Eurooppalainen laki edellyttää, että kaikki EU:ssa kauppaa tekevät verkkokaupat näyttävät tietosuojakäytännön. Silti jälleenmyyjien on joskus vaikea tietää tarkalleen, mitä tietoja tällaisen käytännön tulisi sisältää. Tämä artikkeli kertoo kaiken, mitä sinun tarvitsee tietää tietosuojakäytännön luomisesta. Tarkastelemme myös, mitkä GDPR:n tietosuojamääräykset saattavat olla tärkeitä verkkokauppiaille kuten sinulle.
Tietosuojakäytännön luominen: Kuinka tehdä verkkokaupastasi GDPR-yhteensopiva
Varmista verkkokauppasi kattavalla tietosuojakäytännöllä. Opi olennaiset asiat ja parhaat käytännöt asiakastietojen suojaamiseen ja tietosuoja-asetusten noudattamiseen.
27.7.2021
Nick Knuppe
Tuotemarkkinoinnin johtaja
Mikä on verkkokaupan tietosuojakäytäntö?
Jokaisella verkkosivustolla, joka kerää henkilötietoja, on oltava tietosuojakäytäntö. Tämä käytäntö tiedottaa kauppasi vierailijoille tietojen käsittelyn tyypistä, laajuudesta ja tarkoituksesta. Se selittää myös käyttäjien vaihtoehdot peruuttaa suostumuksensa henkilötietojensa tallentamiseen.
Jos verkkokaupastasi puuttuu tietosuojakäytäntö tai jos käytäntösi on puutteellinen, saatat joutua tietosuojaviranomaisten seuraamusten kohteeksi maassasi. Euroopan unionissa tämän oikeusperusta on yleinen tietosuoja-asetus (GDPR).
Mitä GDPR on?
Vuonna 2016 Euroopan parlamentti hyväksyi EU:n yleisen tietosuoja-asetuksen. Tämän uuden lain mukaan kaikilla verkkokauppiailla, jotka myyvät EU-maissa, oli velvollisuus tehdä erilaisia muutoksia verkkokauppaansa viimeistään 25. toukokuuta 2018. Nämä muutokset koskivat erityisesti seuraavia alueita:
Tietojen kerääminen
Velvollisuudet tiedottaa
Uutiskirjeiden lähetys
Tilausten käsittely
GDPR:n tavoitteena oli yhtenäistää verkkoyksityisyyden suoja kaikissa EU:n jäsenvaltioissa. Tämä hyödyttää paitsi kuluttajia myös kauppiaita. Esimerkiksi one-stop shop (OSS) -periaate yksinkertaistaa kansainvälistä verkkokauppaa. Nyt kauppiaiden ei enää tarvitse tehdä yhteistyötä useiden tietosuojaviranomaisten kanssa yksittäisen tietoprosessin osalta; sen sijaan he voivat asioida vain yhden keskusviranomaisen kanssa.
Miksi tietosuojakäytäntö on tärkeä verkkokaupallesi?
Jokainen verkkokauppa kerää tietoa—eikä ainoastaan tilausten käsittelyn yhteydessä. Verkkosivustosi sisältää seurantatyökaluja, sosiaalisen median lisäosia ja evästeitä, jotka keräävät tietoa kävijöistäsi. Tietosuojakäytäntösi, aivan kuten yrityksesi yhteystiedot, on keskeinen vaatimus, koska sen avulla varmistat, että käsittelet asiakkaiden tietoja vastuullisesti etkä käytä tietojen keräämistä väärin. Jos et julkaise tietosuojakäytäntöä, vaarana on, että sinut voidaan määrätä vastuuseen ja jopa maksamaan tuntuvia sakkoja.
Lisäksi tietosuojakäytäntö on olennainen asiakkaidesi luottamuksen saamiseksi. Ostajat haluavat tietää, millaisia tietoja verkkokauppasi kerää ja ovatko heidän henkilökohtaiset tietonsa turvassa. Useimmat ostajat eivät koskaan osta sivustolta, jonka tietoturvaa he eivät luota. Tärkeimmät tavat luottamuksen rakentamiseksi verkkokauppiaana ovat täydellisen tietosuojakäytännön, yksityiskohtaisten yhteystietojen ja turvallisten maksutapojen sisällyttäminen sivustollesi.
Mitä verkkokaupan tietosuojakäytännön tulisi sisältää?
GDPR:n mukaan kaikkien verkkokauppojen on tarjottava tietosuojakäytäntö, joka on:
täsmällinen
läpinäkyvä
helppo ymmärtää
helppo löytää
Ensimmäinen askel on varmistaa, että tietosuojakäytäntösi on selkeästi näkyvillä ja saatavilla joka sivun alareunasta sivustollasi. Tämä mahdollistaa asiakkaille aina tietosuojakäytännön tarkistamisen, jopa kesken tilauksen teon. Sisällön täytyy myös olla kirjoitettu kielellä, jonka kaikki ymmärtävät. Yleisesti ottaen, sivustosi tietosuojakäytännön täytyy käsitellä neljää pääaihetta:
1. Tietojen käsittelijä ja yhteystiedot
Useimmissa verkkokaupoissa tietosuojakäytäntö alkaa tiedoilla siitä, kenellä on vastuu tietojen käsittelystä. GDPR:n artiklojen 13.1.a–b mukaan, kaupan operaattoreilla on velvollisuus informoida asiakkaita luettelemalla seuraavien osapuolten yhteystiedot:
Tietojen käsittelijä (tahot, jotka keräävät tietoja, yleensä yrityksesi)
Käsittelijän laillinen edustaja (yleensä yrityksesi toimitusjohtaja tai johtaja, jos sovellettavissa)
Käsittelijän tietoturvavastaava (jos sovellettavissa)
2. Henkilötiedot
Monet verkkokaupat määrittelevät myös “henkilötiedot” tietosuojakäytännön alussa. Tämä ei ole tiukasti GDPR:n vaatimusten mukaista, mutta tekee konseptin asiakkaille helpommin ymmärrettäväksi.
Tämän jälkeen sinun täytyy selittää:
… mitä tietoja kauppasi kerää ja käsittelee.
… missä vaiheessa tiedonkeruu tapahtuu.
… mihin tarkoitukseen tämä tehdään.
… kuka saa tiedot.
… kuinka kauan tietoja säilytetään.
3. Laillinen perusta
Jokaiselle keräämällesi tietotyypille sinun on määritettävä laillinen perusta. Useimmat verkkokauppiaat tekevät tämän viittaamalla tiettyyn GDPR-artiklaan. Esimerkiksi yksi yleinen laillinen perusta on GDPR:n artikla 6.1.f: ‘käsittely on tarpeen rekisterinpitäjän oikeutettujen etujen toteuttamiseksi […]’. Sinun täytyy myös määritellä, mitkä nämä oikeutetut edut ovat. Esimerkiksi, jos keräät vierailijoiden IP-osoitteita, voit käyttää seuraavaa taulukkoa määrittääksesi laillisen perustan ja ne oikeutetut edut, joihin viitata:
4. Rekisteröityjen oikeudet
GDPR vaatii myös verkkokauppoja informoimaan käyttäjiä (rekisteröityjä) heidän oikeuksistaan lain mukaan. Nämä sisältävät seuraavat:
Voinko käyttää pohjaa laatiessani tietosuojakäytännön verkkokaupalleni?
Ei ole olemassa yleistä mallia, jota voitaisiin käyttää kaikissa verkkokaupoissa yksityisyyden suojaa koskevalle käytännölle. Koska GDPR ei tarkasti määrittele, miten verkkokauppiaiden tulisi laatia yksityisyyden suoja -käytännöstä, tällaiset käytännöt voivat olla monenlaisia. Jotkut näyttävät hieman yleisiltä ehdoilta. Toiset ovat rakenteeltaan enemmän kuin UKK-sivu, mikä tekee siitä selkeän ja helpon ymmärtää. Jos valitset tämän lähestymistavan, varmista, että yksityisyyden suoja -käytäntösi vastaa asiakkaan seuraaviin kysymyksiin:
Kuinka keräämme tietojasi?
Mihin käytämme tietojasi?
Mitkä ovat oikeutesi tietosubjektina?
Voit löytää verkosta malleja, jotka voivat toimia esimerkkeinä kirjoittaessasi yksityisyyden suoja -käytäntöäsi. Muista vain, että jokainen kaupan ylläpitäjä käsittelee käyttäjätietoja eri tavoin, joten sinun on aina mukautettava malli vastaamaan todellista tilannettasi. On aina hyvä idea palkata oikeudellinen asiantuntija luomaan sinulle räätälöity yksityisyyden suoja -käytäntö tai ainakin pyytää heitä tarkistamaan käytäntösi. Tämä varmistaa, että käytäntösi on tarkka ja kattava.
Onko muita tärkeitä yksityisyydensuojan sääntöjä verkkokaupassa?
Varmistaaksesi, että kauppasi on GDPR-vaatimusten mukainen, tarvitaan tietosuojakäytäntö. Mutta on myös muita sääntöjä, jotka on otettava huomioon. Nämä säännöt koskevat:
Verkkolomakkeet
Verkkosivuston salaus
Sähköpostimarkkinointi
Evästeet
Sosiaalisen median lisäosat
Verkkolomakkeet
Kun asiakas haluaa syöttää henkilötietonsa sivustollesi (esimerkiksi Checkout-prosessin aikana tai rekisteröityessään uutiskirjeeseen), hänen on täytettävä verkkolomake. Jotta verkkolomakkeet sivustollasi ovat GDPR-vaatimusten mukaisia, niiden on täytettävä kaksi tärkeää vaatimusta:
Tietojen minimointi: Kaupan ylläpitäjänä saat pyytää vain vähimmäismäärän tietoja, joita tarvitset sopimusvelvoitteesi täyttämiseen (esimerkiksi tilauksen käsittelyyn). Joten Checkout-vaiheessa sinun tarvitsee todella vain pyytää asiakkaan nimi ja osoite. Jos asiakkaasi haluaa vain tilata sähköpostiuutiskirjeesi, et voi vaatia heiltä postiosoitetta ja puhelinnumeroa.
Luottamuksellisuus: Verkkokauppiaana sinulla on velvollisuus varmistaa, että kaikki asiakkaidesi henkilötiedot ovat suojattu luvattomalta tai laittomalta käsittelyltä. Tämä tarkoittaa, että kaikki tietojen siirrot on salattava.
Verkkosivuston salaus
GDPR:n artikla 32.1.a edellyttää, että kaupan ylläpitäjät varmistavat tietojensiirron salauksen. On suositeltavaa käyttää HTTPS-protokollaa varmistaaksesi viestinnän turvallisuuden verkkosivustollasi. Voit myös käyttää SSL-sertifikaattia varmistaaksesi, että…
… viestintäkumppanit valtuutetaan epäsymmetrisen salausprosessin kautta.
… tietojensiirto on suojattu päästä päähän symmetrisen salausprosessin avulla.
… siirrettyjen tietojen eheys ei vaarannu.
Lisätietoja siitä, miten SSL-sertifikaatti hankitaan ja mitä muita turvatoimia voit tehdä, tutustu artikkeliimme eCommerce security.
Sähköpostimarkkinointi
GDPR:n voimaantulon jälkeen verkkokauppojen on ollut pakko käyttää kaksinkertaista suostumusprosessia saadakseen asiakkaan suostumuksen heidän tietojensa käsittelyyn (esimerkiksi uutiskirjeen tilaamisen yhteydessä). Tämä tarkoittaa, että asiakas, jota kiinnostaa tietojen tai mainosten vastaanottaminen sinulta, tulee antaa suostumuksensa tähän luovuttaessaan yhteystietonsa (esimerkiksi valitsemalla ruudun, jossa ilmaisee haluavansa vastaanottaa mainossähköposteja sinulta). Tämän jälkeen sinun on myös lähetettävä heille vahvistuslinkki sähköpostitse, johon heidän on klikattava rekisteröitymisprosessin loppuun saattamiseksi. Tämä tarkoittaa, että he antavat suostumuksensa kahdesti tulevan tiedon/tarjousten vastaanottamiseen sinulta. Jos et saa tätä kaksinkertaista suostumusta, et saa lähettää mainos- tai markkinointiviestejä asiakkaan sähköpostiosoitteeseen. Jos asiakas ei klikkaa vahvistuslinkkiä, et saa käyttää tai tallentaa heidän sähköpostiosoitettaan markkinointitarkoituksiin.
Evästeet
Evästeet ovat toinen tärkeä aihe, kun puhutaan tietoturvasta. Monet verkkokaupat käyttävät evästeitä luodakseen enemmän käyttäjäystävällisen kokemuksen. Esimerkiksi evästeet voivat tallentaa tietoa, jotta käyttäjien ei tarvitse syöttää tietojaan joka kerta sivustoa vieraillessaan. Näihin kuuluvat tiedot kuten:
Kieliasetukset
Ostoskorin sisältö
Kirjautumistiedot
EU:n evästedirektiivi (2009/136/EC) on toinen lainsäädäntö, joka liittyy läheisesti GDPR:iin. Tämän direktiivin mukaan kaupan omistaja voi käyttää evästeitä ilman vierailijan suostumusta vain, jos ne ovat ehdottoman välttämättömiä tekniseltä kannalta. Lisäksi sinun on aina sisällytettävä verkkosivustollesi banneri, joka ilmoittaa vierailijoille, että sivusto käyttää evästeitä. Ja sinun on aina pyydettävä vierailijan suostumus etukäteen, ennen kuin käytät evästeitä, jotka eivät ole välttämättömiä sivuston toiminnan kannalta.
Alla oleva taulukko näyttää esimerkkejä siitä, mitkä evästeet katsotaan teknisesti välttämättömiksi ja mitkä eivät:
Sosiaalisen median lisäosat
Ennen oli mahdollista, että sosiaalisen median lisäosat alkoivat kerätä käyttäjätietoja heti vierailijan saavuttua sivustollesi. GDPR muutti kaiken tämän. Uusien sääntöjen mukaan sosiaalisen median lisäosien on aina oltava passiivisia oletuksena, kun käyttäjä saapuu sivustolle. Kun lisäosa on oikein upotettu sivustollesi, se toimii passiivisena painikkeena, joka aktivoituu vasta, kun käyttäjä klikkaa sitä. Painiketta klikkaamalla käyttäjä antaa suostumuksensa tietojensa siirtämiseen asianomaiselle sosiaalisen median alustalle. Loppujen lopuksi, jos käyttäjä klikkaa painiketta, on loogista olettaa, että hän haluaa käyttää sitä (esimerkiksi jakaa sivustosi sisältöä sosiaalisen median kautta).
Sosiaalisen median lisäosat ovat erittäin yleisiä verkkokaupoissa ja esiintyvät yleensä Shariff-painikkeina. Lisäksi voit käyttää kaksivaiheista suostumusperiaatetta sosiaalisen median painikkeille sivustollasi (samanlaista kuin kaksinkertainen suostumusmenettely uutiskirjeille). Kaksivaiheisessa järjestelmässä käyttäjä ensin klikkaa haluamaansa sosiaalisen median painiketta. Sitten kauppasi kysyy erikseen, suostuuko hän tietojensa siirtämiseen sosiaalisen median alustalle.
Tilausten käsittely
Kaupan ylläpitäjänä työskentelet todennäköisesti monien palveluntarjoajien kanssa, kuten:
Maksupalveluntarjoajat
SaaS-toimittajat
Pilvipalvelut
Nämä palveluntarjoajat käsittelevät myös asiakkaan henkilötietoja, joten GDPR edellyttää, että teet tietojenkäsittelysopimuksen (DPA) jokaisen kumppanin kanssa. Ilman DPA:ta sinulla ei ole laillista perustetta siirtää asiakastietoja kolmannelle osapuolelle. Vaikka DPA:n laatiminen vie hieman ylimääräistä vaivaa, se tarjoaa sinulle enemmän turvaa kuin aiemmin. Esimerkiksi DPA määrittelee selkeästi, kuka on vastuussa tietomurron sattuessa.
Yksityisyyden suojaus verkkokaupassasi: yhteenveto huomioitavista asioista
Jokainen verkkokauppa kerää henkilötietoja vierailijoistaan. GDPR on suunniteltu pitämään nämä tiedot turvassa. Se tarjoaa Euroopan unionin kaikille verkkosivuston ylläpitäjille joukon standardikäytäntöjä. Se asettaa myös erityisiä sääntöjä verkkokauppiaille, erityisesti uutiskirjeiden, sosiaalisen median painikkeiden ja verkkolomakkeiden osalta. Se vaatii sinua tiedottamaan asiakkaille tietojenkäsittelykäytännöistäsi ja tietosuojakäytännöstäsi. Käytä alla olevaa taulukkoa luodaksesi täysin GDPR-yhteensopivan tietosuojakäytännön verkkokaupallesi.
Lisää päivityksiä
Vuoden 2025 suurimmat verkkokaupan trendit
Pysy ajan tasalla vuoden 2025 parhaista verkkokaupan trendeistä. Tutki, kuinka tekoäly, sosiaalinen kaupankäynti ja personointi muovaavat verkkoshoppailua.
Verkkokauppa Alankomaissa: kaikki mitä sinun tarvitsee tietää
Kaikki, mitä sinun tulee tietää verkkokaupasta Alankomaissa: trendit, oivallukset, tiedot ja vinkit alan asiantuntijoilta.
Verkkokauppa Belgiassa: kaikki mitä sinun tarvitsee tietää
Kaikki mitä sinun tarvitsee tietää verkkokaupasta Belgiassa: trendit, näkemykset, tiedot ja vinkit alan asiantuntijoilta.
Verkkokauppa Ranskassa: kaikki mitä sinun tarvitsee tietää
Kaikki mitä sinun tarvitsee tietää verkkokaupasta Ranskassa: trendejä, oivalluksia, dataa ja vinkkejä alan asiantuntijoilta.
Pysy ajan tasalla
Älä koskaan jää paitsi päivityksistä. Saat tuoteuutiset, uutiset ja asiakastarinat suoraan sähköpostiisi.
Sisällysluettelo
Yksinkertaista maksut ja rahanhallinta
Drive revenue, reduce costs, and manage funds with Mollie.
