Huomasitko kesäloman aikana tapahtuneen tietosuojaa koskevan muutoksen? Aiemmin datan keruun osalta päänvaivaa aiheuttaneiden yhdysvaltalaisten palveluntarjoajien kuten Googlen,Metan ja Microsoftin ratkaisut ovat  kesällä voimaan tulleen päätöksen  jälkeen taas  EU:n GDPR-asetuksen kannalta helpommin käytettävissä. Joten ei hätää mikäli yrityksesi ei ole ehtinyt vielä siirtää tietoja edellä mainituista muihin ratkaisuihin ja järjestelmiin. 

Tässä kirjoituksessa kerromme mistä 10.7.2023 voimaan tulleessa muutoksessa on kyse ja käymme lyhyesti läpi yrityksen verkkosivujen tietosuojavaatimuksia.

Datan keruu ja tiedonsiirto Yhdysvaltoihin helpottuu

Heinäkuussa tapahtui muutos, joka helpottaa tiedonsiirtoa Yhdysvaltoihin. Euroopan komissio hyväksyi päätöksen Yhdysvaltojen tietosuojan riittävästä tasosta ja muutos henkilötietojen siirrosta astui voimaan 10.7.2023. Käytännössä tämä tarkoittaa sitä, että henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin ja käyttävät esimerkiksi EU:n tietosuoja mallilausekkeita omien sopimusehtojensa osana tai vastaavan sisältöisiä ehtoja Päätöstä ei kuitenkaan voi käyttää julkisen sektorin toimijoiden väliseen tiedonsiirtoon. 

Henkilötietojen siirtäminen yhdysvaltalaiselle yritykselle on mahdollisa, mikäli yhdysvaltalainen yritys on Data Privacy Framework (DPF) -hyväksyntälistalla aktiivisena. Voit tarkistaa tämän linkin takaa, onko yhdysvaltalainen toimija aktiivinen DPF-listalla. Huolehdi kuitenkin, että sopimusehdot ovat muutenkin tietosuojan kannalta kunnossa.

Käytännössä uudistus helpottaa isosti yhteistyötä yhdysvaltalaisten toimijoiden kanssa ja sujuvoittaa sopimusasioita. Uudistus tekee myös datan keruun Google Analyticsin kautta mahdolliseksi ilman mitään erityistoimenpiteitä. Aiemmin kävijöitä yksilöivien tietojen kerääminen sekä tiedon siirtäminen Yhdysvaltoihin nousi uutisointiin erityisesti vuonna 2022, kun EU-kansalaisia koskevien tietojen siirto Yhdysvaltoihin ei vielä noudattanut GDPR-asetusta. Heinäkuussa 2023 julkaistun uudistuksen myötä EU ja Yhdysvallat ovat kuitenkin mahdollistaneet datan keruun Google Analyticsin kautta laillisesti.

Google Analyticsia käytettäessä on edelleen huolehdittava siitä, että verkkosivun kävijöiltä kysytään lupa seurantatietojen keräämiseen evästebannerilla. Evästevalintoja tulee myös aidosti kunnioittaa ja tietosuojaselosteessa rehellisesti kertoa miten tietoja käytetään.

Myös esimerkiksi Microsoftin ja Metan osalta ei ole syytä tehdä muutoksia ja siirtää dataa muualle siinä pelossa, että niiden kautta datan kerääminen ei noudattaisi GDPR-asetusta.

On tärkeää muistaa, että tietosuojakehystä arvioidaan säännöllisesti. Arviointien perusteella on siis mahdollista, että heinäkuussa 2023 voimaan astunut päätös ei enää ensi vuonna ole pätevä. Tilannetta kannattaa seurata aktiivisesti ja varautua muutoksiin. Muutoksia voi seurata esimerkiksi Euroopan unionin viralliselta verkkosivulta.

Noudattavatko kotisivusi tietosuojavaatimuksia?

Tietosuoja voi kuulostaa monimutkaiselta, mutta yksinkertaisimmillaan kyse on listauksesta, jossa kerrotaan kuinka yrityksesi käsittelee henkilötietoja. Osoitusvelvollisuus on GDPR:n mukana tullut muutos, jonka tarkoituksena on näyttää, miten rekisterinpitäjä kunnioittaa rekisteröityjen eli henkilötietojen käsittelyn kohteena olevien tietosuojaa. 

Osoitusvelvollisuudella rekisterinpitäjä voi näyttää, että on aktiivisesti pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja käyttänyt tarvittavia toimenpiteitä henkilötietojen suojaamiseksi tilanteessa, jossa havaitaan esimerkiksi tietoturvaloukkaus. Mikäli rekisterinpitäjä ei pysty osoittamaan noudattavansa tietosuoja-asetuksen velvoitteita, voi siitä aiheutua hallinnollisia seuraamuksia – maineriskin lisäksi. 

Tietosuojaselostetta ei luonnollisesti voi suoraan kopioida toiselta toimijalta, sillä missään yrityksessä tietoja tuskin käsitellään täsmälleen samalla tavalla. Tietosuojavaltuutetun toimiston sivuilta löytyy lista, jonka avulla voit varmistaa, että oman yrityksesi tietosuojaseloste on säännösten ja osoitusvelvollisuuden mukainen.

Tietosuojaselosteen lisäksi on muistettava evästebanneri, jolla kysyt luvan evästeiden käyttöön ja annat samalla sivulla kävijöille mahdollisuuden vaikuttaa siihen, millaista tietoa heistä kerätään. Edelleen verkossa tulee vastaan useita verkkosivuja, joilta evästekysely puuttuu kokonaan. Huolehdi, että oman yrityksesi verkkosivut noudattavat evästekäytäntöjä ja samalla osoitat niin nykyisille kuin potentiaalisille uusille asiakkaille olevasi luotettava ja turvallinen toimija. Tarkempaa tietoa lainmukaisista evästeistä löydät blogikirjoituksesta, jonka julkaisimme aiemmin.

Tutustu blogissamme myös muihin ajankohtaisiin uutisiin ja vinkkeihin!