GDPR b-to-b-markkinoinnin näkökulmasta

26.08.2019 09:17

Euroopan unionin tietosuoja-asetus eli GDPR tuli voimaan reilu vuosi sitten. Organisaatioissa aloitti sankoin joukoin tietosuojavastaavia, rekisteriselosteet muuttuivat tietosuojakuvauksiksi, henkilötietojen käsittelyprosessit ja -perusteet käytiin tarkasti läpi, ja kaikki dokumentoitiin huolella.

Asetuksen voimaantulosta panikoitiin ja hyperventiloitiin niin kovasti, että myynnin ja markkinoinnin kentässä asiasta pääsi syntymään kirjavia tulkintoja ja jopa aiheettomia väitteitä. Osa niistä elää sitkeästi edelleen. Tässä tiivistetty kertaus siitä, mistä koko GDPR:ssä oli (ja ei ollut) kyse markkinoinnin näkökulmasta.

GDPR koskee myös b-to-b-päättäjiä

GDPR sääntelee henkilötietojen käsittelyä yleisellä tasolla, eli se koskee kaikkia luonnollisia henkilöitä. GDPR ei siis ota kantaa siihen, onko henkilö kuluttaja, b-to-b-päättäjä tai vaikkapa prokuristi, vaan se määrittää yleisesti kansalaisten oikeudet ja organisaation velvollisuudet henkilötietojen käsittelyyn.

GDPR ei juurikaan sääntele markkinointia

Tietosuoja-asetus sääntelee markkinointia ainoastaan yhdessä kohdassa, ja sekin koskee vain henkilön oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointia varten. Markkinointi-sana esiintyy tietosuoja-asetuksessa neljä kertaa. Tässä suora lainaus lain artiklasta 21, joka siis on GDPR:n ainoa markkinointia koskeva osuus kokonaisuudessaan:

Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.

Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen

Huomioitavaa on, että asetuksessa puhutaan suoramarkkinoinnista yleisellä tasolla ottamatta kantaa siihen, onko se sähköpostilla, puhelimella tai perinteisellä postilla tehtävää. Suoramarkkinoinnin vastaanottajalla
tarkoitetaan ketä tahansa henkilöä, eli erottelua kuluttajan tai organisaation vastuuhenkilön välillä ei ole.

Markkinoinnista säännellään tarkemmin kansallisesti. Suomessa markkinointia säänteleviä lakeja ovat muun muassa laki sähköisestä viestinnästä, kuluttajansuojalaki ja laki sopimattomasta menettelystä elinkeinotoiminnassa.

Henkilötieto, rekisteri ja käsittely = GDPR

Henkilötieto tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. GDPR:n sääntelyn näkökulmasta henkilötiedot voidaan jakaa kolmeen luokkaan, ja niille on
laissa omat määräyksensä.

  1. Tieto, jolla henkilö voidaan epäsuorasti tunnistaa eli pseudonyymitieto, kuten esimerkiksi eväste- ja mobiilitunnisteet tai tieto, josta osa on korvattu koodeilla.
  2. Tieto, jolla henkilö voidaan suorasti tunnistaa, eli esimerkiksi nimi, henkilötunnus ja puhelinnumero.
  3. Erityiset tietoryhmät, eli henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, terveydentila tai seksuaalinen suuntautuminen tai geneettisten
    tai biometristen tietojen käsittely tunnistamista varten.

Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot on saatavilla tietyin perustein ja joita käytetään samaan käyttötarkoitukseen. Markkinoinnin
ja myynnin näkökulmasta näitä ovat juurikin asiakas- ja markkinointirekisterit.

Käsittelyllä tarkoitetaan mitä tahansa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai
manuaalisesti. Käsittelyä on esimerkiksi tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai yhdistäminen. Markkinoinnin ja myynnin näkökulmasta esimerkiksi CRM-järjestelmän
tietojen ylläpito ja asiakkaiden profilointi on käsittelyä.

GDPR sanelee henkilötietojen käsittelyn säännöt

GDPR velvoittaa, että henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

Lainmukaisuus tarkoittaa sitä, että henkilötietojen keräämiselle on jokin laillinen peruste. Tietoja saa kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Perusteena on oltava vähintään yksi seuraavista:

  • Suostumus, eli rekisteröity on antanut luvan tietojen käsittelyyn. Markkinoinnin näkökulmasta esimerkiksi markkinointilupa on tällainen.
  • Sopimus, eli rekisteröity on sopimuksen osapuolena. Asiakastietojen käsittely perustuu usein tähän.
  • Lakisääteinen velvoite, eli rekisterinpitäjällä on laissa määrätty velvoite käsitellä henkilötietoja. Esimerkiksi työnantajan on ilmoitettava työntekijänsä palkkatiedot
    veroviranomaisille.
  • Elintärkeiden etujen suojaaminen, eli käsittelyä voi tapahtua esimerkiksi humanitaarisissa hätätilanteissa, kuten luonnonkatastrofeissa tai epidemioissa.
  • Yleinen etu ja julkinen valta, eli esimerkiksi henkilötietojen käsittely tieteellisen tai historiallisen tutkimuksen tai tilastoinnin tarkoituksia varten.
  • Oikeutettu etu, eli kun rekisterin pitäjän ja rekisteröidyn välillä on jokin merkityksellinen suhde. Markkinoinnin ja myynnin näkökulmasta esimerkiksi suoramarkkinointi voi vaatia henkilötietojen käsittelyä.
    Oikeutettuun etuun vetoaminen vaatii aina ns. tasapainotestiä, jossa rekisteröidyn ja rekisterinpitäjän oikeudet ja oikeutetut odotukset punnitaan. Jos vaakakuppi kääntyy rekisterinpitäjän puolelle, on käsittely
    oikeutetun edun perusteella sallittu.

Asianmukaisuus tarkoittaa sitä, että henkilötietoja käsitellään turvallisesti ja luottamuksellisesti. Tiedot tulee suojata luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä,
tuhoutumiselta tai vahingoittumiselta. Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Henkilötietojen on oltava olennaisia ja rajoitettuja siihen tarkoitukseen, missä niitä käsitellään.

Läpinäkyvyydellä tarkoitetaan sitä, että rekisterinpitäjän on toimitettava rekisteröidylle tämän käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Rekisterinpitäjän on toimitettava rekisteröidylle rekisterinpitäjän identiteetti ja yhteystiedot, tapauksen mukaan tietosuojavastaavan yhteystiedot ja henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste.

Apua asiakastietojen ylläpitoon ja päivitykseen

Kun haluat huolehtia oman asiakaskuntasi tietojen ajantasaisuudesta, saada  tietoosi enemmän kontakteja tai löytää ihan uusia asiakkuuksia – meiltä löytyy aina ratkaisu. Tietohuoltomme avulla asiakasrekisterisi on myös integroitavissa suoraan yritystietokantaamme, joka takaa sen, että tiedot ovat aina ajan tasalla.

Kirjoittaja Sanna Holopainen

Aiheeseen liittyvää