Lainopilliset perusteet

Verkkokauppiaan tulee pitää huolta, että tietoturvan varmistamisen kannalta keskeiset asiat ovat kunnossa. Kriittisimmät tietoturvakysymykset liittyvät ostotapahtumiin niissä käsiteltävien rahasummien ja mahdollisten pankki- tai luottokorttitietojen takia. Tietoturvan osana ovat myös asiakkaan antamat henkilötiedot. Näitä ovat esimerkiksi tilauksen toimitusta varten annetut tiedot sekä asiakkaasta automaattisesti tallennetut tiedot, joista asiakas on tunnistettavissa.

Tietosuoja-asetus, tietosuojalaki ja rekisteriseloste

Henkilötietojen käsittelyä ohjaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaki. Yleinen tietosuoja-asetus määrittelee henkilötietojen olevan: ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.

Tietosuoja-astuksen mukaan henkilötietoja kerättäessä rekisteröidyn tulee aina voida olla tietoinen antamiensa tietojen tulevasta käsittelystä ja käytöstä. Kaikkiin verkkopalveluihin, joissa kerätään henkilötietoja, onkin liitettävä tietojen antajan informoimiseksi ja yksityisyyden suojaamiseksi tarpeellinen rekisteriseloste, joka on käyttäjien nähtävissä. 

Verkkokaupan asiakasrekisteristä ja tietojen käsittelystä tulee siis laatia julkinen rekisteriseloste, joka lisätään verkkokaupan sivuille. Rekisteriselosteesta tulee ilmetä seuraavat tiedot: rekisterinpitäjän yhteystiedot, henkilötietojen käsittelyn tarkoitus, kuvaus rekisteröityjen ryhmistä ja näihin liittyvistä tiedoista, tietojen luovutus sekä kuvaus rekisterin suojauksen periaatteista.

Yksinkertainen versio verkkokaupan rekisteriselosteesta voisi näyttää esimerkiksi tältä:

Sähköisen viestinnän tietosuojalaki

Verkkokauppiaan on Sähköisen viestinnän tietosuojalain (SävitisuL) nojalla huolehdittava palvelunsa tietoturvasta. Huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Tämä koskee myös asiakkaan tietoturvaa kolmannen osapuolen palveluissa, jotka on toteutettu kokonaan tai osittain verkkokauppiaan lukuun (SävitisuL 19§).

Jos verkkokaupan tietoturva on uhattuna, verkkokauppiaan tulee tiedottaa uhasta asiakkaille. Verkkokauppiaan tulee myös tiedottaa asiakkaan käytettävissä olevista toimenpiteistä, joilla uhkaa voi torjua, sekä asiakkaille toimenpiteistä aiheutuvista kustannuksista. Lisäksi asiakkaalle pitää kertoa, mistä hän voi saada lisätietoja asiasta (SävitisuL 21 §). Verkkokaupan on myös säilytettävä tiedot ilmoituksista.

Käytännössä lain kuvailema tilanne voi olla esimerkiksi sellainen, jossa verkkokaupan käyttämästä verkkokauppaohjelmistosta löydetään uusi haavoittuvuus. Tällaisessa tilanteessa kauppias tiedottaa asiakkaille havaitusta uhasta, sen vaikutuksista sekä mahdollisista tavoista, joilla asiakkaat voivat suojautua sitä vastaan (esimerkiksi välttämällä tietyn maksutavan käyttöä). Lisäksi verkkokauppias tarjoaa linkin verkkosivulle, jossa on tarkempaa tietoa haavoittuvuudesta. Haavoittuvuuden tultua ilmi verkkokauppias päivittää verkkokauppaohjelmiston uuteen versioon, jossa haavoittuvuus on korjattu.

Sähköisen viestinnän tietosuojalaissa käsitellään myös evästeiden käyttöä. Eväste (cookie) on dataa, jonka verkkopalvelin tallentaa käyttäjän tietokoneelle. Jos asiakas saapuu verkkokauppaan, verkkokaupan palvelin voi pyytää kävijän verkkoselainta tallentamaan jonkin tiedon. Seuraavalla vierailukerralla verkkokauppa voi pyytää tiedon takaisin verkkoselaimelta. Evästeiden (cookies) avulla voidaan hallita esimerkiksi käyttäjän tunnistusta ja ostoskorin tietoja. Käytännössä evästeitä saa säännöksen mukaan käyttää, kunhan käyttäjälle annetaan ymmärrettävät ja kattavat tiedot niiden käytön ja tallennuksen tarkoituksesta sekä samalla annetaan mahdollisuus kieltää evästeiden käyttö.

Verkkokaupan käyttöehdot

Verkkokauppaan kannattaa lisätä myös palvelun yleiset käyttöehdot. Tässä esimerkkinä valmis yksinkertainen pohja.