EU:n tietosuoja-asetus GDPR markkinoijan kannalta


kuvitus_blogi_gdpr

Monet yritykset ovat vasta hiljattain alkaneet pohtia EU:n tietosuoja-asetuksen vaikutuksia omaan toimintaansa. Vaikutuksien ja vaadittavien investointien selvittäminen myynnin ja markkinoinnin parissa työskenteleville onkin melko haastavaa ja siksi tähän on listattu asetuksen pääasiat ja niiden vaikutukset. Tietoa asetuksesta on kyllä saatavilla, muttei niiden tulkinta välttämättä aukea kovin helposti lakitekstiin tottumattomille.

EU:n uusi tietosuoja-asetus on astunut voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018, jonka jälkeen kaikkien yritysten on noudatettava asetusta. Asetus korvaa Suomen henkilötietolain. Sen noudattamatta jättämisestä voi seurata merkittävät sanktiot eli maksimirangaistus on 20 miljoonaa tai 4 % yrityksen globaalista liikevaihdosta. Kaikkien yritysten jotka käsittelevät asiakas- tai työntekijädataa kannattaa siis ottaa asia vakavasti.

 

Tietosuoja-uudistuksen tavoitteet:

1) Luoda EU:n tasolla yhtenäiset säännöt henkilötietojen käsittelylle

2) Antaa yksilöille parempi kontrolli omiin henkilökohtaisiin tietoihin

 

Uudistuksen tavoitteet ovat sinällään hyviä, sillä se yhtenäistää käytäntöjä maiden ja yritysten välillä sekä parantaa yksilöiden oikeuksia omiin tietoihinsa. Yrityksille uudistus aiheuttaa kustannuksia toiminnan vaikutusten selvittämiseen ja tarvittavien muutosten täytäntöönpanoon. Kaikki asiat eivät myöskään välttämättä ole yrityksen itsensä suoraan hallitsemia, mikä tuottaa lisää päänvaivaa. Esimerkiksi, jos yrityksesi käyttää Wordpress-alustaa, miten siinä käytetyt lisäosat noudattavat tietosuoja-asetusta? Lisäosien lainmukaisuuden selvittäminen ja varmistaminen on aina sivuston omistajan tehtävä. Mikäli käytössäsi on muita sivustoalustoja, on vaikutukset selvitettävä joko julkisista lähteistä tai selvittämällä asia palveluntuottajalta. Toinen esimerkki on mainonnan lainmukaisuuden varmistaminen eli miten tekemäsi digimainonta noudattaaa GDPR:ää? Jos käytät mediatoimistoa, miten he ovat varmistaneet asian?

 

GDPR:n tietosuojaperiaatteet ovat:

1) käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys

2) käyttötarkoitussidonnaisuus (eli tietoja kerätään tiettyä tarkoitusta varten)

3) tietojen minimointi

4) tietojen täsmällisyys

5) tietojen säilytyksen rajoittaminen (eli tietoja pidetään vain tarpeellisen ajan, sitten poistetaan)

6) tietojen eheys ja luottamuksellisuus

7) rekisterinpitäjän osoitusvelvollisuus (eli tietosuojaperiaatteet pitää olla dokumentoituna)

Tietosuojaperiaatteista ehkä huomionarvoisimmat ovat tietojen säilytyksen rajoittaminen ja rekisterinpitäjän osoitusvelvollisuus. Usein yrityksissä tietojen säilytykselle ei ole määritelty, kuinka pitkään asiakastietoja säilytetään. Millä perustein minkäkin kontaktin tiedot säilytetään ja kuinka kauan?  Toinen, usein pakollinen paha yrityksille on dokumentaatio tietosuojaperiaatteista. Kannattaa miettiä esimerkiksi, mitä teknologioita ja mainostyökaluja on käytössä ja miten niiden tietosuojaperiaatteet on dokumentoitu.


Ilmoitusvelvollisuus

Kun kerätään henkilökohtaista tietoa, pitää selventää:
1) Syy tietojen keräämiselle

2) Oikeus saada tiedot, muokata tai poistaa tiedot

3) Tietojen säilytyksen pituus

Näistä mielenkiintoisin uudistus on henkilön oikeus saada, muokata tai poistaa tiedot. Pitää olla keino antaa henkilölle tiedot hänestä kerätystä datasta. Tässä tärkeää on yrityksen kannalta, että tietojen antaminen tapahtuu mahdollisimman automatisoidusti, ettei siitä koidu yritykselle kohtuuttoman paljon työtä. Tähän vaikuttaa myös, miten tietojen antaminen on teknologian osalta hoidettu ja onko tietoja tallennettu esimerkiksi useisiin järjestelmiin. 

Suostumus

Tietojen keräämisen yhteydessä pitää:
1) Saada henkilöltä tarkoituksellinen suostumus tietojen käyttämiselle

2) Seurata, milloin ja miten suostumus oli saatu

3) Tarjota mahdollisuus suostumuksen peruuttamisesta

Mielenkiintoinen kysymys on, voiko nykyiselle kontaktitietokannalle edelleen lähettää sähköpostia? GDPR ei vaadi, että nykyiseltä kontaktitietokannalta kysytään suostumus tietojen käsittelyyn. Kuitenkin, luvan kysyminen jatkossa on pakollista ja luvan antaminen on osoitettava niin vaadittaessa. Kannattaa siis huolehtia, että esimerkiksi lomakkeiden yhteydessä tämä lupa kysytään aina. 

Vaikutukset HubSpot-järjestelmän käyttöön

HubSpotin käyttäjille tietosuoja-asetus tuo uusia ominaisuuksia järjestelmään, joilla osaltaan varmistetaan asetuksen noudattaminen. Muutoksista ei vielä ole annettu julkista tietoa koska ne ovat kesken. Yleisesti ottaen muutoksia tulee olemaan esimerkiksi lomakkeissa, tietojen ulosviennissä, sähköpostilistoilta poistumisessa ja tietojen käsittelyssä ja poistamisessa. Käytännössä esimerkiksi lomakkeen yhteydessä pitää aktiivisesti kysyä check-boxin avulla suostumus ehtojen hyväksymiseen eikä se saa olla valmiiksi täytettynä. Tarkempaa tietoa HubSpot-järjestelmän muutoksista tulee alkuvuoden 2018 aikana. Inbound-markkinointihan perustuu luvanvaraiseen markkinointiin, joten ajatustasolla muutos ei ole niin suuri kuin yrityksille jotka lähettävät sähköpostia kylmille listoille. 

Tietoja uudistuksesta tulee varmasti lisää alkuvuoden aikana ja päivitämme niitä tarpeen mukaan.

 

HUOM: Tähän kirjoitukseen on pyritty tiivistämään GDPR:n tuomia muutoksia eri lähteistä eikä ole tarkoitettu lainopilliseksi ohjeistukseksi. Jokaisen yrityksen tulee selvittää vaikutukset omaan toimintaansa erikseen.

Lähteet:
https://www.b2bmarketinglab.co.uk/blog/gdpr-faq
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

https://www.codeinwp.com/blog/complete-wordpress-gdpr-guide/

https://www.itewiki.fi/blog/2017/01/eun-tietosuoja-asetus-gdpr-uhkaa-miljoonasanktioilla-tassa-8-tarkeinta-vaatimusta/




Tilaa uusimmat kirjoitukset sähköpostiisi.


Kommentoi