GDPR ja verkkokauppa

Marketing and Communications Specialist
Martina Flygar

Julkaistu tiistai, 17 huhtikuuta 2018 23.00Maksu

GDPR eli General Data Protection Regulation- asetus tuli sovellettavaksi toukokuussa 2018 kaikissa EU- maissa. Asetuksen tarkoituksena on parantaa EU:n kansalaisten yksityisyydensuojaa ja yhdenmukaistaa tietosuojakäytäntöä unionissa. GDPR koskee kaikkia niitä tahoja, esim. yrityksiä, julkishallinnon organisaatioita ja yhdistyksiä, jotka jossain muodossa käsittelevät henkilötietoja.

Lähes kaikki tahot käsittelevät henkilötietoja jossain määrin ja jollakin tavalla, joten GDPR- asetusta sovelletaan todella laajalti. GDPR -asetuksen myötä rekisteröityjen henkilöiden oikeudet kasvavat kun sen sijaan rekisterinpitäjien esim. verkkokauppojen velvollisuudet sekä vastuut lisääntyvät. Kuten aiemminkin, rekisterissä olevilla henkilöillä on oikeus pyytää tietojaan rekisteristerinpitäjältä - jonka vastuulla on toimittaa rekisteröidylle kyseiset tiedot. Velvollisuudet ja vastuut määräytyvät pitkälti sen mukaan mikäli henkilötietoja käsittelevä taho on rekisterinpitäjä tai henkilötiedon käsittelijä.

Tietosuoja-asetus ylittää myös EU:n rajat, sillä se koskee myös EU:n ulkopuolella sijaitsevia yrityksiä, yhdistyksiä ja muita tahoja, jotka tarjoavat tuotteita/palveluita EU:n kansalaisille.

Mikä on henkilötieto? 

GDPR- tietosuja-asetus ei tarkkaan määrittele mikä on henkilötietoa (personal data) vaan sen sijaan asetuksen mukaan kaikki henkilöä yksilöllistävä tieto on henkilötietoa. Henkilötiedoksi luetaan siis mm. kotiosoite, sähköpostiosoite, ostokset ja tilaukset käyttäjätunnukset ja salasanat, IP-osoite ja maksutiedot sekä valokuvat.

Rekisterinpitäjä vai henkilötiedon käsittelijä

Onko verkkokauppasi rekisterinpitäjä (data controller) vai henkilötietojen käsittelijä (data processor)?

Rekisterinpitäjä on se joka ensisijaisesti kerää ja on kerännyt rekisteristä löytyviä henkilötietoja. Kyseessä voi olla esim. viranomainen, yritys, yhdistys tai säätiö. Rekisterinpitäjä on se jota varten rekisteri on luotu ja tämä on juridisessa vastuussa rekisteristä. Lain mukaan rekisterinpitäjän on laadittava rekisteriseloste jossa  on ilmoitettava esim. rekisterin käyttötarkoitus, tiedot ja niiden lähteet sekä tietosuoja ja rekisterinpitäjän yhteystiedot.

Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän pyynnön mukaan, käsittelijä voi esimerkiksi olla palveluntarjoaja kuten esimerkiksi me maksujenvälittäjänä. Maksujenvälittäjä on siis ensisijaisesti henkilötietojen käsittelijä kun taas verkkokauppa on rekisterinpitäjä. Verkkokauppa on ensisijaisesti se joka kerää henkilötietoja kun taas maksujenvälittäjä käsittelee henkilötietoja verkkokaupan pyynnöstä. GDPR asetus asettaa myös henkilötietojen käsittelijälle uusia sääntöjä. Asetuksen myötä myös henkilötietojen käsittelijä on vastuussa tietoturvasta.

Marketing and Communications Specialist
Martina Flygar

Voisit olla kiinnostunut myös

Uusi verkkolaskulaki 2020 – mitä se tarkoittaa yrityksille?

EU:n verkkolaskudirektiiviin perustuva verkkolaskulaki astuu voimaan Suomessa 1.4.2020. EU-direktiivi tuo kaikkiin EU-maihin saman laskutusstandardin, jonka tarkoituksena on saada aikaan merkittäviä säästöjä mm. tehokkaamman taloushallinnon myötä. Laki koskee yritysten välistä verkkolaskutusta, eli sähköistä laskutusta, jossa lasku siirtyy lähettäjältä vastaanottajalle konekielisessä muodossa. Mikä muuttuu uuden lain myötä? Entä miksi verkkolaskutus on hyvä asia yrityksille?

PSD2 lupailee helpompaa maksamista – mikä muuttuu verkkokaupassa?

Alkuvuodesta keskustelua verkkoliiketoiminnan parissa toimivien keskuudessa aiheutti EU:n uusi PSD2-maksupalveludirektiivi. Kevään edetessä PSD2-keskustelu jäi GDPR-lakiuudistuksen varjoon, mutta nyt kun GDPR:n alkuvaiheista on selvitty, niin on syytä vielä palata PSD2-maksupalveludirektiiviin ja erityisesti yhteen verkkokauppiaita koskettavaan asiaan, johon on tullut muutos PSD2-maksupalveludirektiivin myötä; nimittäin maksutapalisään.

Turvallinen verkkokauppa ennen ja nyt

Vielä kymmenen vuotta sitten verkkokaupasta ostamista saatettiin pitää riskialttiina ja alalla olikin monenlaista verkkokauppaa. Verkkokaupoilla saattoi olla suoria maksupalvelusopimuksia pankkien kanssa, jolloin verkkokaupan ja ostajan välissä ei ollut maksunvälittäjää huolehtimassa maksuliikenteestä. Jossain vaiheessa nähtiin tarve tarjota maksupalvelun lisäksi myös kuluttajille suunnattuja, verkkokaupan turvallisuutta parantavia palveluja. Verkkokaupan turvallisuutta on tärkeää miettiä myös verkkokaupan näkökulmasta: mitä jos asiakas ei maksa laskuaan ja tilaus on toimitettu, saako verkkokauppa silloin maksua tilauksesta lainkaan?