Tässä kooste miten tietosuojauudistus vaikuttaa digitaaliseen markkinointiin yrityksen verkkosivuilla.
Yleisimmät henkilötiedot, joita digitaalisessa markkinoinnissa käsitellään ovat:
- Nimi ja/tai sähköpostiosoite
- Osoite- tai paikkatieto (esim. IP-osoite)
- Eväste (vaikka ei sisältäisi edellä mainittuja tietoja)
Ylläolevia tietoja käyttävän yrityksen tulee kertoa, miten tietoja käsitellään yrityksessä.
Tyypilliset ohjelmat tai prosessit, joissa ylläolevaa tietoa käsitellään ovat:
- Verkkosivujen lomakkeet
- Verkkosivujen seuranta, esim. Google Analytics (käyttää evästettä ja paikkatietoa)
- Google, Facebook, Linkedin tai AdForm ReMarketing, tai Google Custom Audiences -kohdennus
- Markkinoinnin automaatio (esim. Active Campaign tai Hubspot)
Tärkein 25.5.2018 voimaan astuva muutos on, että käyttäjältä pitää saada aktiivinen suostumus verkkosivujen käyttöehtoihin ja tietojen käsittelyyn. Lisäksi käyttäjälle täytyy kertoa esimerkiksi verkkosivujen yksityisyyskäytäntö -tekstissä miten ja missä tietoja käsitellään.
EasyGDPR
Uusi GDPR-laki velvoittaa jokaisen henkilötietoja käsittelevän yrityksen kartoittamaan käytössään olevat henkilörekisterit sekä dokumentoimaan niiden tietovirrat. Tämä koskee markkinoinnin lisäksi yrityksen sisäisiä tietovirtoja, kuten palkanlaskentaa, työsopimuksia, työhakemuksia, kulunvalvontaa, asiakasrekisteria, jne.
Jokaisesta henkilörekisteristä on tehtävä oma tietosuojaselosteensa, ja niiden tulee olla helposti rekisteröityjen saavutettavissa eli käytännössä yrityksen verkkosivuilla. Dokumentaation lisäksi yrityksen on myös pystyttävä osoittamaan, että tietosuojaosaamista ylläpidetään ja kehitetään jatkuvasti.
Suosittelemme EasyGDPR-palvelua helpottamaan yrityksen omaa GDPR-dokumentointia.
Käyttäjän suostumus tietojen käsittelyyn
Suosittelemme käyttämään verkkosivuilla popup-layeria (kuten tähänkin asti), jossa kerrotaan yrityksen käyttävän evästeitä. Sen sijaan että popup-layer näkyy vain kerran, popup-layer näytetään käyttäjälle, kunnes saadaan ”rasti ruutuun” -hyväksyn yrityksen x -tietosuojakäytännön -painikkeeseen.
Esimerkki Popup-layerin tekstistä:
Tämä sivusto käyttää evästeitä palveluiden toimittamisessa, mainosten personoinnissa ja liikenteen analysoinnissa. Käyttämällä sivustoa hyväksyt evästeiden käytön. Lisätietoja. Hyväksyn X.
Verkkosivujen lomakkeet
Suosittelemme verkkosivujen lomakkeiden yhteyteen lisättäväksi uutta ”rasti ruutuun” -kenttää, jossa käyttäjä vahvistaa hyväksyvänsä yrityksen verkkosivujen käyttöehdot ja tietojen käsittelyn. Näin saadaan nimen/sähköpostiosoitteen kanssa hyväksyntä. Lomakkeen yhteyteen kannattaa laittaa myös yrityksen sähköpostiosoite ja/tai puhelinnumero yhteydenottoa varten.
Mallilauseke lomakkeisiin lisättäväksi:
Hyväksyn tietojeni rekisteröimisen (organisaatio) vaatimusten mukaiseen (asiakas / tms) rekisteriin sekä niiden käytön hyväksytyn tietosuojaselosteen mukaisesti – Rasti ruutuun ja alla linkki tietosuojaselosteeseen.
Verkkosivujen seuranta
Google Analytics käyttää evästeitä osana verkkosivujen seurantaa. Googlelta on tullut työkalu, jolla voidaan asettaa Analytics-evästeiden kesto. Kun yrityksenne on valinnut evästeen keston, pitää yrityksen tietosuojakäytäntö -tekstissä kertoa kuinka kauan evästeet ovat voimassa ja miten käyttäjä voi poistaa tai estää evästeiden käytön omassa selaimessaan. Lisätietoja Google Analytics & GDPR.
ReMarketing & SimilarTo -markkinointi
Riippumatta mainosalustasta (Google, AdForm, Facebook tai LinkedIn), ReMarketingissa käytetään aina evästeitä mainosten kohdistamiseen verkkosivuilla aiemmin vierailleille. Uudelleenmarkkinoinnin evästeen kestosta tulisi kertoa yrityksen tietosuojakäytännöt -sivulla. Tyypillisesti mainosalustassa voi itse määritellä evästeen keston. Jos et tiedä mikä on käyttämäsi Google ReMarketing-palvelun evästeen kesto, kysy asiasta omalta markkinoinnin yhteyshenkilöltäsi.
Custom Audiences -markkinointi käyttää asiakkaan sähköpostiosoitetta mainosten kohdistamiseen. Tähän tulee saada asiakkaalta lupa. Katso esimerkki Active Campaign & GDPR.
Markkinoinnin automaatio
Markkinoinnin automaatio perustuu tunnistetun henkilön toimintoihin verkkosivuilla tai toimintaan sähköpostin perusteella. Markkinoinnin automaation GDPR:stä lisätietoja.
Lisätietoja GDPR:stä: http://www.tietosuoja.fi/fi/index.html
Huom. Yllä oleva teksti on vapaamuotoinen kooste, eikä lopullinen tai kaiken kattava ja kaikille yrityksille sellaisenaan sopiva ohje. Menestystarinat Oy ei vastaa tietojen oikeellisuudesta tai mahdollisista tietojen tai lakien muutoksista. Esim. Suomen kansallinen tietosuojalaki ei ole kirjoitushetkellä valmis, eikä tule valmistumaan ennen EU:n GDPR-asetuksen voimaantuloa 25.5.2018.