Tiedonhallinta, GDPR, ePrivacy ja tietoturva Leadoolla
Tiedonhallintaan ja Leadoohon liittyen EU:ssa on käytössä kaksi keskeistä lakia/asetusta, jotka vaikuttavat yrityksesi toimintaan verkossa: ePrivacy-laki ja GDPR. Siinä, missä GDPR on asetus, jonka jäsenvaltiot täyttävät itse, ePrivacy on laki, jota sovelletaan sellaisenaan jokaisessa jäsenvaltiossa.
ePrivacy-laki (sähköinen yksityisyydensuoja) määrittää, millä tavoin voit tallettaa tiedostoja (kuten evästeitä) verkkosivuvierailijoidesi koneille, kun taas GDPR määrittää, miten sinun tulee hallita henkilötietoja. Verkkosivun omistajana on sinun vastuullasi varmistaa, että sivustosi täyttävät kulloinkin voimassa olevat lait ja määräykset. Tämän ohjeen tarkoituksena on helpottaa työtäsi, jotta pystyt täyttämään vaatimukset – ei ainoastaan Leadoon osalta, vaan koko sivustosi näkökulmasta. Alla olevista VINKIT-laatikoista löytyy konkreettisia keinoja siihen, miten voit toimia täyttääksesi lain vaatimukset.
Huomaathan, että kyseinen teksti ei ole juridinen neuvo, vaan lähinnä kansantajuinen selvennys monisyisestä asiasta. Suosittelemme, että käännyt juristisi puoleen, mikäli kaipaat tarkempia neuvoja.
ePrivacy-laki
Käytännössä ePrivacy-lain vuoksi sinun on usein pyydettävä käyttäjän lupa ennen evästeiden asentamista selaimeen (joitain rajoituksia sovelletaan). Useimmilla verkkosivuilla tämä tapahtuukin ponnahdusikkunoiden avulla. Huomioithan, että sinun on pyydettävä lupaa jo ENNEN evästeiden asentamista. Tämä tarkoittaa sitä, ettet voi ladata esimerkiksi Google Analyticsia ennen kuin pyydät suostumusta verkkosivusi vierailijalta – ellet varmista, että Google Analytics ladataan yksityisen selauksen kautta. Ei ole myöskään sallittua tiedottaa käyttäjälle, miten “tämä sivusto käyttää evästeitä, jatkamalla sen käyttöä hyväksyt sen”. Sinun on nimenomaisesti pyydettävä suostumusta ennen evästeiden asentamista käyttäjän verkkoselaimeen. Sama pätee Leadoohon, jota pidetään markkinointityökaluna — ja sinun tulee pyytää lupaa samassa kohtaa, jossa pyydät lupaa Google Analyticsille, Facebookille tai sen kaltaiselle, Hotjarille, Hubspotille tai mille tahansa muulle markkinoinnin työkalulle, jota verkkosivusi käyttää. Usein tämä tehdään suostumuksenhallinta-alustalla (CMP eli Consent Management Platform), joita on useita esimerkiksi WordPressin sisällä.
On myös tärkeää huomioida, että usein käytetty termi “evästeet” on vain kattokäsite kaikelle sille toiminnalle, jolla käyttäjiä seurataan (esimerkiksi Leadoon tapauksessa eTags).
Vinkit:
-
Verkkosivusi tulee pyytää lupaa vierailijalta ennen kuin mitään asennetaan. Tämä pätee vähintään Google Analyticsiin ja Leadoohon, mutta todennäköisesti myös muita verkkosivusi järjestelmiä.
Lisätietoa:
-
Lisää ePrivacy-laista ja GDPR:stä: Lue lisää…
-
Lisää evästeistä ja Leadoon käyttämästä eTagsista: Lue lisää…
GDPR
GDPR (General Data Protection Regulation) asettaa suuntaviivat henkilötietojen hallinnalle. Kun keräät henkilötietoja verkkosivullasi, olet näiden tietojen rekisterinpitäjä. Näin ollen sinun on kerrottava henkilöille, joista keräät henkilötietoja, miksi ja miten aiot käyttää niitä sekä millaista käsittelyä tietojen tallentamiseen käytetään. Rekisterinpitäjänä sinun on varmistettava, että hallinnoit henkilötietoja etkä luovuta niitä sellaisille kolmansille osapuolille, joista käyttäjälle ei ole informoitu. Käyttäjällä on myös oikeus kysyä, mitä tietoja sinulla on ja pyytää sinua poistamaan hänen tietonsa. Yleensä sinun on kerrottava käyttäjillesi, mikäli tallennat heidän tietonsa CRM:ään (kuten Salesforce tai Pipedrive), käsittelet heidän tietojaan laskutusjärjestelmässä tai vain tallennat ne Google Spreadsheets- tai Excel-tiedostoihin. Kaikki nämä on lueteltava verkkosivullasi, jotta käyttäjät voivat hyväksyä ne ennen tietojen keräämistä.
Henkilötiedot ovat mitä tahansa tietoja, joita voidaan käyttää henkilön tunnistamiseen. Yleensä näitä ovat nimi, sähköpostiosoite ja puhelinnumero, mutta tietoihin voi kuulua myös sivustollasi vierailevan henkilön IP-osoite.
Paras tapa dokumentoida tätä tietoa verkkosivullasi on tuoda ilmi, kuinka huolehdit tietoturvasta, tietojen säilyttämisestä sekä siitä, mitä kolmannen osapuolen tietojenkäsittelyä käytät ja mihin tarkoitukseen. Leadoon tapauksessa olemme tehneet sen näin: https://leadoo.com/data-protection-and-gdpr, ja voit kopioida sen vapaasti. Tämän jälkeen sinun on pyydettävä lupaa tietojen tallentamiseen. Leadoon tapauksessa tämä voidaan tehdä botissa olevan kysymyksen tai erillisen ponnahdusikkunan avulla.
Sinun on myös varmistettava, että sinulla on tietojenkäsittelysopimus (DPA eli Data Processing Agreement) kaikkien tietojenkäsittelijöiden kanssa. Tämä asiakirja on osoitus siitä, että olet sopinut tietojenkäsittelijöiden kanssa, miten välität tietoa, ja että sinulla on oikeus pyytää heitä poistamaan asiakkaasi tiedot, jos he pyytävät sinua tekemään niin. Leadoon tapauksessa DPA on osa vakiosopimusta, joka löytyy täältä: https://leadoo.com/data-processing-agreement-customer
Leadoossa olemme varmistaneet, että minimoimme tietovuodon riskin. Asiakkaillamme on esimerkiksi mahdollisuus ilmoittaa, käyttävätkö he palvelua vai eivät. Jos he eivät esimerkiksi käytä sähköpostiautomaatiota, tiedot eivät siirry Sendgridiin ja jos he eivät käytä Smart Company -profiileja, tiedot eivät mene Clearbitiin tai sinne menevistä tiedoista vain IP-osoite siirretään. Olemme myös varmistaneet, että meillä on komission hyväksymät vakiosopimuslausekkeet (SCC eli Standard Contractual Clauses) kaikkien tietojenkäsittelijöidemme kanssa. EU:n ulkopuolisten yritysten tai palveluiden osalta olemme dokumentoineet tiedot, luoneet sisäiset tarkastusprosessit ja varmistaneet automaattisen tietojen poistamisen sekä sen, että turvatoimien vaikutus on mahdollisimman pieni. Salaamme myös kaikki levossa ja siirrossa olevat tiedot ja käytämme omaa tuotantoympäristöämme vain VPN:n kautta. Tämä on luonnollisesti neuvona kaikille yrityksille määräyksistä riippumatta.
Vinkit:
-
Varmista, että sinulla on DPA jokaisen käyttämäsi tietojenkäsittelijän kanssa (CRM-palveluntarjoaja jne.). Tämä sisältyy Leadoon vakiosopimukseen.
-
Luo oma tietosuojakäytäntö, jossa määrität, mitä tietoja keräät, mihin tarkoituksiin, missä säilytät niitä sekä miten käyttäjät voivat pyytää näkemään ja poistamaan ne.
-
Varmista, että käyttäjät näkevät tietosuojakäytäntösi ennen kuin keräät heidän tietojaan, esimerkiksi botti-keskustelussa tai osana ponnahdusikkunaa.
Lisätietoa:
-
Lisää turvatoimenpiteistä löydät osoitteesta https://leadoo.com/security/. Vaihtoehtoisesti voit kysyä asiakaspalvelustasi tai myyntiedustajaltasi viimeisimpää ulkoista turvallisuusarviointimateriaalia.
-
Lisää ePrivacysta ja GDPR:stä: https://leadoo.com/blog/leadoo-gdpr-and-the-use-of-cookies/
Jos et ole varma, miten GDPR:ää, ePrivacya tai vastaavia lainalaisuuksia noudatetaan yrityksessäsi tai maassasi, älä epäröi ottaa yhteyttä. Voit olla suoraan yhteydessä Leadoon operatiiviseen johtajaan Fredrik Rönnlund ([email protected]).