritellyn prosessin, jolla käsittelet rekisteröidyn access request -pyynnöt.

Reference: GDPR Article 15 – Right of access by the data subject

14) Käyttäjä voi helposti päivittää tietonsa, jotta ne pysyvät oikein

Applies to: Data Controller, Data Processor

Tarjoa mekanismi, jolla käyttäjä voi korjata virheellisiä tietoja.

Reference: GDPR Article 16 – Right to rectification

15) Poistat automaattisesti tiedot, joille ei ole enää käyttötarvetta

Applies to: Data Controller, Data Processor

Poistosta kannattaa tehdä automaattista. Esimerkiksi: poistetaan asiakkaiden data, jos sopimusta ei uusita.

Reference: GDPR Article 5 – Principles relating to processing of personal data

16) Käyttäjä voi helposti pyytää henkilötietojensa poistamista

Applies to: Data Controller, Data Processor

Toteuta prosessi poistopyyntöjen käsittelyyn (”right to be forgotten”).

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

17) Käyttäjä voi helposti pyytää käsittelyn rajoittamista (lopettamista tietyllä tavalla)

Applies to: Data Controller, Data Processor

Käyttäjällä on oikeus rajoittaa, miten hänen tietojaan käsitellään.

Reference: GDPR Article 18 – Right to restriction of processing

18) Käyttäjä voi helposti pyytää datan toimittamista itselleen tai kolmannelle osapuolelle

Applies to: Data Controller, Data Processor

Data portability tarkoittaa, että käyttäjä voi pyytää tietonsa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.

Reference: GDPR Article 20 – Right to data portability

19) Käyttäjä voi helposti vastustaa profilointia tai automaattista päätöksentekoa, joka vaikuttaa häneen

Applies to: Data Controller

Tämä koskee vain, jos teet profilointia tai muuta automaattista päätöksentekoa.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

Consent (suostumus)

20) Kun käsittely perustuu suostumukseen, suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja peruutettavissa

Applies to: Data Controller

Jos sivusto kerää henkilötietoja, pidä näkyvä linkki tietosuojaselosteeseen ja varmista, että käyttäjä hyväksyy ehdot. Suostumus vaatii aktiivisen toiminnon: valmiiksi rastitetut checkboxit eivät ole sallittuja.

Reference: GDPR Article 7 – Conditions for consent

21) Tietosuojaseloste on kirjoitettu selkeästi ja ymmärrettävästi

Applies to: Data Controller

Kielen tulee olla selkeää eikä tarkoitusta saa piilottaa. Muuten sopimus voi käytännössä vesittyä. Jos palvelua tarjotaan lapsille, tekstin on oltava myös heidän ymmärrettävissään.

Reference: GDPR Article 7.2 – Conditions for consent

22) Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antamisen

Applies to: Data Controller

Käyttäjälle ei saa tehdä peruuttamisesta vaikeampaa kuin hyväksymisestä.

Reference: GDPR Article 7.3 – Conditions for consent

23) Jos käsittelet lasten henkilötietoja, varmistat iän ja pyydät huoltajan suostumuksen

Applies to: Data Controller

Alle 16-vuotiaiden osalta tulee varmistaa, että laillinen huoltaja on antanut suostumuksen. Jos suostumus annetaan verkkosivun kautta, kannattaa pyrkiä varmistamaan, että hyväksyntä tuli oikeasti huoltajalta (eikä lapselta).

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

24) Kun päivität tietosuojaselostetta, informoit nykyisiä asiakkaita

Applies to: Data Controller

Esimerkiksi sähköpostilla ennen muutoksia. Viestinnän pitää selittää yksinkertaisesti, mitä muuttui.

Reference: GDPR Article 7 – Conditions for consent

Follow-up (jatkuva ylläpito)

25) Tarkistat säännöllisesti käytännöt: muutokset, toimivuus, datankäsittelyn muutokset ja maiden tilanteet, joihin dataa siirtyy

Applies to: Data Controller

GDPR-yhteensopivuus ei ole kertaprojekti. Seuraa parhaita käytäntöjä, päivitä käytännöt paikallisten vaatimusten mukaan ja arvioi säännöllisesti myös rajat ylittävät datavirrat.

Reference: GDPR Article 25 – Data protection by design and by default

Special Cases (erityistilanteet)

26) Ymmärrät, milloin sinun on tehtävä DPIA korkean riskin käsittelylle

Applies to: Data Controller

Tämä koskee yrityksiä, jotka tekevät laajamittaista henkilötietojen käsittelyä, profilointia tai muuta toimintaa, jossa riski rekisteröityjen oikeuksille ja vapauksille on korkea. Tällöin pitää tehdä DPIA (Data Protection Impact Assessment, tietosuojavaikutusten arviointi).

Reference: GDPR Article 35 – Data protection impact assessment

27) Siirrät dataa EU:n ulkopuolelle vain maihin, joilla on riittävä tietosuojan taso — ja kerrot siirroista tietosuojaselosteessa

Applies to: Data Controller, Data Processor

Rajat ylittävät siirrot pitää myös avata tietosuojaselosteessa. Jos siirrät tietoja maihin, joita ei katsota riittäviksi, käytä Standard Contractual Clauses (SCCs) tai Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Rekisteröidyn oikeudet (Data Subject Rights) – mitä sivuston pitää pystyä tukemaan

Seuraavat oikeudet koskevat kaikkia rekisteröityjä (data subjects). Vaikka et toteuttaisi kaikkea itsepalveluna, prosessin pitää olla olemassa, ja sinun pitää pystyä vastaamaan pyyntöihin.

Oikeus läpinäkyvään informaatioon

Rekisterinpitäjän on annettava käsittelyyn liittyvät tiedot tiiviissä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä kielellä. Erityisesti lapsille suunnatussa informaation pitää olla heille sopivaa. Tiedot annetaan kirjallisesti tai muulla tavalla, myös sähköisesti tilanteen mukaan.

Reference: GDPR Article 12

Oikeus saada tietyt tiedot, kun henkilötiedot kerätään suoraan

Tähän kuuluu:

1. rekisterinpitäjän identiteetti ja yhteystiedot
2. tietosuojavastaavan yhteystiedot (jos soveltuu)
3. käsittelyn tarkoitukset ja oikeusperuste
4. rekisterinpitäjän oikeutetut edut (jos soveltuu)
5. henkilötietojen vastaanottajat tai vastaanottajaryhmät
6. tiedot siirroista kolmansiin maihin.

Reference: GDPR Article 13

Oikeus saada tietyt tiedot, kun henkilötietoja ei kerätä suoraan

Kun tieto saadaan muualta kuin rekisteröidyltä, samantyyppiset tiedot pitää antaa. Lisäksi on kerrottava kyseessä olevien henkilötietojen kategoriat sekä tiedon lähde.

Reference: GDPR Article 14

Tarkastusoikeus (right of access)

Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö hänen tietojaan, ja pääsy ainakin seuraaviin:

• käsittelyn tarkoitukset
• kyseessä olevat henkilötietokategoriat
• vastaanottajat, joille tietoja on luovutettu tai luovutetaan
• suunniteltu säilytysaika
• oikeudet oikaisuun, poistoon, rajoittamiseen ja vastustamiseen
• oikeus tehdä valitus valvontaviranomaiselle
• tiedon lähde (jos tietoa ei kerätty rekisteröidyltä)
• automaattisen päätöksenteon olemassaolo, mukaan lukien profilointi.

Reference: GDPR Article 15

Oikeus oikaista tiedot (right to rectification)

Rekisteröidyllä on oikeus saada virheelliset tiedot oikaistua ilman aiheetonta viivytystä ja puutteelliset tiedot täydennettyä.

Reference: GDPR Article 16

Oikeus tulla unohdetuksi (right to erasure)

Rekisteröity voi pyytää tietojensa poistamista, kun:

1. tieto ei ole enää tarpeen alkuperäiseen tarkoitukseen
2. suostumus perutaan eikä käsittelylle ole muuta oikeusperustetta
3. rekisteröity vastustaa käsittelyä eikä ole olemassa ensisijaisia oikeutettuja perusteita
4. tietoja on käsitelty lainvastaisesti
5. tiedot on poistettava lakisääteisen velvoitteen noudattamiseksi
6. tiedot kerättiin lapselle tarjottuihin tietoyhteiskunnan palveluihin liittyen.

Reference: GDPR Article 17

Oikeus käsittelyn rajoittamiseen (right to restriction of processing)

Rekisteröity voi pyytää käsittelyn rajoittamista, kun:

1. rekisteröity kiistää tietojen paikkansapitävyyden (ajaksi, joka mahdollistaa varmistamisen)
2. käsittely on lainvastaista ja rekisteröity vastustaa poistoa
3. rekisterinpitäjä ei enää tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeudellisten vaateiden vuoksi
4. rekisteröity on vastustanut käsittelyä odottaessaan oikeutettujen perusteiden varmistamista.

Reference: GDPR Article 18

Oikeus saada tieto oikaisusta, poistosta tai rajoittamisesta (notification)

Rekisterinpitäjän tulee viestiä oikaisusta, poistosta tai käsittelyn rajoittamisesta jokaiselle vastaanottajalle, jolle tietoja on luovutettu, ellei tämä ole mahdotonta tai vaatisi kohtuutonta vaivaa.

Reference: GDPR Article 19

Oikeus siirtää tiedot järjestelmästä toiseen (data portability)

Rekisteröidyllä on oikeus saada henkilötietonsa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä oikeus siirtää tiedot toiselle rekisterinpitäjälle ilman estettä.

Reference: GDPR Article 20

Vastustamisoikeus (right to object)

Rekisteröity voi henkilökohtaiseen tilanteeseensa liittyvillä perusteilla vastustaa milloin tahansa käsittelyä, joka perustuu oikeutettuun etuun tai yleiseen etuun, mukaan lukien profilointi.

Reference: GDPR Article 21

Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi

Rekisteröidyllä on oikeus olla joutumatta yksinomaan automaattiseen käsittelyyn perustuvan päätöksen kohteeksi (mukaan lukien profilointi), jos päätös tuottaa oikeusvaikutuksia tai muuten vaikuttaa vastaavalla tavalla merkittävästi.

Reference: GDPR Article 22

Käytännön toteutus: konkreettiset askeleet verkkosivulle

1) Koveta ja suojaa verkkosivusto

• Asenna SSL-sertifikaatti (HTTPS), jotta liikenne selaimen ja palvelimen välillä on salattu.
• Käytä vahvoja salasanoja kaikille admin-tunnuksille.
• Lisää lisäsuojaus maksutietojen käsittelyyn (payment information).
• Käytä CDN-palvelua, joka suojaa DDoS-hyökkäyksiltä.
• Ota käyttöön anti-virus-ohjelmisto luvattoman pääsyn estämiseksi.
• Minimoi datankeruu — kerää vain se, mitä oikeasti tarvitset.
• Pseudonymisoi tai anonymisoi henkilötiedot ennen tallennusta.
• Tee varmuuskopiot useaan turvalliseen sijaintiin.
• Poista data kun sitä ei enää tarvita.

2) Lisää evästeiden suostumusbanneri (cookie consent banner)

Jos käytät ei-välttämättömiä evästeitä, tarvitset nimenomaisen suostumuksen ennen kuin aktivoit ne.

Evästebannerin pitää:

• Estää evästeet ennen suostumusta: lataa vain välttämättömät evästeet, kunnes käyttäjä valitsee opt-in.
• Käyttää selkeää ja yksinkertaista kieltä: mitä evästeitä käytetään ja miksi.
• Näyttää hyväksy/hylkää-painikkeet tasapuolisesti: hylkäystä ei saa piilottaa.
• Tarjota granulaariset valinnat: käyttäjä voi valita evästeluokat erikseen.
• Mahdollistaa suostumuksen peruuttamisen: helppo tapa muuttaa valintoja myöhemmin.
• Tallentaa suostumuksen: kirjaa valinnat aikaleiman kanssa, jotta voit todistaa noudattamisen.

3) Käy läpi verkkosivun lomakkeet

Jokainen lomake, joka kerää henkilötietoja, pitää rakentaa GDPR-yhteensopivaksi.

• Lisää tietosuojahuomautus: miksi tietoja tarvitaan.
• Lisää ruksittamaton checkbox suostumukselle.
• Tee erillinen opt-in markkinointiviesteille.
• Linkitä Privacy Policyyn.
• Käytä selkeää, yksinkertaista kieltä.

4) Hanki suostumus markkinointisähköposteihin oikein

• Käytä vain selkeää opt-in-mallia: ruksittamaton checkbox nimenomaan sähköpostisuostumukselle.
• Ota käyttöön double opt-in: vahvistus liittymiseen sähköpostin kautta.
• Pidä suostumuslokit: päivämäärä, aika, menetelmä ja tarkoitus.
• Lisää näkyvä unsubscribe-linkki jokaiseen sähköpostiin (mielellään yhden klikkauksen peruutus).
• Käsittele peruutukset nopeasti: ihannetilanteessa 24 tunnin sisällä.

5) Valmistaudu tietoturvaloukkauksiin (data breaches)

• Ilmoita valvontaviranomaiselle 72 tunnin sisällä.
• Ilmoita vaikutuksen alaisille käyttäjille, jos riski heidän oikeuksilleen on korkea.
• Dokumentoi kaikki (accountability).
• Päivitä käytännöt ja tekniset kontrollit, jotta vastaava ei toistu.

WordPress-erityishuomiot (käytännössä yleisimmät kompastuskivet)

WordPress-sivustoissa GDPR-työ on usein yhdistelmä asetuksia, lisäosia ja toimintamalleja. Peruschecklist, joka kannattaa käydä läpi:

• Pidä WordPress core, teemat ja lisäosat ajan tasalla.
• Käytä GDPR-yhteensopivia lomakeratkaisuja (esim. suostumuscheckboxit yhteydenottolomakkeissa).
• Asenna toimiva evästeiden suostumusratkaisu.
• Käytä GDPR-yhteensopivaa analytiikkaratkaisua.
• Arvioi lisäosien datankeruu: mitä kerätään, minne lähetetään, ja millä perusteella.
• Toteuta käyttäjädatan export/delete -toiminnallisuus (tietojen vienti ja poisto).

Sanktioista käytännössä: mitä voi tapahtua?

GDPR jakaa seuraamuksia karkeasti kahteen tasoon:

• Lower tier violations: enintään 10 miljoonaa € tai 2 % maailmanlaajuisesta vuosiliikevaihdosta.
• Upper tier violations: enintään 20 miljoonaa € tai 4 % maailmanlaajuisesta vuosiliikevaihdosta.

Rahallisten sakkojen lisäksi viranomaiset voivat myös:

• antaa varoituksia
• kieltää käsittelyn väliaikaisesti tai pysyvästi
• määrätä tietojen poistamisesta
• rajoittaa tiedonsiirtoja.

FAQ: yleisimmät kysymykset

Mikä on GDPR compliance checklist?

GDPR compliance checklist on tehtävälista toimenpiteistä, joilla täytät GDPR-vaatimukset. Se auttaa tunnistamaan puutteet ja kehityskohdat tietosuojakäytännöissä.

Kuka on vastuussa GDPR-yhteensopivuudesta?

Ensisijainen vastuu on rekisterinpitäjällä (data controller), tyypillisesti sivuston tai liiketoiminnan omistajalla. Myös käsittelijöillä (data processors) on omia vaatimuksia ja velvoitteita.

Koskeeko GDPR yhdysvaltalaisia yrityksiä?

Kyllä, jos käsittelet EU:ssa asuvien henkilöiden henkilötietoja — riippumatta siitä, missä yritys sijaitsee.

Mikä on suurin mahdollinen seuraamus?

Enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuosiliikevaihdosta, kumpi on suurempi.

Tarvitsenko evästebannerin?

Kyllä, jos sivustolla käytetään ei-välttämättömiä evästeitä ja sivustolla on EU-kävijöitä.

Tarvitsenko tietosuojavastaavan (DPO)?

Vain jos: (1) olet viranomainen/julkinen elin, (2) ydintoimintasi vaatii laajamittaista ja järjestelmällistä yksilöiden seurantaa, tai (3) käsittelet laajamittaisesti arkaluonteista dataa.