EU:n yleinen tietosuoja-asetus eli GDPR hyväksyttiin keväällä 2016 (14.4.2016) Euroopan parlamentin ja neuvoston päätöksillä. General Data Protection Regulationin tavoitteena on luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Tämän lisäksi parannetaan luottamusta online-palveluihin ja edistetään EU:n digitaalista markkinoiden kehittämistä. Rekisterinpitäjän tulee tehdä analyysi siitä vastaako henkilötietojen käsittely ja tietosuojakäytänteet EU:n tietosuoja-asetuksen uusia vaatimuksia. Yritysten tulee myös varmistua tietoturvansa riittävyydestä sekä varautua ongelmatilanteisiin. Uudella sääntelyllä halutaan ohjata yhteisöt ja yritykset ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon jo toimintansa suunnittelussa. GDPR koskee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa.
EU:n yleinen tietosuoja-asetus pakottaa rekisterinpitäjiä ja yrityksiä tarkistamaan tietosuojakäytäntöjensä lainmukaisuuden siirtymäaikana 25.5.2018 mennessä. Aikaa on siis tämän blogin kirjoittamisesta reilu vuosi. Tietosuojavaltuutetun toimisto julkaisi rekisterinpitäjille suunnatun oppaan EU:n tietosuoja-asetukseen valmistautumisesta.
Miten markkinoinnin automaatio liittyy GDPR:n?
Markkinoinnin automaatiojärjestelmät keräävät henkilötietoja ja useimmissa samalla syntyy myös henkilörekisteri. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Henkilötiedoksi voidaan laskea myös kaikki sellainen data, josta henkilö voidaan tunnistaa kuten sähköpostiosoite, puhelinnumero, kuva, video, eväste, IP-osoite tai jopa biometrinen tai geneettinen tieto.
Markkinoinnin automaation yksi perusideoista on jalostaa liidejä, jotka perustuvat yksilöityihin käyttäjiin. Automaation keinoin heille voidaan tuottaa parempi – personoitu – asiakaskokemus verkkosivulla ja markkinoida täsmällisemmin myytäviä tuotteita. Myös erilaisten oppaiden avulla pyritään houkuttelemaan asiakkaita verkkosivuille, jossa heidän yhteystietonsa voitaisiin kerätä jatkomarkkinointia varten. Tietojen keräyksen yhteydessä tulisi pyytää lupa markkinointiin ja tällöin tapahtuu ns. (opt-in). Opt-in on lupa, jolloin asiakkaalle voi lähettää suoramarkkinointia. Tämän lisäksi henkilöllä tulee olla mahdollisuus poistaa tämä lupa halutessaan. Pelkkä opt-out ei ole enää sallittua. Tässä saattaa tulla ongelmia lähinnä vanhojen asiakasrekisterien kohdalla, joilta lupaa ei ole pyydetty.
Mitä markkinoinnin automaation ostajan tulee ottaa huomioon GDPR:sta?
- Tarkista palveluntarjoasi palvelimien sijainti. Kaikkein helpoimmalla pääset jos sijainti on Euroopassa. Jos toimittaja on USA:sta, kannattaa tarkistaa ovatko he mukana Privacy Shield -ohjelmassa tai sitoutuneet GDPR:n noudattamiseen. Esimerkiksi Google Cloud Platform ja Amazon Web Services kertovat olevansa yhteensopivia GDPR:n kanssa.
- Voiko henkilö pyytää tietojensa poistamista? Tässä yhteydessä tulee huomioida se seikka, että jos henkilö ei enää halua markkinointia niin välttämättä kaikkia tietoja voida poistaa. Miten toteutuu oikeus tulla unohdutetuksi?
- Asiakkaallasi on oikeus vastustaa automaattista profilointia. Miten palvelussasi tämä on huomioitu? Kärsiikö sivustosi käyttökokemus ilman asiakkaan profilointia?
- Miten varaudut tietopyyntöihin? Eli miten palvelussa on huomioitu yksilön oikeus omiin tietoihinsa? Pystytkö tuottamaan ne tiedon pyytäjälle?
- Opt-out ei ole enää riittävä vaan käyttäjältä tulee olla selkeästi saatu lupa markkinointiin (Opt-in).
- Lasten kohdalla tulee saada huoltajan lupa.
Mitä me suosittelemme tietosuoja-asetuksen suhteen?
Kun markkinoinnin automaatiota suunnitellaan on tärkeää aloittaa nykytilan kartoituksella, jota uusi kumppanimme Secrays tekee mielellään. He kartoittavat nykytilanteesi ja laativat konkreettiset toimenpiteet asetuksen velvoitteiden täyttämiseksi. Palvelu toteutetaan haastatteluilla, työpajoilla ja dokumentaation läpikäynnillä, joiden avulla selvitetään yrityksen nykytila suhteessa tietosuoja-asetuksen velvoitteisiin. He voivat arvioida myös muutaman keskeisen tietojärjestelmän nykytilaa ohjeistuksen, järjestelmäarkkitehtuurin ja tietovirtojen näkökulmista. Kartoituksen lopputuloksena syntyy arvio asiakkaan toimintojen tietosuojan kypsyystasosta suhteessa asetuksen velvoitteisiin ja priorisoitu lista toimenpiteistä. Tämän jälkeen me voimme rakentaa suositusten pohjalta markkinoinnin automaation järjestelmän ja sinä voit nukkua yösi rauhassa.
Tuloksellisia hetkiä markkinoinnin parissa.
