GDPR – Mitä se käytännössä tarkoittaa verkkosivuston ylläpitäjän kannalta?

Jyri Vuorinen ajankohtaista, markkinointiteknologia, web-analytiikka

Koko verkkomarkkinointiala kuplii edessä olevan GDPR (General Data Protection Regulation) säädöksen vuoksi, eikä ihme. Tähän päivään asti on ollut hyvin epäselvää, miten GDPR koskettaa juuri minun liiketoimintaani ja miten voin toimia.

Nyt pääosa verkkosivustolla vaadittavista muutoksista alkaa olemaan meille OIKIOlla hyvin selviä ja haluamme jakaa tämän tiedon kaikille!

Tässä artikkelissa esitetyt tulkinnat ovat OIKIOn tämänhetkisen parhaan tiedon mukaisia. Tiedot perustuvat www.eugdpr.org -sivuston tietoihin, lukuisiin keskusteluihin alan ammattilaisten kanssa sekä viimeaikaisiin virallisiin dokumentteihin Googlelta sekä IAB:ltä. Suosittelemme tämän artikkelin tietojen lisäksi keskustelemaan yrityksen oman juristin kanssa aiheesta, jotta kaikki omaan liiketoimintaan liittyvät seikat tulevat tarkastettua.

GDPR pähkinänkuoressa verkkosivuston ylläpitäjälle

  1. Jokaiselta käyttäjältä on pyydettävä hyväksyntä ennen kun käyttäjästä kerätään dataa millään tavalla.
  2. Jos käyttäjä ei anna hyväksyntää, käyttäjästä ei saa kerätä dataa.
  3. Käyttäjän on pystyttävä käyttämään palvelua, vaikka hän kieltäytyisikin datan keruun ja käsittelyn piiristä.
  4. Käyttäjien hyväksynnistä on pidettävä rekisteriä, jolla voidaan todentaa hyväksynnät jälkeenpäin.
  5. Kaikkien käyttöehtojen on oltava ehdottoman selkokielisiä niin, että kenellä tahansa käyttäjällä on mahdollisuus ymmärtää, miten hänen tietojaan käytetään.
  6. Jokaisen yrityksen, joka kerää ja tallentaa henkilöihin liittyvää dataa, on turvallisinta valita DPO (Data Protection Officer), joka vastaa kaikista tietosuojaan liittyvistä seikoista.
  7. Jos kaksi yritystä välittävät toisilleen asiakkaisiin liittyvää dataa, on näiden kahden yrityksen välillä suositeltavaa allekirjoittaa DPA (Data Processing Agreement) -sopimus, jossa määritellään vastuut datan käsittelystä.
  8. Jos käyttäjä pyytää erikseen, että kaikki häneen liittyvä data poistettaisiin yrityksen tiedoista on toivomus toteutettava.

Mikä muuttuu verkkosivustolla kun GDPR astuu voimaan 25.5.2018?

Suurin muutos verkkomarkkinoijan näkökulmasta tulee olemaan aktiivisen hyväksynnän (consent) pakollinen pyytäminen. Jotta käyttäjästä saisi kerätä käytännössä mitään tietoa, on siihen kysyttävä käyttäjän aktiivinen lupa. Käyttäjällä on oltava myös mahdollisuus estää kaikki datankeruu hänen osaltaan.

Tämä tarkoittaa sitä, että ainoa tapa hoitaa tämä säädöksen vaatimalla tavalla on näyttää käyttäjälle verkkosivuston käytön keskeyttävä kysely siinä vaiheessa kun käyttäjä saapuu sivustolle.

Alla esimerkki, kuinka Google on toteuttanut käytön keskeyttävän kyselyn:

Esimerkki Googlen toteutuksesta

Jos käyttäjä valitsee “hyväksyn”, voidaan seurantaskriptit laukaista kuten ennenkin. Jos taas käyttäjä haluaa kieltäytyä datan keruusta, mitään seurantaskritpejä ei saa laukaista ja käyttäjä jatkaa sivuston käyttöä anonyymisti. Yllä esitetyssä kuvassa ”Other options” linkki vie käyttäjän sivulle, jossa hän voi valita hyvin tarkkaan, mitä käyttäjän toiminnasta/tiedoista saa tallentaa ja mitä ei. Suosittelemme vastaavaa toiminnallisuutta myös kaikille muille yrityksille.

Tällä hetkellä tilanne on se, että täysin valmista ratkaisua yllä olevan toiminnallisuuden toteuttamiseksi ei ole olemassa, mutta tässä on lista tunnetuimmista maksuttomista ja maksullisista ohjelmistoista, joilla vastaavan toiminnallisuuden voi rakentaa:

Miksi haluamme keskeyttää käyttäjän heti sivustolle saavuttuaan?

Siitä syystä, että suuri osa käyttäjistä ei piittaa selaimen ala- tai ylälaidassa roikkuvista ilmoituksista, vaan käyttää sivustoa vaikka ilmoitukset olisivatkin hieman tiellä. Tämä johtaa siihen, että menetämme kaiken datan tämän käyttäjäjoukon osalta, sillä emme voi aktiivisesti kerätä dataa heidän käyttäytymistään, koska nämä käyttäjät eivät ole antaneet siihen lupaa. Parempi vaihtoehto on yksiselitteinen hyväksyntä tai kieltäytyminen heti istunnon alussa.

Tämä on tällä hetkellä varmin tapa olla selvillä vesillä datan keruun puolesta GDPR:n voimaantulon jälkeen.

Ylläoleva suositus koskee esimerkiksi seuraavia ohjelmistoja, jotka keräävät tietoa käyttäjän toiminnasta sivustolla:

  • Google Analytics
  • Google AdWords
  • Facebook Pixel
  • Snoobi Analytics
  • Adobe Analytics
  • Snowplow Analytics
  • Google Optimize
  • Hotjar
  • Visual Website Optimizer
  • Doubleclick
  • Bing Ads
  • sekä monta, monta muuta ohjelmistoa.

Kuten huomaat, GDPR säädös koskee käytännössä kaikkia verkkomarkkinoinnin työkaluja.

Muutoksia henkilökohtaisen tiedon määritelmässä

Ennen GDPR:ää käyttäjän henkilökohtainen data on ollut seuraavankaltaista tietoa:

  • Nimi
  • Sosiaaliturvatunnus
  • Sähköposti
  • Katuosoite
  • Puhelinnumero

GDPR:n myötä henkilökohtaiseksi dataksi luetaan myös seuraavankaltainen tieto:

  • Käyttäjän ID-numero (tallennettuna evästeeseen tai muualle)
  • Käyttäjän IP-osoite
  • Käyttäjän sijainti

Tämä tarkoittaa sitä, että oheisia tietoja on käsiteltävä samalla varovaisuudella kuin käyttäjän henkilöiviä tietoja, vaikka käyttäjän henkilöllisyyttä ei olekaan mahdollista välittömästi selvittää edellä mainitun datan perusteella.

Alla IAB:n tulkinta siitä, mikä on jatkossa käyttäjän henkilötietoa ja mikä ei:

Mitä Google ja IAB sanoo?

Google sekä IAB (Interactive Advertising Bureau) ovat molemmat vahvistaneet yllä olevat suositukset (Googlen dokumentti) (IAB:n dokumentti) ja suosittelee jokaista verkkomarkkinoijaa toimimaan yllä määritetyllä tavalla välttyäkseen GDPR:n massiivisilta sanktioilta.

 

Googlen tiedote:

IAB:n tiedote:

Aikataulu – milloin pitää olla valmista?

GDPR astuu siirtymäajan jälkeen lopullisesti voimaan 25.5.2018. Tämä tarkoittaa sitä, että tuosta päivämäärästä alkaen viranomaiset voivat alkaa tehdä vaatimuksia yritykselle GDPR:n liittyen.

IAB sekä useat muut tahot ovat yksimielisiä siitä, että vaikka asetus astuu voimaan jo hyvin pian, yritysten ei tarvitse olla täysin valmiita kaikissa muutoksissaan juuri tuona päivänä. Tärkeimpänä askeleena pidetään sitä, että yritys on mainittuun päivämäärään mennessä tehnyt kattavan suunnitelman siitä, miten yritys aikoo noudattaa GDPR-asetusta ja millä aikataululla kaikki tarvittavat asiat on implementoitu käytännössä.

Yhteenveto

Yhteenvetona todettakoon, että olet pääasiassa selvillä vesillä, kun kysyt aina suostumuksen kaikenlaisen datan keräämiseen käyttäjästä. Lisäksi sinulla on oltava valmiudet todistaa jokaisen käyttäjän kohdalla, että olet saanut suostumuksen.

Artikkelin kirjoittaja

Jyri Vuorinen

Olen web-analytiikan ja verkkomarkkinoinnin intohimoinen kehittäjä. Koodasin ensimmäisen ohjelmani jo 15-vuotiaana ja täysipäiväiseksi ammattilaiseksi päädyin kymmenen vuotta myöhemmin. Olen työskennellyt Suomen arvostetuimmissa digitoimistoissa ja kehittänyt Suomen suurimpien yritysten verkkoliiketoimintaa.