Kirjoitus

GDPR sähköpostimarkkinoijalle – mikä muuttuu?

Ota yhteyttä
GDPR sähköpostimarkkinoijalle – mikä muuttuu? Sähköpostimarkkinoijan tietokannan on oltava jäsennelty ja selkeä: se ei voi koostua sekalaisista listoista tai massasta kontakteja, joiden alkuperä on unohtunut.

GDPR eli EU:n yleinen tietosuoja-asetus tulee jäsenvaltioiden sovellettavaksi 25. toukokuuta 2018 alkaen. GDPR-juttusarjamme ensimmäisessä osassa kehotimme markkinoijia aloittamaan GDPR:ään valmistautumisen selvittämällä, missä kaikkialla henkilötietoja säilytetään. Pureudutaan nyt tarkemmin siihen, millä perustein näitä henkilötietoja saa GDPR:n voimaantulon myötä säilyttää tai käyttää markkinointi- ja viestintätarkoituksiin.

Väitämme, että GDPR tulee olemaan hyvä asia niin yritysten, markkinoijan kuin yksittäisen vastaanottajankin näkökulmasta. Tässä miksi:

GDPR:n myötä yritysten on kyettävä osoittamaan, millä perustein henkilötietoja käsitellään ja millä perustein viestintää toteutetaan tietylle henkilölle. Toisin sanottuna viestinnän on oltava kohdennettua, perusteltua ja läpinäkyvää. Tähän suuri osa digimarkkinoijista on pitkään jo pyrkinytkin – nyt kohdennetun viestinnän tavoite saa kuitenkin EU-tason asetuksen ja lainsäädännön tuen. Sähköpostimarkkinoijan tietokannan on oltava jäsennelty ja selkeä: se ei voi koostua sekalaisista listoista tai massasta kontakteja, joiden alkuperä on unohtunut.

”Time to weed out the bad apples”, totesi Ruotsin maajohtajamme Juho Antikainen syyskuisessa aamiaistilaisuudessamme Tukholmassa. Tästä juuri on kyse.

Koodiviidakko on käsitellyt GDPR-aiheita pitkin syksyä aamiaistilaisuuksissaan. Oneflown Ling Koayn kommentti kiteyttää hyvin useiden markkinoijien ajatuksia aiheesta: tietoa on saatavilla paljon, mutta sen olennaisen tiedonjyvän poimiminen voi olla todella haastavaa. Riskinä on ylireagointi tai toisaalta kykenemättömyys toimia suuntaan tai toiseen. Liana Technologies on Koodiviidakon kansainvälinen brändi.

Sähköpostimarkkinoijan vastuu kasvaa: Millä perustein käsittelemme henkilötietoja ja viestimme eri kohderyhmille?

Sähköpostimarkkinoinnista ja GDPR:stä puhuttaessa on tärkeää tunnistaa seuraavat roolit: uutiskirjeiden lähettäjä on rekisterinpitäjä ja uutiskirjeteknologian toimittava yritys on henkilötietojen käsittelijä. GDPR:n keskiössä on rekisterinpitäjän osoitusvelvollisuus, jonka myötä uutiskirjeen lähettäjällä tulee olla niin sanottu laillinen oikeusperuste henkilötiedon käsittelylle. Henkilötietojen käsittelyä koskevat periaatteet kuvataan GDPR-asetuksen 2016/679 artiklassa 5 ja oikeusperusteet määritellään artiklassa 6, joihin jokaisen sähköpostimarkkinoijan kannattaa perehtyä.



Henkilötiedon käsittelyn lainmukaisuus

Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

Kansantajuisesti kyse on tästä: jos ylläpidät henkilörekisteriä, kuten postituslistoja, sinulla on oltava näiden henkilötietojen käsittelylle peruste, joka kohtaa vähintään yhden 6. artiklan kohdan kanssa. Jos lähetät uutiskirjeen listoilla oleville kontakteille, on viestintäsi perustuttava yhtä lailla vähintään yhteen artiklan kohdista. 

Otetaan käytännön esimerkki.

Jos rekisteröitynyt on tilannut itse (opt-in) yrityksesi uutiskirjeen, tilanne on melko suoraviivainen:

  • syysi käsitellä henkilötietoa on henkilön itsensä antama suostumus: hän on tilannut uutiskirjeesi ja haluaa sen antamaansa sähköpostiin. Syy kohtaa artiklan ensimmäisen kohdan kanssa.
  • syysi lähettää uutiskirjettä tälle henkilölle on sama artiklan kohta, suostumuksen mukaisen viestinnän toteuttaminen.

Suoraviivaista, eikö totta? Jos siis olet jo pitkään perustanut sähköpostimarkkinointisi lupaperusteiseen markkinointiin ja tehnyt pitkäjänteistä työtä oman opt-in -listasi eteen, toimintamallisi soveltuu sellaisenaan hyvin yhteen artiklan kanssa. ”GDPR needn't be a bombshell for customer-focused marketers”, lohdutti myös eConsultancy taannoisessa blogissaan.

Tässä kohtaa moni sähköpostimarkkinoija miettii kuitenkin: entä ne kaikki muut vastaanottajat, kuin opt-in -tilaajat? Nyt astumme ”harmaalle alueelle” ja totuus on, että tulevaisuus tämän suhteen on vielä osittain epävarmaa. Jotain uskallamme kuitenkin sanoa.

Jos rekisteröitynyt on asiakkaasi:

  • syysi säilöä rekisteröidyn henkilötietoja on todennäköisesti yrityksenne ja asiakkaasi välillä vallitseva sopimus, asiakassuhde (artiklan toinen kohta).
  • syysi lähettää uutiskirje asiakkaalle voi olla esimerkiksi tämän sopimuksen täytäntöönpano (sama artiklan kohta). Tämä olisi selkeä tilanne puhuttaessa vaikkapa verkkokaupan tilausvahvistuksesta.

Nyt mietit ehkä muita tilanteita, kuin ylläolevat. Millaisia uutiskirjeitä voin lähettää asiakkaalle, joka ei ole antanut lupaa markkinointiviestintään? Mikä lasketaan artiklan mainitsemaksi oikeutetuksi eduksi

Ennen kuin putoat Tukholman aamiastilaisuuteemme osallistuneen Ling Koayn kuvaamaan ”Google-spiraaliin”, huomioi tämä: paljon on vielä epävarmaa, sillä GDPR:ää täydentävä Suomen lainsäädäntö ei ole vielä valmistunut. Tiedämme kuitenkin varmuudella, että vaikka GDPR on asetus, jota täydennetään kansallisella lainsäädännöllä, nimenomaan GDPR asettaa pohjatason. Tätä pohjatasoa alemmas ei jäsenvaltioissa voida mennä, joten se voidaan nähdä jo nyt yleisenä ohjenuorana, jota asiakaslähtöisen ja fiksusti toimivan markkinoijan kannattaa noudattaa.

Suomessa oikeusministeriön asettama työryhmä ehdottaa uutta tietosuojalakia täydentämään ja täsmentämään GDPR-asetusta. Ehkä tämän lain myötä saamme selvät ohjenuorat myös niihin loppuihin sinua – ja minua – mietityttäviin kysymyksiin. Uusi tietosuojalaki on tällä hetkellä lausuntokierroksella ja tavoitteena on, että hallituksen esitys uudesta laista annetaan eduskunnalle vielä tänä syksynä.

Yhtä kaikki, viestimme sähköpostimarkkinoijalle on tämä: rekisteröidyn itsensä antama suostumus viestintään on aina ollut tärkeää ja tulee yhä vain tärkeämmäksi GDPR:n myötä. Panosta siis lupaperusteiseen markkinointiin ja kartuta aktiivisesti opt-in -listaasi.

Koodiviidakko pyytää uutiskirjeen ja oppaiden tilaajilta sähköpostin vahvistusta erillisellä double opt-in -viestillä. Viestin hyöty on kahtaalla: viestin vastaanottajat antavat itse suostumuksensa, ja samalla varmistetaan, ettei annettu sähköposti ole keksitty.

Miten pureskelemme asiaa Postiviidakko-järjestelmässä?

Lähetysperusteet ja suostumukset

GPPR-asetuksen artikla 6 puhuu henkilötietojen käsittelyn lainmukaisuudesta. Postiviidakossa puhumme kansantajuisemmin lähetysperusteista ja suostumuksista. Postiviidakon käyttäjät pääsevät määrittämään tililleen suostumuksia sekä merkitsemään niitä omille uutiskirjetilaajilleen marras- ja joulukuusta alkaen – näin asiakkaamme saavat hyvissä ajoin myös yleiskuvan siitä, minkä verran suostumuksia on ylipäätään löydettävissä nykyiselle tilaajakannalle ja kuinka monelta yksiselitteinen lähetysperuste puuttuu.

Postiviidakon käyttäjät voivat asettaa suostumukset suoraan tuomalleen listalle, yksittäisille kontakteille tai olemassa oleville lähetyslistoille. Teemme asiakkaillemme myös helpoksi kerätä suostumuksia uutiskirjeiden avulla ja ideoimme yhdessä tapoja nykyisen tilaajakannan aktivointiin.

Lähetysperusteita ja suostumuksia koskevat muutokset päivitetään Postiviidakkoon marras-joulukuussa. Lähetämme asiasta erillisen uutiskirjeen ja opastevideon asiakkaillemme.

Rekisteröidyn oikeus saada tietoja, siirtää tietoja ja tulla unohdetuksi

GDPR:n mukana jokaiselle rekisteröidylle tulee mahdollisuus pyytää yritykseltä tiedot omista henkilötiedoistaan ja niiden säilytyksestä. Rekisterinpitäjän (tässä tapauksessa sähköpostimarkkinoijan) on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Toisin sanottuna tiedot toimitetaan sähköisesti.



GDPR:n myötä rekisteröidylle on tarjottava myös mahdollisuus siirtää itseään koskevia tietoja sekä tulla täysin unohdetuksi, eli täysin poistetuksi yrityksen kaikista rekistereistä.

Kehitämme parhaillaan Postiviidakkoa tukemaan kyselyitä rekisteröityjen tietojen käytöstä, jotta asiakkaamme voivat ensi toukokuusta alkaen luovuttaa, siirtää tai poistaa rekisteröityjen tietoja helposti. Entiselläänkin Postiviidakko tallentaa jo kaiken, mitä tietyllä henkilötiedolla tehdään, ja näitä tietoja on myös helppo tarkastella.

Jos käytät uutiskirjeiden lähettämiseen jotain muuta kuin Postiviidakko-järjestelmää, suosittelemme kysymään järjestelmän toimittajalta, kuinka he varautuvat GDPR:ään ja varmistamaan, että sinun on markkinoijana helppo noudattaa GDPR:n vaateita ensi toukokuusta alkaen.

Muita huomioita GDPR:stä

Ole läpinäkyvä

GDPR:n yleinen “henki” painottaa vahvasti läpinäkyvyyttä, ja se on selvästi yksi asetuksen päätavoitteista. Ota tämä huomioon omassa toiminnassasi – viime kädessä se on sekä sinun että vastaanottajasi etu. Sähköpostimarkkinoijana voit kiinnittää erityistä huomiota esimerkiksi tilauslomakkeiden kieliasuihin ja formatointiin sekä ehtojen esittämiseen. Huolehdi myös, että uutiskirjeiden peruminen on helppoa ja suoraviivaista vastaanottajalle.

Huolehdi tietoturvasta

Uusi asetus on hyvin turvallisuuskeskeinen, ja sen myötä teknologiapartnereiden turvallisuudesta ja lain seuraamisesta tulee markkinoijalle erityisen tärkeää. Rekisterinpitäjän velvollisuus on ottaa tietosuojavaatimukset huomioon jo järjestelmien suunnitteluvaiheessa ja huolehtia siitä, että käytetty palvelu on lähtökohtaisesti turvallinen ja tietosuojavaatimukset täyttävä.

Säilö vain tarpeellista tietoa

Ole hyvin kartalla siitä, mitä henkilötietoa säilytät ja missä. Säilö vain tarpeellista henkilötietoa rekistereissäsi, ja huolehdi, että siihen pääsevät käsiksi vain sellaiset organisaatiosi henkilöt, joilla siihen on hyväksytty syy. Poista kaikki tarpeeton tieto järjestelmistäsi.

Tutustu myös GDPR-juttusarjamme seuraavaan osaan:

Haluatko jutella lisää Postiviidakko-järjestelmästä tai jututtaa omaa yhteyshenkilöäsi GDPR-teemasta? Ota yhteyttä asiantuntijoihimme.

Artikkeli on julkaistu 13.10.2017.
Artikkelin sisältöä ei tule ymmärtää juridisena neuvontana.

 /media/henkilokuvat/articles-authors/johanna_lammassaari-300x420-1.jpg

Johanna Lammassaari

Johanna Lammassaari on Koodiviidakko Oy:n markkinointipäällikkö ja kansainvälisen markkinointitiimin vetäjä. Hän on kokenut sisältömarkkinoija, joka rakastaa työssään erityisesti jatkuvaa oppimista. Kuten moni muukin, Johanna on pähkäillyt viime aikoina paljon GDPR-asioita, ja hän toivoo pähkäilystään olevan apua myös muille markkinoijille. GDPR-teemaan pureutuvat artikkelit on toteutettu tiiviissä yhteistyössä Koodiviidakon tietosuojavastaavan Juha-Mikko Ahosen kanssa.

Oliko artikkeli mielestäsi mielenkiintoinen?

Tilaa kuukausittainen uutiskirjeemme, joka sisältää aina uusimmat mielenkiintoiset artikkelit.

Tilaa uutiskirje tästä

 

Artikkelin kommentointi

Lisää uutisia

Automaatiosta keinoälyyn – AI markkinoijan apuvälineenä

Moni on markkinoinnin automaation myötä herännyt pohtimaan, mitä kaikkea teemme manuaalisesti. Samalla on alettu huomata, miten suunnattomia mahdollisuuksia data markkinoijalle tarjoaa ja ryhdytty etsimään uudenlaisia ratkaisuja sen hyödyntämiseksi myös markkinoinnin automaatiotyökalujen ulkopuolelta.

Lue lisää

Markkinoinnin automaation top 5 haastetta – ja näin selätät ne

Markkinoinnin automaatiota tekevät yritykset mainitsevat haasteina tietämyksen ja osaamisen puutteen, laadukkaan sisällön tuottamisen, henkilöresurssit, strategian puutteen sekä käytettävyyden.

Lue lisää

Case: Näin mittasimme viiden markkinointikanavan tehokkuutta UTM-parametrien avulla

Eri markkinointikanavien statistiikan seuraaminen ja kanavien tehokkuuden vertailu tuottaa usein päänvaivaa. Kirjoitimme käytännönläheisen step by step -kuvauksen aiheesta.

Lue lisää

Mitä kuuluu suomalaiseen grillikesään?

Halusimme selvittää, mitä kuuluu suomalaiseen grillikesään. Seurasimme ViidakkoMonitorilla grillaukseen liittyviä sanoja sosiaalisessa mediassa puolentoista kuukauden ajan.

Lue lisää