EU:n uusi tietosuoja-asetus General Data Protection Regulations eli GDPR muuttaa monin osin sitä, miten voit myydä ja markkinoida.
Vaikka kyse on henkilötiedoista, koskee GDPR myös B2B:tä, sillä siinäkin myyntiä ja markkinointia tehdään aina henkilölle.
GDPR:n myötä monet tavat, joihin olet tottunut, muuttuvat kielletyiksi 25.5.2018, siis aivan tuota pikaa.
Esimerkiksi Kiinteistöliiton lakimies pelkäsi, että rappukäytävien nimitaulut pitää poistaa GDPR:n takia. Tämä tulkinta osoittautui kuitenkin myöhemmin vääräksi. Samalla esimerkki osoittaa, kuinka vaikeaa GDPR:n tulkinta on.
Olet ehkä kuullut suurista sakoista. Rapsujen yläraja pk-yritykselle on 20 miljoonassa, suuryritys saattaa joutua maksamaan jopa 4 % globaalista liikevaihdosta. EU on siis vakavissaan, ja niinpä asia on pörssiyrityksissä ihan hallituksen agendalla.
Asia on syytä ottaa vakavasti. Ja juuri siihen sakoista puhumalla on pyrittykin.
Toisaalta tietosuojaviranomaisilta on kuulunut viestiä, että sakot olisivat kuitenkin viimeinen keino, ei se ensimmäinen.
GDPR tuo henkilöille rutkasti oikeuksia, ja on oletettavaa, että niitä myös käytetään.
Se, että sinun yrityksesi joutuu GDPR:n osalta syyniin, johtunee todennäköisesti asiakkaan, tai pikemminkin prospektin, ilmoituksesta. Ja se on 25.5.2018 jälkeen pikemminkin vain ajan kysymys, jos käytäntösi ovat räikeästi asetuksesta poikkeavia.
Oma toiminta kannattaa siis laittaa GDPR-yhteensopivaksi, tai ainakin tältä osin henkilöiden huomiota herättämättömäksi.
Teoria selvää, käytäntö epäselvää
Käyn tässä postauksessa läpi GDPR:n perusasioita erityisesti B2B-myynnin ja markkinoinnin näkökulmasta.
Jos olet lukenut tai kuunnellut GDPR-esityksiä, lienet huomannut, että tiedon soveltaminen omaan toimintaan on usein kovin haasteellista. Virallinen tieto kun on teoreettista ja yleisluonteista.
Asetuksen osalta varsinaisia soveltamisohjeita on niukasti, jos ollenkaan, saatavilla.
Suomessa tietosuojavaltuutettu on todennut, ettei heillä ole aikaa asiasta lausua, sillä GDPR vaikuttaa yli 700 lakiin, ja niissä on kädet ihan riittävän täynnä.
Asetus käy läpi perusperiaatteet ja niitä on jokaisen sovellettava yksin tai lakiasiantuntijoiden avustamana ihan itse - oikein tai väärin.
Olen ollut mukana järjestämässä ohjelmistotoimialalle GDPR-koulutuksia jo tosiaan pari vuotta.
Meille Loyalisticissa GDPR on nähty tärkeänä koko tuon ajan, niin oman myynti- ja markkinointitekemisemme näkökulmasta, kuin erityisesti Loyalistic markkinoinnin automaatio-ohjelmistoa käyttävien asiakkaiden myynnin ja markkinoinnin osalta.
Olisimme halunneet tehdä asian helpommaksi asiakkaillemme. Odotimme ePrivacy-asetusluonnoksen etenemistä. Odotimme soveltamisohjeita. Toivoimme, että voisimme tehdä asian helpoksi jo sovelluksessa, ja tiedottaa muutoksista kerralla. Mutta kun ei. Määräpäivä lähestyy eikä noihin kahteen avoimeen asiaan ole tullut yhtään lisäselvyyttä. Mennään sitten parhaan oman tulkinnan avulla.
Onneksi pienen ja keskisuuren, toisille organisaatioille myyvän ja markkinoivan yrityksen toiminta on varsin samanlaista yrityksestä riippumatta. Yritän antaa tämän postauksen jatko-osissa selvät sävelet GDPR-mörön kesyttämiseksi.
Olen koonnut tähän sen tiedon ja ymmärryksen, mitä minulla ja Loyalisticilla aiheesta on. Paljon olemme tuon ymmärryksen kartuttamiseksi työtä tehneet ja avusta maksaneet. Voi olla, että omassa ymmärryksessänikin on virheitä. Älä siis syytä meitä, vaan käytä lakimiestä.
Löydät lisätietoa Loyalistic-tuotteen GDPR-ominaisuuksista täältä. Ja ajantasaisen tiedon Loyalisticin GDPR-valmiudesta täältä.
Käydään kuitenkin ensin perusasiat läpi.
GDPR koskee ihan kaikkia yrityksiä, siis myös B2B-yrityksiä koosta riippumatta
Pk-yrityksissä, jotka myyvät toisille organisaatioille eli siis B2B, sen sijaan oman kokemukseni mukaan aihe ei ole kovin korkealla huomiolla, vaikka pitäisi. Niinikään monissa pk-yrityksissä tunnutaan miettivän, että tämä ei koskisi heitä.
Käytännössä yksikään yritys ei selviä GDPR:n vaatimuksista ilman hikoilua, lukuun ottamatta joitakin yhden hengen yrityksiä, joille ei henkilörekisteriä synny. Vaikka firmalla ei olisi yhtään ainoaa asiakasta, on jo kahden hengen yrityksen työntekijärekisteri GDPR:n alainen, ja jumppaa vaaditaan.
Tiivistäen: koskee sinua, edellyttää mm. toimintatapamuutoksia ja rapsut ovat korkeita.
Mitä GDPR sitten oikein tarkoittaa B2B-myynnin ja -markkinoinnin osalta?
Käyn ensin läpi, mistä GDPR:ssä on kysymys ja lopuksi tiivistäen, miten se sinuun B2B-myyjänä ja markkinoijana vaikuttaa.
Muista kuitenkin, että GDPR ei hoidu itsestään, siitä ei selviä pelkästään hankkimalla GDPR:n mukaisia softia (kuten vaikkapa Loyalisticia) ja että GDPR lopettaa joitakin totuttuja B2B-myynnin käytäntöjä. Toimintasi on siis muututtava, tai kunnian kukko ei laula.
Käännän vielä veistä haavassa kertomalla, että GDPR:n vanavedessä on tulossa joukko laki- ja asetusmuutoksia, jotka vaikeuttavat myyntiäsi ja markkinointiasi entisestään. Asiaa puidaan EU:n tietosuojaohjeistusta käsittelevän The Article 29 Working Partyn ja komission kesken.
Mistä GDPR:ssä sitten on kysymys?
EU:n General Data Protection Regulations eli tietosuoja-asetus on EU:n laajuisesti jo voimassa, siirtymäaika päättyy 25.5.2018. Asetus on siis sama kaikissa EU-maissa.
Tietosuoja-asetuksen tavoitteena on suojata henkilöiden yksityisyyttä ja tietoja.
Tavoite on hyvä, mutta toteutus voi tuntua lisääntyvien vakoiluoikeuksien aikana omituiselta.
Mutta enää ei GDPR:stä kannata rutista, vaan hoitaa pesä kuntoon.
Me Loyalisticissa huolehdimme omalta osaltamme, että asiakkaamme olisivat tuotteemme osalta GDPR-yhteensopivia.
Käytännössä GDPR koskee kaikkia yrityksiä EU:ssa sekä kaikkia, jotka markkinoivat palveluitaan EU:hun, olivat ne sitten missä päin maailmaa tahansa.
Se mikä GDPR:n soveltamisesta tekee vaikeaa, on soveltamisohjeiden puute. Homma on aika teoreettista, ja ristiriitaista tietoa tulkinnasta on tarjolla. Olen ollut mukana järjestämässä koulutuksia ohjelmistoyrityksille aiheesta jo pari vuotta, enkä silti voi väittää, että homma olisi hallussa.
Ehkä kuvaavaa on EU:n PK-yrityksille tarkoitetussa GDPR-esitteessä esimerkit siitä milloin yritys tarvitsee tietosuojavastaavan. Esimerkissä toisessa laidassa on hakukonemainontaa profiloinnin perusteella optimoiva yritys, siis käytännössä Google, ja toisessa kerran vuodessa uutiskirjettä lähettävä yritys. Vain näihin on selvät sävelet. Ensimmäiseen tarvitaan tietosuojavastaava, toiseen ei. Välissä onkin sitten todella iso harmaa alue, jossa "se riippuu...".
Mikä on henkilötietoa?
Nyt puhutaan siis henkilötiedoista, eli luonnollista henkilöä koskevista tiedoista. Saatat ajatella henkilötunnusta ja muuta arkaluontoista, mutta valitettavasti henkilötiedoksi katsotaan myös sähköpostiosoite mukaan lukien työsähköpostin osoite.
Vaikka rekisterissänne ei olisi tietoja luonnollisesta henkilöstä, jo pelkkä IP-osoite, jopa dynaaminen, katsotaan henkilötiedoksi, sillä viranomainen voi yhdistämällä teidän ja teleoperaattorin tietoja tehdä siitä henkilötietoa.
Henkilötietorekisteriä on siis mikä tahansa levyn nurkalta löytyvä Excel-tiedosto, jossa on henkilöiden nimiä yrityksissä tai niiden sähköpostiosoitteita. Sellainen on myös webbipalvelimen lokitiedosto, jota kerää käytännössä jokainen webbipalvelin ihan oletusasetuksin.
- Henkilörekisteristä pitää olla rekisteriseloste.
- Henkilötietojen käsittelyn ohjeet ja prosessit pitää olla dokumentoitu.
- Dokumentaation puute itsessään on rangaistavaa, vaikka prosessit sinänsä olisivat kunnossa.
- Henkilön tietojen käsittelylle pitää olla laillinen peruste.
Henkilöllä on pääsääntöisesti oikeus tarkistaa tiedot. Älä siis kirjoittele CRM:ään mitään, mitä et halua asiakkaasi näkevän.
Olet aina rekisterinpitäjä
Rekisterinpitäjä on se, joka rekisteriä pitää, siis päättää sen luomisesta ja käytöstä.
Jokaisella yrityksellä on useita henkilörekistereitä: markkinointirekisteri eli erilaiset liidilistat, asiakasrekisteri, työntekijärekisteri ja niin edelleen.
Näitä voi olla lukemattomissa eri järjestelmissä ja levyn nurkalla, ja tosiaan vaikkapa webbipalvelimen loki on jo sinänsä henkilörekisteri, jos, tai siis kun, sinne tallentuu sivuilla vierailevan IP-osoite.
Saatat olla käsittelijä, tai ainakin käytät sellaista
Henkilötietojen käsittelijä on organisaatio, joka käsittelee rekisterinpitäjän lukuun tietoja.
Lähes kaikki yritykset käyttävät pilvipalveluita tai operaattorin palveluita niin, että tuo kumppani on yrityksen rekisterin käsittelijä.
Jos taas olet ohjelmistoyritys, olet melko varmasti sekä rekisterinpitäjä omille rekistereillesi että käsittelijä asiakkaidesi tiedoille.
Alikäsittelijöitä ovat sitten kaikki käyttämäsi palveluntarjoajan alihankkijat, jotka teoreettisesti tietoon voivat koskea.
Käsittelyä on tiedon tallentaminenkin.
Sinun tehtävänäsi on huolehtia, että sopimuksista löytyy GDPR:n vaatimukset koko ketjulle. Vastuuta ei voi sopimuksin rajata.
Älä siirrä vahingossa tietoa EU:n ulkopuolelle
Se, että löysit juuri kivan uuden sovelluksen myyntiin tai markkinointiin ja otat sen helposti käyttöön, loppuu nyt.
Data on tehty liikkumaan ja pilvipalvelut tekevät sen liikuttelun helpoksi.
Henkilötietoja ei kuitenkaan saa siirtää yhteisöalueen ulkopuolelle ilman lupaa tai laillista perustaa. Yhteisöalueella tarkoitetaan EU:ta ja ETA:ta. Tämä koskee sinua, palveluntarjoajaa ja kaikkia alikäsittelijöitä, joista sinulla ei todennäköisesti ole hajuakaan, keitä he ovat ja missä he sijaitsevat.
Tämä ei tarkoita kuitenkaan, että käyttämäsi palveluntarjoajan tai sen palvelinten tai alikäsittelijöiden pitäisi sijaita EU/ETA-alueella.
Esimerkiksi Yhdysvaltoihin voidaan siirtää tietoja, jos palveluntarjoaja (ja alikäsittelijät) ovat Privacy Shield -sertifioituja, tai jos tietosuojasta on sovittu EU:n mallilausekkeita käyttäen.
Vaikka Loyalisticin palvelimet pyörivät Helsingissä, käytämme erilaisia muita palveluita mm. sähköpostien välitykseen, joista osa sijaitsee Yhdysvalloissa. Tällöin palveluntarjoajan kanssa on allekirjoitettu EU:n mallilausekkeisiin perustuva paperi tai palveluntarjoaja on Privacy Shield -sertifioitu.
Kannattaa huomata, että markkinoinnissa ja myynnissä käytetään tänä päivänä lukuisia pilvipalveluita, joista osan olemassaoloa et välttämättä edes tiedosta. Näihin saattaa siirtyä henkilötietoja. Esimerkiksi jos käytät Dropboxia, Google Driveä, OneDriveä tai iCloudia, sinne sujahtaa helposti taulukollinen sähköpostiosoitteita, ehkä luvattomasti EU:n ulkopuolelle.
Ehkä innostut kokeilemaan jotain uutta myynnin tai markkinoinnin kikkulaa, CRM:stä nyt puhumattakaan. Ehkä lataat jonkun hilavitkuttimen CRM:n kylkeen, tai asennat chatin webbisivuille. Ehkä lataat sähköpostilistan Facebookiin luodessasi lookalike-ryhmää.
Olethan varma, että sinä saat sen tehdä? Ja ethän vahingossa siirrä tietoja yhteisöalueen ulkopuolelle? Sinua tuskin rauhoittaa tieto, että rikkomus kuuluu siihen korkeammin rangaistavaan kategoriaan.
Kaikki toimittajasopimukset menevät uusiksi
Jos kuulut siihen suureen enemmistöön, joka ei toimittajan ehtoja lue, niin sekin loppuu nyt.
Sinun pitää huolehtia siitä, että jokainen käyttämäsi käsittelijä, siis esim. pilvipalvelu, on GDPR-yhteensopiva. Tämä tarkoittaa niin uusia kuin erityisesti jo käyttämiäsi palveluita.
GDPR:n myötä joudut tekemään tai hyväksymään uudet sopimukset jokaisen teknologiatoimittajan kanssa, jotta sinä ja toimittaja olisitte GDPR-yhteensopivia. Toki ehdot voi hyväksyä verkossakin, mutta lukematta et niistä selviä.
Sinulla pitää olla määritelty prosessi uusien palveluntarjoajien hyväksymiseksi. Siis käytännössä lista asioista, joihin sinun täytyy löytää vastaus ehdoista tai muusta dokumentaatiosta. Kun olet palvelun hyväksynyt ja otat sitä käyttöön, on sinun päivitettävä sisäistä dokumentaatiota (rekisterinpitäjän seloste käsittelytoimista) sekä rekisteriselostetta, käyttöehtoja tms. niiltä osin kuin uusi palvelu tuo käsittelyyn muutoksia.
Mukaan tulee uusia velvollisuuksia vanhoille toimittajille.
Muutama esimerkki mainitakseni:
Jos asiakkaasi kokee oikeuksiaan loukatun, hän voi haastaa oikeuteen sinut tai toimittajan, kummalla kuvittelee olevan isomman lompakon, kun aikaisemmin asiakkaasi joutui haastamaan ensin sinut oikeuteen ja jos katsoit toimittajan tehneet laiminlyöntejä, saatoit haastaa toimittajan oikeuteen. Nyt toimittaja eli siis käsittelijä on myös suoraan tulilinjalla.
Aikaisemmin käsittelijä teki mitä asiakas eli rekisterinpitäjä tilasi, mutta eipä tee enää. Käsittelijän on arvioitava, onko pyyntö asetuksen mukainen.
Eli moniin rutiininomaisiin tuki- tai kehityspyyntöihin tulee pakollinen pysähdys lakimiehen juttusilla, jos asiaa haluaa liioitella.
Käytännössä arviointi tehtäneen tuki- tai kehitystiimissä, mutta sinä siitä maksat.
Ja saat useimmiten vastaukseksi: no can do, koska GDPR.
Henkilön uudet oikeudet edellyttävät ominaisuuksia, prosesseja, dokumentaatiota ja koulutusta
Se, että CRM:ään on purettu myyjän fiiliksiä asiakkaasta, loppuu nyt.
- Henkilöllä on oikeus saada tiedot itsestään.
- Hänen pitää voida oikaista vääriä tietoja.
- Ja sinun tulee muutenkin huolehtia, että tiedot ovat täsmällisiä.
Tiedot on saatava sähköisesti, ja sinulla pitää olla prosessi ja välineet tietojen antamista varten. Monissa tietojärjestelmissäsi ei nyt moisia ominaisuuksia ole.
Koska voit olettaa asiakkaiden myös oikeutta käyttävän, ei CRM:ään enää voi mitä tahansa tallennella. Tallennetuille tiedoille pitää olla peruste.
Henkilö voi myös vaatia tietojen poistamista. Sinulla pitää olla prosessi vaatimuksen toteuttamiseksi ja myös periaatteet, milloin sinulla on oikeus kieltäytyä. Ethän voi poistaa esimerkiksi asiakkaan tietoja lopettamatta samalla asiakassuhdetta.
Henkilötietojen käsittelylle on aina oltava perusteet, onko sinulla niitä?
Se, että myynnissä on aina raavittu nimiä liideiksi mistä nyt on käsiinsä saatu, loppuu nyt.
Mistä nimi on rekisteriin tullut, mihin oikeuteen tai lupaan se perustuu, milloin lupa on annettu...
Lupa ei ole ikuinen, ja jos henkilö haluaa poistua rekisteristä, sinun on se tehtävä, ainakin siinä laajuudessa kuin se ei ole välttämätöntä toimeksiannon toteuttamiseksi.
Moneen asiaan pitää henkilöltä saada lupa, mutta se ei ehkä sittenkään aiheuta isoja ongelmia.
Henkilötietojen käsittelyyn on oltava peruste. Jos muuta laillista perustetta ei löydy, tarvitaan siihen henkilön antama lupa eli suostumus.
Monet ovat tulkinneet tilannetta siten, että suostumus on saatava aina.
Mutta suoramarkkinointi on sinänsä laillinen peruste, ja B2B-puolella suoramarkkinointi ilman suostumusta on Suomessa sallittua, jos henkilö aseman perusteella päättää markkinoitavan tuotteen hankinnoista.
Suostumus voidaan silti vaatia riippuen siitä, mihin tietoja käytetään. Esimerkiksi profilointiin on saatava suostumus. Samoin henkilötietojen siirtoon kolmansiin maihin (eli EU/ETA-ulkopuolelle ilman Privacy Shieldiä tai mallilausekkeita). Saamamme tulkinnan mukaan Loyalisticin lead scoring pisteytys ei ole profilointia.
Jos suostumusta on pyydettävä, ei sitä saa edellyttää eikä oletusarvoisesti rastia. Esimerkiksi arvontaan osallistumiseksi ei voi edellyttää suostumuksen antamista kuin tietenkin itse arvonnnan toteuttamiseen vaadituilta osin. Lomakkeella oleva rasti on siis oltava oletuksena pois päältä.
On selvää, että suostumuksen pyytäminen pienentää rekisterin kokoa kummasti.
Working Party 29:n esityksissä on mm. suhtauduttu sähköpostin seuraamiseen siten, että siihen suostumus vaadittaisiin, tosin komissio on monissa kohdin kokenut WP29:n ylittäneen esityksissään valtuutensa.
Tätä kirjoitettaessa emme siis vielä tiedä, mitä tuolta puolelta on vielä tulossa.
Henkilötietoja ei enää säilytetä määrättömästi, eikä niitä tallenneta turhaan.
Se, että CRM:ssä ja rekistereissä roikkuu vanhoja asiakkaita ja liidejä, loppuu nyt.
Henkilötietoja saa käsitellä (eli säilyttää) vain jos sille on peruste. Vanhojen kontaktien säilyttämiselle on harvoin löydettävissä laillista perustetta.
Jos ostat yhteystietolistan, sinun on syytä olla tarkkana. Onko toimittaja huolehtinut GDPR-vaatimuksista myös sinun käyttötapauksesi osalta. Harva rekisterikauppias on.
Yleisesti GDPR:ää pidetään ostettujen listojen kuolemana. Mene ja tiedä.
Loyalisticiin ja muihin hyvämaineisiin sähköpostimarkkinointityökaluihin ei ostettuja listoja ole aikoihin saanut edes tuoda. Jos et usko, käy lukemassa käyttämäsi uutiskirjetyökalun ehdot.
Tietoturvan tasoksi kelpaa jatkossa vain paras
Tähän asti tietoturvan osalta on käytännössä saanut elää pellossa, sillä rimaa ei ole varsinaisesti asetettu millekään tasolle, mutta se loppuu nyt.
Jatkossa hyväksyttävä taso on state-of-the-art, mitä sillä nyt sitten tarkoitetaankin.
Tuskin voi kuvitella, että pk-yritys hankkii miljoonilla viimeisintä tunkeutumisen havainnointiteknologiaa, mutta jos turvaa saa yleisesti ja kohtuuhinnalla vaikkapa Verkkokauppa.comin hyllyltä, kaipa sitä voi silloin pitää yleisenä tasona.
Pulmasta tuskin puhutaan yritystä ulos, jos tietoturvasta ei ole aktiivisesti ainakin pyritty huolehtimaan.
Seuraavissa osissa siirrytään käytännön toimiin
Jos tässä kohtaa alat vaipua epätoivoon, ei huolta.
Paljon on tekemistä, mutta hyvällä toimintasuunnitelmalla ja pohjilla homma hoituu kuitenkin melko kivuttomasti.
Niistä lisää ensi kerralla.
Kirjoittaja Antti Pietilä Antti on Loyalisticin perustaja ja toimitusjohtaja, inboundin sanansaattaja, kouluttaja ja valmentaja, ohjelmistotoimialan vaikuttaja. Sano vain hei, vaikkapa Twitterissä. |