Digimarkkinointi ja tietosuoja | Somafy Oy

Olen jo pitkään miettinyt mitä kaikkea digimarkkinoijan tulee huomioida tietosuojaan liittyen; kun tehdään verkkosivustoja, mainoskampanjoita, verkkosivuston analytiikkaa, uudelleenmarkkinointia tai markkinointiautomaatioratkaisuja asiakasprojekteissa.

Mikä on toimittajan rooli missäkin tilanteessa ja miten asiat tehdään oikein?

GDPR-päivä 11.12.2019 tarjosi tähän kattavan paketin tietoa ja ahaa-elämyksiä. Puhujia oli saatu laajasti eri alueilta ja päivän anti olikin loistava. Tilaisuuden puhujat ja esitykset löytyvät tämän linkin takaa: https://www.oppia.fi/events/gdpr19

GDPR-Päivä (Kuva: Linda Lipponen, Lifu)

Tässä blogissa on kerrottu tiivistelmä digimarkkinointiin liittyvistä asioista. Blogin lopussa on lisäksi 12-kohtainen tarkistuslista yrityksen valmistautuessa tietosuoja-asetuksiin.

Tärkeimmät asetukset

Suomalaisen digimarkkinoijan kannattaa aluksi huomioida kaksi asetusta: GDPR ja ePrivacy. GDPR säätelee henkilötietojen käsittelyä yleisellä tasolla, myös sähköisten järjestelmien ulkopuolella. ePrivacy käsittelee sähköistä viestintää ja toimintaa sähköisissä kanavissa. Tietosuoja-asetukset antavat paremman suojan henkilötiedoillesi ja enemmän keinoja hallita henkilötietojesi käsittelyä.

GDPR tulee sanoista General Data Protection Regulation (yleinen tietosuoja-asetus). Se on uusi henkilötietojen käsittelyä sääntelevä asetus, jota sovelletaan kaikissa EU-maissa 25.5.2018 alkaen.

ePrivacy-asetus eli sähköisen viestinnän tietosuoja-asetus täydentää vuoden 2018 toukokuussa voimaan tullutta yleistä tietosuoja-asetusta (GDPR). Asetuksen tarkoitus on suojata sähköisen viestinnän luottamuksellisuutta ja yksityisyyden suojaa viestinnässä. ePrivacyn myötä kaikkia ihmisiä ja yrityksiä koskevat samat säädökset EU:n alueella.

ePrivacy-asetus koskee erityisesti kaikkia sähköisiä viestintäpalveluja tarjoavia organisaatioita. Asetus liittyy muun muassa evästeiden käyttöön, profilointiin, sähköiseen suoramarkkinointiin ja mainosten kohdentamiseen.

ePrivacy-asetuksen voimassaolon tarkkaa päivää ei ole tiedossa tätä kirjoitettaessa.

Mitä tilaisuudesta jäi käteen?

Seminaarin jälkeen minulla on hyvä käsitys miten GDPR ja ePrivacy tulee huomioida digimarkkinoinnin asiakasprojekteissa ja milloin kannattaa pyytää lisää konsultointiapua epäselviin tilanteisiin.

Verkkosivuston selosteiden tulee kuvata todellista yrityksen toimintaa ja sen mukaan toimiminen tulee voida osoittaa todeksi. Ei siis riitä, että dokumentteja on tehty, vaan niiden mukaan pitää myös toimia. Huomioi erityisesti seloste käsittelytoimista ja sen informointivelvoite. Seloste voi olla myös video: https://www.mtvuutiset.fi/video/prog904498#gs.ok2t2x

Juha Sallinen: Käytännön sudenkuoppia… (Kuva: Linda Lipponen, Lifu)

Ymmärrän myös mikä on oma roolini asetuksen erilaisissa tilanteissa kuten: tiedon käsittelijä, rekisterin pitäjä, rekisteröity henkilö, profilointi, suostumus ja tietoturvaloukkaus. Miten roolini muuttuu, kun teen esimerkiksi digimainontaa tai analytiikkaa asiakkaalleni. Miten evästeet tulee huomioida ja miten niihin pyydetään asianmukainen suostumus verkkosivuston kävijältä.

Tietoturvaloukkaus saattaa tulla mihin tahansa organisaatioon!

Seminaarissa oli hyvä luento myös kriisiviestinnästä, se tulee suunnitella etukäteen ja jopa harjoitella etukäteen.

Jaanaliisa Kuoppa, kun rysähtää… (Kuva: Linda Lipponen, Lifu)

Digimarkkinoijan tärkeimmät toimenpiteet

Informoi selkeästi verkkosivustolle tulijaa mitä palvelun käyttämisessä tapahtuu henkilötietoihin ja yksityisyyteen liittyen.

Digimarkkinoinnissa käsitellään eri vaiheissa esimerkiksi henkilöiden nimiä, sähköpostiosoitteita, paikkatietoja ja IP-osoitteita sekä evästeitä. Näistä on asetuksen mukaan kerrottava, miten niitä käsitellään. Varmista, että eri selosteet ovat ajan tasalla ja pitävät paikkansa.

Keskustele asiasta asiakkaasi kanssa ja ota esiin mahdolliset ongelmakohdat. Näiden asioiden rikkomisesta voi tulla taloudellisia sanktioita. Tarvittaessa kannattaa pyytää konsultointiapua.

Yhteydenottolomakkeet tulee suunnitella ja toteuttaa siten, että käyttäjä antaa aktiivisesti suostumuksensa yhteydenottoon ja että käyttäjä hyväksyy pyytämänsä palvelun käyttöehdot.

Verkkosivustojen yhteystietolomakkeille kannattaa lisätä ”rasti ruutuun” -kenttä, jossa käyttäjä vahvistaa hyväksyvänsä pyytämänsä palvelun käyttöehdot ja tietojen käsittelyn. Viittaus selosteeseen ja yrityksen yhteystiedot olisi hyvä myös olla näkyvillä.

Eri seurantateknologioiden (esimerkiksi Google Analytics) käyttö tulee informoida käyttäjälle ja pyytää siihen erikseen lupa. Google Analytics käyttää evästeitä ja niiden voimassaolon kesto olisi hyvä mainita selosteessa. Vaikka Google ilmoittaa, että henkilötietoja ei käsitellä, on esimerkikisi IP-osoite Googlen omalla palvelimella tiedossa ja tällöin Google on mukana prosessissa tiedon käsittelijänä.

Uudelleenmarkkinointi eri alustoissa ja siihen liittyvä evästeiden voimassaoloaika tulee mainita selosteessa.

Evästebannerit. Suunnittele niiden käyttö huolella ja pyydä suostumus ennen kuin talletat evästeet.

Miksi evästebannereita ei oikein haluta käyttää? Tutkimuksen mukaan 97% käyttäjistä ei antanut lupaa evästeiden talletukseen, joten ei ole ihme, ettei niitä haluta käyttää.

Käyttäjän lupaa pyydetään tyypillisesti ponnahdusikkunan rasti ruutuun periaatteella. Tekstissä lukee usein, että käyttämällä sivustoa, hyväksyt evästeiden käytön. Tämä ei kuitenkaan asetuksen mukaan riitä, vaan evästeet on yksilöitävä ja niihin on pyydettävä kaikkiin erikseen lupa.



Googlen evästebannerin kanssa on toimittava aktiivisesti ennen kuin sivustolle pääsee.

Katso lisää evästebannereiden suunnitteluideoita täältä: https://www.justinmind.com/blog/how-to-prototype-your-web-cookie-banners-the-right-way/

Bannerin sisältöön kannattaa siis panostaa, jotta se toimii ja lupa saadaan!

Markkinoinnin automaatioalustan tarjoajan yhteensopivuus asetuksiin tulee tarkistaa.

Alla olevaa suostumuksen antamista selaimen asetuksilla ei voida pitää käyttäjän aktiivisena toimenpiteenä sillä esimerkiksi Chromen asetukset ovat seuraavanlaiset:

Chrome-selaimen oletusarvona sallitaan kaikki evästeet.

Markkinointiviestejä saa toki edelleen lähettää myös ilman käyttäjän suostumusta; tietosuoja-asetuksissa tähän on varauduttu erilaisin rajoituksin. Tärkeää on se, että henkilöä täytyy informoida siitä, mistä henkilön tiedot on saatu ja että varmistutaan henkilön oikeuksien toteutuminen (kuten mahdollisuus poistaa tietonsa, kieltää markkinointi jne.). Tästä asiasta löytyy paljon hyvää tietoa netistä. GDPR:n tarkoitus ei ole lopettaa normaalia, laillista liiketoimintaa.

Sähköpostimarkkinoinnissa olennaista on se, että et käytä ostettuja kontaktilistoja ja varmistat, että viestissä on informointi siitä, mistä kontaktitieto on saatu sekä mahdollisuus poistua markkinointiviesteistä.

Tietopyyntöjä tulee jatkossa varmasti yhä enemmän. Tässä Emilia Laurilan hyvä esimerkki erilaisten organisaatioiden valmiudesta vastata tietopyyntöihin: https://yle.fi/aihe/artikkeli/2019/08/22/emilia-laurila-25-halusi-selvittaa-mita-tietoja-hanesta-on-keratty-paljastui

12-kohdan tarkistuslista yrityksesi GDPR-valmisteluihin

1. Lisää tietoisuutta

Varmista, että koko organisaatiosi tuntee tietosuoja-asetukset ja ymmärtää niiden vaikutukset yrityksen toimintaan.

2. Tarkista henkilötietojen säilytys

Järjestä katselmointi, jossa selvitetään mitä henkilötietoja organisaatiossasi säilytetään eri järjestelmissä ja tietokannoissa, mistä tiedot tulevat ja kuka niitä käsittelee ja keille niitä jaetaan.

3. Kommunikoi tietosuojakäytäntö

Tarkista nykyinen seloste ja korjaa siinä olevat mahdolliset puutteet. Varmista, että seloste käsittelytoimista on saatavilla kaikilla verkkosivustoillasi.

4. Esittele yksilön oikeudet omiin tietoihinsa

Tarkista henkilötietojen käsittelytavat organisaatiossasi ja varmista, että henkilön oikeudet toteutuvat. Varmista myös tietojen poistaminen pyydettäessä.

5. Valmistaudu tietopyyntöihin

Tee toimintasuunnitelma, kuinka tietopyyntöihin vastataan ja anna aikataulu vastaukselle, esimerkiksi 3 viikkoa. Maksimiaika tietopyyntöön vastaamiseen on 1 kuukausi.

6. Tarkista henkilötietojen käsittely

Dokumentoi prosessi, kuinka yrityksessäsi käsitellään henkilötietoja. Ota huomioon myös tietojen rakenne eri järjestelmissä. Kuvaa prosessi ja noudata myös sitä.

7. Tarkista suostumusten antaminen

Selvitä miten organisaatiosi saa ja tallentaa kävijöiden suostumukset markkinointiviestintään ja varmista, että suostumuksen antaminen on asetusten mukainen.

8. Turvaa alaikäisten tiedot

Tarkista vaatiiko toimintasi vanhempien suostumusta alaikäisten kanssa.

9. Suunnittele toiminta tietosuojarikkomuksen tapahduttua

Varmista toimintasi, jos tietosuojarikkomus silti pääsee tapahtumaan. Varmista että asianmukaiset ilmoitukset tehdään. Suunnittele myös kriiisiviestintä.

10. Nimitä tietosuojavastaava

Määrittele, kuka yrityksessäsi vastaa tietosuojan asetustenmukaisuudesta.

11. Katselmoi käyttämiesi palveluiden toimittajat ja heidän yhteensopivuus

Varmista että palveluidesi toimittajat ymmärtävät ja noudattavat tietosuojalakeja ja -asetuksia.

12. Tunnista riskit

Tee riskikartoitus ja tee riskeille lieventämissuunnitelma. Riskit liittyvät myös mahdollisiin sanktioihin, joten tämä on erittäin tärkeä asia huomioida!