Tietosuojalausunto

Takaisin etusivulle

EU:n uusi tietosuoja-asetus GDPR (General Data Protection Regulation) tuli voimaan keväällä 2016 ja sen soveltaminen alkaa 25. toukokuuta 2018. HardMakers WP-palvelussa tietoturvan ja tietosuojan kehittäminen ovat olleet keskeisiä jo monta vuotta ja olemme seuranneet GDPR:n valmisteluja pitkään.

Uuden tietosuoja-asetuksen myötä EU:n kansalaisten tietosuoja paranee. Jokaiselle tulee asetuksen nojalla oikeus:

  1. Saada tietää, mitä tietoja hänestä kerätään
  2. Voida kieltää tietojen kerääminen ja käsittely, mukaan lukien vaatia kerättyjen tietojen poistamista
  3. Saada itseään koskevat tiedot koneluettavassa muodossa, jotta tieto on siirettävissä toiseen järjestelmään
  4. Oikeus saada tietää tietovuodosta, jossa omia tietoja on voinut vuotaa

Asetuksen myötä henkilötietojen kerääjän eli rekisterinpitäjän sekä henkilötietoja käsittelevien toimijoiden velvollisuudet kasvavat olennaisesti.

EU:n tietosuojaasetus löytyy EUR-Lex-tietopalvelusta. Kansallinen säädöstyö on vielä kesken, mutta HardMakers seuraa asian edistymistä. HardMakers Oy on Suomeen rekisteröity yritys ja noudatamme kaikkia suomalaisia normistoja nyt ja tulevaisuudessa, joten suomalaisen asiakkaan ei tarvitse murehtia toiminnan suhdetta Suomen lakiin, niin kuin ulkomaisen yrityksen asiakkaana ollessa saattaa joutua tekemään.

Jokainen sivuston omistaja on itse rekisterinpitäjä

Jokainen WP-palvelun asiakasyritys vastaa itse siitä, miten WordPress-sivuston kautta kerätään henkilötietoja, jos sellaisia kerätään. Jokainen asiakasyritys vastaa myös itse siitä, mitä kerätyillä tiedoilla tehdään sekä miten taataan rekisteröityjen oikeuksien toteutuminen. Tietosuoja-asetuksen näkökulmasta HardMakers Oy voi olla tietojen käsittelijä (data processor) ja jokainen WP-palvelussa sivuston omistava on rekisterinpitäjä (data controller). HardMakers pyrkii edistämään asiakkaidensa kykyä toimia rekisterinpitäjänä menestyksekkäästi, mutta HardMakers ei millään tavalla määrää tai valvo, mitä tietoja asiakkaiden WordPress-sivustot keräävät sivustojen vierailijoista, miten tietoja käytetään tai minne sivustojen omistajat tietoja vievät.

WordPress tarjoaa useita toimintoja, jotka helpottavat tietojen asianmukaista käsittelyä. Sivuston rakentajan kannattaa tutustua niihin suunnitellessaan, minkälaista verkkopalvelua on toteuttamassa. WordPressiin ei lähtökohtaisesti liity mitään erityistä haastetta GDPR-asetuksen näkökulmasta. GDPR:n taustalla on EU:n pyrkimys suitsia erityisesti amerikkalaisille (jota USA:n tietosuojalainsäädäntö ei juurikaan rajoita) yrityksille tyypillistä käytäntöä, jossa verkkopalveluiden käyttäjistä kerätään kaikki mahdollinen tieto ja tietoja yhdistellään ja myydään edelleen tavalla, jolle on ominaista heikentää kansalaisten tietosuojaa. WordPress-julkaisujärjestelmässä ei ole itsessään tällaisia toimintoja sisäänrakennettuna. Toinen tavoite GDPR:llä on pakottaa yrityksiä ottamaan tietoturva vakavammin, jotta laajojen tietovuotojen tapahtuminen olisi epätodennäköisempää. HardMakers WP-palvelussa asiakkaiden tietoturva on hyvällä tasolla, koska tietoturvasta huolehtiminen ja muu palvelinympäristön ylläpito kuuluvat palveluun toisin kuin kilpailijoilla, joilla asiakas perinteisesti ostaa vain palvelinkapasiteettia ja on itse täysin vastuussa sen toimivuudesta.

Sisäänrakennettu ja oletusarvoinen tietosuoja

EU:n tietosuoja-asetuksen 25. artikla vaalii sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta. WP-palvelussa tietoturva on aina ollut keskeinen osa-alue sekä tietojärjestelmämme suunnittelun että ylläpitokäytäntöjen osalta. Käytännössä tämä näkyy muun muassa siinä, että kaikkiin palvelupaketteihin ja verkkotunnuksiin kuuluu vakiona HTTPS-varmenne verkkoyhteyden suojaamiseksi. Palvelinten ylläpito sekä HardMakersin henkilökunnan että asiakkaiden itsensä toimesta on mahdollista vain suojatuilla SSH- ja SFTP-yhteyksillä ja suojaamaton FTP-käyttö on kokonaan estetty. Asiakasympäristöissä on vakiona sekä WordPressin että SSH/SFTP-kirjautumisten lokitus auditoitavuuden edistämiseksi, moninaiset tietoturvaskannaukset ovat automaattisia ja säännöllisiä, ja lisäksi HardMakersin WP-palvelun tietoturvatakuu koskee kaikkia asiakkaita: suojausten pettäessä WordPress-sivustojen tietomurrot siivotaan ilman lisämaksua. Näin ollen kannustin palveluntarjoajan vastuunkantoon on tuntuva.

Poistetut tiedostot poistuvat ajan myötä myös varmuuskopioista

GDPR:ään sisältyy, että verkkopalvelun käyttäjillä on oikeus tulla ”unohdetuksi”. Tämä tarkoittaa sitä, että niillä henkilöillä, joista henkilötietoja kerätään, on oikeus nähdä mitä tietoja heistä on kerätty ja myös oikeus saada kyseiset tiedot poistettua. Tämä oikeus toteutuu HardMakersin WP-palvelussa, sillä emme säilytä mitään tietoja tai tietojen varmuuskopioita ikuisesti.

Varmuuskopiot on tietoturvasyistä toteutettu niin, että ne säilyvät aina tietyn ajan, yleensä joitakin kuukausia. Viive on perusteltu, sillä ilman luotettavia varmuuskopioita, emme voi varmistaa tietojen saatavuutta tai eheyttä, jotka puolestaan luottamuksellisuuden ohella ovat tietoturvan kulmakiviä. Varmuuskopioiden toteuttamisessa on myös huolehdittu siitä, ettei niitä voida millään laillisella tai laittomalla käytöllä tuhota. GDPR ei määrää, miten katselu- ja poistamisoikeus tulee teknisesti toteuttaa. Uskomme vahvasti, että tietoturvan ja tietosuojan edistämiseksi tehdyt toimenpiteet HardMakers WP-palvelussa ovat oikeudellisesti tarkasteltuna niin hyvin hoidettu, kuin WordPress-sivuston palvelinympäristön osalta on mahdollista.

Lisätietoja tietosuojavastaavalta ja tietoturvavastaavalta

HardMakers on nimetty sekä tietosuojavastaava että tietoturvavastaava. Kaikissa tietosuojaan ja tietoturvaan liittyvissä asioissa voi ottaa yhteyttä meihin osoitteessa info@hardmakers.fi