ePrivacyn tarkkaa sisältöä eikä julkaisuaikaa tiedetä, mutta keksien käyttöön ja b2b-markkinointiin on tulossa isoja rajoituksia. Tässä vaiheessa on pakko kysyä, olemmeko me Suomessa tulkinneet asetuksia liian tiukasti ja voisimmeko tehdä jotakin varmistaaksemme toimintakykymme kansainvälisillä markkinoilla?

Pieni kumppani on isolle toimijalle riski

Olen koittanut suhtautua GDPR:ään myönteisesti, antanut sille aikaa ja jopa puhunut sen puolesta. Mainostajien Liiton toimitusjohtajana en kuitenkaan ole voinut sulkea korviani sen suorilta ja välillisiltä vaikutuksilta, jotka pääsääntöisesti ovat negatiivisia.

Yritykset ovat tehneet valtavia investointeja uusiessaan asiakastietojärjestelmiä ja sopimuksia sekä kouluttaessaan henkilökuntaansa konsulttien avulla. Näitä euroja ei ole kukaan mitannut, eikä yrityksissäkään täysin tiedetä mitkä ovat kokonaiskustannukset.

GDPR:n ympärillä pörrää kaiken näköistä konsulttia ja ratkaisutoimittajaa, joista osa hyvin heikolla tiedolla varustettuna ja pelottelulinjalla. Tulkinnat GDPR:stä vaihtelevat rajusti ja joissakin organisaatioissa on jo sanktioiden pelossa rajoitettu pikselien kautta kohdennettua Facebook-markkinointia sekä kohdennusta verkkokaupassa. Myös sopimuksia on uusittu ja samalla karsittu kumppaneita.

Suurilla mainostajilla on huoli pienten kumppanien kyvykkyydestä hoitaa tietoturva-asiat riittävällä tasolla. Mainostajat arvioivat riskiä ja edellyttävät myös kumppaneiltaan riskinkantokykyä. Isot kansainväliset talot ovat turvallisemmalta tuntuva vaihtoehto, koska niillä on sama intressi ja paremmat mahdollisuudet uhkien torjuntaan.

Ylitulkitsemmeko direktiivejä omaksi haitaksemme?

GDPR:n ja ePrivacyn lähtökohtana on ollut turvata eurooppalaisen kuluttajan yksityisyys ja tukea eurooppalaisia toimijoita. Näin ei ole tapahtumassa, koska jatkossa Euroopan ulkopuolella toimiva ja EU:ssa toimiva yritys ovat hyvin eriarvoisessa asemassa.

Epäilen, pystytäänkö EU:ssa valvomaan USA:sta, Aasiasta ja Venäjältä käsin toimivien yritysten toimintaa. Voidaanko EU:sta käsin rankaista direktiiviä rikkoneita organisaatioita samalla tavalla kuin eurooppalaisia yrityksiä? Tapasin syksyllä Facebook in edustajat Suomessa ja heidän näkemyksensä oli, ettei pikselöinti tarkoita henkilötietojen keräämistä eikä GDPR muuta Facebookin mainoskäytäntöjä.

Kun kysyn samaa asiaa muutaman ison kotimaisen yrityksen lakiosastolta, niin vastaus on toisenlainen. Sama kysymys nousee esiin verkkokaupan puolella ja verkkokauppaa on vaikea käydä ilman pikseleitä.

ePrivacyn kohdalla keskustellaan tällä hetkellä, voisiko evästeiden hyväksyntä tapahtua selainten kautta. Selainten, joiden omistajat sijaitsevat Euroopan ulkopuolella, jolloin luovuttaisimme lisää dataa Euroopan ulkopuolelle.

GDPR vaatii vielä tarkennusta

Kysymykseni kuuluu, olemmeko me suomalaiset liian kilttejä ja nöyriä? Pitäisikö meidän kapinoida GDPR-käytäntöjä vastaan? Pitäisikö tietosuojavaltuutetun ajaa suomalaisten markkinoijien etua, eikä toimia niitä vastaan?

Mielestäni monessa organisaatiossa on jo ylireagoitu. Kyse ei ole enää kotimarkkinoista, vaan siitä millaiset mahdollisuudet meillä on kilpailla kansainvälisillä markkinoilla ja kansainvälisiä tahoja vastaan – olemmeko samalla viivalla.

Siksi tarvitaan selkeitä vastauksia ja kannanottoja siitä, mikä on sallittua ja mikä ei. Ilmassa on vielä monta avointa kysymystä: Mikä on oikeutettu etu, onko päämiehen CRM:ää käyttävä jälleenmyyjä rekisterin ylläpitäjä jne.

Käytännön kysymyksiin kaivataan nopeasti vastauksia. Onko oikea taho GDPR:n ja ePrivacyn tulkintaan tietosuojavaltuutettu Reijo Aarnio vai joku muu?

Kirjoittaja on Mainostajien Liiton toimitusjohtaja.