GDPR JA VERKKOKAUPPA
Tietosuoja-asetus koskee kaikkien kansalaisten henkilötietojen käsittelyä. Yhdenmukainen henkilötietolainsäädäntö EU:ssa tukee rajat ylittävää kaupankäyntiä. Kansalaisen on helpompi luottaa esimerkiksi verkkokauppoihin, kun hän tietää, että hänen henkilötietojaan käsitellään kaupanteon yhteydessä asianmukaisesti.
”Tulevaisuudessa bulgarialainen verkkokauppa on tietosuojan kannalta yhtä turvallinen kuin suomalainen, jos kauppa osoittaa noudattavansa asetusta” – Tietosuojavaltuutettu Reijo Aarnio
Suostumuksen hankkiminen
Verkkokaupan asiakkaalta (tilaajalta) ei aina tarvitse pyytää suostumusta henkilötietojen käsittelylle. Tämä johtuu siitä, että tilaus on sopimus, jossa asiakas on osapuolena.
Jos yrityksen asiakkaaksi rekisteröitynyt henkilö on tehnyt verkkopalvelussa ostoksen, tilauksen, varauksen tms., osapuolten välille on muodostunut henkilötietojen käsittelyyn oikeuttava asiallinen yhteys.
Jos osapuolten välille ei ole rekisteröitymisen seurauksena muodostunut asiakassuhdetta, kyse on muusta henkilön suostumukseen perustuvasta tietojen käsittelystä.
Jos suostumus henkilötietojen käsittelyyn on annettu internetissä, on kummankin osapuolen kannalta tarkoituksenmukaista, että henkilö voi myös perua suostumuksensa verkossa. On suositeltavaa, että suostumuksen voi perua samassa sähköisessä palvelukanavassa kuin missä se on annettukin.
Sähköinen markkinointi
Verkkokaupan asiakkaalle (tilaajalle) saa lähettää sähköistä markkinointia, jos asiakas on aktiivisesti sallinut sen tai jos sähköpostiosoite on saatu tilauksen yhteydessä, eikä asiakas ole aktiivisesti kieltänyt sitä, vaikka kieltomahdollisuutta on tarjottu. Rekisteriselosteessa on oltava maininta sähköisestä markkinoinnista.
Sähköpostimarkkinoinnista ja GDPR:stä puhuttaessa on tärkeää tunnistaa seuraavat roolit: uutiskirjeiden lähettäjä on rekisterinpitäjä (= se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan), ja uutiskirjeteknologian toimittava yritys on henkilötietojen käsittelijä (= se todellinen tietoja tallentava, kokoava ja säilyttävä jne. joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta). GDPR:n keskiössä on rekisterinpitäjän osoitusvelvollisuus, jonka myötä uutiskirjeen lähettäjällä tulee olla niin sanottu laillinen oikeusperuste henkilötiedon käsittelylle. Henkilötietojen käsittelyä koskevat periaatteet kuvataan GDPR-asetuksen artiklassa 5 ja oikeusperusteet määritellään artiklassa 6.
Kun ylläpidetään henkilörekisteriä, kuten postituslistoja, silloin on oltava näiden henkilötietojen käsittelylle peruste, joka kohtaa vähintään yhden 6. artiklan kohdan kanssa. Kun uutiskirje lähetetään listoilla oleville kontakteille, on viestintä perustuttava yhtä lailla vähintään yhteen artiklan kohdista.
Artikla 6
Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
- rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
- käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
- käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
- käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
- käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
- käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Suostumus henkilötietojen käsittelyyn
Asiakkailta on aina pyydettävä suostumus henkilötietojen käsittelyyn. Tämä on osittain virheellinen väite, sillä suostumuksesta ja sopimuksesta säädetään tietosuoja-asetuksen kuudennessa artiklassa henkilötietojen käsittelyn lainmukaisuudesta. Artiklan johtolause kuuluu: ”Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy”. Asiakassuhteessa edellytyksiä on usein useampia. Rekisterinpitäjän ja rekisteröidyn väliseen suhteeseen liittyy usein myös lakisääteisiä velvoitteita tai *oikeutettuja etuja. Suostumusta tulisi käyttää vain sellaisissa tilanteissa, joissa rekisterinpitäjän käytössä ei ole muuta oikeusperustetta henkilötietojen käsittelylle.
* oikeutettu etu voi olla olemassa esimerkiksi silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde − rekisteröity on esimerkiksi rekisterinpitäjän asiakas tai tämän palveluksessa.
Käytännön esimerkki
Jos rekisteröitynyt on tilannut itse (opt-in = henkilön itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn).
Syy käsitellä henkilötietoa on henkilön itsensä antama suostumus: hän on tilannut uutiskirjeen ja haluaa sen antamaansa sähköpostiin. Syy kohtaa artiklan ensimmäisen kohdan kanssa. Syy lähettää uutiskirjettä tälle henkilölle on sama artiklan kohta, suostumuksen mukaisen viestinnän toteuttaminen.
Jos sähköpostimarkkinointi perustuu lupaperusteiseen markkinointiin ja on luotu oma opt-in -lista, toimintamalli soveltuu sellaisenaan yhteen artiklan kanssa.
Entäpä ne kaikki muut vastaanottajat, kuin opt-in -tilaajat? Tulevaisuus on tämän suhteen vielä osittain epävarmaa.
Jos rekisteröitynyt on asiakas
Syy säilöä rekisteröidyn henkilötietoja on todennäköisesti yrityksen ja asiakaan välillä vallitseva sopimus, asiakassuhde (artiklan toinen kohta).
Syy lähettää uutiskirje asiakkaalle voi olla esimerkiksi sopimuksen täytäntöönpano (sama artiklan kohta), puhuttaessa vaikka verkkokaupan tilausvahvistuksesta.
Muut tilanteet, kuin ylläolevat, millaisia uutiskirjeitä voi lähettää asiakkaalle, joka ei ole antanut lupaa markkinointiviestintään? Mikä lasketaan artiklan mainitsemaksi oikeutetuksi eduksi?
Suostumus voidaan saada, vaikka seuraavanlaisella klausuulilla verkkosivulla
”Vahvistamalla sähköpostisi hyväksyt, että saamme jatkossakin lähettää sinulle hyödyllistä markkinointiin ja viestintää liittyvää sisältöä. Voit milloin tahansa peruuttaa tilauksesi alla olevasta linkistä.”