Verkkokauppiaan tulee pitää huolta, että tietoturvan varmistamisen kannalta keskeiset asiat ovat kunnossa. Kriittisimmät tietoturvakysymykset liittyvät ostotapahtumiin niissä käsiteltävien rahasummien ja mahdollisten pankki- tai luottokorttitietojen takia. Tietoturvan osana ovat myös asiakkaan antamat henkilötiedot. Näitä ovat esimerkiksi tilauksen toimitusta varten annetut tiedot sekä asiakkaasta automaattisesti tallennetut tiedot, joista asiakas on tunnistettavissa.
Tietosuoja-asetus, tietosuojalaki ja rekisteriseloste
Henkilötietojen käsittelyä ohjaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaki. Yleinen tietosuoja-asetus määrittelee henkilötietojen olevan: ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.
Tietosuoja-astuksen mukaan henkilötietoja kerättäessä rekisteröidyn tulee aina voida olla tietoinen antamiensa tietojen tulevasta käsittelystä ja käytöstä. Kaikkiin verkkopalveluihin, joissa kerätään henkilötietoja, onkin liitettävä tietojen antajan informoimiseksi ja yksityisyyden suojaamiseksi tarpeellinen rekisteriseloste, joka on käyttäjien nähtävissä.
Verkkokaupan asiakasrekisteristä ja tietojen käsittelystä tulee siis laatia julkinen rekisteriseloste, joka lisätään verkkokaupan sivuille. Rekisteriselosteesta tulee ilmetä seuraavat tiedot: rekisterinpitäjän yhteystiedot, henkilötietojen käsittelyn tarkoitus, kuvaus rekisteröityjen ryhmistä ja näihin liittyvistä tiedoista, tietojen luovutus sekä kuvaus rekisterin suojauksen periaatteista.
Yksinkertainen versio verkkokaupan rekisteriselosteesta voisi näyttää esimerkiksi tältä:
REKISTERISELOSTE
Rekisteriseloste
Henkilötietolaki (523/1999) 10 §
Rekisterinpitäjä
Verkkokauppa Oy
Osoitekatu 3
01000 Postinumero
Y-tunnus 12345678-9
Yhteyshenkilö rekisteriä koskevissa asioissa
Esko Esimerkki
+358 (0)50 111 2222
Rekisterin nimi
Verkkokauppa Oy:n verkkokaupan asiakasrekisteri.
Henkilötietojen käsittelyn tarkoitus
Henkilötietoja käsitellään verkkokaupan tilausten, laskutuksen, yhteydenottojen ja muiden asiakkuuden hoitamiseen liittyvien toimenpiteiden yhteydessä.
Tietojen käsittelyn teknisen toteuttamisen vuoksi osa tiedoista voi sijaita Verkkokauppa Oy:n alihankkijoilla.
Rekisterin tietosisältö
Asiakkaan etu- ja sukunimi, asiakasnumero, osoitetiedot, puhelinnumero, sukupuoli, sähköposti, www-osoite, kieli, tiedot markkinoinnin luvista ja kielloista.
Tiedot asiakkaan ostotapahtumista ja alennuksista.
Käyttäjätunnus ja salasana.
Säännönmukaiset tietolähteet
Verkkokauppa Oy
Tietojen säännönmukaiset luovutukset
Verkkokauppa Oy ei luovuta asiakasrekisterin tietoja ulkopuolisille kolmansille tahoille.
Verkkokauppa Oy voi kuitenkin luovuttaa asiakastietoja viranomaisille voimassaolevan lainsäädännön sallimissa ja velvoittamissa rajoissa.
Tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle
Tietoja ei luovuteta EU:n tai Euroopan talousalueen ulkopuolelle.
Evästeiden käyttö
Verkkokauppa Oy käyttää verkkokaupassa evästeitä (ns. cookie), joiden avulla seurataan kävijäliikennettä ja parannetaan palvelun laatua.
Rekisterin suojauksen periaatteet
Asiakasrekisteriä käsitellään luottamuksellisesti. Rekisteri on asianmukaisesti suojattu ulkopuolisilta palomuureilla ja muilla teknisillä suojakeinoilla. Rekisteriä ei säilytetä paperitulosteena.
Rekisteriä käyttävät ainoastaan henkilöt, joiden toimenkuvaan sen käyttö kuuluu. Jokaisella rekisterin käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana. Käyttäjiä sitoo vaitiolovelvollisuus.
Tietojen päivittäminen
Asiakas voi päivittää nimi- ja osoitetietojaan verkkokaupan Omat tiedot -osiossa. Muita tietoja voidaan päivittää ottamalla yhteys verkkokaupan ylläpitäjään.
Sähköisen viestinnän tietosuojalaki
Verkkokauppiaan on Sähköisen viestinnän tietosuojalain (SävitisuL) nojalla huolehdittava palvelunsa tietoturvasta. Huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Tämä koskee myös asiakkaan tietoturvaa kolmannen osapuolen palveluissa, jotka on toteutettu kokonaan tai osittain verkkokauppiaan lukuun (SävitisuL 19§).
Jos verkkokaupan tietoturva on uhattuna, verkkokauppiaan tulee tiedottaa uhasta asiakkaille. Verkkokauppiaan tulee myös tiedottaa asiakkaan käytettävissä olevista toimenpiteistä, joilla uhkaa voi torjua, sekä asiakkaille toimenpiteistä aiheutuvista kustannuksista. Lisäksi asiakkaalle pitää kertoa, mistä hän voi saada lisätietoja asiasta (SävitisuL 21 §). Verkkokaupan on myös säilytettävä tiedot ilmoituksista.
Käytännössä lain kuvailema tilanne voi olla esimerkiksi sellainen, jossa verkkokaupan käyttämästä verkkokauppaohjelmistosta löydetään uusi haavoittuvuus. Tällaisessa tilanteessa kauppias tiedottaa asiakkaille havaitusta uhasta, sen vaikutuksista sekä mahdollisista tavoista, joilla asiakkaat voivat suojautua sitä vastaan (esimerkiksi välttämällä tietyn maksutavan käyttöä). Lisäksi verkkokauppias tarjoaa linkin verkkosivulle, jossa on tarkempaa tietoa haavoittuvuudesta. Haavoittuvuuden tultua ilmi verkkokauppias päivittää verkkokauppaohjelmiston uuteen versioon, jossa haavoittuvuus on korjattu.
Sähköisen viestinnän tietosuojalaissa käsitellään myös evästeiden käyttöä. Eväste (cookie) on dataa, jonka verkkopalvelin tallentaa käyttäjän tietokoneelle. Jos asiakas saapuu verkkokauppaan, verkkokaupan palvelin voi pyytää kävijän verkkoselainta tallentamaan jonkin tiedon. Seuraavalla vierailukerralla verkkokauppa voi pyytää tiedon takaisin verkkoselaimelta. Evästeiden (cookies) avulla voidaan hallita esimerkiksi käyttäjän tunnistusta ja ostoskorin tietoja. Käytännössä evästeitä saa säännöksen mukaan käyttää, kunhan käyttäjälle annetaan ymmärrettävät ja kattavat tiedot niiden käytön ja tallennuksen tarkoituksesta sekä samalla annetaan mahdollisuus kieltää evästeiden käyttö.
Verkkokaupan käyttöehdot
Verkkokauppaan kannattaa lisätä myös palvelun yleiset käyttöehdot. Tässä esimerkkinä valmis yksinkertainen pohja.
PALVELUN YLEISET KÄYTTÖEHDOT
Käyttöehdot
Verkkokauppa Oy:n verkkokaupan käyttöehdot käyttäjälle ja palveluntarjoajalle.
Yleistä
Käyttöehdot koskevat Verkkokauppa Oy:n (myös ”palveluntarjoaja” tai ”Yritys”) verkkokauppaa (myös ”palvelu”). Palvelun omistaa Verkkokauppa Oy.
Verkkokaupan käyttäminen edellyttää käyttöehtojen hyväksymistä.
Verkkokaupan sisältö
Verkkokauppa on Verkkokauppa Oy:n rekisteröimä palvelu. Palvelu on kohdistettu kengistä kiinnostuneille asiakkaille.
Verkkokaupassa jokainen myytävä tuote on nimetty ja kuvattu tuotekuvin.
Käyttäjän vastuu
- Käyttäjä sitoutuu käyttämään verkkokauppaa verkkokaupan ohjeiden mukaisesti.
- Käyttäjän tulee täyttää tilaus- ja toimitusehdoissa mainitut vaatimukset.
- Käyttäjä sitoutuu antamaan itsestään totuudenmukaisia tietoja verkkokaupan rekisteröitymislomakkeella ja muuttamaan viivytyksettä mahdolliset virheelliset tiedot.
- Käyttäjä hyväksyy tilausta koskevat tilaus- ja toimitusehdot.
- Käyttäjä hyväksyy Verkkokauppa Oy:n tekemät asiakkuuteensa liittyvät muutokset.
- Käyttäjä vastaa Verkkokauppa Oy:n ja sen yhteistyökumppaneiden tekijänoikeuksilla suojatun materiaalin luvattomasta käytöstä aiheutuvista seuraamuksista.
Palveluntarjoajan vastuu
- Palveluntarjoaja vastaa kaikesta verkkokaupassa esitettävästä sisällöstä.
- Palveluntarjoaja vastaa siitä, että kaikki verkkokaupassa esitettävä sisältö (kuvat yms.) on Suomen lakien mukaista.
- Palveluntarjoajalla on oikeus muuttaa, päivittää ja korjata verkkokaupan sisältöä ja/tai sääntöjä ilman erillistä ilmoitusta käyttäjille.
- Palveluntarjoaja ei vastaa ulkopuolisten palveluiden tai yritysten esittämästä virheellisestä verkkokauppaa koskevasta informaatiosta.
- Palveluntarjoaja vastaa kaikista sille kertyvistä asiakastiedoista ja niiden asianmukaisesta säilyttämisestä.
- Palveluntarjoaja voi tarvittaessa peruuttaa tilauksen tai evätä asiakkuuden. Väärinkäytöksistä ilmoitetaan aina viranomaisille.
Verkkokaupan immateriaalioikeudet
Kaikki verkkokaupassa esitetyt kuva- ja tekstimateriaalit ovat palveluntarjoajan ja/tai sen yhteistyökumppaneiden omaisuutta. Tekijänoikeuksilla suojatun kuva- ja tekstimateriaalin luvaton käyttö tai kopiointi on kielletty.
Evästeiden käyttö
Verkkokaupassa käytetään cookie-toimintoa eli evästeitä. Evästeet eivät vahingoita käyttäjien tietokoneita tai tiedostoja. Evästeitä käytetään, koska niiden avulla tarjotaan asiakkaille yksilöityjen tarpeiden mukaisia tietoja ja palveluita. Evästeen poiskytkeminen selaimesta saattaa vaikuttaa palveluiden asianmukaiseen toimintaan.
Tietosuoja ja tietojen käsittely verkkokaupassa
Palveluntarjoaja huolehtii asianmukaisesti asiakastietojen käsittelystä ja säilyttämisestä. Palveluntarjoajan keräämistä ja tallentamista asiakastiedoista voi tarvittaessa lukea lisää rekisteriselosteesta.
