Kalle Elo
toukokuu 2018

Iskikö GDPR-ähky? Joko saa painaa paniikkinappulaa?

Tänään se sitten vihdoin on tapahtunut! GDPR, eli Euroopan Unionin General Data Protection Regulation, on astunut voimaan. GDPR-ähky on todellista ja se on iskenyt täydellä teholla! Kaikesta tarjolla olevasta informaatiosta huolimatta säädösten oikeaoppinen noudattaminen on erittäin epäselvää.

Olemme itse viime viikkoina lukeneet aiheesta kymmeniä eri sähköposteja, uutiskirjeitä ja viestejä eri medioissa. Olemme myös saaneet tietää kymmeniä eri tapoja soveltaa GDPR:n säädöksiä – laillisia, laittomia ja jossain siinä rajamailla heiluvia. Joissakin tapauksissa tietosuoja-asetusten päivittäminen on upotettu kilpailun muotoon (hatunnosto Rajalalle!). Joissain tapauksissa sitä on käytetty markkinointikikkana yrityksissä, joiden kanssa emme ole koskaan olleet missään tekemisessä (nämä putiikit saavat risuja lahjaksi jouluna).

Joka tapauksessa asia edelleenkin kummastuttaa ja kauhistuttaa. Kerrataanpa siis, mistä oikein on kyse, mitä se käytännössä tarkoittaa ja mitä tänään 25.5.2018 pitäisi olla tehty.

Mikä on GDPR?

Kirjoitimme GDPR:n yksityiskohdista jo viime syksynä artikkelin, jossa vastasimme asiakkaidemme eniten esittämiin kysymyksiin. Käytännössä uusien asetusten avulla halutaan antaa EU:n kansalaisille oikeudet ja hallinta omaan dataansa ja yhdenmukaistaa monimutkaisia säännöstelyjä.

Periaatteessa siis kansalaisella on oikeus pyytää nähdä hänestä kerätyt tiedot ja pyytää niiden poistamista. Sovellustapoja on verkkosivujen uudelleenmarkkinoinnista uutiskirjeiden lähettämiseen ja työntekijätietojen poistamiseen (emme suosittele, tämä saattaa johtaa työsopimuksen deletointiin).

Vaikuttaako GDPR yrityksesi toimintaan?

Mikäli et kerää asiakkaistasi minkäänlaista rekisteriä tai tietokantaa verkkosivuillasi, -palvelussasi tai applikaatiossasi, ei asetus vaikuta tällaisenaan sinuun. Huomioithan kuitenkin, että kaikkien verkkosivujen, -kauppojen ja -palveluiden omistajien tulee olla tietoisia siitä, miten asetus vaikuttaa heidän toimintaansa ja miten sen soveltamiseen tulee valmistautua.

Yleisesti, Google Analytiikan perusmallin evästepohjainen seuranta ei vaadi erityisiä toimenpiteitä GDPR:n vuoksi, mutta mikäli hyödynnät esimerkiksi yleisöjä uudelleenmarkkinointia varten, olet tehnyt kävijäseurannan modifikaatioita tai hyödynnät User ID -mahdollisuuksia, tulee varmistaa, että kyseiseen yleisöön päätyvät kävijät ovat hyväksyneet tietojensa käytön.

Miten GDPR vaikuttaa verkkosivujen ylläpitoon?

Mikäli verkkosivustollasi tai -palvelussasi on mahdollista rekisteröityä asiakkaaksi, keräät liiditietoja, tai käsittelet muuten asiakas- tai henkilötietoja, tulee sinun varmistaa, että kerätyt tiedot noudattavat GDPR:n säännöksiä. Tämä voidaan tehdä esimerkiksi verkkosivuille asennettavan suostumuksen muodossa.

Mitkä ovat vaikutukset digitaaliseen markkinointiin?

Säännös alkaa hankaloittaa digitaalista markkinointia siinä vaiheessa, kun esimerkiksi Google AdWordsiin tai Facebook Ads Manageriin on rakennettu astetta syvällisempiä kampanjoita, jotka hyödyntävät verkkosivuilta saatavaa kävijädataa, kuten uudelleenmarkkinointia tai asiakaslistoja.

Mikäli keräät tietoja asiakkaistasi, joudut pahimmassa tapauksessa tyhjentämään vanhat listat ja aloittamaan tietojen keräyksen uudestaan, kävijän hyväksynnän jälkeen.

Kuinka suhtautua uutiskirjeiden lähettämiseen?

Mikäli myös keräät tai ylläpidät uutiskirjeiden vastaanottajien rekisteriä, tulee varmistaa, että kerätyt tiedot noudattavat GDPR:n säännöksiä. Mikäli rekisterissäsi oleva vanhat asiakassähköpostit eivät noudata uusia säännöksiä, et voi puhtain paperein enää lähettää asiakkaillesi sähköposteja, vaan joudut pyytämään heiltä uudestaan suostumuksen mm. Heidän sähköpostiosoitteensa käyttämiseen.

Mitä tehdä jos käytössä ei ole GDPR:n mukaista dataa?

Mikäli rekisterissä on vanhaa, ei-GDPR-soveltuvaa, dataa tulee tämä vanha data poistaa ja kerätä uutta niiltä kävijöiltä, jotka ovat hyväksyneet päivittyneet tietosuojaehdot. Mikäli kävijä ei erikseen hyväksy tietojensa käyttämistä, et saa niitä hyödyntää.

Huomaathan, että voit alkaa kerätä uutta rekisteriä/yleisöä verkkosivuillasi vasta sitten, kun verkkosivut mahdollistavat kävijöiden datan käytön hyväksynnän (ns. suostumus eli opt-in). Kävijän pitää siis aktiivisesti valita ”Kyllä, hyväksyn datan käytön” passiivisen ”Poistu listalta, mikäli et halua viestejä” -muodon sijaan. GDPR:n lähtökohtana onkin kansalaisen suostumus ja hyväksyntä datan käytölle ja, mikäli siitä ei ole mustaa valkoisella tai täppää excelissä, ei hyväksyntää ole saatu ja rekisterisi rikkoo GDPR:n säädöksiä.

Onko GDPR:ssä mitään hyvää?

On! Kuluttajalle se tarjoaa monia hyviä puolia, kuten turhien sähköpostien poistamisen. Jatkossa spämmiviestien määrä tulisi vähentyä tai tipahtaa lähelle nollaa. Ainoastaan ne palvelut, joista kuluttaja on hyväksynyt markkinoinnin uusien asetusten mukaisesti, voivat periaatteessa lähettää viestejä.

Hyvää yrityksille on se, että Suomen oma tietosuojalaki laahaa jäljessä, eikä siis ole vielä täysin uusien EU-säädösten mukainen. Tämän vuoksi paniikkinappulaa ei ihan vielä tarvitse painaa! Suosittelemme kuitenkin hoitamaan tietosuoja-asiat mahdollisimman nopeasti kuntoon, sillä laki tulee pian.

Huomioitavaa on, että asetuksen noudattamatta jättäminen voi aiheuttaa merkittäviä sanktioita, joten siihen valmistautuminen kannattaa asettaa korkealle prioriteetille.

Mitä tehdä kun paniikki iskee?

Mikäli vielä emmit, mitä sinun tulisi verkkosivuillesi, ole rohkeasti yhteydessä GDPR-auditoinnin asiantuntijaamme Kalle Eloon (kalle@donbranco.fi, +358 44 748 3790).

Jaa Artikkeli
Kalle Elo