Kerro miten voimme auttaa sinua.

Lähetä Tietosuojaseloste

Viestisi lähetettiin onnistuneesti! Tutustumme asiaasi ja olemme sinuun yhteydessä.

Jotain meni vikaan viestiä lähetettäessä. Kokeile myöhemmin uudestaan.

Miten tietosuoja-asetus voi vaikuttaa markkinointitoimistoihin?

Kevään tietosuoja-asetusta (tuttavallisesti GDPR) koskevaa keskustelua on vaikea ollut välttää. Mutta mitä uusi 25.5.2018 voimaan tuleva tietosuoja-asetus voisi tarkoittaa digimarkkinointitoimistoille? Miten heidän tulisi varautua asetuksen tuloon? Tässä pohdintaa aiheesta. Lopussa myös bisnesmahdollisuus.

EU:n tietosuoja-asetus (GDPR)

Katso myös Lakiuksen GDPR-verkkovalmennus ja aloita velvoitteiden täyttäminen.

Kevään aikana jo viimeistään moni on törmännyt mediassa ja keskusteluissa EU:n uuteen tietosuoja-asetukseen, tai tuttavallisesti ”GDPR:ään”, joka tulee voimaan 25.5.2018. Sitä ennen siis sellaisten yritysten ja organisaatioiden joihin se vaikuttaa, on tullut saada valmistelut loppuunsaatettua. Asetuksessa on monia vanhoja tuttuja asioita tietosuojadirektiivistä, mutta paljon uusiakin, kuten laajemmat oikeudet tiedon subjektille (henkilölle), asetuksen mukaisen toiminnan dokumentaatio- ja näyttövelvollisuus sekä uudenlaisia sanktioita tietosuojaloukkauksien osalta. Ehkäpä juuri se näyttötaakan kääntyminen on suurimpia muutoksia yrityksissä, joissa asiat muutoin ovat olleet hyvin hoidettu, mutta vain minimaalisesti dokumentoituna. Asetus nimittäin edellyttää, että ei riitä että noudattaa asetusta, vaan se tulee kyetä osoittamaan. Dokumentaatio, prosessikuvaukset ja koulutus ovat osa keinoista, joilla tämä toteutetaan.

Sääntelyn tarkoitus ja päämäärähän on hyvä – pyrkimys turvata yksityisyyden suoja yhä digitalisoituvassa maailmassa. Myös yrityksille tämä on loistava mahdollisuus nostaa luottamusta tietosuojan ja tietoturvan osalta, parantaa brändimielikuvaa ja ennaltaehkäistä tietosuoja- ja tietoturvaloukkausten riskejä.

Todetaan kuitenkin vielä alkuun, että tässä ei käsitellä asetuksen esittämiä vaatimuksia digitaalisen markkinoinnin toteuttamiselle, vaan fokus on markkinointitoimistoissa ja heidän mahdollisessa roolissa henkilötietojen käsittelijöinä. Käsitellään itse markkinointia sitten muissa kirjoituksissa.

 

GDPR:n soveltamisala

 

Koska kyse on EU:n asetuksesta, sovelletaan sitä suoraan sellaisenaan kaikissa jäsenvaltiossa. Asetus kuitenkin jättää joitain asioita kansallisesti säädettäväksi. Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Käytännössä soveltamisalan ulkopuolelle voisi jäädä esimerkiksi fyysinen sopimusarkisto, joka ei ole järjestetty henkilötietojen perusteella. Muutoinhan on aika selvää, että erilaiset työntekijä-, työnhakija-, markkinointi- ja asiakasrekisterit kuuluvat asetuksen soveltamisalaan.

 

Uusia vaatimuksia tiedon käsittelijälle

 

Asetus asettaa suoria vaatimuksia henkilötietojen käsittelijöille, jotka käsittelevät tietoja rekisterinpitäjän lukuun. Hyvä esimerkki tästä voisi olla juuri markkinointitoimisto, joka käsittelee asiakkaansa, eli markkinoijan, asiakastietoja markkinointitoimenpiteiden tai analyysien toteuttamiseksi. Tällainen voisi olla juuri esimerkiksi digimarkkinointitoimisto, joka tekee sähköpostimarkkinointia, analytiikkaa ja kohdennettua mainontaa erilaisissa digitaalisissa kanavissa.

 

Tietosuoja ei enää vain ”asiakkaan ongelma”

 

Olettaen, että markkinointitoimisto täyttäisi henkilötietojen käsittelijän vaatimukset, mitä asetus sitten edellyttää näiltä käsitelijöiltä? Listataan tässä pääpiirteittäin sellaisia vaatimuksia, jotka voisivat kohdistua myös markkinointitoimistoon, joka henkilötietojen käsittelijänä käsittelee rekisterinpitäjän (asiakkaansa) henkilötietoja, kuten markkinointi- tai asiakasrekisteriä.

  • Tiedon käsittelijän yhteisvastuu. Tiedon käsittelijä voi olla nyt itsenäisesti tai rekisterinpitäjän kanssa yhteisvastuussa mahdollisista tietosuojaloukkauksista.
  • Dokumentointivelvoitteet käsittelyä koskien. Markkinointitoimisto voi joutua ylläpitämään asetuksen 30 artiklan mukaista dokumentaatiota, josta käy ilmi muun muassa rekisterinpitäjän/-ien tiedot, mitä käsittelyä näiden lukuun suoritetaan sekä kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät.
  • Yksityiskohtaiset sopimukset. Yleinen ”noudatamme sovellettavia tietosuojalakeja” ehto ei riitä, vaan asetus yksityiskohtaisesti kuvaa, millaisia ehtoja markkinoijan (rekisterinpitäjä) ja markkinointitoimiston (henkilötietojen käsittelijä) väliseen palvelusopimukseen tulee sisällyttää. Eli kirjallinen yksityiskohtainen sopiminen on välttämätöntä.
  • Alihankkijoiden käyttö. Markkinointitoimisto ei voi alihankkia henkilötietojen käsittelyä kolmannelta osapuolelta, ellei siitä ole nimenomaisesti sovittu markkinoijan (rekisterinpitäjä) kanssa ja tietosuojaa turvattu alihankintasopimuksen ehdoin.
  • Henkilötietojen käsittelyn rajaus. Markkinointitoimisto voi henkilötietojen käsittelijänä käsitellä henkilötietoja ainoastaan siihen nimenomaiseen tarkoitukseen ja niiden ohjeiden mukaisesti, jotka rekisterinpitäjä on antanut (ja sopimuksessa kuvattuna).
  • Ilmoitusvelvollisuus tietosuojaloukkauksista. Henkilötietojen käsittelijän tulee viipymättä ilmoittaa rekisterinpitäjälle (esim. markkinoija) tapahtuneista tietosuojaloukkauksista.
  • Tiedonsiirrot EU:n ulkopuolelle. Henkilötietojen käsittelijän tulee noudattaa asetuksen EU:n ulkopuolisia tiedonsiirtoja koskevia säännöksiä.
  • Tekniset ja organisatoriset suojauskeinot. Henkilötietojen käsittelijän tulee ylläpitää riittäviä teknisiä ja organisatorisia suojausmekanismeja henkilötietojen suojaamiseksi.
  • Tietosuojavastaavan (DPO) nimittäminen. Markkinointitoimiston suorittama henkilötietojen käsittely saattaa myös täyttää edellytykset, jolloin sen on nimitettävä asetuksen mukainen tietosuojavastaava (Data Protection Officer).

 

Niinpä myös henkilötietoja käsittelevien organisaatioiden, kuten markkinointitoimistojen, on hyvä päivittää palvelusopimuksensa ehdot asiakkainaan olevien markkinoijen kanssa tietosuojan osalta ja muutoinkin varmistaa dokumentaation, koulututusten ja mahdollisten teknisten ja organisatoristen toimien kautta, että sillä on valmius asetuksen noudattamiseen. Tämä kannattaa kääntää positiiviseksi, eli katsoa sitä siltä kannalta, miten yritys voi nostaa omaa luottamustaan organisaationa, joka huolehtii ihmisten yksityisyyden suojasta. Lisäksi koska juridinen vastuu voi nyt osua myös henkilötiedon käsittelijään (eli tässä tapauksessa markkinointitoimistoon), saattaa markkinointitoimiston intressissä olla sisällyttää sopimukseen vastuuta rajaavia tai allokoivia ehtoja.

 

Bisnesmahdollisuus markkinointitoimistoille

 

Ei niin pahaa, ettei jotain hyvääkin.

GDPR asettaa uusia vaatimuksia tietosuojaselosteiden sisällölle, saatavuudelle ja myös ulkomuodolle. Niiden tulisi olla yksinkertaisia ja helposti ymmärrettäviä, kohderyhmä huomioiden. Esimerkiksi lapselle suunnatun tietosuojaselosteen tulisi olla selkeästi erilainen kuin aikuiselle. Jargonia ja juridista kapulakieltä tulisi välttää. Periaatteessa niiden tulisi olla samanaikaisesti sekä pidempiä että lyhempiä, sillä asetuksessa painotetaan viestinnällistä puolta, mutta samalla asetetaan uusia sisältövaatimuksia, eli tietosuojaselosteessa on kerrottava enemmän ja yksityiskohtaisemmin asioista.

Yksi suositeltu tapa toteuttaa tietosuojaseloste, on ns. ”leijeröinti”, eli tarjota tietosuojaselosteesta ensin tiivis ja helposti ymmärrettävä versio (”pintataso”) ja sitten tarjota mahdollisuus yksityiskohtaisempaan selosteeseen. Tuo pintataso voisi hyvin olla esimerkiksi tekstin sijasta tai lisäksi toteutettuna symbolein, animaation tai jopa videona. Miltä kuulostaisi tietosuojaselosteen yhteenveto 1 minuutin videona?

Näitähän markkinointitoimistot voivat ryhtyäkin tarjoamaan asiakkailleen – ymmärrettäviä tietosuojaselosteita graafisessa tai liikkuvassa muodossa. :-)

T. Villy, LAKIUS

PS. Ota toki yhteyttä jos kysyttävää, juttelemme mielellämme aiheesta lisää. Sposti: villy.lindfelt@lakius.fi ja puh: 044 2358 211.