GDPR B2B-markkinoijan näkökulmasta

  • Luettu 6324 kertaa

GDPR eli EUn uusi tietosuoja-asetus aiheuttaa tällä hetkellä paljon keskustelua, hämmennystä ja myös väärinkäsityksiä. iImankos, koska aiheesta liikkuu niin paljon virheellistäkin tietoa, fake news. Keskustelu on kiivasta, koska asetuksen vaatimukset henkilötietojen käsittelylle koskevat käytännössä kaikkia yrityksiä. Asetuksen siirtymäaika päättyy toukokuussa ja 25.5.2018 sinunkin yrityksesi henkilötietojen käsittely tulee olla asetuksen mukaisessa kunnossa, myös markkinoinnin osalta. Miten uusi asetus vaikuttaa B2B-markkinointiin?

Tässä blogitekstissä käsittelemme GDPRn perusteita B2B-markkinoinnin näkökulmasta ja tulemme kirjoittamaan aiheesta blogissamme lisää lähiaikoina.

Uuden asetuksen tavoitteena on yhtenäistää henkilötietoihin liittyviä käytänteitä EU-alueella sekä parantaa rekisteröityjen oikeuksia tietosuojaan sekä omien henkilötietojen luottamukselliseen käsittelyyn. Monet asetuksen vaatimuksista ovat tuttuja jo nykyisestä henkilötietolaista. GDPR-asetus tarkentaa henkilötiedon käsitettä, tuo rekisteröidylle uusia oikeuksia sekä lisää vaatimuksia henkilötietojen käsittelyyn yrityksissä. Yritysten tulee varmistua siitä, että nykyiset prosessit ja järjestelmät taipuvat GDPRn tuomiin muutoksiin.

B2B-markkinoijan on syytä aloittaa GDPR-valmistelut vaikkapa tästä:

  1. Viesti ja huolehdi tietosuojan läpinäkyvyydestä asiakkaille. Todennäköisesti muut yrityksesi toiminnot ovat täysin työllistettyjä sisäisten prosessien valmistelussa.
  2. Laita markkinointirekisteri kuntoon. Excelöinnin aika on ohi ja ulkoistetut palvelut hoitavat monet tietosuoja- ja tietoturva-vaatimukset puolestasi.
  3. Älä sekoita ePrivacy-valmistelua GDPR-vaatimuksiin. ePrivacy voi aiheuttaa vielä suurempia muutoksia markkinointiin, mutta sen aika ei ole vielä. 

TIETOSUOJAPERIAATTEET

GDPRssä säädetään henkilötietojen käsittelyä koskevista periaatteista, jotka ohjaavat rekisterinpitäjää käsittelemään henkilötietoja rekisteröidyn oikeuksia ja vapauksia kunnioittavalla tavalla. Yritysten on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Näitä tietosuojaperiaatteita ovat:

 

PERIAATE


Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys




Käyttötarkoitussidonnaisuus


Tietojen minimointi


Tietojen täsmällisyys





Tietojen säilytyksen rajoittaminen





Tietojen eheys ja luottamuksellisuus



Rekisterinpitäjän osoitusvelvollisuus

MITÄ SE TARKOITTAA?


Lainmukaisuuteen on kuusi perustetta. Markkinointiin soveltuu yleensä ”oikeutettu etu”, myös ”suostumus” ja ”sopimus” ovat mahdollisia. Käsittelyn on oltava rekisteröidyn kannalta kohtuullista ja läpinäkyvää.

Tietoja saa käsitellä vain siinä nimenomaisessa tarkoituksessa, johon ne on alun perin kerätty.

Käsiteltävien tietojen on oltava olennaisia ja rajattu vain siihen, mikä on tarpeellista.

Vanhenevien tietojen päivitys tai poisto: On toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.

Aikaraja tietojen säilytykseen: Tiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Tietojen turvallisesta käsittelystä on huolehdittava (riskin mukaisesti) sekä järjestelmillä että prosessiohjeilla.

Käännetty todistustaakka. Yrityksen on pystyttävä osoittamaan, että näitä periaatteita noudatetaan myös käytännössä.

 

 

OSOITUSVELVOLLISUUS

Yritysten on pystyttävä osoittamaan noudattavansa asetusta henkilötietoja käsitellessä sekä toteuttavansa tietosuojaperiaatteita myös käytännössä. Tämä on keskeinen muutos, koska ennen on riittänyt, että säännöksiä noudatetaan. Aiemmasta poiketen uuteen asetukseen kuuluu suuret sanktiot (enintään 20 miljoonaa euroa tai 4% liikevaihdosta). 

Rekisterinpitäjän on dokumentoitava henkilötietojen käsittely sekä toteutettava tarvittavat hallinnolliset ja tekniset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että asetusta noudatetaan. Yritys on rekisterinpitäjä ja vastuussa henkilötietojen käsittelystä myös silloin, kun käsittelyä on ulkoistettu kumppanille (esim. tietojen säilytys tai analysointi). Yrityksen on annettava kumppanille kirjalliset ohjeet tietojen käsittelyyn.

 

RISKIPERUSTE

GDPR-asetuksen riskiperusteinen lähestymistapa tarkoittaa, että asetuksen velvoitteet ja suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. B2B-markkinointirekisterissä käsiteltävät henkilötiedot ovat pääosin yhteystietoja eikä niiden käsittelyyn sisälly samanlaista riskiä kuin esimerkiksi taloudellisten tietojen, henkilön ominaisuuksien tai käyttöoikeustietojen käsittelyyn.

 

REKISTERÖIDYN OIKEUDET

GDPR-asetuksen tarkoituksena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröidyn oikeuksia valvoa henkilötietojensa käsittelyä. Kuka kerää tietoja ja miksi? Mitä tietoja kerätään ja millä perusteella? Kenelle tiedot luovutetaan? Miten kauan tietoja säilytetään? Rekisteröidylle tulee mahdollisuus pyytää yritykseltä tiedot omista henkilötiedoistaan ja niiden säilytyksestä ja yritysten on kyettävä toimittamaan henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa.

Osa näihin oikeuksiin liittyvistä toiminnoista kuten ”Oikeus tulla unohdetuksi” (henkilön tietojen poistaminen kokonaan) hakee vielä hyvää käytännön toteutusta. Miten poistaa henkilön tiedot ja samalla varmistaa, että tiedot eivät palaudu samasta tietolähteestä kohta uudestaan markkinoinnin käyttöön?

Tietosuojauudistus tulee lisäämään yleistä kiinnostusta henkilötietojen käsittelyyn. Asiakkaat aktivoituvat oikeuksiensa käyttöön ja tulevat testaamaan yritysten valmiutta asetuksen toimeenpanossa. Edelläkävijäyritykset erottuvat läpinäkyvyydellä, informatiivisuudella ja toimintavalmiudella. Parhaat markkinointirekisteri-ratkaisut tulevat tarjoamaan henkilön oikeuksiin liittyvät toiminnot asiakkaan itsepalveluna kuormittamatta yrityksen asiakaspalvelun tai markkinoinnin resursseja.

Me Vinellä varaudumme GDPRn muutoksiin omassa palvelussamme. Avullamme voit taklata monia GDPRn tuomia muutoksia. Jätä viestisi alta niin vaihdetaan ajatuksia aiheesta:

 

GDPR VS. ePRIVACY

GDPR koskee siis henkilötietojen käsittelyä ja se tunnutaan sekoitettavan joskus ePrivacy-asetuksen valmisteluun. ePrivacy koskee sähköisen viestinnän tietosuojaa. Eri osapuolten näkökannat viestinnän tietosuojan vaatimuksista ovat vielä kaukana toisistaan. Osa ehdotetuista vaatimuksista edellyttäisi toteutuessaan myös isoja muutoksia nettiselain-ohjelmistojen sekä netin viestintäalustojen toimintoihin. Aikanaan ePrivacy-asetukseen liittynee myös parin vuoden siirtymäaika GDPR:n tapaan.

 

Järjestämme B2B-markkinoinnin parissa työskenteleville maksuttomia GDPR-tietoiskuja, joissa aihetta ruoditaan perinpohjaisemmin. GDPR-webinaarit ovat todella suosittuja ja paikkoja on rajoitetusti, joten varaa paikkasi pian!

 

Lähteenä on käytetty etenkin Tietosuojavaltuutetun toimistoa. Tämä blogiteksti ei ole virallinen ohje, mutta sen tarkoituksena on kannustaa ottamaan asetuksesta tarkemmin selvää.

 

Elisa Kalliola

Kirjoittaja on monissa markkinoinnin ja myynnin liemissä keitetty KTM, jonka Turun murre on jokseenkin siedettävää. Digitaalisuus, analytiikka ja läpinäkyvät tulokset ovat lähellä hänen kuitenkin lämmintä sydäntään. Elisa on kahvihifistelijä, jonka  mielestä elämässä tärkeää on tanssiminen, jatkuva muutos ja vapaus syödä aamupalaa mihin kellonaikaan tahansa.

Muita artikkeleita tässä kategoriassa: « Laatuliidin resepti Markkinointi 100 vuotta sitten? »

Tuki

 

 

 

  • Suomen vahvimmat
  • Reliable Partner

Log in or Sign up