Tulostusversio

1/2009

Sähköinen liiketoiminta: Tietosuoja on verkkokauppiaan etu

Teksti: Mikko Viemerö

Oikein toteutettuna tietosuoja on verkkokaupalle kilpailuetu.

Verkkokauppiaalla on sähköisestä liiketoimintaympäristöstä johtuen tarve tunnistaa asiakas. Siksi kauppiaalla on erityisiä tietosuojavelvoitteita, jotka Suomessa on kirjattu henkilötietolakiin ja sähköisen viestinnän tietosuojalakiin.

Tietosuojalainsäädännön noudattaminen koetaan usein pakollisena harjoitteena, mutta oikein tehtynä se tarjoaa yritykselle kilpailutekijän, joka herättää luottamusta kuluttajassa ja samalla jäsentää yrityksen toimintaa.

Mitä tietoja saa käsitellä?

Verkkokauppias eli rekisterinpitäjä saa henkilötietolain mukaan käsitellä asiakkaiden henkilötietoja lähinnä kolmella perusteella; Kuluttajan eli rekisteröidyn suostumuksesta, sopimuksen panemiseksi täytäntöön sekä yleisimmin nk. yhteysvaatimuksen täyttyessä, eli kun tiedoilla on asiallinen yhteys verkkokauppiaan toimintaan.

Tietojen käsittely on tietyin ehdoin sallittua myös, vaikkei varsinaista asiakkuutta syntyisi tai rekisteröidyn suostumusta saataisi. Suoramarkkinointitarkoituksissa tai esimerkiksi arpajaisten yhteydessä on luvallista käsitellä henkilötietoja. Tällöin tietojen laatu ja määrä tai niiden käytön aika on rajattu, ja kuluttajalla on oikeus kieltää tietojensa käyttäminen.

Arkaluonteisia tietoja ei saa käsitellä, ellei rekisteröidyltä saada tähän nimenomaista suostumusta. Henkilötunnuksen käsittely on lisäksi sallittu tilanteissa, joissa myyjä luotottaa ostajaa, esimerkiksi kun palvelu tai tavara toimitetaan ostajalle ennen maksamista.

Suostumukseen perustuvan tietojen käsittelyn ja kuluttajan kielto-oikeuden vuoksi verkkokauppiaan on hyvä panostaa laadukkaaseen suostumuksenhallintaan ja identiteetinhallintapalveluihin. Niillä voidaan hyvän asiakaspalvelun lisäksi toteuttaa tietojenkäsittelyn avoimuutta ja osittain kuluttajan oikeutta tarkastaa omat tietonsa.

Huolellisuutta kautta linjan

Verkkokauppiaan oikeus käsitellä henkilötietoja perustuu käytännössä yleensä asiakassuhteeseen, eli tiedoilla on asiallinen yhteys kauppiaan toimintaan.

Jotta henkilötietojen käsittely täyttää henkilötietolain vaatimukset, verkkokauppiaan eli rekisterinpitäjän tulee noudattaa henkilötietolaissa määriteltyjä yleisiä periaatteita. Huolellisuusvelvoite on se punainen lanka, jonka tulee kulkea läpi koko henkilötietojen käsittelyn prosessin.

Rekisteröityjen asiakkaiden yksityisyydensuojaa ei tule rajoittaa ilman lakiin perustuvaa syytä, henkilötietoja on käsiteltävä ja säilytettävä huolellisesti rajaten käyttäjien piiri minimiin.

Muutenkin on noudatettava hyvää tietojenkäsittelytapaa. Asiakastietojen käsittely tulee suunnitella etukäteen, eikä kerättyjä tietoja saa käyttää muihin tarkoituksiin kuin laillisiin, etukäteen määriteltyihin käyttötarkoituksiin. Käsiteltävien henkilötietojen tulee olla määritellyn käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia.

Verkkokauppiaan on kohtuullisessa määrin huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita tietoja käsitellä. Tarpeeton tai vanhentunut asiakasrekisteri on hävitettävä huolellisesti.

Henkilörekisterit ovat roskapostin kultaisena aikakautena haluttua kauppatavaraa. Asiakasrekisterin tai sen osan luovuttaminen kolmannelle taholle on mahdollista ainoastaan laissa määritellyistä erityisistä syistä, tai tapauksissa, joissa luovutuksensaajan toiminta tyypillisesti liittyy luonteenomaisena luovuttajan toimintaan. Suoramarkkinointitarkoituksiin henkilötietoja voidaan myös rajoitetusti luovuttaa.

Seloste kertoo tietojen käytöstä

Rekisteriseloste kuuluu verkkokauppiaan velvollisuuteen informoida asiakkaita heidän tietojensa käyttämisestä.

Selosteen tulee sisältää lain edellyttämät tiedot muiden muassa rekisterinpitäjästä, kerättävistä tiedoista, niiden käyttötarkoituksesta ja rekisterin suojauksesta. Lisäksi asiakkaalle on annettava ne tiedot, jotka ovat tarpeen, jotta hän voi hyödyntää oikeuksiaan. Viimeksi mainitut tiedot tulee antaa siinä vaiheessa, kun asiakkaan henkilötietoja kerätään.

Rekisteriselosteen tulee olla jokaisen saatavilla ja helposti löydettävissä. Selosteen tulee olla saatavilla siinä verkkokaupassa, mistä tuote ostetaan. Selosteen tulee olla saatavilla jatkuvasti ja tarvittaessa, ei siis esimerkiksi vasta tietojenkeruuvaiheessa.

Informointivelvollisuuden täysimittaisen täyttämisen avuksi tietosuojavaltuutettu on esitellyt ns. tietosuojaselosteen, jossa verkkokauppias voi kootusti esittää sekä rekisteriselosteen tietosisältöä vastaavat tiedot sekä muut informointivelvollisuuteen kuuluvat tiedot. Tietosuojaselosteeseen voidaan lisäksi liittää tietoa esimerkiksi evästeiden käytöstä sekä vastuuhenkilöistä.

Asiakkaalla oikeus tietoihinsa

Verkkokauppiaalla on velvollisuus toteuttaa henkilötietolaissa säädetyt asiakkaan oikeudet, kuten oikeus tarkistaa tietonsa, korjauttaa väärät tiedot ja kieltää tietojensa käsittely. Näistä toimista verkkokauppias ei saa periä maksua.

Asiakkaalla on oikeus tarkistaa, mitä häntä koskevia tietoja asiakasrekisteriin on talletettu. Lisäksi hänellä on oikeus tarkistaa, että hänestä ei ole talletettu tietoja johonkin tiettyyn rekisteriin.

Verkkokauppiaan on korjattava tai poistettava virheelliset, tarpeettomat, puutteelliset tai vanhentuneet henkilötiedot. Korjaukset hän voi tehdä oma-aloitteisesti tai asiakkaan pyynnöstä.

On syytä huomata, että yksittäisen tiedon lisäksi asiakkaalla on oikeus pyytää kaikkia tietojaan poistettaviksi käsittelyn tarkoituksen kannalta virheellisinä tietoina. Jos siis kuluttaja ei enää halua olla verkkokaupan asiakasrekisterissä, hänellä on oikeus vaatia tietojensa poistamista.

Verkkokauppias voi käyttää asiakasrekisterin tietoja myös suoramarkkinointiin. Asiakkaalla on kuitenkin oikeus kieltää tietojensa käyttäminen suoramarkkinointitarkoituksiin. Kieltoa voidaan käyttää jo siinä vaiheessa, kun kauppias kerää kuluttajan henkilötietoja eikä sitä tarvitse perustella.

Kielto-oikeudesta – ja muistakin oikeuksista – tulee kertoa rekisteröitävälle kuluttajalle selkeästi. Ei riitä, että kauppias kuluttajan tietoja kerätessään ilmoittaa, että ”tietoja voidaan käyttää suoramarkkinointiin henkilötietolain mukaisesti”.

Evästeistä yleensä kerrottava

Eväste on palvelun käyttöä kuvaava tieto. Verkkokaupassa evästeitä käytetään apuvälineinä esimerkiksi ostoskorin hallinnassa, käyttäjien tunnistamisessa, verkkopalvelun personoinnissa ja asiakkaiden profiloinnissa.

Palveluntarjoajan on tiedotettava asiakkaalle ymmärrettävästi ja kattavasti evästeiden tallentamisen tai käytön tarkoituksesta. Käyttäjälle on myös annettava mahdollisuus kieltää tallentaminen tai käyttö.

Tiedotusvelvollisuus ei kuitenkaan koske sellaisia evästeitä, jotka ovat välttämättömiä palvelun tarjoamiseksi tai joiden ainoana tarkoituksena on toteuttaa tai helpottaa viestin välittämistä. Verkkokaupassa tällaisia ovat esimerkiksi ”muista minut”- ja ostoskoritoiminnot. Hyvän tietojenkäsittelytavan mukaista on silti kertoa niistä asiakkaalle esimerkiksi tietosuojaselosteessa.

Ongelmallinen profilointi

Verkkokaupasta kertyvien tunnistamistietojen hyödyntäminen asiakkaiden profiloinnissa on ongelmallista.

Esimerkiksi evästeiden avulla käyttäjän selailukäyttäytyminen voidaan yhdistää hänen asiakastietoihinsa. Mikäli asiakas pyritään tunnistamaan tai hänet voidaan tunnistaa evästeen avulla, henkilötietolakia sovelletaan edellä kuvatuissa yhdistämistoimissa myös tunnistamistietoihin. Profiloinnin kannalta esteeksi muodostuu henkilötietolain tarpeellisuusvaatimus, joka estää verkkokauppiasta keräämästä asiakkaista muita kuin asiakkuudenhallinnan kannalta tarpeellisia tietoja. Muita tietoja ei saa kerätä edes asiakkaan suostumuksella.

Myös viestinnän luottamuksellisuuden kannalta selailutietojen liittäminen asiakasprofiiliin on ongelmallista. Sähköisen viestinnän tietosuojalain mukaan sähköinen viesti ja siihen liittyvät tunnistamistiedot ovat luottamuksellisia. Viestinnän osapuolet – esimerkiksi verkkokauppias ja kuluttaja – saavat silti käsitellä omaan viestintään liittyviä tunnistamistietoja.

Sähköistä suoramainontaa rajoitetusti

Verkkokauppiaan on erityisen tärkeää muistaa, että sähköiseen suoramarkkinointiin esimerkiksi sähköpostitse tai matkapuhelimessa tarvitaan vastaanottajan suostumus. Suostumus voidaan pyytää esimerkiksi henkilötietojen keruun yhteydessä, ja kuluttaja voi antaa sen sähköisesti, esimerkiksi rastittamalla ruudun nettilomakkeella.

Kuluttajan suostumuksen tulee olla vapaaehtoinen, yksilöity ja tietoinen tahdonilmaisu. Niinpä suostumuksen kysyminen on rakennettava siten, että kuluttaja ymmärtää antaneensa luvan. Näin kuluttajan passiivisuus ei johda tilanteeseen, jossa hänen katsotaan antaneen luvan suoramarkkinointiin.

Suoramarkkinointi on oltava tunnistettavissa markkinoinniksi, ja mainostavan tahon tulee käydä selkeästi ilmi. Kuluttaja saa perua suostumuksensa koska tahansa. Näistä syistä on kiellettyä lähettää sellaisia markkinointiviestejä, joissa peitellään lähettäjän henkilöllisyyttä tai jossa ei ole voimassa olevaa osoitetta, johon kuluttaja voi kieltää suoramarkkinoinnin jatkamisen.

Suoramarkkinoinniksi ei katsota asiakasviestintää, joka ei sisällä markkinointia. Verkkokauppiaan on myös hyvä huomata, että sähköisen viestinnän tietosuojalain suoramarkkinointisäännöksiä ei voi kiertää esimerkiksi kerro kaverille -kampanjalla, jossa mainostaminen naamioidaan tuttavien väliseksi viestinvaihdoksi.

Vastuu verkkokauppiaalla

Vaikka verkkokaupan tekninen toteutus ja ylläpito ostettaisiin ulkopuoliselta palveluntarjoajalta, ei tämä vaikuta verkkokauppiaan oikeuksiin käsitellä henkilötietoja rekisterinpitäjänä sekä viestejä ja tunnistamistietoja viestinnän osapuolena.

Ulkoistetuissa palveluissa palvelun ylläpitäjä käsittelee henkilötietoja rekisterinpitäjän oikeuden perusteella ja tunnistamistietoja sähköisen viestinnän tietosuojalain perusteella.

Henkilötietolain ja sähköistä suoramarkkinointia koskevien säännösten noudattamista Suomessa valvoo tietosuojavaltuutettu.

Vaikka vastuu tietosuojan toteuttamisesta on verkkokauppiaalla, kannattaa kuluttajan silti huomata, että tiedollinen itsemääräämisoikeus vaatii myös omaa valppautta.

------

[KIRJOITTAJA]

Mikko Viemerön sähköisen kaupan tietosuojaa käsittelevä lisensiaatintutkimus tarkastettiin Helsingin kauppakorkeakoulussa maaliskuussa 2009.

Lue myös

Sähköinen liiketoiminta: Mitä tietoja kauppias saa käsitellä? »
Sähköinen liiketoiminta: Tietoturvallinen verkkokauppa »
Sähköinen liiketoiminta: Kauppiaan muistilista »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.