Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat, jotka tarjoavat kanta-asiakasohjelmia.
Selvityksessä tarkasteltiin seuraavia kohtia:
- Henkilötietojen käsittelyn oikeudelliset edellytykset
- Käsiteltyjen henkilötietojen määrä
- Rekisteröidylle toimitetut tiedot
- Rekisteröidyn kieltäytyminen henkilötietojen käsittelystä suoramarkkinointia varten
- Henkilötietojen säilyttämisen ehdot
Selvityksessä käsiteltiin 12 eri tapausta, joissa 11 löydettiin henkilötietojen käsittelyyn liittyviä tietoturvaloukkauksia. Selvityksen jälkeen, esiin nostettiin useita ehdotuksia kanta-asiakasohjelmien asiakkaiden henkilötietojen käsittelyn ja tietoturvan parantamiseksi. Ehdotuksien toivotaan auttavan ymmärtämään, miten virheitä voitaisiin ehkäistä kun henkilötietoja käsitellään GDPR:n vaatimusten mukaisesti.
Yrityksen oikeutettu etu ei saa toimia perustana suoramarkkinoinnille
Useat yritykset, jotka käsittelivät henkilötietoja suoramarkkinointia tai profilointia varten käyttivät käsittelyn perustana kohtuuttoman usein oikeutettua etua. Oikeutettua etua ei voida pitää henkilötietojen käsittelyn laillisena perustana läheskään kaikissa tapauksissa. Useimmissa tapauksissa rekisteröidyn (asiakkaan) edut ovat rekisterinpitäjän etuja tärkeämmät. Henkilötietoja voidaan käsitellä suoramarkkinoinnissa vain rekisteröidyn suostumuksella.
Ylimääräisen tiedon kerääminen
Tutkimuksen aikana havaittiin, että lähes 40 prosenttia yrityksistä kerää tietoa liian paljon suhteessa sen alkuperäiseen tarkoitukseen. Esimerkiksi kanta-asiakkaiden antaessa tietonsa asiakassuhteen muodostamiseksi, kysytään asiakkailta heidän tarkkaa syntymäaikaansa. Tietosuojaviranomaiset uskovat, että asiakassuhteen luomiseksi riittäisi pelkästään syntymävuosi ja ikä. Ylimääräisen tiedon kerääminen asiakkaasta katsottiin tarpeettomaksi, ellei se ole välttämätöntä kanta-asiakkuuden luomiseksi.
Tiedon siirto kolmansille osapuolille
Suurimmassa osassa tapauksia, yritykset eivät ilmoittaneet henkilötietojen siirrosta kolmansille osapuolille. Näin ollen, asiakkaat saavat harhaanjohtavaa ja epätarkkaa tietoa henkilötietojensa käsittelystä ja siitä mihin heidän tietonsa lopulta päätyvät.
Suoramainonnan estäminen
Rekisteröidyillä on oltava mahdollisuus kieltäytyä suoramarkkinoinnista. Jotkut selvityksessä mukana olleista yrityksistä eivät kuitenkaan tarjoa selkeitä, ilmaisia tai helppokäyttöisiä vaihtoehtoja estää suoramarkkinointia.
Henkilötietojen tallentamisen ja säilyttämisen ehdot
Yli 60 prosentilla selvityksessä mukana olleista yrityksistä oli ongelmia henkilötietojen tallentamisen ja säilyttämisen ehtojen osalta. Joillakin yrityksillä ei ollut tarvittavia ehtoja tai sopimusta tietojen säilyttämiseen tai ehdoissa oli kohtuuttoman pitkä säilytysaika.
