Blogi | Sales Communications

GDPR tulee – miten myynnin ja markkinoinnin tulisi valmistautua?

Kirjoittanut Jani Aaltonen | 26.3.2018 16:50

Sales Communicationsin ja lakitoimisto Fondian yhteisessä webinaarissa käsiteltiin lokakuun lopulla vuoden 2018 käytäntöön tulevaa EU:n uutta tietosuoja-asetusta, joka tunnetaan myös nimellä GDPR (General data protection regulation). Webinaarissa käytiin Fondian Legal Councelin Antti Iso-Markun johdolla läpi pääkohdat siitä, miten yritysten tulisi uuteen tietosuoja-asetukseen valmistautua.

EU:n uusi tietosuoja-asetus astui voimaan jo 2016, mutta 25.5.2018 on viimeinen päivä ryhtyä soveltamaan uuden asetuksen määräyksiä.

“Aiemmasta henkilötietodirektiivistä uusi asetus poikkeaa siinä, että se on nimenomaan asetusmuotoinen. Tämä tarkoittaa sitä, että kansallista lainsäädäntöä ei tarvita, ja asetus on pätevää oikeutta kaikissa jäsenmaissa, Suomi mukaan lukien. Tämä taas tarkoittaa sitä, että yksityinen henkilö voi suoraan vedota tähän lakiin”, Iso-Markku selvensi GDPR:n taustoja.

“Suomessa oikeusministeriön työryhmä miettii asetuksen ympärille tehtävää lainsäädäntöä, ja se on esittänyt, että tietosuojavaltuutetun tilalle perustetaan kansallinen tietosuojavirasto, joka resursoidaan paremmin vastaamaan uuden asetuksen viranomaistehtäviä.”

Iso-Markun mukaan digimarkkinoijien on hyvä huomioida GDPR:n ohella myös EU:n vasta valmisteilla oleva ePrivacy-asetus,  joka tulee vaikuttamaan myös markkinoinnin ja myynnin työhön. Tavoitteena on, että ePrivacy astuu voimaan samaan aikaan kuin GDPR.

 

Tietosuoja-asetuksen rikkomisesta kovat rangaistukset

Iso-Markku totesi, että GDPR on tärkeä, sillä digitaalisena aikana käytännössä kaikilla yrityksillä on hallussaan henkilötietoja.

“Myös tekniset tiedot luetaan henkilötiedoiksi, ja myös niihin pätee sääntely. Jos yritys ei toimi uuden lainsäädännön mukaisesti, valvova viranomainen tulee ensin kehottamaan rekisterinpitäjää korjaamaan toimintaansa, ja jos ei asia korjaannu, kieltämään tietojen keräämisen. Jos edelleen rikotaan lakia, seuraamukset ovat kovat: kovimmillaan 20 miljoonaa euroa tai neljä prosenttia edellisen vuoden liikevaihdosta. Meillä valvova viranomainen olisi suunnitteilla oleva tietosuojavirasto.”

Vaikka säädöksiin tuleekin suhtautua vakavasti, Iso-Markku kuitenkin kehotti laittamaan jäitä hattuun kovien pelotteiden edessä. “Sanktioiden ohella kannattaa nykyisessä maailmassa, jossa ihmiset vaihtavat runsaasti tietoa vertaispalveluissa, kiinnittää huomiota puhtaaseen maineriskiin. Kaikki tietävät, että luottamuksen rakentaminen on hankalaa, ja siinä menee pitkään. Kun luottamus menee, se menee käytännössä välittömästi. Jos joku käsittelee henkilötietoja väärin ja fakta leviää yleisön joukkoon, on piru merrassa”, hän muistutti.

Esimerkiksi Iso-Markku nosti taannoisen THL:n tapauksen, jossa laitokselta oli vuotanut arkaluontoisia henkilötietoja. Laitos joutui lopulta ilmoittamaan henkilökohtaisesti tietosuojavuodosta niille käyttäjille, joiden tiedot olivat levinneet verkkoon.

GDPR:n ollessa voimassa yrityksillä tulee olemaan sekä Suomessa että muualla Euroopassa velvollisuus ilmoittaa tietovuodoista viranomaiselle ja itse rekisteröityneille, joiden tietoja on vuotanut.

 

Tietosuoja-asetuksen vaatimukset pähkinänkuoressa

Iso-Markku jäsensi GDPR:n huomionarvoiset muutokset nykyisiin käytäntöihin verrattuna sekä merkittävimmät vaatimukset yrityksille sen jälkeen, kun asetusta ryhdytään soveltamaan käytännössä.

 

1. Rekisterinpitäjän osoitusvelvollisuus

Tähän asti on riittänyt yrityksen oma ilmoitus siitä, että tietosuoja-asiat ovat kunnossa. Jatkossa tämä pitää pystyä myös dokumentoimaan ja osoittamaan. Ykkösohjeeksi Iso-Markku antoi sen, että kaikki tietosuojaan liittyvä on dokumentoitava.

“Lähtökohtaisesti dokumentointi kannattaa hoitaa todella tarkalla tasolla. Jos yritys käsittelee  henkilötietoja suhteellisen vähän tai epäsäännöllisesti, tai tietojen käsittely ei ole riskialtista, siinä tapauksessa ei tarvitse dokumentoida ihan niin tarkkaan. Mutta jos koko liiketoiminta pyörii analysoinnin ympärillä, ja hallussa on kymmenien tuhansien ihmisten aineistoja, dokumentointi on tärkeää, sillä tietojen käsittelyyn liittyvä riski on kohonnut. Tällöin myös osoitusvelvollisuus on kohotettu.”

 

2. Tietojen käsittelyn perusteen tarkka määrittely

Iso-Markun mukaan uudessa asetuksessa annetuista tietojen käsittelyn perusteista myynnille ja markkinoinnille oleellisimmat lienevät henkilön tai rekisteröidyn antaman suostumuksen peruste, sopimuksen valmistelemisen tai täytäntöön panemisen peruste, sekä rekisterinpitäjän oikeutetun edun toteuttamisen peruste.

Oikeutettu etu on merkittävä peruste, ja siitä on puhuttu paljon. Myynnin ja markkinoinninkin parissa varmasti sen perusteella tullaan tietoja kerämäään, mutta siinä on huomattava, että se on heikompi peruste kuin suostumus tai sopimuspohjainen käsittely. Oikeutettua etua tulee verrata rekisteröityneiden oikeuteen ja vapauteen, ja siinä katsotaan, kumman intressi on perustellumpi.”

Uuden asetuksen astuttua voimaan käyttäjälle on kerrottava jo ennen tietojen keruuta tietojen keruun ja käsittelyn peruste ja tarkoitus, eli mihin tietoja tarvitaan ja käsitellään.

“Tietojen keruun ja käsittelyn tarkoitus voi olla lähtökohtaisesti aika helppo asia, mutta esimerkiksi analytiikan puolella, jossa kerätään käytännössä hirvittävä määrä dataa, voi olla, ettei itsekään tiedetä, mitä datasta tulee nousemaan ja mihin sitä lopulta hyödynnetään. Uuden asetuksen alla tämä on kyseenalaista, ja pitäisi määrittää melko tarkastikin etukäteen.”

 

3. Suostumuksen hankkimisen tiukentuneet kriteerit

Iso-Markku nosti esiin, että uuden asetuksen myötä suostumuksen hankkimiseen liittyvät kriteerit tiukentuvat aiemmasta, ja korosti, että suostumuksen tulee jatkossa olla informoitu, yksiselitteinen, vapaaehtoinen ja osoitettavissa.

“Toisin sanoen, sen pitää olla selkeästi erillään muista sopimusehdoista. Käytännössä sen siis pitää olla markkinointidatasta erillinen lause, esimerkiksi valintaruutu, eikä vaihtoehtoa saa olla etukäteen valittu. Henkilön tai käyttäjän pitää yksiselitteisesti klikata valinta itse, ja valikossa pitää olla hyvin selkeä teksti, esimerkiksi “täten annan luvan henkilötietojeni keräämiseen ja käsittelemiseen markkinointi- ja myyntitarkoituksissa”, Iso-Markku selvensi.

“Best practicena voitaisiin kysyä vielä erikseen, mihin kanaviin markkinointilupa annetaan, esimerkiksi uutiskirjeisiin ja puhelinmarkkinointia varten. Rekisterinpitäjän pitää pystyä jälkikäteen osoittamaan, että suostumus on hankittu, eli suostumus täytyy kirjata esimerkiksi lokiin, jotta se pystytään osoitusvelvollisuuden mukaisesti myöhemmin todentamaan.”

 

4. Tietojen keruun ja käsittelyn minimointi

Jatkossa tietoja saa kerätä vain sen verran kuin on tarkoituksenmukaista.

“Tietojen keruun ja käsittelyn minimointi tarkoittaa sitä, että tietoja ei saisi kerätä enempää kuin mitä on absoluuttisesti tarpeen käsittelyn tarkoituksen toteuttamiseksi. Tämä on analytiikan kannalta ongelmallista, koska siinä usein pyritään keräämään kaikki käyttäjästä saatavilla oleva tieto.”

 

5. Säilytysaika

Henkilötietoja ei voi säilyttää jatkossa loputtomiin, ja yrityksen on tietosuojailmoituksessa informoitava käyttäjää tietojen säilytysajasta tai säilytysajan määrittämisen kriteereistä.

“Kriteeri voi olla esimerkiksi niin, että tietoja kerätään asiakassuhteen ylläpitämiseksi, ja tietojen säilytysaika on niin kauan kuin henkilö on asiakas. Sen jälkeen, kun asiakkuus päättyy, tiedot on poistettava. Kriteerit pätevät, ellei pystytä osoittamaan jotain muuta perustetta, jonka perusteella tiedot voidaan siirtää takaisin digirekisteriin. Tällaisia voivat olla alakohtaiset poikkeukset sekä kirjanpidolliset velvollisuudet.”

 

6. Rekisteröityjen selkeä ja riittävä informointi

Uuden asetuksen perusteella yrityksen on kerrottava käyttäjille, miten ja miksi tietoja kerätään ja käsitellään.

“Rekisteröityjen selkeä ja riittävä informointi on hoidettu, kun nettisivuilla ja palveluiden yhteydessä on selkeä tietosuojaseloste, jossa tietosuoja-asiat on selvitetty. “

 

7. Rekisteröityjen oikeuksien toteuttaminen käytännössä

Uuden tietosuoja-asetuksen myötä yritys on velvollinen myös auttamaan rekisteröityneitä tietosuojaoikeuksien käytännön toteuttamisessa.

“Käytännössä tämä tarkoittaa sitä, että käyttäjälle pitää pyynnöstä antaa hänestä kerätyt tiedot katsottavaksi, ja tarjota mahdollisuus korjata väärät tiedot. Käyttäjälle pitää myös antaa mahdollisuus pyytää tietojensa poistamista. Vanhoista käytännöistä poiketen tietosuoja-asetuksen uutuus on käyttäjän mahdollisuus pyytää tietoja ulos tietojärjestelmistä myös siitä syystä, että niitä voidaan käyttää muualla.

 

8. Alihankkijoiden kanssa tehtävä kirjalliset tietojenkäsittelysopimukset

Monien yritysten henkilötietorekistereitä käytetään myös ulkopuolisten palveluntarjoajien ja kumppaneiden kanssa tehtävässä työssä. Iso-Markun mukaan uusi asetus edellyttää, että jatkossa yrityksen on tehtävä ulkopuolisten yhteistyökumppaneiden kanssa tietojenkäsittelysopimus.

“Tietojenkäsittelysopimukset tulee tehdä myös erikseen EU:n ulkopuolelle siirrettävistä tiedoista. Tietojen vieminen ETA-alueen ulkopuolelle, vaikkapa USA:an on siis edelleen sallittua, mutta siitä pitää sopia kirjallisesti, ja varmistaa, että riittävät tietosuojan takeet toteutuvat. Amerikkalaisilla palveluntarjoajilla on EU:n kanssa Privacy Shield -järjestelmä, johon monet yritykset ovat liittyneet. Sieltä voi tarkistaa, että yhteistyökumppani löytyy listalta, tai että he käyttävät EU-komission luomia mallilausekkeita.”

 

9. Organisaation tietosuojavastaava

GDPR velvoittaa paljon henkilötietoja käsittelevän organisaation nimeämään keskuudestaan tietosuojavastaavan.

“Käytännössä tietosuojavastaava on valittava julkisorganisaatioihin ja sellaisiin organisaatioihin, jotka käsittelevät arkaluontoista tietoa, esimerkiksi terveys- tai rikosrekisteritietoa. Samoin organisaatioiden, joiden tehtäviin kuuluu laaja-alainen ja säännöllinen henkilötietojen käsittely, on valittava tietosuojavastaava.”

“Kunkin organisaation on siis hyvä miettiä, kuinka laajamittaisia tietoja kerätään, minkälaisia riskejä siihen liittyy ja olisiko syytä valita tietosuojavastaava. Myös tämä prosessi pitää dokumentoida osoitusvelvollisuuden mukaisesti, myös siinä tapauksessa, jos päädytään siihen, ettei tietosuojavastaavaa valita.”

 

10. Tietomurroista ja tietosuojaloukkauksista informoiminen

Yrityksillä on uuden tietosuoja-asetuksen mukaan velvollisuus ilmoittaa tietosuojaan kohdistuvista loukkauksista laajasti.

“Tietosuojaloukkauksista ja -murroista on jatkossa informoitava viranomaisia sekä rekisteröityjä itseään, jos on todennäköistä että murto voi aiheuttaa korkeaa riskiä käyttäjälle, esimerkiksi identiteettivarkauden muodossa.”


Miten varmistaa, että asiat ovat kunnossa?

Lopuksi Iso-Markku antoi listan konkreettisia ohjeita, miten edetä, jotta tietosuojakäytännöt ja koko organisaatio olisi GDPR-valmis, kun h-hetki lyö.

  • Luo prosessit siihen, miten reagoidaan asiakkailta ja liideiltä tuleviin pyyntöihin saada nähdä heistä kerätyt tiedot, ja huolehdi, että kaikki menee saumattomasti.
  • Dokumentoi, eli kirjoita paperille osoitusvelvollisuuden toteuttamiseksi tyhmältäkin tuntuvat asiat.
  • Varmista, että suostumukset on kerätty oikein. Katso, että nettisivuilla ja sovelluksissa olevat tietosuojaselosteet ovat ajan tasalla ja asetuksen mukaisia
  • Varmista että alihankkijoiden kanssa on tehty tietojenkäsittelysopimus tai liite, jossa tehdään vastuunjako, ja jossa on sovittu EU:n ulkopuolelle siirtämisestä.
  • Huomioi, että EU:n ulkopuolelle siirtämisestä pitää olla myös tietosuojaselosteessa maininta rekisteröidylle
  • Oman henkilökunnan tietosuojatietoisuuden herätteleminen – omat työntekijät ymmärtävät, kuinka tärkeä asia on ja miten tulee suhtautua
  • Seuraa ePrivacyn etenemistä, koska siellä on menossa myynnille ja markkinoinnille tärkeitä asioita, yksi tärkeimmistä yritysasiakkaiden etukäteinen suostumus sähköiseen suoramarkkinointiin sekä evästeiden käyttöön.

Iso-Markun ohjeet, mistä aloittaa yrityksen saattaminen GDPR-kuntoon:

  • Kartoita nykytilanne
  • Vastuuta selkeästi joku henkilö, joka vie asiaa aktiivisesti organisaatiossa eteenpäin
  • Huolehdi päivitystöistä: tietosuojaseloste ja tietosuojasopimukset
  • Mieti, miten viestit koko kokonaisuuden selkeästi asiakkaille, yhteistyökumppaneille, liideille – käytä hyviä tietosuojakäytäntöjä myyntivalttina
  • Jos oma aika ja rahkeet ei riitä, hanki apua

Täältä voit lukea myös Antin oman kirjoituksen GDPR:stä