Yrityksen täytyy aina kertoa asiakkaalle, jos se käsittelee tätä koskevia tietoja. Myös tiedon käyttötarkoitus täytyy kertoa. Kaikki on tehtävä helposti ymmärrettävällä tavalla. Tämä on osa uutta EU:n laajuista tietosuoja-asetusta eli GDPR:ää, joka tulee voimaan 25. toukokuuta.

Asiakkaan täytyy voida poistaa antamansa suostumus, kuten markkinointilupa. Se täytyy pystyä tekemään helposti, esimerkiksi sähköpostilla tai nopealla käyttäjäasetusten muutoksella. Yritys ei myöskään saa luovuttaa henkilötietoja eteenpäin sellaiseen käyttöön, johon asiakas ei ole antanut erikseen suostumustaan.

Kuluneena vuonna on ehditty epäillä, että uudistus tuo enimmäkseen haasteita ja ongelmia sekä mainostajalle että toimistoille.

Näin ei ole, toteavat markkinointitoimisto Dentsu Aegis Network in teknologia- ja digijohtaja Timo Petänen sekä datavetoiseen markkinointiin ja palvelumuotoiluun erikoistuneen Nordic Morning Finland in toimitusjohtaja Jukka Sundquist.

”Kun kuluttajalle kerrotaan ymmärrettävästi, miksi tietoa kerätään ja mitä sillä tehdään, ja hän antaa sille itse siunauksensa, viesti menee paremmin perille. Tällä tavoin asiak­kaan käyttäjäkokemus kohdennetusta mainonnasta itse asiassa paranee”, Petänen arvioi.

GDPR oli aiheena IAB :n tietosuojaseminaarissa.

Haasteitakin on. Yksi keskeisimmistä on tuoda informaatio sekä mahdolliset hyödyt selkeästi ja ymmärrettävästi esille.

Yrityksen täytyy luoda visuaalinen käyttöliittymä, jossa asiakas itse päättää, salliiko hän evästeiden käytön sivustolla. Evästeet merkitsevät dataa, jonka palvelin tallentaa käyttäjän koneelle.

Jatkossa kaikki evästeet kuuluvat henkilötiedon piiriin, koska yritys voi käyttää niitä yksilön tunnistamiseen ja kohdennettuun mainontaan.

Uusi tulkinta ei ole yritysten näkökulmasta huono asia, arvioi Sanoma Media Finland in verkkojohtaja Timo Rinne.

”Tämä on selkeä malli. Olisi todella vaikeaa, jos aina pitäisi määritellä, onko kyseessä henkilötieto vai ei. Tämä malli helpottaa käytännön työtä”, Rinne sanoo.

Kohdennettu verkkomainonta ei ole saavuttanut Sundquistin, Rinteen ja Petäsen mukaan vielä kaikkia mahdollisuuksiaan. Syitä on useita. Esimerkiksi se vaikuttaa, että yhteisten pelisääntöjen puuttuessa datan väärinkäytökset, kuten tietovuodot, ovat synnyttäneet epäluottamusta.

Rinne, Petänen ja Sundquist ovat yhtä mieltä siitä, että GDPR:n standardimalli on sekä asiakkaan että mainostajan näkökulmasta iso askel oikeaan suuntaan. Asiakas pystyy hallinnoimaan omia henkilötietojaan paremmin. Toisaalta luottamus verkkomainontaa kohtaan lisääntyy, kun läpinäkyvyys kasvaa.

”Kaikki asiakaskeissit pitää käydä läpi ja selvittää, miten dataa missäkin hyödynnetään ja ovatko sopimukset kunnossa. Kaikkea ei tähän mennessä ole dokumentoitu niin hyvin kuin olisi ollut mahdollista. Nyt se tehdään”, Sundquist kiteyttää.

Henkilötietojen väärinkäytöksiä tapahtuu jatkossakin. Inhimillisiä virheitä ja hakkerien toimintaa ei pystytä täysin eliminoimaan. Tämä ei myöskään ole GDPR:n tarkoitus.

”Asetus antaa raamit. Jos virhe tapahtuu, voidaan katsoa, miksi on toimittu selkeästi väärin ja mitä olisi pitänyt tehdä toisin ja kuka kantaa vastuun”, Sundquist sanoo.

Uudet sopimukset

Rekisterinpitäjän – eli henkilötietojen käsittelyn tarkoitukset ja keinot määrittelevän tahon ja tietojen käsittelijän – on laadittava EU:n uuden tietosuoja-asetuksen mukainen kirjallinen sopimus henkilötietojen käsittelystä.

Tällä tarkoitetaan esimerkiksi mainostajan ja mainostoimiston välillä laadittavaa sopimusta. Myös vanhat sopimukset on päivitettävä monessa tapauksessa uusien säännösten mukaisiksi.

Henkilötietoa voi käyttää ainoastaan alkuperäiseen tarkoitukseen, johon on hankittu suostumus. Jos tietoa halutaan käyttää toisessa tarkoituksessa, suostumus on hankittava uudestaan.

Suostumus merkitsee vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla tietojen käsittely hyväksytään.

Paljon työtä

Dentsu ­Aegis Network ­tekee GDPR:n voimaan astumiseen mennessä sopimukset mahdollisimman monen kumppanin kanssa, kertoo teknologia- ja digijohtaja Timo Petänen.

”Sopimukset tehdään luonnollisestikin priorisoidusti henkilötietojen käsittelyä käsittävissä kumppanuuksissa. Työtä siis riittää, kun kumppaneiden kokonaislukumäärä pyörii sadoissa”, sanoo Petänen.

Sopimusrakenteen täytyy olla selkeä ja siitä tulee käydä selvästi ilmi, mikä vastuu on toimistolla, mitä saa tehdä ja mitä ei saa tehdä.

Ennen toukokuuta yritysten on myös kartoitettava henkilötietojen käsittelyn tilanne. On selvitettävä muun muassa, mihin tarkoitukseen tietoja käytetään ja mitkä ovat lailliset käsittelyperusteet.

Pelin henki

GDPR:n rikkomisesta voi aiheutua ­yritykselle pahimmillaan 20 miljoonan euron sakot.

Rangaistusta ei ole Suomessa kuitenkaan hetkeen odotettavissa, arvioivat Timo Petänen ja Nordic Morning Finlandin Jukka Sundquist.

”Uskon, että riittää, jos pystyy osoittamaan, ­että on parhaansa mukaan pyrkinyt toimimaan uuden standardin mukaisesti”, Sundquist sanoo.

Petänenkin arvioi, ­että sanktioihin ei mennä, jos yritykset yrittävät korjata mahdollisia virheitä. Myöhemminkään inhimilliset virheet eivät lähtökohtaisesti johda sanktioihin, sillä se ei ole GDPR:n tarkoitus.

”Käsittääkseni GDPR:n henki on se, että puututaan siihen, jos voidaan osoittaa, että on tahallaan merkittävän huolimattomuuden takia toimittu väärin”, sanoo Petänen.

Oikea asenne

Organisaatioiden kaikkien työntekijöiden on ymmärrettävä, mitä GDPR merkitsee käytännön tasolla ja miten sitä sovelletaan.

Keskeisiä asioita ovat ­läpinäkyvyys ja asennemuutos. Kun henkilötietojen käytölle on asetettu selkeät raamit, niihin tulee suhtautua asiaankuuluvalla vakavuudella.

”Välinpitämätön ei voi enää olla. Ja on hyväksyttävä henkilötiedon määritelmä”, sanoo Jukka Sundquist.

Sanoma Media Finlandin verkkojohtaja Timo Rinteen mukaan uusi asetus edellyttää kaikilta organisaatioilta yhteistä tahtotilaa.

”Yhteisten ­standardien lisäksi on kuljettava samaan suuntaan. Se saattaa vaatia monelta organisaatiolta asennemuutosta ja lisähuolellisuutta”, ­Rinne sanoo.

Artikkeli on julkaistu Kauppalehdessä 16. huhtikuuta 2018.