Miten Creamailer auttaa huomioimaan GDPR:n tuomat postituslistoja koskevat velvoitteet?

Kuten meistä jokainen jo varmasti tietää, GDPR astuu voimaan 25.5.2018. Mitä GDPR tuo tullessaan ja miten Creamailer auttaa täyttämään sen tuomia vaatimuksia?

Kertausta - mitä GDPR tuo mukanaan

General Data Protectionin, eli GDPR:n tarkoituksena on luoda EU-alueelle yhtenäiset tietosuojakäytänteet. Sen päätehtävänä on:

• tukea henkilöiden yksityisyydensuojaa
• vaatia henkilötietoja käsitteleviä yrityksiä käsittelemään tietoja vastuullisesti
• antaa yksilöille oikeus tietää mitä tietoja hänestä on kerätty ja miten niitä käytetään

Lupa käsitellä henkilötietoja

Henkilö voi antaa luvan tietojensa käsittelyyn yhtä tai useampaa tarkoitusta varten. Henkilötietoja saa käsitellä, jos siihen on joku seuraavista syistä:

• asiakkuus, jäsenyys tai työsuhde
• annettu suostumus
• sopimus, esim. tilaus
• lakiin perustuva velvoite, esim. osakasluettelo
• yleinen etu, esim. arkistointi tai tutkimus

Mitä on henkilötieto?

Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan tunnistaa. Tällaisia ovat esimerkiksi:

• nimi
• sähköpostiosoite
• osoitetiedot
• puhelinnumero
• sosiaaliturvatunnus
• fyysinen ja psyykkinen kunto
• sosiaalinen ja taloudellinen status
• kulttuuri-identiteetti

sekä digitaaliset tunnisteet kuten:

• IP-osoite
• selailuhistoria
• cookiet
• paikannusdata

Lue lisää: Rules for the protection of personal data inside and outside the EU 

GDPR:n tuomat vastuut toimijoille

GDPR vastuuttaa kahdenlaiset toimijat: 

1. rekisterin/tietojen pitäjän ja 
2. rekisterin/tietojen käsittelijän 

Suurin osa Creamailerin asiakkaista luetaan rekisterinpitäjiksi, jotka päättävät mihin ja miten henkilötietoja käytetään. Creamailer taas toimii tietojen käsittelijänä prosessoiden tietoa rekisterinpitäjän puolesta. Vastuut jakautuvat siten, että asiakkaillamme on vastuu varmistaa Creamaileriin siirrettyjen tietojen luvanvaraisuus ja meillä taas on velvollisuus toimia vastuullisesti ja turvata Creamaileriin tuodut tiedot sekä teknisin keinoin että erilaisten prosessien kautta. Creamailerin tietoturva ja toimet on kuvattu tietotilinpäätöksessä. 

Mitä velvollisuuksia GDPR tuo asiakkaillemme ja miten Creamailer auttaa velvollisuuksien toteuttamisessa?

Henkilöillä on oikeus oikaista tai muuttaa hänestä kerättyjä tietoja milloin tahansa

Vastaanottaja voi päivittää tietonsa Creamailerin Tilaustietojen päivitys -lomakkeen kautta. Linkki lomakkeeseen voidaan lisätä esim. kaikkiin Creamailerilla lähetettyihin viesteihin. Tietoja voidaan muokata myös Creamailerin käyttäjän toimesta. 

Henkilöllä on oikeus tulla unohdetuksi, eli pyytää hänestä kerättyjen tietojen poistaminen

Yksittäisen vastaanottajan unohtaminen, eli hänen kaikkien tietojensa poistamismahdollisuus lisätään Creamaileriin lähiviikkoina. Tiedotamme ominaisuuden julkaisusta erikseen.

Henkilöllä on oikeus rajoittaa tietojensa käyttöä

Jos vastaanottaja ei halua olla esimerkiksi markkinointilistalla, mutta tahtoo vastaanottaa tiedotteet, voidaan tarkoituksia varten luoda omat postituslistat. Muita käytön rajausta helpottavia ominaisuuksia tullaan lisäämään lähitulevaisuudessa. 

Henkilöllä on oikeus milloin tahansa kieltää käyttämästä tietojaan markkinointia, tutkimusta tms. varten

Creamailerin Poistu postituslistalta -lomakkeen avulla voidaan poistaa henkilö kaikilta postituslistoilta. Jos postituslistan asetuksissa on valittuna lisää peruneet estolistalle, osoite poistetaan automaattisesti kaikilta postituslistoilta, mutta tiedot jäävät estolistalle. Lähiviikkoina julkaistavan ominaisuuden myötä vastaanottaja voidaan myös unohtaa, jolloin kaikki hänen tietonsa poistuvat järjestelmästä. 

Markkinointi- ja viestintäluvan saanti tulee pystyä osoittamaan jälkikäteen

Kuten edellä mainittiin, viestintäluvaksi voi riittää esimerkiksi asiakkuus, jäsenyys, työsuhde tai tilaus. Jos kyseessä on henkilön antama suostumus, tulee suostumus pystyä jälkikäteen todistamaan. Creamailerista löytyvän viestintäluvat-toiminnon avulla viestintäluvat voidaan dokumentoida ja arkistoida GDPR:n vaatimusten mukaisesti.

Mitä muuta sinun tulee muistaa

Laadi seloste tietojen käsittelystä. Selosteen tulee olla kaikkien saatavilla. Hyvä paikka on sijoittaa seloste esim. kotisivuille ja lisätä siihen linkki uutiskirjeisiin, tilauslomakkeisiin sekä kyselyihin. Selosteessa tulee kertoa mm.:

• rekisterinpitäjän nimi ja yhteystiedot
• tietosuojavastaava
• mitä varten tietoja kerätään
• mitä varten tietoja käytetään
• kuinka kauan tietoja säilytetään, esim. jos asiakkuus loppuu
• kuvakset rekisteröintiryhmistä, esim. asiakkaat, jäsenet jne.
• kuvaus tietoryhmistä esim. yhteystiedot
• kenelle henkilötiedot on luovutettu, esim. Creamailer
• tieto, jos henkilötietoja luovutetaan EU:n ulkopuolelle

Henkilölle tulee ilmoittaa, jos kerättyjä tietoja käytetään muuhun kuin siihen tarkoitukseen mikä hänelle on alun perin ilmoitettu.

Dokumentoi myös kuvaus säilytettävistä henkilötiedoista ja niiden sijainnista. Tämän lisäksi dokumentoi, jos luovutat tietoja toiselle toimijalle esim. palkanmaksua tai markkinointia varten.

Rekisterinpitäjän tulee tehdä kirjallinen sopimus, jos henkilötietojen käsittely ulkoistetaan tai jos tietoja siirretään. Rekisterinpitäjän tulee myös varmistaa, että jokainen oma työntekijä käsittelee henkilötietoja rekisterinpitäjän ohjeistuksen mukaisesti, tietoturva ja yksityisyydensuoja-asiat huomioon ottaen. 

Lue lisää: 

• Euroopan Parlamentin ja neuvoston asetus (EU) 2016/679
• GDPR eli EU:n tietosuojauudistus - asiakkaiden ja palveluntarjoajien toimet ja vastuut
• GDPR eli EU:n tietosuoja-asetus - Markkinoijan, viestijän ja asiakkaan näkökulmat