18.1.2018 | Digitaalinen markkinointi

GDPR-perusteet markkinoijalle – katso mikä muuttuu uuden tietosuojauudistuksen myötä

EU:ssa hyväksyttiin toukokuussa 2016 tietosuojauudistus (GDPR), jolle asetettiin kahden vuoden siirtymäaika. Uudistuksen tavoitteena on turvata kansalaisten oikeuksia nykypäivän digitaalisessa toimintaympäristössä. Kaikkien markkinoinnin parissa työskentelevien pitää tietää vähintään GDPR:n perusteet ja osata täyttää sen vaatimukset päivittäisessä tekemisessä. Silti uudistuksen laajuus on monelle vielä ainakin osittain hämärän peitossa, vaikka siirtymäajasta on kulunut jo yli 80 %. Avaan seuraavassa GDPR:n vaikutuksia markkinointiin muutaman konkreettisen noston avulla. Keskityn markkinoinnin hyödyntämään dataan.

 

Huomioithan, että teksti antaa vain suuntaviivoja GDPR:n perusteista, eikä sitä ole tarkoitettu juridiseksi ohjenuoraksi.

Mikä on henkilödataa?

GDPR-kontekstissa henkilödatalla tarkoitetaan kaikkea tietoa, joka liittyy tai on liitettävissä luonnolliseen henkilöön (data subject). Henkilö- ja demografiatietojen lisäksi tällaista voivat olla esimerkiksi tietojärjestelmien ID:t, sijaintidata sekä osa selainten evästedatasta.

Anonyymi data ei lähtökohtaisesti ole GDPR:n vaikutuksen alla. Esimerkiksi perustasoinen web-analytiikka, joka on toteutettu niin, että sitä ei voida yhdistää luonnollisiin henkilöihin eri tietolähteitä yhdistelemälläkään.

Mikä muuttuu?

Maantieteelliset erot hälvenevät

EU:n ulkopuoliset yritykset saivat aiemmin käsitellä dataa vapaammin. Nyt GDPR on voimassa aina, kun henkilötietojen kohde (data subject) on EU:n jäsenvaltion kansalainen tai henkilötietojen käsittely tapahtuu EU:ssa.

GDPR korvaa jäsenvaltioiden omat asetukset, jotka liittyvät henkilötietojen käsittelyyn. Yritysten tarvitsee jatkossa ottaa huomioon vain yksi henkilötietojen käsittelyyn liittyvä laki.

Rangaistukset

GDPR:n käyttöönottoa tehostetaan tuntuvilla rangaistuksilla, joissa törkeimmistä väärinkäytöksistä voi joutua maksamaan sakkoa 20 miljoonaa euroa tai 4 % yrityksen globaalista liikevaihdosta (korkeamman mukaan).

Sakko on kuitenkin ns. viimeinen keino. Sitä ennen toimijan tulee osoittaa tehneensä kaikkensa. Ennen sakkoa tulee varoitus todennäköisestä lainvastaisuudesta, sitten huomautus asetuksen vastaisesta käsittelystä ja lopulta toimenpidemääräykset.

Luvanvaraisuus

Henkilötietojen keräämiseen tarvittavan luvan pyytäminen pitää olla selkeää. Yritykset eivät voi enää kätkeä toimintaansa kymmenien sivujen pituisten lakitekstien alle. Lisäksi lupaa kysyessä pitää tehdä selväksi tietojen käyttötarkoitukset – piilottamatta niitäkään jättimäisen EULAn keskelle.

Henkilötietojen käsittelykäytänteiden muuttuessa pitää saada uusi lupa. Lisäksi luvan peruminen pitää tehdä yhtä helpoksi kuin sen antaminenkin.

Lapset eivät voi antaa lupaa henkilötietojensa käyttöön. Lapseksi luokittelun yläikäraja on 13-16 vuotta, riippuen jäsenvaltion määrityksestä.

On hyvä huomioida, että GDPR-kontekstissa on erityyppisiä ”luvanvaraisuustasoja”, joista sopimus, suostumus ja oikeutettu etu koskevat todennäköisimmin markkinoijaa. Sopimus on näistä ehkä selkein tapaus ja esimerkiksi asiakkuuteen liittyvän tiedon käsittelyn osalta useimmiten suositeltavin peruste.

Suostumus puolestaan kattaa monet jo ennen GDPR:ää kerätyt käsittelyluvat, kunhan ne on hankittu ”vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti”. Suostumukseksi ei esimerkiksi lasketa valmiiksi rastitettua ruutua ja se on voitava perua milloin tahansa. Datan kerääjän on myös kyettävä osoittamaan, että suostumus on todella annettu. Jälkimmäinen vaatimus voi synnyttää mielenkiintoisia tilanteita digimaailmassa, kun muistetaan, että ennen luvan antamista käyttäjästä ei saa kerätä yksilöityä, tähän yhdistettävissä olevaa dataa.

Oikeutettu etu viittaa tilanteeseen, jossa käyttäjä voi olettaa datan kerääjän käyttävän kerättyä tietoa esimerkiksi konsernin sisäiseen käyttöön ollessaan esimerkiksi tunnistettu asiakas.

Liikesalaisuudet turvassa

Yritysten ei jatkossakaan tarvitse antaa liikesalaisuuden piiriin luettavissa olevaa tietoa ulos. Esimerkiksi mainonnan profilointi- ja kohdennusperusteita ei tarvitse avata tarkalla tasolla. Huomionarvoista on myös se, että jotta data olisi GDPR:n piirissä, on henkilön oltava selvästi tunnistettavissa; esimerkiksi pelkkä laitetyypin (iPhone X, Samsung S8) kerääminen ei ole tunnistamista.

Privacy by design

GDPR:n myötä privacy by design -konsepti tulee pakolliseksi eri tietojärjestelmiä suunniteltaessa.

Privacy by design -konseptilla tarkoitetaan tapaa suunnitella ja kehittää tietojärjestelmiä, joissa tietoturva on järjestelmän ydinvaatimus. Monissa hankkeissa tietosuoja on jäänyt helposti vain ”päälle liimatuksi”, kun tekeminen on fokusoitunut liiketoimintakriittisiin toiminnallisuuksiin.

Yksityishenkilön oikeudet:

Oikeus kuulla tietosuojarikkomuksista 72 h sisällä

Mikäli henkilötietoihin liittyvä tietovuoto ilmenee, pitää sen ilmoittaa viimeistään 72 h sisällä huomaamisesta.

Oikeus saada kaikki tallennetut henkilötiedot

Oikeus tulla unohdetuksi

Datan kohde voi pyytää (tietyin ehdoin Artikla 17) haltijaa poistamaan kaikki henkilötiedot, esimerkiksi tilanteessa, jossa tietojen alkuperäinen käyttötarkoitus ei ole enää validi.

Datan liikuteltavuus

Kerätyn datan kohde voi jatkossa jakaa keräämääsi dataa myös muille toimijoille – kuten kilpailijoillesi. Siirrettävyys ei koske oikeutetun edun perusteella käsiteltyä dataa. Suoraa pääsyä kolmannelle osapuolelle ei tarvitse antaa.

Kotiläksyjä:

Kouluta ja valmenna:

Tästä on hyvä aloittaa, sillä mahdolliset toimenpiteet on helpompi toteuttaa, kun kaikki tietävät miksi muutoksia tehdään.

Asennemuutos on usein tarpeellinen, sillä GDPR:n kannalta kriittinen selvitystyö tehdään monien mielestä ”tylsien” materiaalien – kuten it-arkkitehtuurikuvausten ja juridisten tekstien – avulla. Asennemuutoksella myös varmistetaan, että GDPR:n vaatimukset eivät jää kertaluonteiseksi selvitysprojektiksi, vaan niitä noudatetaan jokapäiväisessä tekemisessä.

Kartoita:

Rakenna ja testaa toimintamallit:

Testauksen perusteella kannattaa automatisoida mahdolliset kipukohdat:

 

Sami Aittovaara

Sami Aittovaara

Datasta ja teknologioiden hyödyntämisestä inspiroituva Sami työskentelee digitaalisuuden ja omien kanavien kehittämisen parissa Dagmarin Drive –yksikössä.

Lisää aiheesta