Asiakkaiden vakoilu kielletään
Nykyaikainen verkkomarkkinointi perustuu hyvin vahvasti asiakkaiden piiloseurantaan. Verkkosivuilla käytetään seurantaevästeitä, skriptejä ja muuta vaikeasti havaittavaa teknologiaa, jolla tarkkaillaan käyttäjien toimintaa ja mieltymyksiä. Asiakassähköposteihin lisätään seurantapikseleitä, yksilöiviä hyperlinkkejä ja muita ohjelmia, joilla mitataan luettuja viestejä ja vastaanottajien reaktioita. Sosiaalisen median ja muiden kanavien välillä seurataan insight tagien ja muiden keinojen avulla käyttäjien sitoutumisia ja liikkumista mediasta toiseen.
Euroopan tietosuojaneuvosto julkaisi marraskuussa 2023 ohjeluonnoksen, joka tekee selväksi sen, mikä on ollut tietosuoja-ammattilaisten tiedossa jo pitkään: kaikenlaisten seurantateknologioiden käyttö, perustuivat ne evästeisiin, skripteihin, hyperlinkkeihin, pikseleihin, beaconeihin, tageihin tai mihin tahansa muuhun teknologiaan, vaatii käyttäjän yksilöidyn, tietoisen, aidosti vapaaehtoisen ja yksiselitteisen suostumuksen. Siis sen saman suostumuksen, jonka muiden kuin teknisesti välttämättömien evästeidenkin käyttö vaatii.
Ohjeluonnosta ei ole vielä hyväksytty lopullisesti, mutta on luultavaa, että lopullinen versio vastaa pääosin ehdotusta. Lopullinen versio tullee voimaan vuoden 2024 aikana. Jos siis käytätte Google Analyticsia, Hubspotia, Pipedrivea, Mailchimpiä, LinkedIn Insightsia tai lähes mitä tahansa muuta piiloseurannan mahdollistavaa alustaa, tätä aihetta kannattaa pitää silmällä.
Viranomaisvalvonnan painopiste muuttuu
Euroopan tietosuojaneuvosto asettaa joka vuodelle painopisteen tietosuojan valvontaviranomaisten toiminnassa. Vuonna 2024 painopisteenä on rekisteröityjen henkilötietojen tarkastusoikeuden toteutuminen eli pääsy omiin henkilötietoihin. Kaikkien EU-maiden valvontaviranomaiset (Suomessa Tietosuojavaltuutetun toimisto) lisäävät painopisteen mukaisesti tiedottamista sovittuun aiheeseen liittyen mutta myös yhdistävät resurssejaan valvonnan lisäämiseksi.
Vuonna 2024 on siis odotettavissa, että valvontaviranomaiset julkaisevat opasmateriaalia henkilötietojen tarkastusoikeuteen liittyen. Tämän seurauksena ihmisten tietoisuus oikeuksistaan kasvaa, mikä todennäköisesti alentaa entisestään kantelukynnystä. On myös mahdollista, että viranomaiset tekevät pistotarkastuksia, joilla selvitetään, miten hyvin oikeus toteutuu eri rekisterinpitäjissä.
Panokset kovenevat entisestään
EU:n yleinen tietosuoja-asetus on ollut voimassa nyt yli viisi vuotta. Ensimmäiset pari vuotta valvontaviranomaiset noudattivat pääasiassa ohjaavaa lähestymistapaa, jossa suosittiin ohjeistuksia, huomautuksia ja määräyksiä. Vuosina 2018–2019 ei määrätty Suomessa yhtään seuraamusmaksua eli ”tietosuojasakkoa”.
Parin viimeisen vuoden aikana linja on tarkentunut ja ”eurooppalaistunut”. (Lue lisää: ”Huonosti hoidettu tietosuoja on yritysriski – Viidellä vinkillä otat homman haltuun”) Oikeuskäytännössä on vahvistettu, että tietosuojalainsäädännön rikkomisesta tulee melko matalalla kynnyksellä määrätä seuraamusmaksuja, joiden on oltava suuruudeltaan tehokkaita, oikeasuhtaisia ja varoittavia. Lähestymistapa on nyt omaksuttu myös Suomessa.
Tietosuojasakot alkavat yleensä muutamasta tonnista ja nousevat tuon tuosta useisiin miljooniin euroihin. Suomessa toistaiseksi suurin seuraamusmaksu (750 000 euroa) määrättiin joulukuussa 2022 perintäyhtiö Alektumille sen jälkeen, kun yritys ei ollut vastannut kolmen henkilön tietopyyntöihin eikä osoittanut yhteistyöhalukkuutta valvontaviranomaisen kanssa. Toiseksi suurin sakko (608 000 euroa) määrättiin vuonna 2021 Psykoterapiakeskus Vastaamolle, joka ei ollut muun muassa varmistanut riittävää tietoturvan tasoa toiminnassaan. Tavanomaisinta tapausta edustaa esimerkiksi pysäköinninvalvontayritys ParkkiPate, joka nappasi itselleen 75 000 euron suuruisen seuraamusmaksun vuonna 2021, koska se ei ollut antanut rekisteröidyille pyytämiään tietoja.
Seuraamusmaksut eivät ole suinkaan ainoa ongelma, joka tietosuojalainsäädännön rikkomisesta voi seurata. Valvontaviranomaisilla on lukuisia muitakin keinoja lainrikkojia vastaan. Yleinen keino on määräys, jonka Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuojan saattamiseksi lainmukaiselle tasolle. Yleensä määräyksen mukana tulee määräaika, joka on useimmin joitakin viikkoja. Jos määräaikaa ei noudata, seuraava askel on usein tuntuva sakko. Voitte kuvitella, miten kalliiksi tietosuojalainsäädäntöä rikkovien asiakasviestintäjärjestelmien korjaaminen saattaa tulla tiukalla dediksellä keskellä parasta kesälomakautta.
Viranomaisten päätökset ovat myös julkisia ja sisältävät yleensä lainrikkojan nimen, joten viranomaistoimien kohteeksi joutuminen ei ole yleensä yrityksen brändin kannalta mairitteleva juttu.
Vuonna 2024 on odotettavissa, että seuraamusmaksut ja muut toimenpiteet eivät ainakaan pienene. Kun muistetaan, että henkilötietojen tarkastusoikeus on ensi vuoden valvontateemana, on myös luultavaa, että Alektumin ja ParkkiPaten kaltaiset laiminlyönnit saavat osakseen erityistä huomiota niin rekisteröityjen kuin viranomaistenkin keskuudessa.
Huolehdi tietosuojasta, niin riskit pysyvät minimissä
Niin kuin tähänkin asti, myös vuonna 2024 on hyvä muistaa pitää aktiivisesti huolta yrityksenne tietosuojasta. Koska muista kuin aivan lievimmistä rikkomuksista seuraa hyvin helposti tietosuojasakko tai vähintäänkin lyhyellä määräajalla varustettu korjausmääräys, on selvää, että kannattaa varmistaa ainakin keskeisten velvoitteiden täyttyminen yrityksenne toiminnassa. Tee siis ainakin nämä:
1. Selvitä, mitä henkilötietoja käsittelette, kenelle tiedot kuuluvat ja mitä niillä teette. Laadi selkeä tietosuojasuunnitelma, jotta pysytte aina kartalla tietosuojatoiminnastanne. Muista, että tietosuojatoimintaa tapahtuu kaikkialla yrityksessänne: ”asiakasrekisteri” ei ole ainoa paikka, jossa käsittelyä tapahtuu, vaan käsittelette todennäköisesti myös asiakasprospektien, työntekijöiden, ylempien toimihenkilöiden, hallintojäsenten, osakkeenomistajien, verkkosivuston ja sosiaalisen median käyttäjien, alihankkijoiden ja yhteistyökumppaneiden henkilötietoja.
2. Varmista, että jakaessanne tietoja alihankkijoille (jotka ovat yleensä henkilötietojen käsittelijöitänne tai yhteisrekisterinpitäjiä) kaikki lain vaatimat sopimukset ja dokumentit ovat kunnossa. Tämä on erityisen tärkeää, jos tietoja siirtyy EU:n ulkopuolelle.
3. Varmista, että firmassanne jokainen työntekijä tietää, mitä lainmukainen tietosuoja edellyttää ja miten tulee toimia esimerkiksi yrityksen vastaanottaessa henkilötietojen tarkastuspyynnön.
4. Varmista, että verkkosivustonne, asiakasviestintänne, sosiaalinen medianne ja muut kanavat noudattavat tietosuojalainsäädäntöä (yleinen tietosuoja-asetus ja ePrivacy-direktiivi).
5. Huolehdi, että yrityksenne tietoturva on kunnossa. Tämä ei tarkoita pelkästään palomuureja ja virustorjuntaa, vaan toimiva tietoturva perustuu ennen kaikkea selkeään ja terveeseen yrityskulttuuriin, jonka myötä kaikki työyhteisön jäsenet sitoutuvat turvalliseen tietosuojatoimintaan.
6. Laadi yrityksenne tosiasiallista tietosuojatoimintaa vastaavat tietosuojaselosteet ja joko julkaise ne verkkosivustollanne tai varmista muuten, että asianosaiset henkilöt saavat niistä tiedon oikea-aikaisesti (esim. työntekijöiden tietosuojaselosteen voi toimittaa osana rekryprosessia). Tietosuojaselosteiden laatiminen on helppoa ja vaivatonta, kun olette tehneet edellä mainitun tietosuojasuunnitelman riittävällä tarkkuudella. Selosteita laatiessanne varmista, että se kattaa kaiken tietosuojatoiminnan ja että toiminta on lainmukaista (eli käsittelytarkoitukset ovat lainmukaisia ja perusteltavissa laissa säädetyillä käsittelyperusteilla). Muista, että valmiin mallipohjan lataaminen netistä ei ole välttämättä riittävää ja voi johtaa vakaviin hankaluuksiin myöhemmin.
Mikäli tarvitset apua yrityksenne tietosuojatoiminnan suunnittelussa ja oikeiden prosessien toteutuksessa, autamme mielellämme. Lue lisää Yrityksen tietosuoja (GDPR) -palvelupaketistamme tai varaa aika maksuttomaan ja riskittömään alkutapaamiseen.
Seuraa meitä LinkedInissä. Julkaisemme myös tästä aiheesta yrityksellenne hyödyllisiä päivityksiä.