Tietosuoja-asetus (GDPR) markkinoinnin ja myynnin näkökulmasta

Growth marketing Growth hacking Design & Copywriting Koodaus

EU:n tietosuoja-asetus (engl. General Data Protection Regulation eli GDPR) astuu voimaan toukokuussa 2018. Olemme koonneet sinulle käytännönläheisen kirjoituksen, miten tietosuoja-asetus vaikuttaa yrityksesi markkinointiin, myyntiin ja CRM-järjestelmän ylläpitoon. Annamme myös esimerkkejä, miten me Generolla itse varaudumme tuleviin muutoksiin.

Huomautettakoon heti aluksi, ettei tätä blogia ole kirjoittanut juristi vaan markkinoinnin ja viestinnän ammattilainen. Mikäli kaipaat virallista tietoa aiheesta, niin suosittelemme, että tutustut tietosuojavaltuutetun oppaaseen. Lisäksi voit seurata Valtionhallinnon tieto- ja kyberturvallisuuden ryhmän VAHTI-ohjesivustoa.

 

Tietosuoja-asetus (GDPR) markkinoinnin ja myynnin näkökulmasta

Mistä tietosuoja-asetuksessa on kyse?

Tietosuoja-asetus lyhyesti

Tietosuoja-asetus yhdenmukaistaa henkilötietojen käsittelyn EU:ssa, ja antaa ihmisille paremmat mahdollisuudet hallita omien henkilötietojensa käyttöä. Säännöt koskevat kaikkia organisaatioita, jotka prosessoivat tietoa EU-kansalaisista.

Mitä henkilötiedot sitten ovat?

Henkilötiedoilla viitataan kaikkiin tietoihin, joilla yksittäinen henkilö on tunnistettavissa: nimi, sähköposti, henkilötunnus, puhelinnumero, osoite, IP-osoite ja verkkoevästeet.

Huomioi, ettei tietosuoja-asetus erottele henkilökohtaista, julkista tai työhön liittyvää tietoa. Sitkeä myytti elää, ettei tietosuoja-asetus koskisi esimerkiksi B2B-markkinointia tai -myyntiä, mutta tämä ei kuitenkaan pidä paikkaansa.

 

Tietosuoja-asetuksen vaikutukset markkinointiin ja myyntiin

1. Säilytä ja käsittele henkilötietoja asianmukaisesti.

Asiakasrekisterissä tulee olla vain asianmukaista ja relevanttia tietoa. Pidä tiedot myös ajan tasalla.

Esimerkki: Genero säilyttää henkilötietoja HubSpot-CRM-järjestelmässä sekä laskutusjärjestelmässä. Myös Google Analyticsissa on henkilötietoihin luettavaa dataa.

2. Säilytä ja käsittele henkilötietoja vain tiettyä nimettyä tarkoitusta varten.

Esimerkki: Genero käyttää henkilötietoja, kuten sähköpostiosoitteita ja nimiä, markkinointia ja myyntiä varten.

3. Henkilötietojen käsittely edellyttää joko sopimuksellista perustetta, oikeutettua etua tai henkilön itsensä antamaa suostumusta.

Henkilötietojen käsittely edellyttää jatkossa vähintään yhtä seuraavista perusteista: 1) sopimuksellista tai laillista oikeutta 2) oikeutettua etua 3) suostumusta. Ilman käsittelyperustetta yrityksellä ei ole oikeutta kerätä ja käsitellä henkilötietoja. 

Sopimuksellinen tai laillinen oikeus. Voit lähestyä esimerkiksi olemassa olevia asiakkaitasi sähköpostimarkkinoinnilla, sillä teillä on sopimuksellinen suhde.

Oikeutettu etu. Tietosuoja-asetus ei edellytä suostumusta markkinoinnin perustaksi, siksi esimerkiksi suoramarkkinointi voi perustua oikeutettuun etuun. Erityisesti B2B-liiketoiminnassa henkilötietojen käsittely markkinointitarkoituksissa perustuu yleensä oikeutettuun etuun.

Suostumus. Suostumus tulee olla vapaaehtoinen ja saatu henkilön omalla aktiivisella toiminnalla. Siksi valmiiksi rastitettu ruutu ei ole enää sallittu keino saada suostumus. Henkilön tulee siksi esimerkiksi itse rastittaa ruutu (opt-in). Double-opt-in käytäntö eli se, että henkilölle lähetetään sähköpostiin vahvistusviesti, jonka sisältämää linkkiä klikkaamalla henkilö vahvistaa suostumuksensa on erittäin luotettava todiste suostumukselle. Henkilöllä tulee myös olla yhtä helppo mahdollisuus peruuttaa suostumuksensa. Sähköpostimarkkinoinnissa tulee siksi antaa mahdollisuus tilauksen peruuttamiseen (opt-out). Suostumus voidaan saada myös suullisesti. Suullinen suostumus kannattaa dokumentoida CRM-järjestelmään ja merkitä ylös miten ja koska suostumus on saatu. Tämä on tärkeää siksi, että suostumuksen saaminen on jälkeenpäin pystyttävä todentamaan.

Tietosuoja-asetuksen voimaan astumisen yhteydessä on hyvä myös tarkistaa ja päivittää yrityksesi tietosuojaselosteet ja niiden viestintä, sillä tietosuoja-asetus sisältää uusia vaatimuksia näitä kohtaan. Tietosuojaseloste tulisi olla tarjolla aina silloin, kun henkilö antaa itseään koskevia tietoja, joten sitä kannattaa tarjota niin nettisivujen alatunnisteissa, lomakkeilla, kiitos- ja tervetulosivuilla kuin sähköpostimarkkinoinnin yhteydessä.

Esimerkki: Genero kerää henkilötietoja markkinointia ja myyntiä varten nettisivuilta löytyvillä oppailla. Oppaidemme lomakkeilta löytyy kysymys: ”Tilaan lisäksi muita Generon vinkkejä sähköpostiini”. Henkilön tulee itse rastittaa ruutu, mikäli hän haluaa markkinointia meiltä (opt-in). Kysymme aina suullisesti lupaa markkinoinnillemme, mikäli lisäämme potentiaalisen uuden asiakkaan eli niin kutsutun liidin HubSpotiin manuaalisesti, oman myyntityömme tuloksena. Kirjaamme tällöin markkinointiluvan manuaalisesti HubSpotiin. 

Olemme päivittäneet nettisivujemme alalaidasta löytyvät tietosuojaperiaatteemme sekä käyttöehtomme. Tutustu edellä annettujen linkkien kautta, minkälaista tietoa näissä dokumenteissa tulisi olla! Tarjoamme tietosuojaperiaatteitamme niin nettisivujemme alatunnisteessa, pop-up-ikkunassa nettisivuillemme tultaessa, lomakkeilla, kiitos- ja tervetulosivuilla kuin sähköpostimarkkinoinnin yhteydessä.

4. Säilytä ja käsittele henkilötietoja vain niin kauan kuin niitä tarvitaan.

Yrityksillä ei ole lupaa henkilötietojen ikuiseen säilyttämiseen. Tiedot tulee poistaa tai anonymisoida, mikäli niiden säilyttämiseen ei ole enää oikeutettua tarvetta. Poista säännöllisesti henkilöt, jotka eivät enää halua markkinointiasi (opt-out). Luo siksi säännöt henkilötietojen säilyttämiseen ja niiden poistamiseen, ja muista myös noudattaa niitä.

Esimerkki: Genero käy henkilötiedot läpi jokaisen sähköpostikampanjan yhteydessä. Päivitämme sähköpostiosoitteita ja poistamme samalla henkilöt, jotka eivät halua enää markkinointiamme. Käymme koko HubSpot CRM-järjestelmämme läpi ainakin kerran vuodessa.

5. Pidä henkilötiedot turvassa tietomurroilta.

Yrityksesi ja mahdollisesti myös sinä olette vastuussa henkilötietojen turvallisesta säilyttämisestä. Huolehdi käyttäjäoikeuksien asianmukaisesta hallinnasta. Testaa myös järjestelmänne luotettavuutta säännöllisesti. Mikäli tiedot vuotavat yrityksesi ulkopuolelle olet velvollinen raportoimaan tästä 72 tunnin sisällä valvovalle viranomaiselle.

Esimerkki: Genero käyttää HubSpotia CRM-järjestelmänään. HubSpot on vakuuttanut, että järjestelmä on turvallinen. Lisäksi olemme jakaneet käyttäjävaltuutemme myös asianmukaisesti vain niille Genero Crew’n jäsenille, jotka tarvitsevat tietoja.

6. Toimita kopiot pyynnöstä asianomaiselle henkilölle.

Yritykselläsi on jatkossa 30 päivää aikaa vastata henkilötietopyyntöihin. Henkilöllä on oikeus tarkistaa tietonsa, korjauttaa virheelliset tiedot, poistattaa tietonsa tai tulla unohdetuksi. Huomioi kuitenkin kaikki mahdolliset lailliset ja sopimukselliset vaatimukset henkilötietojen säilyttämiseen.

Esimerkki: Generolla on valmius toimittaa tiedot pyynnöstä henkilölle.

7. Käy läpi ja dokumentoi yrityksesi henkilötietoihin liittyvä prosessi.

  • Yrityksesi on kyettävä perustelemaan, miksi henkilötietoja käytetään.
  • Listaa, mitä henkilötietoja yritykselläsi on hallussa ja missä niitä säilytetään.
  • Varaudu tietosuoja-asetuksen aiheuttamiin muutoksiin.
  • Pidä kirjaa, miten jokaisen henkilön suostumus on saatu.
  • Dokumentoi, miten tiedot pidetään turvassa, kenellä on pääsy tietoihin ja jaetaanko tietoja esimerkiksi jonkin kolmannen osapuolen kanssa.
  • Luo selkeät säännöt henkilötietojen säilyttämiseen ja poistamiseen.
  • Henkilöllä on oikeus tarkistaa, korjauttaa ja poistattaa omat tietonsa.
  • Tietosuoja-asetuksen sivuuttaminen voi johtaa korjaaviin toimenpiteisiin, lisädokumentaatioon sekä huomattaviin rahallisiin sanktioihin.
  • Varaudu siihen, että pystyt näyttämään, miten tietosuoja-asetus otetaan huomioon yrityksessäsi.