Woolman Oy

Shopify ja EU:n tietosuoja-asetus

Shopify ja EU:n tietosuoja-asetus

EU:n tietosuoja-asetusta (General Data Protection Regulation) sovelletaan kaikkiin yrityksiin, jotka käsittelevät sen jäsenmaiden kansalaisten henkilötietoja. Monet verkkokaupat myyvät tuotteitaan EU:n talousalueelle, joten on luonnollista, että myös Shopify tarjoaa kauppiailleen työkaluja ja prosesseja tietosuojaan liittyvien pyyntöjen käsittelyyn.

Yleisesti ottaen GDPR-asetusta sovelletaan henkilötietoihin, jotka on tässä yhteydessä syytä ymmärtää laajasti. Käsitteellä tarkoitetaan “kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön [...] liittyviä tietoja”.

Nimi ja sähköposti ovat itsestään selviä esimerkkejä, mutta samaan koriin menevät myös verkkotunnistetiedot, kuten IP-osoite, sijaintitieto ja eväste-ID.

Asetuksessa vastuut on jaettu kahteen kategoriaan:

  1. Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
  2. Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun.

Useimmissa tapauksissa verkkokauppias kerää henkilötietoja rekisterinpitäjän roolissa, ja Shopifyn kaltaiset yritykset puolestaan käsittelevät näitä tietoja. Rooleja voi selventää alla olevalla kuvalla.

On syytä huomata, että ketjut voivat olla pitkiä. Käsittelijöitä on yleensä useita. Käsittelijöillä puolestaan on alihankkijoita, myös Shopifylla. Jos kauppias tekee esimerkiksi sähköpostimarkkinointia, niin markkinointityökalun tarjoava yritys käsittelee asiakastietoja kauppiaan lukuun. Tähän pitää olla myös rekisteröidyn suostumus.

GDPR ja rekisterinpitäjän velvollisuudet

Rekisterinpitäjän on helpotettava rekisteröidyn oikeuksien käyttämistä. Verkkokaupan näkökulmasta asiakkaalla on muun muassa oikeus nähdä häntä koskevat tiedot sekä pyytää niiden korjaamista, poistamista tai siirtämistä.

Toisekseen rekisterinpitäjä on velvollinen kertomaan henkilötietojen käsittelyn tarkoituksen ja oikeusperusteen sekä yhteystietonsa. Käytännössä tämä tarkoittaa tietosuojalausekkeen kirjoittamista ja ylläpitämistä.

Mitä henkilötietoja esimerkiksi Shopifylla operoivat kauppiaat sitten keräävät?

Yleensä lista näyttää seuraavalta:

  • Nimi
  • Toimitus- ja laskutusosoite
  • IP-osoite
  • Sähköposti
  • Puhelinnumero
  • Yrityksen nimi
  • Evästetiedot (esimerkiksi mille sivulle asiakas tuli ensimmäiseksi, kuinka usein hän on vieraillut kaupassa, laite- ja selaintiedot sekä ostoskorin sisältö)

Periaatteessa kauppiaan pitää saada suostumus evästeiden käytölle. Suomessa on kuitenkin tulkittu, että riittää kun käyttäjä antaa suostumuksensa evästeiden tallentamiseen selaimen asetuksissa. Erillistä ponnahdusikkunaa ei siis tarvita, vaikka ne meillä yleistyvät. Evästekäytännöt on kuitenkin mainittava verkkosivuilla selkeästi.

Ulkomailla kauppaa tekevien osalta tilanne on monimutkaisempi, koska tulkinta vaihtelee valtioittain. Ulkomaisissa palveluissa evästeitä kysytäänkin usein sivustokohtaisesti. Lisäksi rekisterinpitäjän kannattaa seurata EU:ssa valmisteilla olevaa e-Privacy-asetusta, joka tulee korvaamaan nykyisen säätelyn.

Tietojen siirto EU:n ulkopuolelle

Shopifyn kaltaiset pilvipalvelut hyödyntävät usein toiminnassaan EU:n ulkopuolella toimivia palvelimia. Shopifyn osalta henkilötiedot säilytetään Kanadassa ja Yhdysvalloissa.

Tietosuoja-asetus ei edellytä, että henkilötiedot säilytetään EU:ssa. Rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja EU:n ulkopuolelle, jos EU on päättänyt, että kyseinen “kolmas maa” on varmistanut riittävän tietosuojatasonKanadalla on EU:n silmissä tällainen status, eikä siirrolle tarvita tällöin erillistä lupaa.

Yhdysvalloissa kriteerit puolestaan täyttyvät niillä yrityksillä, jotka ovat liittyneet Privacy Shield -järjestelmään. Siten vain näihin yrityksiin saa siirtää henkilötietoja. Yhdysvaltojen kauppaministeriö pitää järjestelmään liittyneistä yrityksistä julkista listaa, josta Shopifykin löytyy.

Monimutkaista kokonaisuutta voi selventää alla olevalla kuvalla.

  

Lisäksi kauppiaan on harkittava tarkkaan, mitä kolmannen osapuolen tarjoamia lisäosia hän verkkokauppaan asentaa. Esimerkiksi monet Shopify-ekosysteemin sovellukset hyödyntävät kaupan asiakastietoja ja tallentavat niitä omille palvelimilleen.

Rekisteröidyn oikeudet

Tietosuoja-asetuksen mukaan rekisteröidyllä on oikeus muun muassa

  • saada pääsy häntä itseään koskeviin tietoihin
  • oikaista näitä tietoja
  • poistaa tiedot

Rekisteröity ei voi kuitenkaan automaattisesti käyttää oikeuksiaan kaikissa tilanteissa, vaan tilanteeseen vaikuttaa esimerkiksi se, millä perusteella henkilötietoja käsitellään.

Jos asiakas pyytää esimerkiksi poistamaan tietonsa, on kauppiaan syytä harkita hetki ennen kuin ryhtyy toimenpiteisiin. Ensinnäkin on varmistettava, että pyynnön esittäjä on varmasti rekisteröity, eikä joku muu henkilö. Lisäksi on selvitettävä, vaatiiko laki tietojen säilyttämistä.

Esimerkiksi kirjanpitolain mukaan tositteet ja liiketapahtumia koskeva viestienvaihto on säilytettävä vähintään kuuden vuoden ajan tilikauden päättymisestä alkaen, eli jopa seitsemän vuotta.

Tarvittavat selvitykset kannattaa siis tehdä huolella ja rauhassa. Lähtökohtaisesti rekisteröidylle on kuitenkin vastattava kuukauden kuluessa pyynnön vastaanottamisesta.

Shopifyn tarjoamat työkalut pyyntöjen käsittelyyn

Tilinomistajalla (Account Owner) on mahdollisuus pyytää asiakkaan tietojen poistamista Shopifyn hallintaliittymässä (Admin).

  1. Klikkaa Customers
  2. Klikkaa asiakkaan nimeä, jota pyyntö koskee
  3. Klikkaa Remove personal data

Saatuaan käsittelypyynnön Shopify huolehtii kaikkien oleellisten henkilötietojen poistamisesta järjestelmästään. Shopify lähettää pyynnön tietojen poistamisesta myös kauppiaan asentamille sovelluksille ja myyntikanaville. Jos tietojen poistaminen ei ole jostain syystä mahdollista, Shopify tiedottaa kauppiasta siitä, miltä osin ja miksi poistaminen ei onnistunut (liite s. 20).

On huomionarvoista, että henkilötiedot poistetaan mahdollisten rahanpalautusten takia vasta, kun asiakkaan viimeisimmästä tilauksesta on kulunut puoli vuotta. Tällöinkin osa tilaushistoriasta anonymisoidaan ja säilytetään siltä varalta, että kauppias tarvitsee sitä myöhemmin kirjanpidollisiin tarkoituksiin.

 

Jos asiakas haluaa nähdä häntä itseään koskevat tiedot, voi kauppias pyytää nämä tiedot Shopifyn hallintaliittymässä (Admin).

  1. Klikkaa Customers
  2. Klikkaa asiakkaan nimeä, jota pyyntö koskee
  3. Klikkaa Send customer data

Saatuaan pyynnön Shopify vahvistaa, käsitteleekö se kyseisen henkilön tietoja ja jos käsittelee, niin mitä tietoja (ns. henkilötietoryhmät). Henkilötiedot lähetään sähköpostitse tilinomistajalle (Account Owner), joka puolestaan voi välittää ne pyynnön esittäjälle.

Rekisteröidyllä on lisäksi oikeus saada tietää, mille kolmansille osapuolille henkilötietoja on mahdollisesti luovutettu sekä näiden tietojen säilytysaika. Siksi pyyntöihin kannattaa varautua ennakolta ja pitää listaa omista kumppaneista sekä tietovirroista, joita heidän kauttaan kulkee.

Shopify-sovellusten pääsyn henkilötietoihin voi tarkistaa sovelluskohtaisesti kaupan hallintaliittymässä (Apps > View details).

Teksti: Jari Suni / Woolman 

 

Lue myös

Verkkokauppa-asiaa suoraan sähköpostiisi?