Täytä lomake ja olemme sinuun yhteydessä! X

Kiitos!x

Kiitos viestistäsi!

Ota yhteyttä@

16.10.2016 - 21:00 Tero Rantaruikka

Eu:n tietosuoja-asetuksen uudistus vaikuttaa merkittävästi markkinoinnin automaatioon

Kun sanat EU, asetus ja tietosuoja mainitaan samassa lauseessa, markkinoinnin ammattilaisille puhkeaa välittömästi stressi-ihottuma. Tuleva asetus merkitsee roppakaupalla lisää dokumentointia, tiukempia rajoituksia ja netin käyttäjille lisää mahdollisuuksia päättää kuinka heidän käyttäytymistään seurataan.

EU:n voimassa oleva tietosuojadirektiivi on vuodelta 1995. Vuonna -95 Suomi liittyi Euroopan Unioniin, Aikakone, Movetron ja Rednex hallitsivat radiota ja Martti Ahtisaari oli presidenttinä.  Noihin aikoihin suuri osa meistä kuuli sanan internet ensimmäistä kertaa. Kyseisenä vuonna Microsoft julkaisi Windows 95 -käyttöjärjestelmän jonka kaupanpäällisenä koneille asennettiin MS-Explorer selain. Uuden selaimen avulla Microsoft kaappasi netin herruuden JavaScriptin juuri julkaisseelta Netscapelta ja synnytti ensimmäiset huolet verkon tietosuojasta.

Voidaan ehkä perustellusti sanoa, että 20 vuotta vanha tietosuojadirektiivi ei vastaa enää tämän päivän tietoliikenteen realiteetteihin ja uudistus oli kaikesta hampaiden kiristelystä huolimatta vihdoin aika tehdä. Toki direktiiviä on 20 vuoden aikana päivitelty taajaan, mutta sitä sovelletaan epäyhtenäisesti EU:n jäsenmaissa, mikä aiheuttaa runsaasti ongelmia rajojen yli tehtävässä kaupassa. Esimerkiksi Puolassa ollaan huomattavasti tarkempia kuin vaikkapa meillä Suomessa.

Mitä uusi asetus määrää?

Asetuksen käytännön soveltaminen ja vaikutukset täsmentyvät vielä tämän vuoden aikana ja ensi vuoden alussa. Se kuitenkin tiedetään jo nyt, että uusi asetus vaikuttaa merkittävästi yritysten toimintaan ja markkinointiin. Asiaa ei pääse pakoon ja asetuksen voimaan tulemiseen kannattaa valmistautua jo nyt. Aikaa meillä on toukokuu 2018 asti ja asetuksen mukaiset toimenpiteet tulee suorittaa ennen sitä.

Alla tiivistetysti tällä hetkellä selvillä olevat olennaisimmat pääkohdat mahdollisimman selkeästi yksinkertaistettuna, kuten me ne markkinoinnin ammattilaisina olemme ymmärtäneet:

Verkkosivuilla tapahtuva profilointi ja tunnistaminen

  • Mikäli verkkosivut seuraavat verkkokäyttäytymistä henkilötasolla, seurannasta tulee informoida ja seurantaan on saatava aktiivinen lupa, joskus myös oikeutettu etu voi riittää perusteeksi profilointiin.
  • Lupa tulee olla mahdollista perua helposti ja luvan antaminen tulee voida todistaa jälkikäteen.
  • Asetuksessa määritellään myös, että profilointi CRM:ssä on mahdollista vain sopimuksen tekemisen tai täytäntöönpanon yhteydessä, tai rekisteröidyn nimenomaisella suostumuksella.
  • Esitäytetyt nettilomakkeet joutunevat pannaan, koska ne mahdollistavat tietojen joutumisen vääriin käsiin esim. välitetyn sähköpostiviestin kautta.

Luvan pyytäminen

  • Luvan antaminen ei saa olla ehto palvelun käyttämiselle. Eli verkkosivuille on päästävä myös, mikäli lupaa ei ole annettu.
  • Lupia ei saa yhdistellä. Eli esimerkiksi sähköpostimarkkinointiluvan taakse ei voi piilottaa profilointilupaa.
  • Lupaa ei tarvitse pyytää taannehtivasti. Eli jo olemassa olevat luvat säilyvät, mutta uusien lupien pyytämisessä tulee noudattaa asetusta.
  • Kuten tähänkin mennessä, lupalaatikoissa ei saa olla esivalittuna kyllä-vaihtoehto.

Tiedon käsittely ja läpinäkyvyys

  • Verkkosivuilla on kerrottava mitä tietoa kerätään ja miten niitä käsitellään ja käytetään.
  • Henkilöllä tulee olla oikeus saada nopeasti tietoonsa mitä tietoa hänestä on tallennettu ja miten niitä on käsitelty. Tiedot on tarjottava selkeässä ja ymmärrettävässä muodossa.
  • Henkilöllä on oikeus vaatia henkilötietojen korjaamista ja korjaaminen on tehtävä viipymättä, mikäli tiedoissa on virheitä. Tiedot tulee myös olla mahdollista pyynnöstä poistaa.
  • Läpinäkyvyys edellyttää, että henkilölle pitää kertoa tarkkaan, mistä hänen tietonsa ovat peräisin. Ympäripyöreät ”yrityksen markkinointirekisteristä” -vastaukset eivät enää riitä.
  • Mahdollisista tietosuojaloukkauksista on tiedotettava nopeasti. Se, riittääkö tähän ilmoitus nettisivuilla vai tuleeko jokaiselle rekisterissä olevalle henkilölle tiedottaa esim. sähköpostitse on vielä epäselvää.
  • Henkilölle on tarjottava mahdollisuus siirtää antamansa tiedot järjestelmästä toiseen.

Mainostoimisto vs. mainostaja

  • Mainostoimisto voi käsitellä henkilötietoja rekisterinpitäjän eli mainostajan lukuun toimeksisaajana. Tässä tapauksessa puhutaan datan siirrosta ja mainostoimisto ei toimi rekisterinpitäjänä.
  • Data voidaan myös luovuttaa mainostoimistolle, jolloin mainostoimisto käsittelee dataa omaan lukuunsa rekisterinpitäjänä ja on samalla myös vahingonkorvausvelvollinen.
  • Käytännössä datan siirtoon tulee olla aina rekisteröidyn henkilön lupa. Lupa voidaan hoitaa ottamalla tämä huomioon rekisteriselosteessa, jonka on hyvä olla mahdollisimman laaja ja kattava.

Rekisterinpitäjän sisäiset velvoitteet

  • Rekisterinpitäjän tulee ennakoida, suunnitella ja varautua erilaisiin tilanteisiin ja rekisterissä olevien henkilöiden vaatimuksiin sekä mahdollisiin riskitilanteisiin. Suunnitelmat tulee voida esittää vaadittaessa ja myös jälkikäteen. Käytännössä tämä tarkoittaa eräänlaista tietosuojatilinpäätöstä.
  • Käytännössä tietojen siirtämiselle esim. mainostajan ja mainostoimiston välillä tulee laatia selkeät sopimukset ja käytännöt joiden toteutumista tulee valvoa ja dokumentoida, siltä varalta, että Mr. Murphy tulee ja puraisee takapuolesta.
  • Yritykset joiden tehtävät edellyttävät henkilötietojen laajamittaista ja järjestelmällistä seurantaa ja arkaluonteisten tietojen käsittelyä joutuvat nimittämään asiantuntevan tietosuojavastaavan. Vastaavan tulee tuntea tietosuojalainsäädäntö ja myös osata soveltaa sitä käytännössä.

Mitä tämä kaikki nyt sitten tarkoittaa?

Suurin vaikutus markkinoijan näkökulmasta on eittämättä vaatimus profiloinnin hyväksymisestä. Jatkossa ei enää riitä, että nettisivulla ilmoitetaan evästeistä tai oletetaan henkilön tutustuneen rekisteriselosteeseen, jos verkkosivuille noussut pop-up on klikattu piiloon. Lupa seurantaan, etenkin kun seuranta yhdistetään henkilötietoihin, tulee antaa aktiivisesti samalla tavalla kuin nykyisin pyydetään lupaa sähköpostimarkkinointiin.

Mitä tämä luvan pyytäminen tarkoittaa käytännössä on vielä epäselvää, mutta todennäköisesti lupalaatikossa tulee vähintään napsauttaa checkboxia ja klikata ’Hyväksyn’ nappulaa. Myös lomakkeissa tulee mahdollisesti olla jatkossa kaksi checkboxia, koska seuranta- ja markkinointilupia ei nykyisen tulkinnan mukaan voida yhdistää.

Käytännöt tarkentuvat jatkuvasto, mutta kaikenlaiset rasittavat lupalaatikot tulevat jatkossa lisääntyvään verkossa merkittävästi. Oletettavaa on, että automaatio-, julkaisu- ja sisällönhallintajärjestelmiin saadaan ennen vuotta 2018 valmiit palikat erilaisten napsuteltavien lupalaatikoiden toteuttamiseen.

Koska moni käytännön toimintamalli on tällä hetkellä vielä hiukan epäselvä, kannattaa etenkin pienempien yritysten nyt keskittyä pääasiassa sisäisen ”tietosuojatilinpäätöksen” ja käytäntöjen suunnitteluun ja jalkauttamiseen. Käytännön toimintamallit ja viranomaisten tulkinnat muotoutuvat myöhemmin ja tässä asiassa isommilla juridisilla lihaksilla varustetut yritykset tulevat näyttämään esimerkkiä ja testaamaan käytännöt.

Markkinoinnin työkalujen osalta uusi asetus tulee asettamaan runsaasti vaatimuksia myös järjestelmille. Markkinointijärjestelmien tulee kyetä hallitsemaan henkilötietoja luotettavasti ja turvallisesti, lupien pyytämiselle tulee olla helposti käyttöönotettavat työkalut ja raportoinnin tulee olla selkeää ja yksinkertaista. Jos henkilö tällä hetkellä pyytäisi saada tietoonsa millaisia profilointitietoja hänestä on tallennettu, milloin, missä ja miten lupa seurantaan on annettu yms., voisi monella perustason markkinointityökaluja käyttävällä tulla äitiä ikävä.

Työntäytteinen vuosi on tältä osin siis tulossa, eikä toteuttamisen kanssa kannata viivytellä. Sakot laiminlyönneistä voivat olla mittavia.

 

Mitä minun pitäisi nyt tehdä?

1. Nimitä henkilö vastaamaan yrityksen tietosuojasta ja lähetä koulutuksee
2. Päivitä nykyiset evästeluvat aktiiviseksi ja lisää lupa profilointiin
3. Päivitä yrityksen tietosuoja- ja rekisterikäytännöt ja -selosteet ja laadi selkeä dokumentaatio
4. Kouluta muu henkilökunta

 

Lisää tietosuoja-asiaa sekä ohjeita valmistautumiseen osoitteesta www.idbbn.fi/gdpr 

Tags:

GDPR
blog comments powered by Disqus
About me

Digitaalisen markkinoinnin sekatyömies ja automaatiokampanjoiden Yoda Tero kirjoittaa mieluiten markkinoinnin automaation Voimasta ja kuinka Voimaa voi käyttää päivittäisissä kampanjoissa. Vapaa-ajalla Tero hengaa jazz-klubeilla ja levittää polkupyöräilyn ilosanomaa.

Lisää kirjoittajalta