MARK Gepardi-klubi: Hot topicit, pahimmat ylilyönnit ja ePrivacyn tilanne

MARKin Gepardi-klubin viimeisessä kokoontumisessa käytiin läpi GDPR:n uusimpia tulkintoja ja pahimpia ylilyöntejä sekä suunnattiin katse jo tulevaisuudessa voimaan astuvaan ePrivacyyn. Keskustelua ohjasi tuttuun tapaan Gepardi-klubin isäntä ja Suomen Asiakastiedon GDPR-palvelusta vastaava asiantuntija Rami Meling.

Klubi aloitettiin pohtimalla, mitä henkilötietoa saa kerätä verkosta ja mikä kaikki määritellään henkilötiedoksi. Ramin mukaan tiedon kerääminen verkosta ei ole kiellettyä, mutta siitä on informoitava tietosuojaselosteessa, johon tietoja kerättävällä sivulla on oltava esimerkiksi linkki. Kaikkea mahdollista tietoa ei kannata kerätä, vaan keskittyä tarpeellisiin tietoihin joille löytyy käsittelyperuste. Henkilötietoja ovat GDPR:n mukaan kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot.

Henkilötietojen siirto tai luovutus vaatii käsittelyperusteen
Henkilötietoja siirtäessä tai luovuttaessa, esimerkiksi yhteistyökumppaneille tai ulkoistetuille palveluntarjoajille, tietojen vastaanottajalla täytyy olla käsittelyperuste, kuten sopimus, oikeutettu etu tai suostumus henkilötietojen käsittelyyn. Henkilötietonsa yritykselle alun perin rekisteröityneitä on myös informoitava tietojen luovutusmahdollisuudesta esimerkiksi tietosuojaselosteessa tai sähköpostitse.

Kaikilta uusi suostumus uutiskirjeen lähetykseen?
Jo aikaisemmissa Gepardi-klubeissa esiin noussut kysymys siitä, pitääkö kaikilta vanhoiltakin asiakkailta kysyä uusi hyväksyntä uutiskirjeen lähettämiseen GDPR:n voimaantulon jälkeen, nousi jälleen puheenaiheeksi. Rami tarkensi, että lähettämisen peruste voi olla yrityksen oikeutettu etu, eikä voi olettaa, että esimerkiksi kymmenen vuoden takaisia tarkkoja merkintöjä luvista löytyisi. Tiukimmat asetuksen tulkitsijat näkevät, että tarkka merkintä suostumuksesta pitäisi löytyä, mutta esimerkiksi Suomen Asiakkuusmarkkinointiliitto sanoo, ettei lupaa tarvitse kysyä uudestaan.

GDPR aiheuttaa ylilyöntejä
Uusi tietosuoja-asetus on aiheuttanut ylilyöntejä, joissa asetusta on tulkittu reippaasti liian kirjaimellisesti ja tiukasti. Rami nosti esimerkiksi muun muassa tapauksen, jossa järjestön täytyisi kerätä GDPR-neuvonnan seurauksena kaikilta järjestöjäseniltä suostumus jäsentietojen käsittelyyn. Näin ei kuitenkaan ole, sillä oikeutettu etu riittää. Rami kehottaakin jälleen kaikkia käyttämään tervettä maalaisjärkeä tilanteissa, jotka tuntuvat liian järjettömiltä ja kysymään apua.

ePrivacy tiukentaa ja yhtenäistää sääntöjä
Klubin lopuksi perehdyttiin vielä tulevaisuuden ePrivacy-asetukseen, joka tulee GDPR:stä poiketen tiukentamaan sähköisen markkinoinnin säädöksiä. Asetus tuo tiukemmat yhtenäiset säännöt kaikille henkilöille ja yrityksille EU:n alueella ja koskee myös laajemmin uusia digimarkkinoinnin toimijoita, kuten Facebookia, WhatsAppia ja Skypeä. Asetus tulee myös ottamaan kantaa puhelinmyynnin selkeämpään viestintään, mahdollisesti jopa määriteltyjen puhelinnumeroiden kautta, helpottamaan roskapostin estoa sekä yksinkertaistamaan evästesääntöjä. Rami kuitenkin muistuttaa, ettei kukaan vielä tiedä, mikä aikaisintaan vuoden 2019 lopussa voimaan astuvan ePrivacyn lopullinen muoto asetuksineen tulee olemaan.

Elämä ja business jatkuvat 25.5.18 jälkeenkin
Kevään aikana Gepardi-klubissa on käsitelty kattavasti uuden tietosuoja-asetuksen vaikutuksia ja avustettu lukuisia jäseniä toimimaan oikein GDPR:n astuessa voimaan. Vaikka klubi nyt loppuu ja uusi tietosuoja-asetus on jo voimassa, tulee kaikkien yleisesti seurata uudistuksen vaikutuksia omaan toimintaan ja päivittää tietosuojaselosteita jatkossakin. Jännittävää onkin seurata, mitä tulevaisuus ja ePrivacy vielä tuovat mukanaan tietosuoja-asioihin.

Kirjoittaja on MARKin sisällöntuotannon harjoittelija Hanna Polvinen, joka löysi markkinoinnin ja viestinnän maailmaan Haaga-Helia ammattikorkeakoulun kautta. Hannaa inspiroivat intohimoisesti omalla alalla työskentelevät ammattilaiset, jotka saavat itsekin tähtäämään korkealle.