Jos olet täysin rehellinen itsellesi, voitko sanoa olevasi täysin perillä sähköisen suoramarkkinoinnin sääntelystä? Jos vastauksesi oli epävarma “ehkä” tai suora “en”, ei hätää – tämä blogi on kirjoitettu juuri sinua varten. Käyn läpi erityisesti sähköpostimarkkinointiin liittyvää sääntelyä ja ohjaan sinut oikeisiin osoitteisiin lukemaan tärkeistä aiheista tarkemmin. Huomaathan kuitenkin, että tämä blogiteksti ei ole virallista lakitekstiä, vaan kooste aihepiiristä ja siitä, mihin kannattaa suunnata, jos haluat vielä tarkempaa tietoa.
Viimeisen kymmenen vuoden aikana ihmisten yksityisyyteen digitaalisissa ympäristöissä on tehty paljon tiukennuksia meidän jokaisen tietosuojaa parantamaan. Tällä pyritään siihen, että jokaisella olisi oikeus päättää siitä kenelle luovutamme henkilötietojamme ja mihin tarkoitukseen.
Erityisesti nyt kun suurin osa kaupankäynnistä on jollain tasolla digitaalista – on sitten kyse verkko-ostamisesta, kanta-asiakaspisteiden käyttämisestä kaupan tiskiltä ostaessa tai kampaajalle ajanvarauksen tekemistä – jätämme itsestämme huomaamattammekin paljon henkilötietoja eri tahojen säilytettäväksi. Verkkohuijausten, identiteettivarkauksien ja tietovuotojen lisääntyessä on kriittistä, että jokaisella on mahdollisuus säädellä itsestä säilytettäviä henkilötietoja. Toisaalta on myös tärkeää, että henkilötietoja keräävät organisaatiot sisäistävät henkilötietojen keräämisen ja säilyttämisen mukana tulevan vastuun tietojen oikeaoppisesta käytöstä.
Miten henkilötietojen käyttöä ja tietosuojaa säännellään Suomessa?
Ohjeet ja säännöt tietosuojaan ja sähköiseen suoramarkkinointiin eivät tule ainoastaan yhdestä osoitteesta, vaan siihen vaikuttavat esimerkiksi EU:n laajuinen tietosuoja-asetus GDPR, joka sellaisenaan on voimassa jokaisessa EU:n jäsenmaassa. Tämän lisäksi nykyinen ePrivacy-direktiivi on ollut ohjaamassa Suomeen luotavaa lainsäädäntöä.
EU on kuitenkin uudistamassa ePrivacyä päivittämällä sen sisältöjä ja muuttamassa sen muotoa asetukseksi, jonka myötä se astuisi voimaan sellaisenaan myös täällä Suomessa. Lisäksi Suomen sisäiset lait määrittävät henkilötietojen käyttöä. Perehdytään näihin hieman tarkemmin seuraavaksi.
GDPR
GDPR (General Data Protection Regulation eli EU:n yleinen tietosuoja-asetus) sääntelee henkilötietojen käsittelyä eli mitä, miten ja miksi henkilötietoja voi kerätä, säilyttää ja käsitellä, millaisia oikeuksia yksityishenkilöillä on omien tietojensa saamiseen, oikaisemiseen, poistamiseen, sekä niiden käsittelyn rajoittamiseen. Lisäksi GDPR:n myötä EU:ssa on myös yhteiset prosessit tietoturvaloukkausten varalta. Suomessa GDPR:n toteutumista valvoo tietosuojavaltuutetun toimisto.
ePrivacy-direktiivi ja tuleva ePrivacy-asetus
Vanha ePrivacy-direktiivi on vuodelta 2002 ja siksi kovasti päivityksen tarpeessa. Direktiivi on kuitenkin ollut tärkeä pari GDPR:lle, sillä ePrivacy:ssä säännellään tarkemmin sähköistä viestintää kuten evästeitä, datan säilytystä sekä sähköpostimarkkinointia, joihin GDPR:ssä ei taas puututa. Tämä ePrivacy-direktiivi on toiminut ohjenuorana Suomen tietosuojalaille. Vanha ePrivacy on kuitenkin kokemassa muodonmuotosta, jonka myötä yksityihenkilöiden yksityisyydensuoja digitaalisissa ympäristöissä paranisi merkittävästi.
Uusi, tällä hetkellä vielä luonnostilassa oleva ePrivacy julkaistaisiin asetuksena koko EU:n alueelle. Aikataulu tälle on edelleen epävarma, mutta voimme odottaa uutta ePrivacyä viimeistään parin vuoden sisään. Uuden asetuksen myötä esimerkiksi Facebook Messengerin ja Whatsappin kaltaisilta viestintäsovelluksilta velvoitettaisiin samantasoista luottamuksellisuutta ja yksityisyydensuojaa kuin perinteisiltä televiestinnän toimijoita. Lisäksi luonnoksen mukaan näyttäisi, että metadatan käyttöä tullaan säätelemään ja esimerkiksi datan anonymisointia saatetaan velvoittaa. Spam-viestien sääntely paranisi nykyisestä, sillä luonnoksen mukaan niin sähköposti- kuin tekstiviestivälitteisiäkin roskaposteja tultaisiin rajoittamaan niin, että viestien lähettäminen vaatisi aina luvan, myös niissä maissa EU:ssa joissa tämä ei tällä hetkellä ole vaatimus. Myös evästeisiin tullaan luomaan koko EU:n kattavat yhteiset säännöt, joihin luonnoksen mukaan tulee sisältymään suostumuksen kerääminen. Tämä ei kuitenkaan todennäköisesti vaikuta Suomessa merkittävästi, sillä nykyiset Traficomin ohjeet ovat hyvin lähellä ePrivacy-asetuksessa ehdotettuja.
Tietosuojalaki ja laki sähköisen viestinnän palveluista (ent. tietoyhteiskuntakaari)
Suomessa tietosuojaa säädellään tietosuojalaissa sekä tietoyhteiskuntakaaren korvanneessa laissa sähköisen viestinnän palveluista. Kummassakaan ei suoraan juuri puhuta sähköpostimarkkinoinnista vaan lakitermein kyse on sähköisestä suoramarkkinoinnista – pidä tämä siis mielessä kun selaat lakipykäliä läpi. Lisäksi markkinointia ja asiakassuhteita säännellään myös kuluttajansuojalaissa. Suomen lait löydät helposti Finlexistä, joka on oikeusministeriön omistama, pääasiallisesti kansalaisille tarkoitettu, maksuton oikeudellisen aineiston palvelu.
Muut ohjeistukset ja kansankielisemmät oppaat – Perehdy ainakin näihin!
Usein markkinoijalla ja/tai kuluttajalla ei ole tarpeeksi aikaa tai ymmärrettävästi edes oikeudellista pohjatietoa siihen, että lakeja pystyisi itse tulkitsemaan. Onneksi on olemassa tahoja, jotka luovat kansankielisempiä oppaita markkinoijan työn tueksi. Hyviä tahoja ja oppaita ovat esimerkiksi:
- Kilpailu- ja kuluttajaviraston “Tietoja ja ohjeita yrityksille” sekä “Sopimaton suoramarkkinointi”
- Tietosuojavaltuutetun toimiston tietosuoja-ohjeistukset, esimerkiksi “Usein kysyttyä suoramarkkinoinnista”
- Asiakkuusmarkkinointiliiton pelisäännöt ja ohjeistukset
Sähköpostimarkkinoinnin säännöt
Nyt kun sähköisen suoramarkkinoinnin sääntelyä on pohjustettu, voimme hypätä siihen miten näitä lakeja tulkitaan sekä mitä markkinoijan olisi hyvä tietää erityisesti sähköpostimarkkinoinnista. Sähköpostimarkkinointiin linkittyy vahvasti henkilötietorekisterit ja niiden vaatimukset, sillä ilman sähköpostilistaa ei sähköpostimarkkinointia voi tehdä. Jotta voit siis hyvillä mielin lähettää uutiskirjeitä tai lähettää markkinoinnin automaation avulla kohdennettuja viestejä, varmista että seuraavat henkilötietorekistereihin liittyvät vaatimukset täyttyvät.
Henkilötietorekisterit
Henkilötietorekisteri on tietojoukko, joka sisältää nimensä mukaisesti henkilötietoja. Henkilötietoja ovat kaikki ne tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa – henkilötietoihin voi sisältyä esimerkiksi suoria henkilötietoja kuten nimi tai henkilötunnus, tai epäsuoria henkilötietoja kuten henkilön sähköpostiosoite, auton rekisterinumero tai IP-osoite.
Monesti yrityksissä ei aivan ymmärretä henkilötietorekisterin käsitteen laajuutta, vaan termi mielletään lähinnä markkinoijan käytössä olevaksi sähköpostilistaksi. On kuitenkin tärkeä muistaa, että henkilötietorekisterejä ovat myös mm. asiakasrekisterit, työvuorolistat, kuitattavien esineiden rekisterit (esim. toimiston avaimet, autot), joten niitä koskevat samat säännöt kuin muitakin henkilötietorekisterejä. Henkilötietorekistereitä voidaan säilyttää monenlaisissa tietojärjestelmissä, joista toki sähköpostimarkkinoinnin tai markkinoinnin automaatioiden järjestelmät ovat esimerkkejä, mutta rekistereitä löytyy usein myös esimerkiksi CRM- ja ERP-järjestelmistä, yrityksen Excel-tiedostoista tai taloushallinnon ohjelmistoista. Muistathan siis, että GDPR koskee myös näitä muita rekistereitä.
Rekisteriseloste
Kirjallinen, organisaation sisäinen rekisteriseloste henkilötietorekisterille vaaditaan, mikäli seuraavat kriteerit täyttyvät:
- Jos organisaatiossa on yli 250 työntekijää. Tällöin rekisteriselosteen pitää sisältää kaikki käsittelytoimet.
TAI - Organisaation työntekijöiden määrästä riippumatta, jos yksikin seuraavista kohdista toteutuu:
- henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn henkilön oikeuksille ja vapauksille
- henkilötietojen käsittely ei ole satunnaista
- käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.
Näistä useimmiten vaihtoehdon kaksi toinen kohta täyttyy, sillä usein näitä rekistereitä hyödynnetään jatkuvasti osana liiketoimintaa. Mikäli kaipaat lisätietoa rekisteriselosteen vaatimuksista, voit lukea lisää tietosuojavaltuutetun toimiston ohjeista.
Tietosuojaseloste
Rekisteriselosteen lisäksi myös tietosuojaseloste voi olla tarpeellinen. Mikäli yritys kerää henkilötietoja esimerkiksi nettisivujensa lomakkeiden kautta, tulee sen täyttää tietosuoja-asetuksen mukainen informointivelvoite, joka useimmiten toteutetaan tietosuojaselosteella.
Tietosuojaselosteen tulee sisältää muun muassa seuraavat tiedot:
- Rekisterinpitäjän ja sen edustajan yhteystiedot
- Henkilötietojen käsittelyn tarkoitus
- Henkilötietojen vastaanottajat
- Mikäli tietoja siirretään kolmansiin maihin, tulee tästä ja niihin liittyvistä suojatoimista informoida
- Henkilötietojen säilytysaika
- Rekisteröidyn henkilön oikeudet. Rekisteröidyn oikeuksiin sisältyy esimerkiksi oikeus tietää mistä henkilötiedot on hankittu, miksi niitä tarvitaan, kuinka kauan tietoja tarvitaan, onko henkilötietoja luovutettu eteenpäin ja mikäli kyllä niin kenelle, onko tietoja siirretty EU:n ulkopuolelle, ja onko henkilötietojen käsittelyssä käytetty automaattista päätöksentekoa. Lisäksi rekisteröidyllä on oikeus peruuttaa suostumuksensa henkilötietojen käsittelyyn ja säilömiseen milloin tahansa. Rekisteröidyillä on myös oikeus tehdä valitus valvontaviranomaiselle.
- Lisäksi tietosuoja-asetuksen 30. artiklan vaatimusten perusteella tietosuojaselosteeseen lisätään kuvaus henkilötietojen turvallisuuteen liittyvistä teknisistä ja organisatorisista turvatoimista. Tämä samainen tieto tulee olla myös osa rekisteriselostetta, jos aiemmin tekstissä mainitut vaatimukset rekisteriselosteen luomisesta täyttyvät.
Henkilötietojen kerääminen
GDPR ei määrittele mitä tietoja esimerkiksi asiakasrekisteriin tai markkinointirekisteriin saa tallentaa. Tämä on organisaatioiden kannalta erittäin hyvä asia, sillä yritysten tarpeet vaihtelevat merkittävästi: Kampaamoyritys voi haluta tallentaa tietoja asiakkaan luonnollisesta hiustenväristä, kun taas vaatekauppaa voi hyödyttää tiedot siitä minkä värisiä ja tyylisiä tuotteita asiakas yleensä ostaa. On kuitenkin tärkeää, että kerättävistä tiedoista viestitään rekisteröitävälle avoimesti. Lisäksi kerättävien tietojen täytyy liittyä määritettyyn käyttötarkoitukseen, eikä käyttötarkoitus saa muuttua olennaisesti, ilman että rekisteröidyltä pyydetään suostumus uudestaan. Arkaluontoisten henkilötietojen, kuten terveystietojen tai seksuaalisen suuntautumisen osalta kannattaa kuitenkin olla varovainen, sillä tietosuojaa tulkitaan niiden osalta tiukemmin. Kerääthän siis ainoastaan tarpeellista dataa.
Markkinointirekisterin osalta on tärkeä korostaa, että ilman rekisteröitävän aktiivista suostumusta tietoja ei saa kerätä. Tämä tarkoittaa siis sitä, että rekisteröidyn täytyy aktiivisella toimenpiteellä ilmoittaa suostumuksensa henkilötietojen käsittelyyn tietosuojaselosteen mukaisesti, joten esimerkiksi nettisivujen uutiskirjelomakkeessa suostumuksen hankkimiseen ei voi käyttää esitäytettyä valintaruutua vaan henkilön täytyy itse klikata suostumus. Rekisterinpitäjällä on todistusvastuu siitä, että ennakkosuostumus on saatu rekisteröidyltä.
GDPR kuitenkin linjaa, että henkilötietoja saa säilyttää vain rajatun ajan ja perustellusta syystä. Tämä nousi otsikoihin hetki sitten, kun Tietosuojavaltuutetun toimisto määräsi Verkkokauppa.comille yli 850 000€ seuraamusmaksun asiakastietojen säilytysajan määrittelemättä jättämisestä.
Yleinen GDPR:n harhaluulo onkin se, että asiakassuhde oli GDPR:n mukainen “oikeutettu etu”, mikä toimisi perusteena asiakastiedon säilyttämiseen ikuisesti. Näin ei kuitenkaan ole, joten on tärkeää muistaa määritellä henkilötietojen säilytysaika tietosuojaselosteeseen ja myöskin toimia sen mukaan poistamalla henkilötietoja järjestelmistä niiden säilytysajan päättyessä.
GDPR-rikkomuksista pidetään kirjaa ja rikkeet tehneet yritykset ja heidän saamat seuraamusmaksut löydät netissä olevasta avoimesta seurantajärjestelmästä.
Sähköinen suoramarkkinointi kuluttajille – B2C
Sähköpostimarkkinoinnissa ja kaikessa muussakin sähköisessä suoramarkkinoinnissa on erilaiset säännöt kuluttajille ja yrityksille markkinoitaessa. Kuluttajille markkinoitaessa säännöt ovat tiukemmat. Kaikki sähköinen suoramarkkinointi kuluttajille edellyttää vastaanottajan suostumusta etukäteen. Ilman erillistä lupaa markkinointiviestien toimittaminen on Kilpailu- ja kuluttajaviraston mukaan kuitenkin sallittua, jos kaikki nämä vaatimukset täyttyvät:
- Yhteystiedot on saatu tuotteen myynnin yhteydessä ja viestissä markkinoidaan ainoastaan vastaavia tuotteita kuin yritys aikaisemman kaupan yhteydessä on myynyt.
- Kuluttajalle on kaupan yhteydessä kerrottu markkinointiviestien lähettämisestä.
- Kuluttajalle on selvästi ja erottuvasti kerrottu jokaisen sähköisen markkinointiviestin yhteydessä oikeudesta kieltää viestien lähettäminen.
Lataa maksuton opas: Sähköpostiautomaatio-opas verkkokaupoille
Sähköinen suoramarkkinointi yrityksille – B2B
B2B-markkinoinnin sääntely on väljempää ja B2B-kontakteille saa lähettää markkinointiviestintää myös ilman lupaa, kunhan toinen alla olevista ehdoista täyttyy:
- Viestintä kohdistuu olemassa oleville yritysasiakkaille
- Markkinoitava tuote tai palvelu liittyy henkilön työtehtäviin tai vastuualueeseen.
Jälkimmäisen ehdon varjolla monen yrityspäättäjän sähköposti täyttyykin sadoista viesteistä päivittäin. Kannattaakin tarkkaan harkita onko tällainen luvaton markkinointiviestintä kannattavaa vai voisiko markkinointia kohdentaa ennemmin jo tuotteista tai palveluistanne kiinnostuneille ja luvan myöntäneille? Muistathan myös, että B2B-kontaktilistakin on henkilörekisteri, joten siihen pätee samat GDPR:n säännöt kuin muihinkin henkilötietorekistereihin.
Nämä säännökset ovat sähköpostimarkkinoinnin osalta kriittisimpiä, joten varmista, että yrityksenne toimii näiden sääntöjen mukaan. Tietosuoja on todella laaja aihe, josta löytyy onneksi paljon informaatiota, mutta on täysin ymmärrettävää jos sääntely tuntuu hankalalta ja monimutkaiselta. Mikäli kaipaat vielä tarkempia ohjeita, suosittelen perehtymään aiemmin tekstissä mainittuihin tietolähteisiin. Voin suositella etenkin tietosuojavaltuutetun toimiston ohjeistuksia, jotka ovat aina ajantasaisia, helposti ymmärrettäviä ja hyvin kategorisoitu tiedon nopeaa löytämistä varten. Suosittelen myös seuraamaan tietosuojaa koskevia uutisia sekä tietosuojavaltuutetun toimiston ajankohtaista-osiota, sillä säädöksiä päivitetään tiedon ja ymmärryksen lisääntyessä jatkuvasti. GDPR oli voimaan astuessaan hyvin epämääräinen, jonka vuoksi säädöksiä tarkennetaan edelleen. Monilla yrityksillä on edelleen suuriakin puutteita tietosuojan osalta, ja tietosuojavaltuutun toimisto tarttuu rikkeisiin myös nykyään enemmän. Turvaa siis oma selustasi ja oman rekisterisi henkilöiden tietosuoja olemalla aktiivinen tietosuojan kehittämisessä.
Sähköpostimarkkinoinnin rooli vuonna 2024
Joka vuosi kuulemme ennusteita siitä, että vanhanaikaisen sähköpostimarkkinoinnin aika on kohdannut loppunsa, sillä muut digimarkkinoinnin kanavat ovat ajaneet sen ohi. Sähköpostin käyttäjien määrä kuitenkin kasvaa tasaisesti vuosittain ja vuonna 2024 sähköpostia käyttää jo 4,48 miljardia ihmistä.
Sähköpostin postilaatikko tarkistetaan yleensä päivittäin, joten yrityksen on helppoa ja äärimmäisen edullista välittää viestinsä kohderyhmälleen. Sähköpostimarkkinoinnin edullisuus ja toisaalta myös tehokkuus ovatkin syynä sille, että sen keskimääräinen ROI on esimerkiksi paljon some- tai Google-mainontaa korkeampi.
Sähköpostimarkkinoinnin etuja ovat myöskin sen skaalautuvuus ja personointi markkinoinnin automaatioiden avulla. Tämä mahdollistaa sen, että yritys voi puhutella vastaanottajaa henkilökohtaisesti, juuri hänen tilanteeseensa sopivalla viestikulmalla, jolloin myös sähköpostiviestinnän tulokset paranevat.
Jos haluat perehtyä sähköpostimarkkinointiin ja markkinoinnin automaatioon lisää, lataa maksuton oppaamme! Mikäli kaipaat tukea tai sparrailua yrityksesi sähköpostimarkkinointiin tai markkinoinnin automaatioihin liittyen, laita meille viestiä ja sovitaan yhteinen juttutuokio!
Lataa markkinoinnin automaation opas