Tietosuoja-asetuksen mukaan verkkokauppias luokitellaan rekisterinpitäjäksi. Asetuksen 6 artiklan mukaan henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste. Verkkokauppiaalla tulee siis olla laillinen oikeusperuste henkilötietojen käsittelylle. Tietosuoja-asetuksen 6 artiklan (a) -kohdan mukaan käsittely on lainmukaista, jos rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn. Lähtökohtaisesti henkilötietojen käsittely on siis lainmukaista, jos asiakas antaa siihen luvan.
Verkkokauppiaan ei kuitenkaan aina tarvitse pyytää suostumusta henkilötietojen käsittelylle, sillä verkkokauppias saa käsitellä henkilötietoja tilauksen perusteella. Henkilötietojen käsittely on lainmukaista 6 artiklan (b)-kohdan mukaan, jos käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena. Verkkokauppatilaus luokitellaan tällaiseksi sopimukseksi, jossa asiakas on osapuolena. Jos asiakas tekee verkkokaupassa ostoksen tai tilauksen, täyttyy tietosuoja-asetuksen vaatima oikeusperuste henkilötietojen käsittelylle, vaikka erikseen ei suostumusta asiakkaalta pyydetty.
Tietosuoja-asetuksen astuessa voimaan verkkokauppiaaseen kohdistuvat vaatimukset ja velvollisuudet lisääntyvät ja rekisteröityjen oikeudet laajentuvat. Myös rekisterinpitäjien ja henkilötietojen käsittelijöiden valvonta tehostuu. Verkkokauppiaan on jatkossa pystyttävä osoittamaan, että henkilötietojen käsittelylle on laissa säädetty oikeusperuste. Siksi henkilötietojen käsittely on suunniteltava ja dokumentoitava.
Lähteet:
https://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:32016R0679&from=EN