Modernin markkinoinnin ja viestinnän selkäranka, mikä se on? Henkilörekisterit, tietenkin. Juuri niitä taas koskee EU:n tietosuoja-asetus, GDPR.
Olitpa töissä markkinointi-, viestintä- tai digitoimistossa tai yrityksen markkinointiviestinnässä sinun täytyy tietää, mitä pitää tehdä.
GDPR koskee esimerkiksi kaikkea sähköpostimarkkinointia. Asetus ei tee mitään eroa kuluttaja- tai yritysasiakkaiden kesken.
Asetus tulee voimaan toukokuussa 2018. Suomen tietosuojavaltuutettu voi milloin tahansa saada päähänsä, että se panee koville esimerkiksi kaikki markkinoijat ja viestintätoimistot: ”Anna selvitys, miten firmasi täyttää EU:n tietosuoja-asetuksen vaatimukset.”
Kiperin vaatimus on suostumus. Pahalta näyttää, jos firmasi lähettää markkinoinniksi tulkittavia viestejä ihmisille ilman, että nämä ovat jollakin tavalla ilmaisseet suostumuksen viestien saamiselle.
Jos selvityspyyntöön ei pysty vastaamaan, se voi tulla kalliiksi. Rangaistuksena voi saada sakon, joka on enimmillään 20 miljoonaa euroa tai neljä prosenttia vuotuisesta, maailmanlaajuisesta liikevaihdosta.
Vielä ehdit toimia. Voit edetä viiden askeleen mallilla, jotta et joudu pulaan:
1. Luetteloi henkilörekisterit
2. Perustele rekisterit
3. Varmista suostumus
4. Tee dokumentaatio
5. Huolehdi tietoturvasta
1 Missä meillä on henkilötietoja?
Aivan aluksi digitaalisen markkinoijan täytyy itse tunnistaa, mitä henkilötietoa tällä hetkellä on hallussa ja missä. Helppo nakki ovat siistit tietokannat asiakkuuden hallinnan ja markkinointiautomaation ohjelmistoissa.
Riskien pesä ja isoimman tuskan aiheuttaja ovat kirjavat, monesti epäviralliset henkilörekisterit esimerkiksi Excel-taulukoissa. Aivan varmasti niitä lymyilee firmasi jaetuilla verkkolevyillä ja yksittäisillä työntekijöillä. Kaikki nämä pitää penkoa esiin.
Huomioon täytyy ottaa paitsi ne rekisterit, jotka ovat omassa hallussa, myös ne rekisterit, joihin on käsittelyoikeus. Monesti markkinointi- ja viestintätoimistot käsittelevät henkilötietoja asiakkaan puolesta.
2 Rakasta Delete-nappia
Sitten pitää miettiä, mitkä henkilörekisterit ja -tiedot ovat tarpeellisia ja mitkä eivät. Käy yksitellen läpi, miksi kukin rekisteri on olemassa sekä miten ja mistä niihin kerätään uusia tietoja.
Ilman päteviä perusteluja henkilörekistereitä ei saa ylläpitää. Pelkkä hyvän tuntuinen perustelu omalle liiketoiminnalle ei aina riitä. Varaudu siihen, että tietoa on pakko tuhota, pysyvästi.
Mikä tieto on tulilinjalla? Ensinnäkin on syytä varautua hävittämään kaikki sellainen tieto, jonka rekisteröinniltä puuttuu rekisteröityjen suostumus. Tästä lisää kohdassa 3. Toiseksi täytyy varautua poistamaan tiedot, jos joku rekisteröity pyytää tietojensa poistamista.
Kolmanneksi kannattaa käydä läpi tietojen ikä. Vanhentuneen tiedon arvo on kyseenalaista. Voit ottaa yksinkertaiseksi nyrkkisäännöksi esimerkiksi kolmen vuoden aikarajan. Jos henkilöä koskevat tiedot ovat vanhempia, eikä niiden voimassa oloa ole tarkistettu, hävitä tiedot.
3 Ota ihmisiin yhteyttä!
Asetuksen mukaan asiakkaiden suostumus täytyy aina olla sille, että heidän tietojaan rekisteröidään ja heihin voidaan ottaa yhteyttä.
Muutaman vuoden takainen suostumus ei luultavasti enää ole pätevä. Satasivuiset liirumlaarumit suostumuslausekkeissa eivät enää kelpaa. Rekisteröidylle pitää kertoa yksinkertaisesti, mitä tietoa hänestä kerätään, mitä tarkoituksia varten ja miten tiedot suojataan.
Tämä avaa tilaisuuden hymyillä tuskan irvistelyjen keskellä. Ota yhteyttä kaikkiin rekistereissä oleviin ihmisiin, ja kysy suostumus uudelleen – tai ensi kertaa, jos sitä ei ole ikinä kysytty.
Mikä tässä siis on se mahdollisuus? Jos viime kontaktista on aikaa, tämä on tilaisuus herättää taas tietoisuus itsestäsi ja virkistää asiakassuhde.
Ota suostumus huomioon kaikissa uusissa kampanjoissa. Esimerkiksi tapahtumiin ilmoittautumisissa täytyy kysyä suostumus tietojen käyttöä varten.
4 Mitä pitää dokumentoida?
Dokumentointi on viranomaisen suuntaan se ylivoimaisesti tärkein asia. Asiakirjat ovat väline, joilla voit todistaa, miten yrityksesi noudattaa vaatimuksia. Asiakirjoista pitää muodostua jäljittämisen mahdollistava niin sanottu audit trail.
Olennaista on luoda selkeästi kuvatut prosessit henkilötietojen keräämistä, tallennusta ja käsittelyä varten. Kuvaile tämä asiakirjoissa.
Pura auki myös se, että olet ylipäänsä tehnyt henkilörekisterien kartoituksen. Kerro myös, miten rekisteröityjen suostumus hankitaan ja miten tiedot pyynnöstä poistetaan järjestelmistä.
5 Varmista tietoturva
Tämä kohta on teknisesti vaativin. Tietosuoja-asetus edellyttää, että henkilörekisterit on suojattu kunnollisella tietoturvalla.
Osana tietoturvaa on edellä kuvattu prosessi. Luo ja dokumentoi pelisäännöt, ketkä kaikki henkilöstössä ovat oikeutettuja pääsemään käsiksi rekistereihin ja miksi.
Asetus käsittelee myös tietomurtoja. Jos saat tietoosi tai itse havaitset, että joku asiaton on voinut päässyt dataan käsiksi, asiasta täytyy ilmoittaa tietosuojaviranomaisille. Et saa vetkutella, koska ilmoitus on tehtävä 72 tunnin sisällä.
Nyt on parasta alkaa jo toimia kuin tietosuoja-asetus olisi voimassa. Yksityiskohdissa kannattaa pyytää apua asiantuntijoilta, mutta heillä alkaa jo olla kädet täynnä töitä. On siis parasta olla ripeä, jos et halua jäädä jalkoihin!
