Muista varmistaa verkkosivustosi GDPR-kelpoisuus

Olet ehkä kuullut sakoista, joita yritykset ovat joutuneet maksamaan GDPR-säännösten rikkomisen vuoksi. Seuraavassa muutama keino, joiden avulla voit itse välttää niitä. 

Viime aikoina on useille yrityksille määrätty sakkoja GDPR-säännösten noudattamatta jättämisestä verkkosivustoillaan. Maailmalla suurimmat sakkosummat ovat olleet jopa 20 M€ tai 4 % yrityksen liikevaihdosta – riippuen siitä, kumpi on enemmän.

Yleinen tietosuoja-asetus GDPR (General Data Protection Regulation) määrää, että verkkosivujen käyttäjillä on oikeus nähdä luovuttamansa henkilökohtaiset tiedot ja saada tietää, kuinka niitä hyödynnetään. Asetuksessa henkilökohtaiseksi määritellään kaikki tunnistettuun tai tunnistettavissa olevaan henkilöön liittyvä data: 

”Tässä asetuksessa tarkoitetaan ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.”

– EU yleinen tietosuoja-asetus, artikla 4

Kuinka voit varmistaa GDPR:n noudattamisen omassa yrityksessäsi? Emme tarjoa tässä artikkelissa kattavaa GDPR-strategiaa, mutta kuitenkin yksinkertaisia keinoja, joilla saat verkkosivustonne asetuksen mukaiseksi.

Voit tarkistaa tietosuoja-asetuksen vaatimukset täältä.

Mikä tekee sivustosta GDPR-asetuksen mukaisen?

GDPR-asetus säätelee laajana kokonaisuutena kaikenlaista kolmansien osapuolten tiedonkeruuta. Tämä koskee etenkin lähes jokaisen yrityksen verkkosivuilla olevia jälkikäteen asennettuja tiedonkeruu- ja analytiikkaratkaisuja, joiden oletusasetukset eivät välttämättä ole asetuksen mukaisia. Näitä ovat esimerkiksi:

  1. Google Analytics
  2. Leadfeeder
  3. Hotjar
  4. Facebook Pixel
  5. LinkedIn Insights tag

Vastaavia ohjelmia on loputtomasti. Oman sivustonne GDPR-kelpoisuuden parantamisen voit aloittaa lisäämällä sivuille evästebannerin ja evästeselosteen. Niiden avulla sivustollasi kävijät voivat antaa suostumuksensa tiedon keräämiselle ja evästeiden käytölle. 

GPDR-kelpoinen evästebanneri

Suostumuksen hallinta-alusta CMP (Consent Management Platform) on ohjelma tai lisäosa, jolla hallitaan käyttäjien evästeasetuksia ja suostumusta. WordPress-sivustoille saat CMP:n helposti plugin-lisäosana, joka näkyy sivuston käyttäjille bannerina. Evästehallinnan lisäosat tunnistavat kaikki evästeet ja seurantatyökalut sekä antavat käyttäjille mahdollisuuden sallia tai kieltää evästeiden käytön. 

GDPR-kelpoiseen evästebanneriin tulee lisätä linkki evästeselosteeseen sekä lyhyt kuvaus jokaisesta evästetyypistä, jotka käyttäjä voi erikseen hyväksyä tai hylätä. Käyttäjälle täytyy myös antaa mahdollisuus koska tarkastaa omat evästeasetuksensa.

Nämä ominaisuudet kuuluvat yleensä lisäosana saataviin evästebannereihin, mutta niiden asetuksia voi joutua erikseen muokkaamaan.

Muista, ettei evästeiden salliminen voi olla ehtona sivuston selailulle. 

Tunnista eri evästeluokat

GDPR edellyttää, että pyydät sivuston käyttäjiltä erikseen suostumuksen evästeille, jotka eivät ole sivuston toiminnan kannalta välttämättömiä. Tässä ovat yleisimmät evästeluokat:

Välttämättömät evästeet ovat nimensä mukaisesti välttämättömiä sivuston selailulle ja toiminnoille, kuten asiakaskirjautumiselle.

Mieltymysevästeet tallentavat tietoja käyttäjän aiemmin tekemistä valinnoista, kuten kielestä ja kirjautumistunnuksista.

Tilastoevästeet keräävät tietoa käyttäjän liikkumisesta verkkosivustolla ja yksittäisillä sivuilla.

Markkinointievästeet ovat yleensä kolmannen osapuolen evästeitä, jotka seuraavat käyttäjän verkkokäyttäytymistä mainonnan kohdentamiseksi tai tiettyjen mainosten rajoittamiseksi.

Muista, että ennen käyttäjän suostumusta ei sivulla saa olla käytössä muita kuin välttämättömiä evästeitä. 

Jos lisäät sivustolle suostumusbannerin CMP-lisäosan avulla, voit yleensä myös skannata sillä sivustosi koodin, jolloin se listaa ja jakaa evästeesi eri luokkiin. 

Kuinka teen GDPR-kelpoisen evästeselosteen?

Evästeselosteessa kerrot, mitä tietoja sivusto käyttäjistään kerää ja mihin sitä hyödynnetään. Selosteesta tulee löytyä seuraavat asiat:

  • Kuvaus siitä, mitä evästeet ovat.
  • Kuvaus siitä, mihin evästeitä käytetään.
  • Lista kolmannen osapuolen palveluista, joita sivusto käyttää tiedon keräämiseen. Kolmannen osapuolen evästeet tulee jaotella aiemmin mainittujen luokkien mukaan.
  • Lista yksittäisistä evästeistä, sisältäen niiden kestot ja toimintakuvaukset. Saat listan todennäköisesti CMP-lisäosasta, mutta sen sisältöä voi joutua täydentämään.

Evästeiden kuvausten lisäksi käyttäjille tulee kertoa, kuinka he voivat muuttaa omia evästeasetuksiaan.

Onneksi olkoon! Näillä tiedoilla pääset jo pitkälle sivustosi GDPR-kelpoisuudessa. 

Näiden toimien toteuttamiseen saat halutessasi apua Jengalta. Samalla voimme tarkistaa mahdolliset artikkelin jälkeen tulleet säännösten muutokset.

OTA YHTEYTTÄ – laitetaan sivustosi GDPR-asetukset kerralla kuntoon!

Lisätietoa

GDPR-asetus kokonaisuudessaan: https://gdpr-info.eu/

Kelpoisuuden tarkistuslista: https://gdpr.eu/checklist/

Sivuston GDPR-tarkistus verkossa: ​​https://www.cookiebot.com/en/gdpr-cookies/