Kirjoitus

GDPR sähköpostimarkkinoijalle – mikä muuttuu?

Ota yhteyttä
GDPR sähköpostimarkkinoijalle – mikä muuttuu? Sähköpostimarkkinoijan tietokannan on oltava jäsennelty ja selkeä: se ei voi koostua sekalaisista listoista tai massasta kontakteja, joiden alkuperä on unohtunut.

GDPR eli EU:n yleinen tietosuoja-asetus tulee jäsenvaltioiden sovellettavaksi 25. toukokuuta 2018 alkaen. GDPR-juttusarjamme ensimmäisessä osassa kehotimme markkinoijia aloittamaan GDPR:ään valmistautumisen selvittämällä, missä kaikkialla henkilötietoja säilytetään. Pureudutaan nyt tarkemmin siihen, millä perustein näitä henkilötietoja saa GDPR:n voimaantulon myötä säilyttää tai käyttää markkinointi- ja viestintätarkoituksiin.

Väitämme, että GDPR tulee olemaan hyvä asia niin yritysten, markkinoijan kuin yksittäisen vastaanottajankin näkökulmasta. Tässä miksi:

GDPR:n myötä yritysten on kyettävä osoittamaan, millä perustein henkilötietoja käsitellään ja millä perustein viestintää toteutetaan tietylle henkilölle. Toisin sanottuna viestinnän on oltava kohdennettua, perusteltua ja läpinäkyvää. Tähän suuri osa digimarkkinoijista on pitkään jo pyrkinytkin – nyt kohdennetun viestinnän tavoite saa kuitenkin EU-tason asetuksen ja lainsäädännön tuen. Sähköpostimarkkinoijan tietokannan on oltava jäsennelty ja selkeä: se ei voi koostua sekalaisista listoista tai massasta kontakteja, joiden alkuperä on unohtunut.

”Time to weed out the bad apples”, totesi Ruotsin maajohtajamme Juho Antikainen syyskuisessa aamiaistilaisuudessamme Tukholmassa. Tästä juuri on kyse.

Koodiviidakko on käsitellyt GDPR-aiheita pitkin syksyä aamiaistilaisuuksissaan. Oneflown Ling Koayn kommentti kiteyttää hyvin useiden markkinoijien ajatuksia aiheesta: tietoa on saatavilla paljon, mutta sen olennaisen tiedonjyvän poimiminen voi olla todella haastavaa. Riskinä on ylireagointi tai toisaalta kykenemättömyys toimia suuntaan tai toiseen. Liana Technologies on Koodiviidakon kansainvälinen brändi.

Sähköpostimarkkinoijan vastuu kasvaa: Millä perustein käsittelemme henkilötietoja ja viestimme eri kohderyhmille?

Sähköpostimarkkinoinnista ja GDPR:stä puhuttaessa on tärkeää tunnistaa seuraavat roolit: uutiskirjeiden lähettäjä on rekisterinpitäjä ja uutiskirjeteknologian toimittava yritys on henkilötietojen käsittelijä. GDPR:n keskiössä on rekisterinpitäjän osoitusvelvollisuus, jonka myötä uutiskirjeen lähettäjällä tulee olla niin sanottu laillinen oikeusperuste henkilötiedon käsittelylle. Henkilötietojen käsittelyä koskevat periaatteet kuvataan GDPR-asetuksen 2016/679 artiklassa 5 ja oikeusperusteet määritellään artiklassa 6, joihin jokaisen sähköpostimarkkinoijan kannattaa perehtyä.



Henkilötiedon käsittelyn lainmukaisuus

Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

Kansantajuisesti kyse on tästä: jos ylläpidät henkilörekisteriä, kuten postituslistoja, sinulla on oltava näiden henkilötietojen käsittelylle peruste, joka kohtaa vähintään yhden 6. artiklan kohdan kanssa. Jos lähetät uutiskirjeen listoilla oleville kontakteille, on viestintäsi perustuttava yhtä lailla vähintään yhteen artiklan kohdista. 

Otetaan käytännön esimerkki.

Jos rekisteröitynyt on tilannut itse (opt-in) yrityksesi uutiskirjeen, tilanne on melko suoraviivainen:

  • syysi käsitellä henkilötietoa on henkilön itsensä antama suostumus: hän on tilannut uutiskirjeesi ja haluaa sen antamaansa sähköpostiin. Syy kohtaa artiklan ensimmäisen kohdan kanssa.
  • syysi lähettää uutiskirjettä tälle henkilölle on sama artiklan kohta, suostumuksen mukaisen viestinnän toteuttaminen.

Suoraviivaista, eikö totta? Jos siis olet jo pitkään perustanut sähköpostimarkkinointisi lupaperusteiseen markkinointiin ja tehnyt pitkäjänteistä työtä oman opt-in -listasi eteen, toimintamallisi soveltuu sellaisenaan hyvin yhteen artiklan kanssa. ”GDPR needn't be a bombshell for customer-focused marketers”, lohdutti myös eConsultancy taannoisessa blogissaan.

Tässä kohtaa moni sähköpostimarkkinoija miettii kuitenkin: entä ne kaikki muut vastaanottajat, kuin opt-in -tilaajat? Nyt astumme ”harmaalle alueelle” ja totuus on, että tulevaisuus tämän suhteen on vielä osittain epävarmaa. Jotain uskallamme kuitenkin sanoa.

Jos rekisteröitynyt on asiakkaasi:

  • syysi säilöä rekisteröidyn henkilötietoja on todennäköisesti yrityksenne ja asiakkaasi välillä vallitseva sopimus, asiakassuhde (artiklan toinen kohta).
  • syysi lähettää uutiskirje asiakkaalle voi olla esimerkiksi tämän sopimuksen täytäntöönpano (sama artiklan kohta). Tämä olisi selkeä tilanne puhuttaessa vaikkapa verkkokaupan tilausvahvistuksesta.

Nyt mietit ehkä muita tilanteita, kuin ylläolevat. Millaisia uutiskirjeitä voin lähettää asiakkaalle, joka ei ole antanut lupaa markkinointiviestintään? Mikä lasketaan artiklan mainitsemaksi oikeutetuksi eduksi

Ennen kuin putoat Tukholman aamiastilaisuuteemme osallistuneen Ling Koayn kuvaamaan ”Google-spiraaliin”, huomioi tämä: paljon on vielä epävarmaa, sillä GDPR:ää täydentävä Suomen lainsäädäntö ei ole vielä valmistunut. Tiedämme kuitenkin varmuudella, että vaikka GDPR on asetus, jota täydennetään kansallisella lainsäädännöllä, nimenomaan GDPR asettaa pohjatason. Tätä pohjatasoa alemmas ei jäsenvaltioissa voida mennä, joten se voidaan nähdä jo nyt yleisenä ohjenuorana, jota asiakaslähtöisen ja fiksusti toimivan markkinoijan kannattaa noudattaa.

Suomessa oikeusministeriön asettama työryhmä ehdottaa uutta tietosuojalakia täydentämään ja täsmentämään GDPR-asetusta. Ehkä tämän lain myötä saamme selvät ohjenuorat myös niihin loppuihin sinua – ja minua – mietityttäviin kysymyksiin. Uusi tietosuojalaki on tällä hetkellä lausuntokierroksella ja tavoitteena on, että hallituksen esitys uudesta laista annetaan eduskunnalle vielä tänä syksynä.

Yhtä kaikki, viestimme sähköpostimarkkinoijalle on tämä: rekisteröidyn itsensä antama suostumus viestintään on aina ollut tärkeää ja tulee yhä vain tärkeämmäksi GDPR:n myötä. Panosta siis lupaperusteiseen markkinointiin ja kartuta aktiivisesti opt-in -listaasi.

Koodiviidakko pyytää uutiskirjeen ja oppaiden tilaajilta sähköpostin vahvistusta erillisellä double opt-in -viestillä. Viestin hyöty on kahtaalla: viestin vastaanottajat antavat itse suostumuksensa, ja samalla varmistetaan, ettei annettu sähköposti ole keksitty.

Miten pureskelemme asiaa Postiviidakko-järjestelmässä?

Lähetysperusteet ja suostumukset

GPPR-asetuksen artikla 6 puhuu henkilötietojen käsittelyn lainmukaisuudesta. Postiviidakossa puhumme kansantajuisemmin lähetysperusteista ja suostumuksista. Postiviidakon käyttäjät pääsevät määrittämään tililleen suostumuksia sekä merkitsemään niitä omille uutiskirjetilaajilleen marras- ja joulukuusta alkaen – näin asiakkaamme saavat hyvissä ajoin myös yleiskuvan siitä, minkä verran suostumuksia on ylipäätään löydettävissä nykyiselle tilaajakannalle ja kuinka monelta yksiselitteinen lähetysperuste puuttuu.

Postiviidakon käyttäjät voivat asettaa suostumukset suoraan tuomalleen listalle, yksittäisille kontakteille tai olemassa oleville lähetyslistoille. Teemme asiakkaillemme myös helpoksi kerätä suostumuksia uutiskirjeiden avulla ja ideoimme yhdessä tapoja nykyisen tilaajakannan aktivointiin.

Lähetysperusteita ja suostumuksia koskevat muutokset päivitetään Postiviidakkoon marras-joulukuussa. Lähetämme asiasta erillisen uutiskirjeen ja opastevideon asiakkaillemme.

Rekisteröidyn oikeus saada tietoja, siirtää tietoja ja tulla unohdetuksi

GDPR:n mukana jokaiselle rekisteröidylle tulee mahdollisuus pyytää yritykseltä tiedot omista henkilötiedoistaan ja niiden säilytyksestä. Rekisterinpitäjän (tässä tapauksessa sähköpostimarkkinoijan) on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Toisin sanottuna tiedot toimitetaan sähköisesti.



GDPR:n myötä rekisteröidylle on tarjottava myös mahdollisuus siirtää itseään koskevia tietoja sekä tulla täysin unohdetuksi, eli täysin poistetuksi yrityksen kaikista rekistereistä.

Kehitämme parhaillaan Postiviidakkoa tukemaan kyselyitä rekisteröityjen tietojen käytöstä, jotta asiakkaamme voivat ensi toukokuusta alkaen luovuttaa, siirtää tai poistaa rekisteröityjen tietoja helposti. Entiselläänkin Postiviidakko tallentaa jo kaiken, mitä tietyllä henkilötiedolla tehdään, ja näitä tietoja on myös helppo tarkastella.

Jos käytät uutiskirjeiden lähettämiseen jotain muuta kuin Postiviidakko-järjestelmää, suosittelemme kysymään järjestelmän toimittajalta, kuinka he varautuvat GDPR:ään ja varmistamaan, että sinun on markkinoijana helppo noudattaa GDPR:n vaateita ensi toukokuusta alkaen.

Muita huomioita GDPR:stä

Ole läpinäkyvä

GDPR:n yleinen “henki” painottaa vahvasti läpinäkyvyyttä, ja se on selvästi yksi asetuksen päätavoitteista. Ota tämä huomioon omassa toiminnassasi – viime kädessä se on sekä sinun että vastaanottajasi etu. Sähköpostimarkkinoijana voit kiinnittää erityistä huomiota esimerkiksi tilauslomakkeiden kieliasuihin ja formatointiin sekä ehtojen esittämiseen. Huolehdi myös, että uutiskirjeiden peruminen on helppoa ja suoraviivaista vastaanottajalle.

Huolehdi tietoturvasta

Uusi asetus on hyvin turvallisuuskeskeinen, ja sen myötä teknologiapartnereiden turvallisuudesta ja lain seuraamisesta tulee markkinoijalle erityisen tärkeää. Rekisterinpitäjän velvollisuus on ottaa tietosuojavaatimukset huomioon jo järjestelmien suunnitteluvaiheessa ja huolehtia siitä, että käytetty palvelu on lähtökohtaisesti turvallinen ja tietosuojavaatimukset täyttävä.

Säilö vain tarpeellista tietoa

Ole hyvin kartalla siitä, mitä henkilötietoa säilytät ja missä. Säilö vain tarpeellista henkilötietoa rekistereissäsi, ja huolehdi, että siihen pääsevät käsiksi vain sellaiset organisaatiosi henkilöt, joilla siihen on hyväksytty syy. Poista kaikki tarpeeton tieto järjestelmistäsi.

Tutustu myös GDPR-juttusarjamme seuraavaan osaan:

Haluatko jutella lisää Postiviidakko-järjestelmästä tai jututtaa omaa yhteyshenkilöäsi GDPR-teemasta? Ota yhteyttä asiantuntijoihimme.

Artikkeli on julkaistu 13.10.2017.
Artikkelin sisältöä ei tule ymmärtää juridisena neuvontana.

 /media/henkilokuvat/articles-authors/johanna_lammassaari-300x420-1.jpg

Johanna Lammassaari

Johanna Lammassaari on Koodiviidakko Oy:n markkinointipäällikkö ja kansainvälisen markkinointitiimin vetäjä. Hän on kokenut sisältömarkkinoija, joka rakastaa työssään erityisesti jatkuvaa oppimista. Kuten moni muukin, Johanna on pähkäillyt viime aikoina paljon GDPR-asioita, ja hän toivoo pähkäilystään olevan apua myös muille markkinoijille. GDPR-teemaan pureutuvat artikkelit on toteutettu tiiviissä yhteistyössä Koodiviidakon tietosuojavastaavan Juha-Mikko Ahosen kanssa.

Oliko artikkeli mielestäsi mielenkiintoinen?

Tilaa kuukausittainen uutiskirjeemme, joka sisältää aina uusimmat mielenkiintoiset artikkelit.

Tilaa uutiskirje tästä

Artikkelin kommentointi

Lisää uutisia

Sisällöntuotanto haltuun: näin hyödynnät ja kierrätät olemassa olevaa sisältöä

Sisällöntuotanto ei ole pelkkää uusien sisältöjen luomista, vaan myös olemassa olevien sisältöjen monipuolista hyödyntämistä. Olemme koonneet sinulle kasan käytännön vinkkejä, joiden avulla voit ottaa vanhat hyvät sisällöt uudestaan hyötykäyttöön.

Lue lisää

GDPR: Miten valmistaudumme uuteen tietosuoja-asetukseen, ja mitä sinä voit tehdä?

Vuoden 2018 toukokuussa täytäntöön tuleva EU-tason tietosuoja-asetus puhututtaa jo nyt. Päätimme kirjoittaa juttusarjan, jossa annamme askel kerrallaan tietoa GDPR:stä ja siitä, kuinka sinä voit valmistautua muutokseen.

Lue lisää

Markkinoinnin automaatio myyntiorganisaation tukena

Perinteinen myynti kylmäsoittoineen ja sähköposteineen ei ole katoamassa minnekään mutta markkinoinnin automaation avulla voidaan tuottaa myyntiorganisaation tueksi huomattavasti aiempaa enemmän tietoa, jonka avulla kontaktoinnista tulee ajoitukseltaan ja sisällöltään tarkempaa.

Lue lisää

Ennen, jälkeen ja aikana: verkkosivu-uudistuksen SEO-checklist [Infografiikka]

Algoritmien kehittyessä hakukoneiden kanssa toimiminen on muuttunut yhä helpommaksi. SEO:n huomioimiseen liittyy kuitenkin yhä paljon muistettavaa. Erityisen tärkeää se on verkkosivu- tai verkkokauppa-uudistuksen aikana.

Lue lisää

Visuaalisuus osana digitaalista markkinointia

Visuaalisuus on sisältösi ulkoasu. Se on sitä, minkä lukija ensimmäiseksi näkee: yleisilme. Visuaalisesti vaikuttava ja vakuuttava verkkosivusto tai sosiaalisen median kanava kiinnostaa ja miellyttää katsojaa sekä saa huomattavasti enemmän lukijoita kuin pelkkää tekstiä sisältävät julkaisut.

Lue lisää