GDPR tulee, oletko valmis?

Toim.huom. Kyseinen teksti ei ole lakiopillinen neuvo, vaan näkemys siitä miten GDPR tulee vaikuttamaan ja miten se pitää ottaa huomioon markkinoinnissa.

Fiksuimmat ovat tietenkin valmistautuneet GDPR:n tuloon jo sen puolentoista vuoden aikana, kun siirtymäaika on ollut käynnissä. Joskus kuitenkin käy niin, että tylsiin asioihin herätään vasta, kun deadline lähestyy. Jos näin on päässyt käymään, älä hätäile, vielä on yli kuukausi aikaa laittaa asiat kuntoon.

Mistä on kyse?

GDPR (General Data Protection Regulation) tarkoittaa siis EU:n tietosuoja-asetusta, joka määrittelee tarkemmin EU-valtioissa toimivien yritysten tavan kansalaisten henkilötietojen rekisteröintiin ja käyttöön.

Siirtymäaika uuteen aikaan alkoi vuonna 2016 ja loppuu 25.5.2018. Uudistus tuo ihmisille suuremman vallan omaan dataansa ja sen käyttöön, sekä suojelee datan väärinkäytöltä.

Varmistaakseen, että asetukseen suhtaudutaan vakavasti, sen rikkomisesta on määrätty maksimissaan 20 miljoonan euron tai 4% edellisen vuoden kokonaisliikevaihdosta kokoinen sakkouhka.

Siis mikä muuttuu?

Tässä kirjoituksessa en mene sen syvemmälle henkilötietojen käsittelyn oikeaan tapaan. Tietoturvasta ja siihen liittyvistä organisatorisista vaatimuksista tai laajojen markkinoinnin automaatiojärjestelmien henkilötietojen käsittelystä löytyy suhteellisen selkokielinen opas Tietosuojavaltuutetulta.

Sen sijaan tulen kertomaan muutaman vinkin siihen, mitä tulee huomioida päivittäisten markkinointikampanjoiden tekemisessä, joissa kerätään, käytetään ja käsitellään henkilötietoja.

Markkinoinnin näkökulmasta yleisimpiä tapauksia ovat sähköpostimarkkinointi sekä osallistu ja voita -tyyppiset kilpailut.

Kilpailut ja GDPR

Osallistu ja voita -kilpailuissa useimmiten osallistujaa pyydetään täyttämään henkilötiedot.

GDPR määrittelee henkilötiedoista sen, että niitä saa kerätä vain sen verran kuin on välttämätöntä. Jos olet arpomassa asioita, jotka toimitetaan vaikka voittajan puhelimeen viestillä, on tarpeetonta pyytää kotiosoitetta tai sähköpostia.

Tämän lisäksi kilpailuja käytetään usein henkilötietojen keräykseen, joita voidaan myöhemmin käyttää esimerkiksi markkinoinnissa. Jatkossa tämä tulee olemaan mahdollista, mutta lomakkeen suunnittelussa tulee ottaa huomioon GDPR:n tuomat vaatimukset.

Esimerkiksi markkinointilupaa kysyttäessä on selkeästi annettava tietojen luovuttajalle aktiivinen rooli luvan antamiseen, eivätkä valmiiksi täytetyt hyväksynnät tai pienet printit tule enää kysymykseen.

Lomakkeen on oltava muotoiltu niin, että luvan antaja ymmärtää selkeästi mitä tietoja antaa ja mihin käyttöön.

Sähköpostimarkkinointi ja GDPR

Läpinäkyvyys ja kuluttajan aktiivinen toiminta on sähköpostimarkkinoinnissa jatkossa entistä suuremmassa roolissa.

GDPR määrittelee selkeästi sen, että sähköpostimarkkinoinnin luvan pitää olla selkeästi kuluttajan aktiivisesti antama. Harmaata aluetta, joilla jotkut toimijat ovat pelanneet, ei enää ole.

Jos kuluttaja esimerkiksi pyytää päästä pois listalta (opt out), tämä tarkoittaa sitä että henkilötiedot on poistettava, eikä niiden perusteella saa lähettää enää minkäänlaista viestintää tälle henkilölle.

Älä unohda rekisteriselostetta

Kaikissa yhteyksissä, joissa henkilötietoja kysytään, tulee käyttäjällä olla mahdollisuus nähdä selkeästi se, mihin rekisteriin tietoja kerätään, kuka kerää ja miksi.

Tämän lisäksi käyttäjälle pitää tarjota mahdollisuus saada tietää, mitä tietoja tästä on kerätty ja jos käyttäjä näin haluaa, niin muokata tai poistaa kerätyt tiedot.

Pähkinänkuoressa

Varmista, että

  • henkilötietoja käsitellään tietosuojan puolesta oikein
  • rekisterisi tiedot ovat ajantasaisia
  • henkilöillä on mahdollisuus saada rekisteristäsi hänestä löytyvät tiedot, saada niihin muutoksia tai poistattaa ne
  • kun keräät henkilötietoja, henkilölle annetaan aina selkeä käsitys siitä, mitä tietoja kerätään, miksi niitä kerätään, kuka niitä kerää, missä niitä säilytetään, mihin niitä käytetään ja kehen henkilö voi olla yhteydessä tietojen suhteen
  • automaatioprosessisi kunnioittaa kuluttajien valintoja, eikä tee mitään muuta kuin mihin kuluttaja on antanut luvan.