B2B-markkinointi & tietosuoja-asetus: pyydä suostumus henkilötietojen käsittelyyn

1024 576 Meri-Tuuli Nevala

Olet varmaan törmännyt internetin ihmeellisessä maailmassa alla olevan kaltaisiin lomakkeisiin ja täyttänytkin niitä. Kuinka usein olet ollut tietoinen, mitä lomakkeen lähettämisen jälkeen tapahtuu? Mihin tarkoitukseen antamiasi tietoja kerätään? Missä niitä säilytetään ja kenellä on pääsy tietoihin?

b2b-markkinointi ja gdpr virheellinen lomake

Etenkin B2B-maailmassa tällaiset lomakkeet ovat yleisiä. Internetin ihmeellinen maailma on täynnä erilaisia oppaita, ebookkeja, listoja, graafeja, pohjia, ynnämuitavastaavia, joita saa tutkittavakseen henkilötietojaan vastaan. Eikä tässä sinänsä ole mitään pahaa.

Se, miten näitä henkilötietoja käsitellään ja miten käyttäjiä, eli rekisteröityjä, tiedoteaan näistä käsittelytarkoituksista, on toinen asia. Toistaiseksi tämän osalta elämme aikamoisessa villissä lännessä, eikä aina lomakkeen täytettyä voi olla varma, miten, milloin ja kenen toimesta noita tietoja käsitellään.

Tähän on kuitenkin tulossa muutos, kun EU:n yleinen tietosuoja-asetus astuu voimaan. EU:n yleisen tietosuoja-asetuksen, tuttavallisemmin GDPR:n tai tietosuoja-asetuksen, soveltaminen alkaa ensi vuoden (2018) toukokuun 28.päivä.

GDPR:n perusperiaatteiden mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Mitä tämä sitten tarkoittaa B2B-markkinoinnin ja -myynnin näkökulmasta?

Jos tietosuoja-asetus on sinulle vielä hieman oudompi, suosittelen lukaisemaan aikaisemman kirjoitukseni aiheesta.

 

B2B-markkinoija: pyydä suostumus henkilötietojen käsittelyyn

Tietosuoja-asetuksessa säädetään, että henkilötietoja tulee aina käsitellä lainmukaisesti. Lisäksi asetuksessa määritellään, että henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi asetuksessa määritellyistä edellytyksistä täyttyy (artikla 6).

Myynnin ja markkinoinnin näkökulmasta selkein edellytys on ensimmäinen edellytyksistä, eli a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.

Vaikka tämä vaikuttaa hyvinkin yksinkertaiselta toteuttaa, on tähän kohtaan liittyen asetuksessa määritelty muitakin huomioon otettavia kohtia.

 

Pyydä suostumus ymmärrettävästi ja yksiselitteisesti

Kuten sanottua, sille, miten luvan käyttäjältä saat, on asetuksessa kuitenkin asetettu muutamia reunaehtoja.

Suostumus henkilötietojen käsittelyyn tulee saada rekisteröidyltä selkeästi suostumusta ilmaisevalla toimella. Tämä toimi voi olla kirjallinen (myös sähköinen) tai suullinen ja siitä tulee käydä ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen lupa siihen, että hän hyväksyy henkilötietojensa käsittelyn. (artikla 7)

Esimerkiksi internetisivulla olevan lomakkeen yhteydessä oleva rastitettava ruutu käy tässä tilanteessa. Ruutu ei kuitenkaan saa olla valmiiksi rastitettu, vaan käyttäjän on tietoisesti hyväksyttävä henkilötietojensa käsittely. Mikäli suostumus pyydetään lomakkeella, jossa koskee myös muita asioita, on suostumuksen antamista koskeva pyyntö esitettävä selvästi erillään muista asioista. Myös jos henkilötietojen käsittelyllä on useita eri tarkoituksia, tulee jokaista käsittelytarkoitusta varten antaa erikseen suostumus.

virheellisesti pyydetty suostumus b2b-markkinointi ja gdpr

Jokaista käsittelytarkoitusta varten tulee antaa erikseen suostumus

Lisäksi tällainen ennalta muotoiltu ilmoitus suostumuksesta tulisi olla helposti ymmärrettävissä ja selkeällä sekä yksinkertaisella kielellä. Ilmaisun tulee siis olla sellaista, että rekisteröity ymmärtää, mihin hän suostumuksen antaa.

Tämän lisäksi rekisteröidyllä on oikeus peruuttaa suostumus milloin tahansa ja sen tulee olla yhtä helppoa kuin suostumuksen antaminen.

 

Kerro mitä tietoja käsittelet ja miten niitä käsittelet

Henkilötietojen käsittely alkaa henkilötietojen keräämisestä. Mikäli keräät henkilötietoja rekisteröidyltä, eli esimerkiksi pyydät hänen henkilötietojaan verkkosivustolla olevalla lomakkeella, on sinun toimitettava rekisteröidylle tiettyjä tietoja samalla kuin henkilötietoja keräät. Käytännössä tässä vaiheessa kerrot, miten, milloin ja miksi henkilötietoja käsitellään.

Sinun tulee toimittaa rekisteröidylle mm. rekisterinpitäjän identiteetti ja yhteystiedot, henkilötietojen käsittelyn tarkoitukset ja oikeusperuste, mahdollinen kolmas osapuoli tai tietojen (mahdollisesti kansainväliset) vastaanottajaryhmät.

Lisäksi, asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi rekisteröidylle tulee kertoa esimerkiksi henkilötietojen säilytysaika, tieto oikeudesta pyytää pääsy häntä itseään koskeviin tietoihin, oikeus peruuttaa antamansa suostumus, oikeus tehdä valitus valvontaviranomaiselle ja tieto automaattisen päätöksenteon olemassaolosta.

Mikäli aiot käyttää keräämiäsi henkilötietoja johonkin muuhun tarkoitukseen, kuin siihen, johon ne alun perin keräsit, on sinun ilmoitettava tästä muusta tarkoituksesta rekisteröidylle ennen jatkokäsittelyä. Tämän lisäksi sinun tulee toimittaa yllämainitut lisätiedot rekisteröidylle.

Internet-sivulle sijoitetun lomakkeen yhteyteen voi olla hieman hankala saada tällainen määrä tietoa upotettua. Nämä tiedot voidaankin tuoda esiin esimerkiksi lomakkeen yhteydessä olevalla linkillä, joka osoittaa dokumenttiin, jossa nämä tiedot esitellään nämä.

Lue lisää: artikla 13

 

Jätä erityiset henkilötiedot rauhaan

Erityisten henkilötietojen käsittely on asetuksen mukaan kiellettyä (artikla 9).

Erityisiksi henkilötiedoiksi luetaan sellaiset henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Lisäksi geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

Näiden erityisten henkilötietojen käsittely on joissain poikkeustilanteissa sallittua. Jos sinun on käsiteltävä tällaisia henkilötietoja, suosittelen tutustumaan tietosuoja-asetuksen määritelmiin tarkemmin.

Muussa tapauksessa suosittelen välttämään tällaisten henkilötietojen käsittelyä.

 

Käsittele vain tarpeellisia tietoja

EU:n yleisen tietoturva-asetuksen mukaisesti henkilötietoja on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten. Henkilötietoja ei saa myöhemmin käsitellä näiden tarkoituksen kanssa yhteensopimattomalla tavalla. Henkilötietojen tulee myös olla asianmukaisia, ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten henkilötietoja käsitellään. (artikla 5)

Henkilötietojen käsittelyn tarkoitukset on määriteltävä ja ilmoitettava tietojen keruun yhteydessä. Henkilötietojen tulee olla olennaisia ja kerättävien tietojen tulee rajoittua siihen, mikä on välttämätöntä niiden käsittelyn kannalta.

Tämän lisäksi henkilötietoja saa käsitellä vain sen aikaa, kuin se on tarpeen tarkoitusta varten. Käsittelylle tulisi myös asettaa määräajat niiden poistoa ja tarpeellisuuden määräaikaistarkastelua varten.

 

Anna pääsy tietoihin

Rekisteröidyllä on oikeus saada pääsy häntä koskeviin tietoihin (artikla 15). Rekisteröidylle on pyynnöstä myös toimitettava jäljennös käsiteltävistä henkilötiedoista ja rekisteröidyllä on oikeus vaatia virheellisten tai epätarkkojen tietojen korjaamista (artikla 16).

Näiden lisäksi rekisteröidyllä on o oikeus saada tieto muun muassa käsittelyn tarkoituksista, käsiteltävistä henkilötietoryhmistä, henkilötietojen vastaanottajista, tietojen säilytysajasta, oikeudestaan tehdä valitus valvontaviranomaiselle, tietojen alkuperä ja automaattisen päätöksenteon olemassaolo.

 

Mahdollista unohdetuksi tuleminen

Yksi paljon puhutuista muutoksista on niin sanottu rekisteröidyn oikeus tulla unohdetuksi (artikla 17).

Rekisterinpitäjällä on velvollisuus poistaa rekisteröidyn niin pyytäessä häntä koskevat henkilötiedot ilman turhaa viivytystä useista syistä (katso koko lista), kuten yksinkertaisesti se, että rekisteröity peruuttaa suostumuksensa. Toisaalta myös tähän on poikkeuksensa, esimerkiksi jos henkilötietojen käsittely on tarpeen sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi, henkilötietojen poistamista määrittelevää kohtaa ei sovelleta. Lue muut poikkeukset artikla 17.

 

Ole ymmärrettävä, läpinäkyvä ja viesti selkeästi

Tietosuoja-asetuksen perusperiaatteiden mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (artikla 5).

Läpinäkyvyyden periaatteen mukaisesti henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän olisi oltava helposti saatavilla ja helposti ymmärrettävissä. Niissä on myös käytettävä selkeää ja yksinkertaista kieltä.

b2b-markkinointi ja tietosuoja näin pyydät suostumuksen henkilötietojen käsittelyyn

Suostumus pyydetty selkeällä ja ymmärrettävällä kielellä.

Älä siis piilottele tarkoitusperiäsi monimutkaisiin lakiteknisiin lauseisiin, vaan kerro selkeästi ja ymmärrettävästi aikomuksistasi. Piilottelu ja harmaalla alueella liikkuminen ei ainakaan paranna potentiaalisten asiakkaiden kokemusta ja luottamusta.

Kertomalla avoimesti ja selkeästi henkilötietojen käsittelystä ja käsittelyn tarkoituksesta tulet myös todennäköisesti vastaamaan, kuin vahingossa, tietosuoja-asetuksen vaatimuksiin.

AUTHOR

Meri-Tuuli Nevala

Meri-Tuuli on Havainin inbound strategist ja digitaalisen median osaaja. Koulutukseltaan hän on FM Informaatiotutimuksen ja interaktiivisen median alalta. Meri-Tuulin intohimona on käytettävyys, hakukoneoptimointi ja analytiikka sekä erilaiset tekniset ratkaisut ja integraatiot. Käyttäjä- ja teknologiaorientituneella otteellaan Meri-Tuuli tuottaa toimivia ja tehokkaita sisältöjä ja ratkaisuja asiakkaiden markkinointikampanjoihin. Twitter: MeriTuuliNevala LinkedIn: Meri-Tuuli Nevala

All stories by: Meri-Tuuli Nevala

Leave a Reply

Your email address will not be published.