Olemme Creamailerissa seuranneet aktiivisesti maailmalla muuttuvia tietosuojatrendejä jo vuosia ja tienneet niiden rantautuvan myös Suomeen. Tämän vuoksi meillä on ollut alusta alkaen tiukat tietosuoja- ja roskapostituskäytänteet. Olemme valmistautuneet tiukentuviin lakimuutoksiin jo siinä vaiheessa kun aloitimme Creamailer-viestintäohjelmiston kehityksen sekä asiakashankinnan. Creamailerin tiukat tietosuojakäytänteet ovat teidän parastanne ajatellen määriteltyjä käytänteitä. Siemen on kylvetty, nyt on aika puida sato.
Ketä GDPR koskee ja mihin se velvoittaa?
GDPR koskee kaikkia toimijoita sijainnista huolimatta, jotka käyttävät EU:ssa asuvien henkilöiden tietoja. GDPR-lakia on noudatettava, jos toimija kerää esimerkiksi sähköpostiosoitteita ja lähettää uutiskirjeitä.
Toukokuussa 2018 voimaan astuvan EU:n yleisen tietosuoja-asetuksen myötä moni toimija löytää itsensä uudenlaisten kysymysten ja valintojen ääreltä. Tietosuoja-asetuksen myötä yksilön oikeudet vahvistuvat, henkilötietojen valvonta lisääntyy ja käytänteiden läpinäkyvyyden tärkeys korostuu.
Suomessa tämä tarkoittaa konkreettisesti sitä, että henkilötietolakiin perustunut tietosuojasääntely tulee tiukentumaan. Henkilötietoja käsittelevien tahojen vastuu kasvaa, yksilön oikeudet vahvistuvat ja tietosuojaviranomaisten toimivalta lisääntyy. Toisin sanoen tietosuoja-asetus luo uusia velvoitteita rekisterinpitäjälle ja oikeuksia rekisteröidylle.
Mitä toimijoilta odotetaan?
Aikaisemmin on riittänyt, että toimijat ovat kertoneet noudattavansa tietosuojaan liittyviä lakeja. Uudistuksen myötä tämä ei enää riitä, vaan toimijoiden tulee konkreettisesti pystyä osoittamaan viestinnän luvanvaraisuuteen ja tietosuojaan liittyvät toimenpiteet. GDPR vaikuttaa esimerkiksi siihen miten yritykset keräävät lupia viestintää varten ja miten luvanvaraisuus dokumentoidaan.
Henkilötietoja saa käsitellä, jos siihen on joku seuraavista syistä:
- asiakkuus, jäsenyys tai työsuhde
- annettu suostumus
- sopimus, esim. tilaus
- lakiin perustuva velvoite, esim. osakasluettelo
- yleinen etu, esim. arkistointi tai tutkimus
Kun kyseessä on annettu suostumus, sen antamisen tulee olla selkeää, esimerkiksi valintaruudun valitseminen web-lomakkeella. Luvan antaminen ei saa olla pakollista, eikä valintaruutu saa olla oletuksena täytettynä. Kysyttäessä luvan alkuperä on pystyttävä todentamaan.
Toimijoiden tulee pystyä kertomaan millaista tietoa he ovat asiakkaistaan keränneet ja mihin tietoa käytetään. Asiakkaille tulee myös antaa mahdollisuus helposti muuttaa tietojaan tai poistua rekisteristä. Toimijoiden on hyvä laatia seloste käsittelytoimista, joka on helposti saatavilla tai nähtävillä esimerkiksi kotisivuilla.
Useat yritykset joutuvat tekemään uudelleenaktivointikampanjoita ennen uuden lain voimaan astumista, koska eivät pysty todentamaan jokaisen osoitteen alkuperää vaikka ne luvanvaraisia olisivatkin. Uudelleenaktivointikampanjassa tulee kysyä haluaako vastaanottaja saada viestintää jatkossa. Jos lupaa ei saada, osoite tulee poistaa postituslistalta. Luvan antamatta jättäminen ei riitä luvaksi.
Creamailerin kyselyjen yhteydessä on helppo pyytää viestintälupa ja lupatiedot ovat myös helposti haettavissa. Myös tilaa uutiskirje -lomakkeella kerättyjen postituslistojen lupatiedot on helposti haettavissa hakutoiminnon avulla.
Mitä jos lakia ei noudateta?
Tietosuoja kannattaa ottaa vakavasti, sillä uudistuksen myötä yksilöiden tietoisuus omista oikeuksista kasvaa ja yhteydenotot henkilötietojen käsittelyistä voivat lisääntyä. Tällöin toimijan on voitava osoittaa selkeästi ja läpinäkyvästi omat tietosuojaan liittyvät toimintatapansa. Toimijat voivat saada suuria sakkoja tietoturva-asioiden laiminlyönnistä. Sakot voivat maksimissaan olla 20 miljoonaa euroa tai neljä prosenttia globaalista liikevaihdosta.
Toimi nyt!
Nyt on viimeistään aika kartoittaa omat tietosuojakäytänteet. Tee nykytila-arvio ja mieti toimintamallit tietojen keräämisen, käsittelyn, säilyttämisen ja seurannan suhteen. Oman tietoturvan kartoittamisessa auttaa tietotilinpäätöksen tekeminen, joka pakottaa jäsentämään ja miettimään tietoturvan prosessit, mallit ja johtamisen. Tietotilinpäätös kuvaa esimerkiksi:
- mitä tietovarantoja organisaation hallussa on
- mikä on organisaation tietoarkkitehtuuri
- mikä on organisaation hallussa olevien tietojen laatu ja käytettävyys
- mitä menettelytapoja ja periaatteita tietojen käsittelyssä noudatetaan
- miten tiedot on suojattu
- miten tietojen käyttöä valvotaan
- miten rekisteröityjen oikeudet tietojen käsittelyssä toteutetaan
GDPR on hyvä asia
Tietosuoja-uudistus tuo mukanaan sen mitä kansainväliset käytänteet ovat jo vaatineet, mutta Suomen lainsäädäntö ja hyvät käytänteet eivät. Näiden vaatimusten myötä syntyy toimijan ja asiakkaan välille luottamussuhde. Kaikki voimme varmastikin olla samaa mieltä siitä, että kaikenlainen pitkäkestoinen asiakas- tai jäsensuhde perustuu juurikin luottamukseen. GDPR:n myötä muun muassa:
- Asiakkaat ja jäsenet saavat juuri sellaista markkinointia/viestintää kuin haluavatkin.
- He tietävät miksi saava kyseistä viestintää.
- He tietävät, että heillä on mahdollisuus poistua rekisteristä milloin vain.
- He tietävät, että voivat muuttaa tietojaan milloin vain.
- He tietävät, että heidän tietonsa on suojattu, niitä käsitellään luottamuksellisesti eikä niitä luovuteta luvatta eteenpäin.
- GDPR:n myötä viestit menevät oletettavasti myös paremmin perille, koska roskapostitus ei ole enää mahdollista.
Vaikka GDPR alkuun vaatiikin toimijalta selvittelyä, suunnittelua ja toimenpiteitä on kaikki lopulta sen arvoista. Uskomme vakaasti siihen, että uudistusten myötä asiakkaidemme asiakassuhteet paranevat entisestään. Me Creamailerissa ajattelemme teidän parastanne ja olemme täällä teitä varten. Teidän etunne on myös meidän etumme.
Lisää aiheesta: