EU:n tietosuoja-asetus ja markkinointi

10.9.2017

EU:n tietosuoja-asetuksen siirtymäaika päättyy 31.5.2018. Kesäkuun ensimmäisenä maailma makaa toisella tapaa.

Ensi kesäkuuhun mennessä jokaisen rekisterinpitäjän, oli kyseessä sitten markkinointi-, asiakas-, henkilöstö-  tai mikä tahansa muu henkilötietoja sisältävä rekisteri, on laadittava käytäntönsä ja rekisteriselosteensa uusiksi. Alla muutamia pääkohtia uudesta asetuksesta.

Tietojen käsittelyyn on oltava syy

Nopealla vilkaisulla uusi tietosuoja-asetus poistaa sähköpostimarkkinoijan porsaanreiän. Henkilötietolain kahdeksannen pykälän mukaan suoramarkkinointi on ollut Suomessa käytännössä sallittua yrityspäättäjille.

8) jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi.

Tietoturva-asetuksessa vastaava kohta on kirjoitettu seuraavasti:

Käsittely on tarpeen rekisterinpitäjän oikeutetun edun toteuttamiseksi, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja -vapaudet, erityisesti jos rekisteröity on lapsi. Tätä ei sovelleta tietojen käsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

Koska tässä jää tilaa tulkinnalle siitä, mikä on oikeutettu etu, Euroopan parlamentti ja Euroopan unionin neuvosto ovat auttaneet asian määrittelyssä:

Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen. Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn. Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.

Oikeus tulla unohdetuksi

Sähköpostissa on unsubscribe – eikö se riitä? Ei. Henkilön tiedot tulee poistaa kokonaan ja pysyvästi rekisteristä. Postituslistalta poistumisen jälkeen käytännössä henkilön kaikki tiedot jäävät rekisteriin. Tässä kohtaa voidaan kohdata eturistiriita ja erityisesti yrityspäättäjien olisi hyvä poistua listoilta, eikä tulla unohdetuksi, sillä muutoin heidän tietonsa voidaan kerätä uudelleen ja markkinoija voi vedota samaan oikeutettuun etuun kuin ensimmäisellä kerralla.

Oikeus siirtää tietonsa järjestelmästä toiseen

Henkilön tulee voida siirtää häntä koskevat rekisteritiedot toiseen järjestelmään. Käytännössä tämä on tehty sitä varten, että kilpailu palveluissa pelaisi paremmin.

Rekisteröidylle helpompi tiedonsaanti

Rekisterinpitäjän on voitava osoittaa, mistä on tietonsa saanut ja miten tietoja käsitellään. Jos tietoja ei ole saatu rekisteröidyltä, on rekisteröityä tiedotettava tietojen käsittelystä kohtuullisen ajan kuluttua, viimeistään silloin, kun tietoja käytetään ensimmäisen kerran. Tätä voidaan tulkita siten, että esimerkiksi ensimmäisen suoramarkkinointikirjeen yhteydessä tietojen lähde on ilmoitettava. Rekisteröityjen tiedoista on löydyttävä myös markkinointilupa, joka on dokumentoitava. Itse tallentaisin ajan, paikan ja tavan.

Rekisterinpitäjän on kerrottava pyydettäessä rekisteröidylle henkilötietojen käsittelyn tarkoitukset, kyseessä olevat henkilötietoryhmät, kenelle tietoja luovutetaan, henkilötietojen suunniteltu säilytysaika ja tietojen alkuperätiedot. Rekisteröidyllä on oikeus oikaista tietoja, vaatia tietojen poistamista sekä oikeus tehdä valitus valvontaviranomaisille.

Tietosuoja on oltava

Suurimmat murheet tietosuojan kannalta tuskin ovat tunnetut postitusjärjestelmät, jollei niihin laiteta heikkoja salasanoja. Se suurin murhe löytyy todennäköisimmin yrityksen nettisivuilta ja on nimeltään Contact Form Database. Tämä mahtava yhteydenottolomakkeiden tallennustyökalu on käytössä monilla WordPressillä tehdyistä sivustoista – ja muissa julkaisujärjestelmissä on samoja heikkouksia. Contact Formissa tai tässä tietokannassaitsessään ei ole mitään vikaa: hakkerille on helpompaa hyökätä yrityksen verkkosivuston kimppuun kuin suuren palveluntarjoajan todennäköisesti vahvemmin suojattuihin järjestelmiin. Jos sivu on suojaamattoman yhteyden päässä, tiedot voivat vuotaa syöttövaiheessa ja tällöin rekisteri on melko turvaton. Kannattaa siis muistaa, että jokainen lomake, jonka tiedot tallennetaan, muodostaa rekisterin.

Seuraamukset

Jos sekoilet oo valmis kantaan seuraamukset

– Eevil Stöö

Jos yritys rikkoo tietosuoja-asetusta, enimmäisseuraamus on 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta, riippuen siitä, kumpi näistä määristä on suurempi. Rekisterinpitäjän on voitava todistaa henkilötietojen käsittelyn vastaavan tietosuoja-asetusta. Enää ei riitä, että asetusta noudatetaan.

 

Julkaistu 9.10.2017

Julkaisua ei tule tulkita lailliseksi neuvonnaksi.

Lue koko asetus.

Mainostoimisto Sireeni Oy | Aleksanterinkatu 23 C 15 D | 33100 Tampere |
| Vanha Talvitie 11 A | 00580 Helsinki |