ePrivacy-asetus: Näin se vaikuttaa markkinointiisi ja asiakaspalveluusi

/ Maria Heimonen

GDPR-tietosuoja-asetus astuu voimaan toukokuussa. Vanha henkilötietolaki poistuu käytöstä. Heti perään vuonna 2019 EU tuo ePrivacy-asetuksen. Mitä tästä uusimmasta asetuksesta pitää tietää jo nyt?

Asetuksia asetusten perään. EU on nyt aktiivinen. Tällä on iso vaikutus sähköiseen markkinointiin ja asiakaspalveluun (onko enää nykyään muunlaista?) sekä yritysten sisäisiin käytäntöihin.

Kokosimme listan asioista, jotka on hyvä tietää ePrivacysta.

 

Mikä se on?

ePrivacy-asetus on sähköisen viestinnän tietosuoja-asetus, joka tulee voimaan 2019. Laki säätelee sähköistä viestintää erityisesti niiltä osin, kun kyseessä on henkilön tunnistaminen, profilointi ja viestinnän kohdistaminen. ePrivacy täydentää toukokuussa 2018 voimaan astuvaa GDPR-lakia ja tuo uutta lisäsäätelyä.

 

Mihin ePrivacy vaikuttaa käytännössä?

ePrivacy säätelee mm. evästetietojen ja muiden tunnistus- ja profilointimenetelmien käyttöä. Siten se vaikuttaa digimarkkinontiin, sähköiseen asiakaspalveluun, sähköiseen asiakasviestintään, analytiikkaan ja digitaaliseen mainontaan. Poliittisten neuvottelun tuloksena lopullinen laki voi tarkoittaa lievää kiristystä nykykäytäntöön tai toisessa ääripäässään hyvinkin tiukkaa uutta säätelyä.  

 

Ketä laki koskee?

Kuten GDPR tietosuoja-asetus, myös tuleva ePrivacy-asetus tulee samanlaisena voimaan kaikkialla EU:ssa ja asettuu kansallisten lakien yläpuolelle. ePrivacy koskee kaikkia EU:n alueella toimivia yrityksiä ja organisaatioita – myös niitä EU:n ulkopuolisia yrityksiä, jotka myyvät tai tarjoavat sähköisiä palveluita tai tekevät sähköistä viestintää EU-kansalaisille.

 

Milloin?

Eu valmistelee asetusta parhaillaan ja se tulee näillä näkymin voimaan 2019. Tarkkaa aikaa ei vielä tiedetä. Voimaantulon jälkeen on luvassa siirtymäaika, joka on todennäköisesti 12 kk. Pidempi siirtymäaika on mahdollinen, mutta epätodennäköinen, sillä ePrivacy ja GDPR liittyvät kiinteästi toisiinsa ja ne halutaan yhdessä voimaan mahdollisimman nopeasti.

 

Miten tämä eroaa GDPR-asetuksesta?

GDPR säätelee henkilötietojen käyttöä yleisellä tasolle. Sen vaikutus ulottuu myös sähköisten järjestelmien ulkopuolelle. GDPR on iso säätelykokonaisuus, johon ePrivacy-asetuksessa useassa kohdassa viitataan. ePrivacy taasen puuttuu vain sähköiseen viestintäkanavaan ja siinä tapahtuvaan toimintaan. 

 

Kuka hyötyy?

Irvailijat sanovat, että tästä hyötyvät isot jenkkiyritykset, sillä siellä ei ole halua samanlaiseen säätelyyn ja dataa voi hyödyntää surutta. EU:ssa kuluttaja tietää aiempaa paremmin, mihin hänen tietojaan käytetään ja voi rajoittaa tietojensa käyttöä aiempaa tehokkaammin. Hyötyjinä voivat olla myös yritykset, jotka osaavat rakentaa tätä kautta entistäkin luottamuksellisemman suhteen asiakkaisiinsa: asiakas saa kontrollin tunteen, tietää yrityksen kuuntelevan hänen toiveitaan ja voi itse valita niitä sisältöjä ja viestejä, joita todella haluaa saada.

 

Kuka kärsii?

ePrivacy vaikeuttaa sähköistä massamarkkinointia, vaikeuttaa profilointi- ja henkilötietojen myyntiä kolmansille osapuolille ja voi osaltaan vähentää spammia ja nettihuijauksia.  Asetuksen lopullisesta sanamuodosta riippuen se saattaa myös vaikeuttaa sähköisen mainonnan kohdentamista ja sähköistä asiakkuusmarkkinointia. Joissakin kaavailuissa telemarkkinoinnista voi tulla luvanvaraista ja soittaa saisi vain etukäteen luvan antaneille henkilöille (opt-in rekisteri nykyisen opt-out-rekisterin sijaan). Kielletyksi saattaa myös tulla verkkopalveluun pääsyn esto, jos käyttäjä ei hyväksy evästeitä. Paljon riippuu lain yksityiskohdista ja hurjimmat kiellot tuskin toteutuvat.

 

Vaatiiko tämä isoja toimia?

Jos organisaatiosi noudattaa jo nyt voimassa olevan lain henkeä, toimii vastuullisesti tietojen keräämisessä ja käsittelyssä ja on vielä valmistautunut GDPR:n voimaantuloon, ei ePrivacy tuo isoa lisätyömäärää. Muutoksia on silti luvassa.

Aivan varmasti lisätyötä on luvassa yrityksille, jotka ovat jälkijunassa toukokussa 2018 starttaavan GDPR:n suhteen ja joilta puuttuu siihen tarvittava etukäteisdokumentointi, todistettavat suostumukset markkinointilupiin, käytännöt asiakkailta tulevien tietopyyntöjen ja poistopyyntöjen hoitamiseen tai proaktiivinen käyttäjien informointi. Jos kuulut tähän joukkoon, nyt on viimeinen hetki ryhdistäytyä. Ei siksi, että viraomaiset heti sakottaisivat puutteista, vaan siksi, että maineriski ja badwill uhkaavat asiat huonosti hoitaneita.

 

Miksi laki halutaan?

EU:n isoissa maissa, kuten Saksassa ja Ranskassa yleinen mielipide on Pohjoismaita huolestuneempi yksityisyydensuojan suhteen. Seurantaan ja profilointiin vaaditaan tiukempia sääntöjä ja tällä on laaja poliittinen kannatus. Kaikkeen seurantaan suhtaudutaan ylipäätään hyvin paljon kriittisemmin kuin Suomessa. Tätä sivuava esimerkki: Suurissa jäsenmaissa ei tulisi kuuloonkaan, että kerrostalon ala-aulassa tai asuntojen ovissa lukee asukkaiden sukunimet.

 

Entä kansallinen säätely?

ePrivacy ja GDPR koskevat samanlaisina kaikkia EU-jäsenmaita. Suomessa on tämän lisäksi vajaat tuhatkunta lakia, joissa on esimerkiksi henkilötietojen käsittelyyn liittyviä pykäliä, olipa sitten kyseessä työsuhde, terveydenhuolto, luottokorttiostot tms. Suomen nykyinen henkilötietolaki katoaa GDPR:n myötä ja saamme kansallisen, GDPR-asetusta täydentävän tietosuojalain (laki sähköisen viestinnän palveluista) 1.6.2018.

 

Kuka tulkitsee lakia?

Suomessa ePrivacyn ja GDPR:n osalta lakia valvoo kansallinen tietosuojavaltuutettu. Viime kädessä tulkintaa tehdään oikeusistuimessa. Vaikka ePrivacy edustaa täysharmonisointia, eli tulee voimaan samanlaisena kaikkialla, tosiasia on, että sitä tullaan soveltamaan eri maissa eri tavalla. Näin on tapahtunut nykyistenkin EU-lakien kanssa. Siksi kansainvälistä toimintaa harjoittavan yrityksen pitää olla valppaana – samaa lakia voidaan tulkita eri maissa eri vivahtein.

 

Eikö tämä ole lakimiesten hommia?

Ei pelkästään. Uudet lait vaikuttavat siihen, mitä markkinointisi saa käytännössä tehdä, millaista analytiikkaa digitoimistosi voi käyttää, millaista informointia viestintäporukkasi täytyy sivuillesi, appeihisi tai vaikkapa IoT-laitteisiisi laatia. Lain konkretian ja hengen noudattaminen – tai noudattamatta jättäminen – vaikuttaa myös yrityksesi käsittelyyn aktivistikuluttajien, kuluttajajärjestöjen, somevaikuttajien, pettyneiden asiakkaiden ja yhteistyökumppaneiden toimesta.

 

Mitä pitää tehdä?

Tee kaksi asiaa. Ensimmäinen asia on perehtyä tarkemmin ePrivacy-asetukseen. Seuraa, millaisen muodon se saa EU:n käsittelyssä. Ensimmäinen hetki tehdä tämä on näillä näkymin alkusyksystä, kun EU:n neuvosto julkaisee oman esityksensä jo saatujen komission ja parlamentin esitysten rinnalle – sitten alkaa lopullinen vääntö sisällöstä. Toinen asia on nimetä organisaatiossasi henkilö, jonka päävastuulla asian valmistelu ja projektointi on. Kuten aina, hyvin valmisteltu on puoliksi tehty.