markkinointi

Tietosuoja markkinoinnin näkökulmasta

Yleinen tietosuoja-asetus (GDPR) asettaa uudet tietosuojavaatimukset kaikille tahoille, jotka käsittelevät henkilötietoja millään tavalla, jota kaikkien olemassa olevien aktiivisten yritysten on noudatettava. Haluamme tarjota perustavanlaatuisen ja informatiivisen katsauksen tärkeimmistä elementeistä ja velvollisuuksista mainosalan näkökulmasta, jotka on otettava huomioon asetuksen osalta.

Mitkä tiedot luokitellaan henkilötiedoiksi?

Henkilötietoja ovat tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Henkilökohtaisiksi tiedoiksi käsitetään nimi, valokuva, sähköpostiosoite, pankkitiedot, sosiaalisen median sivustojen viestit, kuluttajien käyttäytymistä koskevat tiedot, sijaintitiedot, lääketieteelliset tiedot tai jopa IP-osoite. Jos tietoa ei voi yhdistää yksittäiseen henkilöön, se ei ole henkilökohtaista tietoa, joten sitä ei säännellä tietosuoja-asetuksessa. Tästä syystä kaikki nimettömät tai salatut tiedot (Pseudonymisaatio parantaa yksityisyyttä korvaamalla useimmat tietokentän tunnistekentät yhdellä tai useammalla keinotekoisella tunnistimella tai salasanalla) jätetään pois tietosuoja-asetuksesta (esimerkiksi yleiset tilastotiedot).Tämä tarkoittaa sitä, että markkinointi yritykset voivat välttää monia GDPR:n asettamia velvoitteita, jos henkilötiedot ovat nimettömiä tai depersonalisoituja eivätkä niitä voi yhdistää yksittäiseen henkilöön.

Mitä on tietojenkäsittely?

Tietojenkäsittelyllä tarkoitetaan erilaisia toimintoja, jotka kohdistetaan henkilötietoihin. Käsittely voi olla manuaalista tai automatisoitua. Henkilötietojen keräys, tallentaminen, järjestäminen, jäsentäminen, analysointi, muuttaminen, levitys, käyttö, luovutus, poistaminen tai siirto ovat erilaisia tietojenkäsittely menetelmiä joita säännellään tietosuoja-asetuksessa.

Tietojenkäsittelyn velvoitteet

Yleisiä tietojenkäsittely velvoitteita, joita on noudatettava ovat seuraavat:

  • Tietojenkäsittelylle on oltava oikeudellinen perusta: esimerkiksi rekisteröityjen suostumus (tyypillisesti tietosuojakäytännön hyväksyminen), tietojenkäsittely on välttämätöntä palvelujen tarjoamiseksi asiakkaalle tai oikeus tietojen käsittelyyn on nimenomaisesti mainittu laissa. Jos sinulla ei ole laillista perustaa tietojen käsittelyyn, et voi käsitellä tai käyttää kyseisiä tietoja.

 

  • Yrityksellä on oltava riittävät tekniset ja hallinnolliset toimenpiteet tietojen suojaamiseksi luvattomilta kolmansilta osapuolilta. Riippuen tietojen arkaluonteisuudesta , sitä korkeampi tekninen standardi tulee tietojen suojaamisella olla. (esimerkiksi terveystiedot on salattava).

Rekisterinpitäjän Seloste Käsittelytoimista

Jos markkinointi yrityksillä (rekisterinpitäjä) on pääsy kuluttajan henkilötietoihin ja tietoja aiotaan käyttää markkinointiin, tulee yrityksen tällöin laatia seloste henkilötietojen käsittelystä. Tietosuojaselosteen on sisällettävä yleiskuva siitä, mitä tietoja käsitellään, mihin tarkoitukseen tietoja käsitellään, tietoja rekisterinpitäjästä (tietojen käsittelijä), joille tietoja siirretään ja yleiskatsaus siitä, kuinka kauan tietoja pidetään ja miten tiedot on suojattu.

Seloste on säilytettävä kirjallisessa muodossa ja voit käyttää kirjaamiseen tiedostomuotoja (Excel, Word) tai soveltuvia palveluntarjoajia.

Vaikutustenarviointi

Vaikutustenarviointi on asiakirja, jossa arvioidaan olisiko yrityksen tietojenkäsittelytoiminta suuri riski rekisteröityjen oikeuksille tai vapauksille. Vaikutustenarviointi on tarpeellinen, kun yritys alkaa käyttää uutta teknologiaa tietojenkäsittely toiminnassaan tai muutoin muuttaa tietojenkäsittely toimintaansa merkittävästi, joka voi aiheuttaa suuren riskin rekisteröityjen oikeuksille ja vapauksille (mikä on todennäköistä, jos yritys käsittelee tuhansien ihmisten henkilötietoja). Automatisoidut tietojenkäsittely toimet, jotka päättävät kuluttajan nimen tai kuvan perusteella minkälaisia mainoksia kuluttajalle ohjataan kuuluvat esimerkiksi tähän kategoriaan.

Tietosuojavastaavan nimittäminen

Kuka on tietosuojavastaava ja mitä he tekevät? Lyhyesti sanottuna tietosuojavastaava on yrityksen nimeämä henkilö, joka on vastuussa siitä  että organisaatio noudattaa tietosuoja-asetuksen säännöksiä. Tietosuojavastaava voi olla kuka tahansa yrityksen työntekijä, mutta hänellä on oltava asiantuntemus tietosuojalainsäädännöstä ja standardeista sekä kyettävä noudattamaan tietosuojavastaavan lakisääteisiä velvoitteita. Kaikkien yritysten ei tarvitse nimetä tietosuojavastaavaa. Monien markkinointi yritysten liiketoimintamalli kuitenkin tarkoittaa sitä, että yrityksen käytössä on paljon henkilötietoja. Markkinointi yrityksille pääsääntönä on se, että jos yritys pääsee yksittäisten asiakkaiden henkilötietoihin, on yrityksillä todennäköisesti velvollisuus nimetä tietosuojavastaava. Jos henkilötiedot sisältävät terveystietoja, biometrisiä tietoja, poliittisia/ ideologisia mielipiteitä tai muita arkaluonteisia tietoja, tietosuojavastaavan nimeäminen on pakollista.

Entä jos käsittelen tietoja asiakkaani puolesta?

Rekisterinpitäjä on pääsääntöisesti vastuussa tietojenkäsittelystä, tietojen käsittelijä taas on rekisterinpitäjän valtuuttama taho, jolla on rekisterinpitäjän lupa käsitellä kyseisiä tietoja rekisterinpitäjän puolesta. Tietojenkäsittelijä ei saa käsitellä tietoja mistä tahansa syystä eikä käyttää tietoja muulla tavoin kuin nimenomaisesti siihen tarkoitukseen, johon rekisterinpitäjä on antanut lupansa. Tällöin osa markkinointi yrityksistä mielletään tietojenkäsittelijöiksi, ei rekisterinpitäjiksi. Tietojenkäsittelijöillä täytyy olla asianmukaiset tekniset sekä hallinnolliset käytännöt riittävän tietosuojan varmistamiseksi.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Helsingin sanomat julkaisi hiljattain artikkelin, jossa kerrottiin tietosuojavaltuutetun määränneen rahoitusyhtiö Svea Ekonomin muuttamaan henkilötietojen käsittelyä koskevia käytäntöjään.   Tietosuojavaltuutettu aloitti tutkinnan...
GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei...
Terveydenhuoltoala ja GDPR

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita....
Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että...
IP – osoitteen Anonymisaatio – Google Analytics

IP – osoitteen Anonymisaatio – Google Analytics

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP-...
Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Tietosuojavaltuutetun toimisto on saanut suuren määrän valituksia mahdollisista tietoturvaloukkauksista yleisen tietosuoja-asetuksen astuessa voimaan 25 toukokuuta 2018. Suomen tietosuojaviranomaiset ovat aloittamassa...
GDPR: Oikeutettu etu

GDPR: Oikeutettu etu

Oikeutettu etu MITÄ TARKOITTAA OIKEUTETTU ETU? GDPR määrittelee kuusi laillista perustaa henkilötietojen käsittelylle → oikeutettu etu on yksi niistä Oikeutettu...
Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat,...
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset...
Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Suoramarkkinointi ja kuluttajien käyttäytymismallit (profilointi) ovat keskeisiä työkaluja, joita yritys käyttää tuotteidensa tai palveluidensa...