Joomlan GDPR ja evästesuostumus eurooppalaisille verkkosivustoille

Yleinen tietosuoja-asetus ei ole vapaaehtoinen millekään verkkosivustolle, joka palvelee eurooppalaisia kävijöitä. Silti useimmat Joomla-sivustot eivät täytä aitoja vaatimuksia — ne luottavat pelkkään evästebanneriin ja sivuuttavat suostumusten kirjaamisen, evästeiden luokittelun, rekisteröidyn oikeudet ja tekniset toimet, joita asetus todella edellyttää.

Ilmaisen evästeplugarin asentaminen ei ole GDPR-vaatimustenmukaisuutta. Se on vaatimustenmukaisuuden alku — ja usein vieläpä riittämätön alku. Aito vaatimustenmukaisuus edellyttää evästeiden kunnollista estämistä ennen suostumusta, tarkkoja suostumuskategorioita, suostumusrekisteriä, Google Consent Mode v2 -integraatiota, kattavaa tietosuojaselostetta, rekisteröidyn tarkastuspyyntöjen käsittelyä sekä jatkuvaa seurantaa sitä mukaa kun sivustosi ja sääntely-ympäristö muuttuvat.

Toteutamme ja valvomme GDPR-vaatimustenmukaisuutta nimenomaan Joomla-sivustoille ja varmistamme, että sivustosi täyttää lakisääteiset velvoitteensa kaikissa EU:n jäsenvaltioissa.

Hanki ilmainen GDPR-tarkistus →

GDPR ja ePrivacy: kaksi lakia, yksi sivusto

Sivustojen omistajat puhuvat usein ”GDPR-evästeistä”, mutta evästesuostumus sijaitsee tosiasiassa kahden erillisen eurooppalaisen lain leikkauspisteessä. Eron ymmärtäminen on tärkeää, sillä kumpikin asettaa Joomla-sivustollesi erilaisia velvoitteita.

ePrivacy-direktiivi (joka on saatettu kansalliseen lainsäädäntöön jokaisessa jäsenvaltiossa) säätelee tiedon tallentamista kävijän laitteelle tai sen lukemista. Tämä on se laki, joka edellyttää suostumusta ennen ei-välttämättömien evästeiden asettamista riippumatta siitä, sisältävätkö evästeet henkilötietoja. Se koskee yhtä lailla evästeitä, localStorage-tallennusta, sormenjälkitekniikoita ja seurantapikseleitä.

GDPR puolestaan säätelee sitä, mitä henkilötiedoille tapahtuu keräämisen jälkeen — käsittelyn oikeusperusteen, säilytysajan, kenen kanssa tietoja jaetaan, miten ne suojataan ja mitkä oikeudet tietojen kohteena olevilla ihmisillä on. Heti kun eväste, lomake tai analytiikkaskripti käsittelee mitä tahansa, mikä voi tunnistaa henkilön (mukaan lukien IP-osoite tai yksilöivä tunniste), GDPR astuu voimaan ePrivacy-sääntöjen päälle.

Vaatimukset täyttävä Joomla-sivusto tarvitsee siis molemmat kerrokset kuntoon: suostumuksen ennen tallennusta (ePrivacy) sekä laillisen, läpinäkyvän ja dokumentoidun käsittelyn sen jälkeen (GDPR). Pelkkä evästebanneri kattaa parhaimmillaankin vain puolet ensimmäisestä kerroksesta.

Mitä GDPR-vaatimustenmukaisuus oikeasti edellyttää

Evästesuostumus, joka oikeasti toimii

GDPR ja ePrivacy-direktiivi edellyttävät, että sivustosi estää ei-välttämättömät evästeet — mukaan lukien analytiikka-, markkinointi- ja kolmannen osapuolen evästeet — kunnes kävijä antaa nimenomaisen suostumuksensa. Monet Joomla-sivustoille asennetut evästebannerit kaatuvat jo tähän peruskokeeseen: ne näyttävät ilmoituksen mutta eivät tosiasiassa estä evästeiden asettamista. Tämä ei ole suostumus — se on ilmoitus, eikä se täytä lain vaatimusta.

Toteutamme evästesuostumusratkaisuja, jotka todella estävät evästeet ja seurantaskriptit ennen suostumuksen antamista, luokittelevat evästeet selkeästi määriteltyihin kategorioihin (välttämättömät, toiminnalliset, analytiikka, markkinointi), antavat kävijöiden hyväksyä tai hylätä yksittäiset kategoriat yhtä helposti ja vapauttavat resurssit ilman koko sivun uudelleenlatausta, kun suostumus on annettu.

Yhtä tärkeää: hylkäämisen on oltava yhtä helppoa kuin hyväksymisen. Valvontaviranomaiset eri puolilla EU:ta ovat tehneet selväksi, että bannerit, joissa on näkyvä ”Hyväksy kaikki” -painike ja ”Hylkää”-vaihtoehto piilotettuna asetuslinkin taakse, eivät tuota pätevää suostumusta. Suunnittelukikoilla saatu suostumus ei ole lainkaan suostumus.

Google Consent Mode v2

Google edellyttää, että Google Adsia tai Google Analyticsia käyttävät sivustot ottavat käyttöön Consent Mode v2:n. Tämä kehys välittää kävijöidesi suostumustilan Googlen palveluille ja säätää tiedonkeruuta sen mukaisesti. Ilman asianmukaista Consent Mode v2 -toteutusta Google Ads -konversiomittauksesi ja Analytics-tietosi voivat kärsiä pahasti — ja ETA-liikenteen yleisöominaisuudet lakkaavat toimimasta kokonaan.

Määritämme Consent Mode v2:n osana jokaista GDPR-toteutusta ja varmistamme, että Google-palvelusi toimivat oikein suostumuskehyksen sisällä: suostumussignaalit laukeavat ennen Google-tagien latautumista, oletustila on ETA-kävijöille ”evätty”, ja muutokset välittyvät oikein, kun kävijä muuttaa asetuksiaan.

Oikeusperuste jokaiselle käsittelytoimelle

Jokainen sivustosi käsittelemä henkilötieto tarvitsee dokumentoidun oikeusperusteen 6 artiklan mukaisesti — suostumus, sopimus, lakisääteinen velvoite, elintärkeä etu, yleinen etu tai oikeutettu etu. Käytännössä useimmilla Joomla-yrityssivustoilla tämä tarkoittaa: suostumus analytiikka- ja markkinointievästeille, sopimus tai oikeutettu etu yhteydenottolomakkeiden lähetyksille ja tilien rekisteröinnille sekä lakisääteinen velvoite laskutustiedoille.

”Emme ole koskaan ajatelleet asiaa” on yleisin oikeusperuste, jonka auditoinneissa kohtaamme — eikä se ole mikään noista kuudesta. Osa toteutustamme on yksinkertainen käsittelyluettelo: mitä tietoja sivusto kerää, missä, miksi, millä perusteella ja kuinka kauan. Useimmille pienille ja keskisuurille yrityksille tämä toimii samalla 30 artiklan mukaisen käsittelytoimien selosteen ytimenä.

Suostumusrekisteri

GDPR edellyttää, että pystyt osoittamaan suostumuksen antamisen. Tämä tarkoittaa lokin ylläpitämistä siitä, milloin kukin kävijä antoi suostumuksensa, mihin hän suostui ja mikä versio suostumustekstistäsi ja tietosuojaselosteestasi oli tuolloin voimassa. Jos tietosuojaviranomainen pyytää näyttöä suostumuksesta, sinun on pystyttävä toimittamaan se. Banneri ilman suostumuslokia jättää sinut kykenemättömäksi todistamaan juuri sen yhden asian, jonka asetus pyytää sinua todistamaan.

Tietosuojaseloste

Tietosuojaselosteesi on kuvattava tarkasti jokainen sivustosi keräämä henkilötietotyyppi, käsittelyn oikeusperuste, tietojen säilytysaika, kenen kanssa niitä jaetaan (mukaan lukien käsittelijät kuten hosting-palveluntarjoajasi, sähköpostipalvelusi ja analytiikkatoimittajasi), poistuvatko tiedot EU:sta sekä se, miten rekisteröidyt voivat käyttää oikeuksiaan. Yleinen mallipohja ei riitä — tietosuojaselosteesi on vastattava omia käsittelytoimiasi, ja se on päivitettävä, kun nuo toimet muuttuvat.

Rekisteröidyn tarkastuspyynnöt

GDPR:n nojalla yksilöillä on oikeus pyytää pääsyä henkilötietoihinsa, pyytää niiden poistamista (”oikeus tulla unohdetuksi”) sekä pyytää niiden oikaisemista tai siirtämistä. Vastausaikaa on yleensä yksi kuukausi. Joomla-sivustosi tarvitsee mekanismit näiden pyyntöjen käsittelyyn — Joomla 5:ssä ja 6:ssa on ydintason tietosuojatyökalut tähän, mutta ne on määritettävä oikein ja niitä voidaan joutua laajentamaan juuri sinun kokoonpanoosi, etenkin kun kolmannen osapuolen komponentit tallentavat käyttäjätietoja omiin tauluihinsa.

Valmius tietoturvaloukkauksen ilmoittamiseen

Jos sivustosi henkilötiedot vuotavat — murron, vuotaneen tietokannan tai väärin määritetyn lomakkeen kautta — 33 artikla antaa sinulle 72 tuntia aikaa ilmoittaa asiasta valvontaviranomaiselle siitä hetkestä, kun olet saanut tiedon, ellei loukkaus todennäköisesti aiheuta riskiä asianomaisille. 72 tuntia on hyvin vähän aikaa, jos sinulla ei ole suunnitelmaa, lokeja eikä aavistustakaan siitä, mitä tietoja sivusto sisälsi. Vaatimustenmukaisuuteen kuuluu varautuminen pahan päivän varalle: tieto siitä, mitä säilytät, lokien pitäminen, joiden avulla tapahtumat voidaan rekonstruoida, sekä yhteyspolku pätevään apuun. (Jos luet tätä siksi, että paha päivä on jo koittanut, murretun sivuston hätäpalautuspalvelumme sisältää loukkauksen arvioinnin ja dokumentointituen.)

Missä Joomla-sivustot todella keräävät henkilötietoja

Auditoinneissa sivustojen omistajat hämmästyvät säännönmukaisesti siitä, kuinka monessa paikassa heidän ”yksinkertainen esitesivustonsa” käsittelee henkilötietoja. Tyypilliset epäillyt Joomla-sivustolla:

Yhteydenotto- ja tarjouspyyntölomakkeet — nimet, sähköpostit, puhelinnumerot ja usein vapaatekstikentät, joihin kävijät kertovat paljon enemmän. Minne lähetykset menevät, kuka ne vastaanottaa ja kuinka kauan ne lojuvat tietokannassa ja postilaatikoissa?
Käyttäjärekisteröinti ja kirjautuminen — tilit, profiilit ja salasanatiedot sekä kaikki, mitä kolmannen osapuolen yhteisö- tai jäsenyyslisäosat tuovat näiden päälle.
Uutiskirjeen tilaukset — yleensä synkronoituna ulkoiseen sähköpostialustaan, mikä tekee siitä alustasta käsittelijän, joka kuuluu tietosuojaselosteeseesi ja tietojenkäsittelysopimuksen piiriin.
Analytiikka ja tagienhallinta — Google Analytics, Matomo, lämpökarttatyökalut, konversiopikselit. IP-osoitteet ja verkkotunnisteet ovat henkilötietoja.
Upotettu kolmannen osapuolen sisältö — YouTube-videot, Google Maps, sosiaalisen median vimpaimet ja ulkoisesti isännöidyt fontit voivat välittää kävijän IP-osoitteen kolmansille osapuolille heti sivun latautuessa, ennen kuin mitään suostumusta on annettu. Jokainen upotus vaatii joko suostumusporttauksen tai tietosuojaystävällisen vaihtoehdon (paikalliset fontit, klikkaamalla ladattavat videojulkisivut).
Palvelinlokit ja tietoturvalisäosat — käyttölokit, epäonnistuneiden kirjautumisten merkinnät ja palomuurilokit sisältävät kaikki IP-osoitteita. Niiden säilyttäminen on perusteltua, mutta ne tarvitsevat säilytysajan ja maininnan selosteessasi.
Verkkokauppa ja maksut — tilaustiedot, osoitteet ja maksunvälittäjien integraatiot tuovat lisävelvoitteita ja -sopimuksia.

Joomlassa itsessään on mukana hyödyllisiä rakennuspalikoita — tietosuojakomponentti (com_privacy) tarkastus- ja poistopyyntöjen käsittelyyn, käyttäjän toimintaloki ja suostumuskentät rekisteröinnissä. Nämä ydintyökalut ovat aito etu moneen muuhun alustaan verrattuna, mutta ne kattavat Joomlan ytimen — eivät niitä kolmannen osapuolen lisäosia, joissa suurin osa todellisesta tietojenkäsittelystä tapahtuu. Toteutuksessamme kartoitetaan jokainen sivustosi lisäosa, joka käsittelee henkilötietoja, ja varmistetaan, että kukin on joko katettu, suostumusportattu tai poistettu.

Miksi ilmaiset pluginit eivät riitä

Ilmaiset Joomlan evästesuostumuspluginit hoitavat näkyvän kerroksen — bannerin, jonka kävijät näkevät. Tyypillisesti ne eivät tarjoa riittävää evästeiden luokittelua ja estämistä, suostumuslokia viranomaisnäytöksi, Consent Mode v2 -integraatiota, sijaintiin perustuvia suostumussääntöjä (eri EU-maissa pätevät eri vaatimukset), jatkuvaa seurantaa sivustosi muuttuessa tai päivityksiä sääntelyn kehittyessä.

Vaatimustenmukaisuus ei ole kertaluonteinen asennus. Se on jatkuva prosessi. Sivustosi muuttuu — uusia lisäosia lisätään, kolmannen osapuolen skriptejä upotetaan, lomakkeita luodaan. Jokainen muutos voi tuoda uutta tietojenkäsittelyä, jonka on näyttävä suostumusmekanismissasi ja tietosuojaselosteessasi. Banneri, joka määritettiin kerran vuonna 2023 eikä sitä ole sen jälkeen tarkistettu, on lähes varmasti ristiriidassa sen kanssa, mitä sivusto tänään todella tekee.

Hosting, tiedonsiirrot ja miksi palvelimen sijainnilla on merkitystä

GDPR rajoittaa henkilötietojen siirtoja Euroopan talousalueen ulkopuolelle. Siitä lähtien kun Schrems II -tuomio kumosi vanhan Privacy Shield -kehyksen, siirrot yhdysvaltalaisille palveluntarjoajille ovat vaatineet lisäsuojatoimia, ja oikeudellinen pohja on horjunut jokaisen seuraajakehyksen ja oikeushaasteen myötä. Yrityssivustolle yksinkertaisin tapa poistaa koko ongelma pöydältä on pitää tiedot Euroopassa alun alkaenkin.

Tämä on yksi syistä, miksi hallinnoitu Joomla-hostingimme pyörii yksinomaan eurooppalaisilla palvelimilla, EU:n lainkäyttövallan alla ja EU:ssa sijaitsevin varmuuskopioin. Kävijätietosi, lomakelähetyksesi ja suostumuslokisi pysyvät ETA:n sisällä. Kun kokonaisuuteesi kuuluu EU:n ulkopuolisia käsittelijöitä — vaikkapa yhdysvaltalainen sähköpostialusta — varmistamme, että siirtomekanismi ja tietosuojaselosteen maininta ovat kunnossa.

GDPR-palvelumme

Ensitoteutus

Auditoimme Joomla-sivustosi nykyiset tietojenkäsittelytoimet, otamme käyttöön kunnollisen suostumustenhallinta-alustan, määritämme evästeiden luokittelun ja estämisen, asennamme Google Consent Mode v2:n, laadimme tai tarkistamme tietosuojaselosteesi ja evästekäytäntösi, määritämme rekisteröidyn pyyntöjen käsittelyn Joomlan tietosuojatyökaluilla, rakennamme käsittelyluettelosi ja testaamme koko toteutuksen eri selaimilla ja laitteilla — mukaan lukien sen varmistaminen, ettei mitään laukea ennen suostumusta.

Jatkuva seuranta

Seuraamme sivustoasi uusien evästeiden tai seurantaskriptien varalta, joita lisäosapäivitykset tai sisältömuutokset tuovat, varmistamme suostumusmekanismien jatkuvan oikean toiminnan, päivitämme suostumusasetukset uusien lisäosien asentuessa, tarkistamme ja päivitämme tietosuojaselosteen tekstin tietojenkäsittelysi muuttuessa, annamme opastusta sääntelyvaatimusten kehittyessä ja ylläpidämme suostumusrekisteriä.

Jatkuva seuranta on saatavilla erillisenä palveluna tai osana Professional- ja Enterprise-ylläpitopakettejamme.

Mitä saat

Jokainen toteutus päättyy dokumentaatioon, jonka voit oikeasti ojentaa viranomaiselle, asiakkaalle tai omalle juristillesi: käsittelyluettelo, suostumusasetukset perusteluineen, evästeiden luokittelutaulukko ja käytäntödokumentit. Vaatimustenmukaisuus, jota et voi osoittaa, on vaatimustenmukaisuutta, jota sinulla ei ole.

Maakohtaiset vaatimukset

Vaikka GDPR tarjoaa EU:n laajuisen kehyksen, yksittäiset jäsenvaltiot ja niiden valvontaviranomaiset ovat kehittäneet lisävaatimuksia ja valvonnan painopisteitä, jotka vaikuttavat siihen, miten suostumus on hankittava ja osoitettava. Esimerkiksi:

Saksa: TTDSG (nykyään TDDDG) saattaa ePrivacy-säännöt kansalliseen lakiin, ja Saksan oikeuskäytäntö — mukaan lukien Bundesgerichtshofin Planet49-ratkaisu — edellyttää nimenomaista opt-in-suostumusta ilman valmiiksi rastitettuja valintaruutuja. Saksalainen tulkinta evästesuostumuksesta on EU:n tiukimpia, ja saksalaiset kilpailijat ja kuluttajajärjestöt voivat antaa muodollisia varoituksia (Abmahnungen) vaatimusten vastaisista sivustoista.
Ranska: CNIL:llä on yksityiskohtaiset ohjeet evästesuostumusbannereista, mukaan lukien vaatimus siitä, että evästeiden hylkäämisen on oltava yhtä helppoa kuin niiden hyväksymisen — ja se on tukenut tätä eräillä Euroopan suurimmista evästeisiin liittyvistä sakoista.
Italia: Garante per la protezione dei dati personali edellyttää tiettyjä evästeiden ilmoitusmuotoja ja on antanut omat ohjeensa analytiikkatyökaluista ja suostumuksesta.
Espanja: AEPD on päätösten määrällä mitattuna yksi EU:n aktiivisimmista valvontaviranomaisista, ja sen evästeohjeistusta päivitetään säännöllisesti.
Alankomaat: Autoriteit Persoonsgegevens keskittyy aktiivisesti evästesuostumuksen vaatimustenmukaisuuteen ja on julkisesti ilmoittanut evästebannereihin kohdistuvista valvontakampanjoista.
Irlanti: DPC on johtava viranomainen monille maailmanlaajuisille teknologia-alustoille, ja sen päätökset muovaavat sitä, miten suostumus- ja läpinäkyvyyssääntöjä tulkitaan kaikkien muiden osalta.

Määritämme suostumustoteutukset, jotka täyttävät niiden EU-maiden vaatimukset, joihin sivustosi kohdistuu. EU-vaatimustenmukaisuusoppaamme tarjoaa lisätietoa maakohtaisista vaatimuksista.

Mitä virheet maksavat

GDPR määrää kaksiportaiset hallinnolliset sakot: enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta vuotuisesta liikevaihdosta rikkomuksista kuten puutteellisista selosteista tai turvatoimista, ja enintään 20 miljoonaa euroa tai 4 % liikevaihdosta keskeisten käsittelyperiaatteiden, suostumussääntöjen ja rekisteröidyn oikeuksien rikkomisesta — kummassakin tapauksessa sen mukaan, kumpi on suurempi.

Näyttävimmät seuraamukset ovat yltäneet satoihin miljooniin euroihin suuria alustoja vastaan, ja erityisesti evästesuostumuksesta Ranskan CNIL on määrännyt kahdeksan- ja yhdeksännumeroisia sakkoja suurimmille teknologiayhtiöille. Pieniä ja keskisuuria yrityksiä ei sakoteta tuossa mittakaavassa — mutta niitä sakotetaan, varoitetaan ja määrätään muuttamaan käytäntöjään viranomaisten toimesta eri puolilla EU:ta joka kuukausi, ja useissa jäsenvaltioissa vaatimusten vastainen evästebanneri riittää laukaisemaan kilpailijan kantelun tai, Saksassa, muodollisen kieltokirjeen oikeudenkäyntikuluineen.

Kaupalliset kustannukset saapuvat sääntelyyn liittyviä aiemmin: yritysasiakkaat auditoivat yhä useammin toimittajien sivustot ennen sopimuksen allekirjoittamista, julkisen sektorin tarjouskilpailut edellyttävät osoitettavissa olevaa vaatimustenmukaisuutta, ja tietosuojatietoiset kävijät yksinkertaisesti poistuvat. Näkyvästi rikkinäinen suostumuskokemus viestii välinpitämättömyydestä juuri niille asiakkaille, joita vähiten haluat menettää.

Käytännön tiekartta vaatimustenmukaisuuteen

Jos haluat ymmärtää, miltä työ todella näyttää, tätä järjestystä noudatamme jokaisessa Joomla-GDPR-projektissa:

Kartoitus — sivuston läpikäynti ja auditointi: jokainen eväste, skripti, lomake, lisäosa ja kolmannen osapuolen yhteys, joka käsittelee henkilötietoja.
Päätökset — jokaisesta käsittelytoimesta: säilytetäänkö se (ja millä oikeusperusteella), portataanko se suostumuksen taakse, korvataanko se tietosuojaystävällisellä vaihtoehdolla vai poistetaanko se.
Suostumuksen toteutus — suostumusalustan käyttöönotto, evästeiden luokittelu, kaiken ei-välttämättömän estäminen ennen suostumusta, Consent Mode v2:n integrointi ja suostumuslokin kytkeminen.
Dokumentointi — tietosuojaseloste, evästekäytäntö, käsittelyselosteet ja käsittelijäsopimukset saatetaan vastaamaan todellisuutta.
Oikeuksien käsittelyn kytkentä — Joomlan tietosuojapyyntöjen työnkulun määrittäminen niin, että tarkastus- ja poistopyyntöihin voidaan vastata määräajassa.
Testaus — varmistetaan puhtailla selainprofiileilla, ettei mitään laukea ennen suostumusta, että hylkäys todella hylkää ja että asetukset säilyvät oikein.
Seuranta — uudelleenskannaus aikataulun mukaan ja jokaisen sellaisen lisäosa- tai sisältömuutoksen jälkeen, joka voisi tuoda uutta käsittelyä.

Vaiheet yhdestä kuuteen muodostavat toteutusprojektin. Vaihe seitsemän on se syy, miksi vaatimustenmukaisuus kuuluu ylläpitosuhteen sisään eikä kertaluonteiseksi laskuksi.

Yleisiä myyttejä, joita kuulemme auditoinneissa

”Meillä on evästebanneri, joten olemme vaatimustenmukaisia.” Banneri on näkyvä 10 %. Estetäänkö skriptit todella ennen suostumusta, kirjataanko suostumus, vastaako seloste todellisuutta ja voidaanko oikeuspyyntöihin vastata — siinä on se toinen 90 %, ja juuri siihen auditoinnit kaatuvat.

”Olemme liian pieniä, jotta kukaan välittäisi.” Valvonta kohdistuu myös pieniin yrityksiin, ja se alkaa yleensä kantelusta — kävijältä, entiseltä työntekijältä tai kilpailijalta. Erityisesti Saksassa kilpailijat käyttävät aktiivisesti vaatimusten vastaisia sivustoja perusteena muodollisille varoituksille. Pienillä yrityksillä on myös heikoimmat valmiudet kantaa oikeudenkäyntikulut, kun niin käy.

”Verkkotoimistomme hoiti tämän, kun he rakensivat sivuston.” Ehkä — sellaisena kuin sivusto oli julkaisupäivänä. Jokainen sen jälkeen asennettu lisäosa, upotettu skripti ja lisätty lomake muutti tietojenkäsittelyn kokonaiskuvaa. Vaatimustenmukaisuus rapautuu; juuri siksi seurantaa on olemassa.

”GDPR on kävijän selaimen ongelma — he voivat vain estää evästeet.” Lakisääteinen velvoite on sivuston ylläpitäjällä, piste. Sillä, mitä kävijät voisivat teoriassa tehdä suojellakseen itseään, ei ole mitään merkitystä sen kannalta, mitä sinun on tehtävä.

”Tähtäämme vain oman maamme asiakkaisiin, joten muiden maiden säännöt eivät koske meitä.” GDPR pätee yhdenmukaisesti koko ETA:lla, ja suostumustoteutuksesi on täytettävä sen valvontaviranomaisen vaatimukset, johon olet sijoittautunut — sekä käytännössä jokaisen sellaisen jäsenvaltion odotukset, johon markkinoit näkyvästi. Kolmella kielellä saatavilla oleva sivusto kertoo jotakin siitä, keitä se tavoittelee.

Usein kysytyt kysymykset

Tarvitsenko GDPR-vaatimustenmukaisuutta, jos yritykseni on EU:n ulkopuolella?

Jos sivustosi on EU:ssa asuvien saatavilla ja tarjoat heille tavaroita tai palveluja tai seuraat heidän käyttäytymistään (esimerkiksi analytiikan kautta), GDPR koskee sinua riippumatta siitä, missä yrityksesi sijaitsee.

Mitä seuraamuksia vaatimusten laiminlyönnistä on?

GDPR mahdollistaa enintään 20 miljoonan euron tai 4 %:n osuuden maailmanlaajuisesta vuotuisesta liikevaihdosta sakot — sen mukaan kumpi on suurempi — vakavimmista rikkomuksista, ja alemman portaan 10 miljoonaa euroa tai 2 % muista. Käytännössä evästesuostumusrikkomuksista määrätyt sakot ovat vaihdelleet tuhansista satoihin miljooniin euroihin riippuen organisaation koosta, rikkomuksen vakavuudesta ja jäsenvaltion valvontalinjasta.

Kuinka kauan GDPR-toteutus kestää?

Tavanomaisen Joomla-sivuston ensitoteutus kestää tyypillisesti yhdestä kahteen viikkoa sisältäen auditoinnin, määritykset, käytäntöjen laatimisen ja testauksen. Monimutkaiset sivustot, joissa on useita lomakkeita, kolmannen osapuolen integraatioita ja käyttäjärekisteröinti, voivat vaatia lisäaikaa.

Voinko käyttää analytiikkaa ilman evästebanneria?

Joskus. Tietosuojaan keskittyvä analytiikka, joka on määritetty toimimaan ilman evästeitä ja käsittelemättä tunnistettavia tietoja, voi useissa jäsenvaltioissa toimia ilman suostumusbanneria — vaikka kansalliset ohjeet vaihtelevat. Monille pienyritysten sivustoille siirtyminen evästeettömään analytiikkaan on yksinkertaisin tie rehelliseen, banneria karttavaan sivustoon. Neuvomme, sopiiko tuo reitti maajakaumaasi ja raportointitarpeisiisi.

Tarvitseeko pieni sivusto todella kaiken tämän?

Velvoitteet skaalautuvat käsittelysi mukaan, eivät liikevaihtosi. Viisisivuinen sivusto, jossa on yksi yhteydenottolomake eikä analytiikkaa, tarvitsee hyvin vähän: paikkansapitävän selosteen, turvallisen lomakkeen eikä kolmannen osapuolen skriptejä latautumassa ennen suostumusta. Auditointi kertoo, mihin portaaseen kuulut — moni pieni sivusto huomaa tarvitsevansa vähemmän kuin pelkäsi, mutta eri kohdissa kuin oletti.

Voitteko tehdä Joomla 3 -sivustostani GDPR-vaatimustenmukaisen?

Voimme parantaa GDPR-vaatimustenmukaisuutta Joomla 3:ssa, mutta aito vaatimustenmukaisuus tukea ja tietoturvapäivityksiä vailla olevalla alustalla on pohjimmiltaan vaarantunut. Ilman tietoturvapäivityksiä pyörivää ohjelmistoa on vaikea puolustaa 32 artiklan mukaisena ”asianmukaisena teknisenä toimena”. Suosittelemme ensin siirtymistä Joomla 5:een tai Joomla 6:een ja sitten GDPR-vaatimustenmukaisuuden toteuttamista turvallisella, tuetulla alustalla.

Kuinka usein vaatimustenmukaisuus on tarkistettava?

Aina kun sivusto muuttuu tavalla, joka vaikuttaa tietojenkäsittelyyn — uusi lomake, lisäosa tai upotettu palvelu — ja muutoin vähintään vuosittain, koska valvontaviranomaisten ohjeet ja Googlen kaltaisten alustojen vaatimukset kehittyvät jatkuvasti. Juuri tämän jatkuva seurantamme kattaa.

Aloita GDPR-tarkistuksesta

Ilmainen sivustoauditointimme sisältää GDPR-vaatimustenmukaisuuden arvioinnin — tarkistamme nykyisen evästekäsittelysi, suostumusmekanismisi, tietosuojaselosteesi ja tietojenkäsittelyn merkit. Saat selkeän raportin, joka näyttää, missä Joomla-sivustosi on ja mitä on muutettava.

Hanki ilmainen GDPR-tarkistuksesi →