EU-vaatimustenmukaisuus Joomlassa — GDPR, esteettomyysdirektiivi ja ePrivacy-opas
Jos Joomla-sivustosi palvelee kävijöitä Euroopan unionissa, sinun on noudatettava useita säädöskehyksiä — yleistä tietosuoja-asetusta (GDPR), Euroopan esteettömyyssäädöstä (EAA) ja sähköisen viestinnän tietosuojadirektiiviä (ePrivacy). Nämä eivät ole vapaaehtoisia suosituksia. Ne ovat velvoittavaa lainsäädäntöä, jonka rikkomisesta seuraa tuntuvia taloudellisia sanktioita.
Tämä opas selittää, mitä kukin säädös edellyttää, miten se koskee nimenomaan Joomla-sivustoja ja mitä sinun on tehtävä vaatimusten täyttämiseksi. Pidämme tätä elävänä dokumenttina ja päivitämme sitä sääntelyn kehittyessä ja valvonnan tiukentuessa.
Hanki maksuton vaatimustenmukaisuustarkistus →
EU:n verkkovaatimusten kolme peruspilaria
1. GDPR — tietosuoja (voimassa toukokuusta 2018)
Yleinen tietosuoja-asetus säätelee sitä, miten henkilötietoja kerätään, käsitellään, säilytetään ja jaetaan. Joomla-sivuston kannalta tämä tarkoittaa seuraavaa:
- Evästesuostumus: Ei-välttämättömät evästeet on estettävä, kunnes kävijä antaa niihin nimenomaisen suostumuksen. Pelkkä ilmoittava banneri ei riitä — evästeiden lataus on tosiasiallisesti estettävä.
- Tietosuojaseloste: Sinulla on oltava kattava ja paikkansapitävä tietosuojaseloste, joka kuvaa kaikki henkilötietojen käsittelytoimet, käsittelyn oikeusperusteet, säilytysajat ja rekisteröidyn oikeudet.
- Suostumusten kirjaaminen: Sinun on pystyttävä osoittamaan, että suostumus on annettu — milloin, mihin se annettiin ja mikä tietosuojaselosteesi versio oli tuolloin voimassa.
- Rekisteröidyn oikeudet: Kävijä voi pyytää pääsyä tietoihinsa, niiden poistamista, oikaisua tai siirtoa. Sinulla on oltava menettelyt näiden pyyntöjen käsittelyyn.
- Tietojenkäsittelysopimukset: Jos käytät kolmannen osapuolen palveluita, jotka käsittelevät henkilötietoja (analytiikka, sähköpostimarkkinointi, maksupalvelut), sinulla on oltava niiden kanssa tietojenkäsittelysopimukset.
- Google Consent Mode v2: Jos käytät Googlen palveluita (Analytics, Ads), Consent Mode v2 on otettava käyttöön suostumuksen tilan välittämiseksi Googlelle.
Sanktiot: Enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuosittaisesta liikevaihdosta sen mukaan, kumpi on suurempi.
GDPR-vaatimustenmukaisuuspalvelumme Joomlalle →
2. Euroopan esteettömyyssäädös (voimassa kesäkuusta 2025)
EAA edellyttää, että EU:ssa tavaroita ja palveluita tarjoavat verkkosivustot ovat saavutettavia vammaisille henkilöille ja täyttävät WCAG 2.1 -tason AA -vaatimukset (eurooppalaisen EN 301 549 -standardin kautta).
- Keitä velvoite koskee: Yrityksiä, jotka tarjoavat tuotteita tai palveluita EU:n kuluttajille (suppein mikroyrityksiä koskevin poikkeuksin)
- Mitä edellytetään: Havaittavaa, hallittavaa, ymmärrettävää ja toimintavarmaa verkkosisältöä — mukaan lukien asianmukaiset alt-tekstit, värikontrastit, näppäimistönavigointi, lomakkeiden merkinnät, otsikkorakenne ja yhteensopivuus avustavan teknologian kanssa
- Määräajat: Uuden sisällön on täytettävä vaatimukset kesäkuusta 2025 alkaen. Kaiken olemassa olevan sisällön on täytettävä ne kesäkuuhun 2030 mennessä.
- Saavutettavuusseloste: Verkkosivustosi on julkaistava seloste, joka kuvaa vaatimustenmukaisuuden tilan ja tarjoaa palautekanavan
Sanktiot: Vaihtelevat jäsenvaltioittain — joissakin maissa enintään 100 000 euroa tai 4 % vuositulosta.
EAA-vaatimustenmukaisuuspalvelumme Joomlalle →
3. ePrivacy-direktiivi (evästelaki)
ePrivacy-direktiivi on GDPR:ää vanhempi ja koskee nimenomaan sähköistä viestintää, mukaan lukien evästeet ja seurantateknologiat. Vaikka GDPR muodostaa laajemman kehyksen, ePrivacy-direktiivi sisältää tarkat säännöt siitä, milloin evästeisiin tarvitaan suostumus ja miten sähköistä markkinointiviestintää on käsiteltävä.
Käytännössä GDPR ja ePrivacy menevät evästeiden osalta suurelta osin päällekkäin. Tiukin tulkinta — joka on samalla turvallisin — edellyttää nimenomaista opt-in-suostumusta ennen kuin ei-välttämättömiä evästeitä asetetaan, ja kieltämisen on oltava yhtä helppoa kuin hyväksymisen.
Uutta ePrivacy-asetusta on valmisteltu vuosia, ja se korvaa lopulta direktiivin. Kunnes asetus on valmis, nykyinen direktiivi pysyy voimassa GDPR:n suostumusvaatimuksilla täydennettynä.
Maakohtaiset vaatimukset
Vaikka GDPR muodostaa EU:n laajuisen kehyksen, yksittäiset jäsenvaltiot valvovat sitä eri tavoin ja ovat lisänneet omia vaatimuksiaan. Tässä keskeisimmät erot niissä maissa, joiden kanssa työskentelemme useimmin:
Saksa (DSGVO)
Saksalla on EU:n tiukin tulkinta GDPR:n evästesuostumusvaatimuksista. Liittovaltion korkein oikeus on linjannut, että suostumus on annettava vapaaehtoisesti ilman valmiiksi rastitettuja valintaruutuja. "Hylkää kaikki" -vaihtoehdon on oltava yhtä näkyvä ja helposti saavutettava kuin "Hyväksy kaikki". Saksan tietosuojaviranomaiset (kullakin 16 osavaltiolla on oma) ovat aktiivisimpien valvojien joukossa. Saksalaisille käyttäjille suunnattujen sivustojen on lisäksi tarjottava Impressum (lakisääteinen tunnistetieto) TMG §5:n mukaisesti.
Ranska (RGPD)
CNIL (Commission Nationale de l'Informatique et des Libertés) on julkaissut nimenomaiset ohjeet evästesuostumusbannereista. Hylkäysvaihtoehdon on oltava yhtä helposti saavutettavissa kuin hyväksymisvaihtoehdon — ei pimeitä kuvioita, jotka piilottavat hylkäysmekanismin lisäklikkausten taakse. CNIL on määrännyt suurille yhtiöille tuntuvia sakkoja evästesuostumusrikkomuksista.
Alankomaat
Alankomaiden tietosuojaviranomainen (Autoriteit Persoonsgegevens) on yksi Euroopan aktiivisimmista valvontaviranomaisista. Se on asettanut evästesuostumuksen noudattamisen etusijalle ja tutkii säännöllisesti valituksia. Alankomaissa suostumusvaatimuksia tulkitaan tiukasti.
Italia
Italian tietosuojaviranomaisella (Garante) on erityisvaatimuksia evästetiedotuksille, ja se on julkaissut ohjeita evästeilmoitusten muodosta. Italian sääntely asettaa analyyttisille evästeille erityisvaatimuksia, jotka menevät yleistä GDPR-kehystä pidemmälle.
Espanja (LOPDGDD)
Espanjan tietosuojaa koskeva orgaaninen laki täydentää GDPR:ää lisäsäännöksin. Espanjan tietosuojaviranomainen (AEPD) on ollut yhä aktiivisempi evästesuostumusten valvonnassa.
Pohjoismaat
Ruotsi, Tanska, Suomi ja Norja noudattavat yleisesti tiiviisti EU-kehystä. Valvonta on toistaiseksi ollut vähemmän aggressiivista kuin Saksassa tai Ranskassa, mutta kaikilla on toimivat tietosuojaviranomaiset, jotka käsittelevät valituksia. Norja, joka ei ole EU:n jäsen, soveltaa GDPR:ää ETA-sopimuksen kautta.
Vaatimustenmukaisuuden tarkistuslista Joomla-sivustoille
GDPR- ja evästevaatimukset
- Käytössä on evästesuostumusbanneri, joka aidosti estää ei-välttämättömät evästeet ennen suostumusta
- Evästeet on luokiteltu selkeisiin ryhmiin (välttämättömät, toiminnalliset, analytiikka, markkinointi)
- Hyväksy- ja hylkäysvaihtoehdot ovat yhtä näkyviä — ei pimeitä kuvioita
- Suostumusten kirjaaminen on aktiivinen — tallennetaan, milloin suostumus annettiin ja mihin se annettiin
- Google Consent Mode v2 on määritetty (jos käytössä on Google Analytics tai Google Ads)
- Kattava tietosuojaseloste on julkaistu ja vastaa tarkasti tietojen käsittelyäsi
- Evästeseloste on julkaistu, ja siinä on kunkin käytetyn evästeen tarkat tiedot
- Rekisteröidyn pyyntöjen käsittelymekanismi on käytössä (pääsy-, poisto- ja oikaisupyynnöt)
- Tietojenkäsittelysopimukset on tehty kaikkien kolmannen osapuolen palveluiden kanssa
- Tietosuojaa koskevia tiedusteluja varten on julkaistu yhteyssähköposti verkkosivustolla
EAA- ja saavutettavuusvaatimukset
- Kaikilla kuvilla on merkityksellinen alt-teksti (tai tyhjä alt koristekuville)
- Värikontrasti täyttää suhteen 4,5:1 tavallisella tekstillä ja 3:1 suurella tekstillä
- Kaikki vuorovaikutteiset elementit ovat käytettävissä pelkällä näppäimistöllä
- Näkyvät fokusilmaisimet kaikissa vuorovaikutteisissa elementeissä
- Looginen otsikkorakenne (H1 → H2 → H3, ilman ohitettuja tasoja)
- Kaikilla lomakekentillä on niihin liitetyt nimiöt
- Sivun kieli on määritetty HTML-elementin lang-attribuutissa
- Videoissa on tekstitys; äänisisällöillä on tekstivastineet
- Navigaation ohittavat linkit on toteutettu
- Saavutettavuusseloste on julkaistu palautekanavan kera
Yleiset lakisääteiset sivut
- Tietosuojaseloste — GDPR:n mukainen ja tietojesi käsittelyä vastaava
- Evästeseloste — yksilöity luettelo evästeistä tarkoituksineen ja kestoineen
- Tunnistetiedot / Impressum — pakollinen Saksassa ja Itävallassa, suositeltava kaikille EU-sivustoille
- Käyttö- ja sopimusehdot — jos myyt tavaroita tai palveluita
- Saavutettavuusseloste — pakollinen EAA:n nojalla
Miksi vaatimustenmukaisuus ei ole mahdollista Joomla 3:ssa
Jos verkkosivustosi pyörii Joomla 3:lla (tai sitä vanhemmalla), aidon EU-vaatimustenmukaisuuden saavuttaminen on pohjimmiltaan mahdotonta. Joomla 3 ei ole saanut tietoturvapäivityksiä elokuun 2023 jälkeen — paikkaamattoman ohjelmiston ajaminen on ristiriidassa GDPR:n edellyttämien "asianmukaisten teknisten toimenpiteiden" kanssa. Joomla 3:n template-järjestelmä on nykyaikaisia saavutettavuusstandardeja vanhempi, mikä tekee WCAG-vaatimustenmukaisuudesta erittäin vaikeaa ilman täydellistä templaten uudelleenrakennusta. Joomla 5:ssä ja 6:ssa saatavilla olevia sisäänrakennettuja tietosuojatyökaluja ei ole Joomla 3:ssa.
Kustannustehokkain reitti vaatimustenmukaisuuteen on päivitys Joomla 5:een tai 6:een ja vaatimustenmukaisuustoimien toteuttaminen nykyaikaisella alustalla. Päivityspalvelumme tuovat vaatimustenmukaisuuden osaksi siirtoprosessia.
Vaatimustenmukaisuuspalvelumme
Toteutamme vaatimustenmukaisuuden nimenomaan Joomla-sivustoille:
- GDPR- ja evästevaatimukset — toteutus ja jatkuva seuranta
- EAA-saavutettavuus — auditoinnit, korjaukset ja seuranta
- Vaatimustenmukaisuuden sisällyttäminen päivitysprojekteihin — tehokkain lähestymistapa
- Vaatimustenmukaisuuden seuranta osana ylläpitopaketteja
Aloita vaatimustenmukaisuustarkistuksesta
Maksuton sivustoauditointimme sisältää vaatimustenmukaisuusarvion, joka kattaa nykyisen GDPR-evästekäsittelysi, saavutettavuuden lähtötason ja lakisääteisten sivujen tilan. Saat selkeän kuvan siitä, missä Joomla-sivustosi on nyt ja mitä on muutettava EU-vaatimusten täyttämiseksi.