PWC Uutishuone

Asiakastietojen käyttäminen markkinoinnissa – muista ainakin nämä!

Moni yritys on kerännyt asiakkaistaan tietoja, joita se haluaa hyödyntää markkinoinnissa. Asiakastietojen käsittely on kuitenkin usein henkilötietojen käsittelyä. 25.5.2018 sovellettavaksi tulevan EU:n tietosuoja-asetuksen myötä erityisesti käsittelyn oikeusperuste tulee ottaa entistä tarkemmin huomioon. Tietosuoja-asetus vahvistaa yksilön oikeutta omiin tietoihinsa, ja käsittelyn tulee jatkossa perustua johonkin asetuksen kuudesta käsittelyperusteesta eli sopimukseen, oikeutettuun etuun, suostumukseen, lakiin, rekisteröidyn suojaamiseen tai julkiseen tehtävään. Asiakasrekisterin käytön oikeutta arvioitaneen useimmiten kolmella ensin mainitulla perusteella.

Sopimus

Henkilötietojen käsittely on perusteltua silloin, kun se on tarpeellista sellaisen sopimuksen täytäntöön panemiseksi, jonka osapuolena rekisteröity on. Esimerkiksi verkkokaupassa tarvitaan ostajan luottokortti- ja osoitetiedot maksua ja tavaran toimittamista varten. Lähtökohtaisesti muita kuin sopimuksen täytäntöön panemiseksi tarpeellisia henkilötietoja ei saa kerätä tai käsitellä, eikä tietoja saa käyttää muuhun tarkoitukseen kuin mihin ne kerätty. Toisaalta tarpeellisten tietojen käsittelyyn ei tarvita muita oikeusperusteita (kuten suostumusta) niin kauan kuin tietoja käsitellään ainoastaan sopimuksen täytäntöön panemiseksi. Sopimus saattaa kuitenkin aloittaa asiakassuhteen, jonka perusteella rekisterinpitäjä voi käyttää tietoja myöhemmin oikeutetun edun perusteella. Tietojen käyttämisen muuta tarkoitusta kuin sitä tarkoitusta varten, jonka vuoksi ne on kerätty, tulee kuitenkin olla yhteensopiva alkuperäisen tarkoituksen kanssa.

Oikeutettu etu

Asetuksen mukaan henkilötietojen käsittely on sallittua, jos se on tarpeellista rekisterinpitäjän tain kolmannen osapuolen oikeutetun edun toteuttamiseksi ja jos rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät tätä oikeutta syrjäytä. Tällä perusteella asiakasrekisterin tietoja katsotaan yleensä voitavan hyödyntää esimerkiksi silloin, kun rekisterinpitäjän ja rekisteröidyn välillä on asiakassuhde. Silloinkin asiakastietojen käyttämisessä tulee ottaa huomioon rekisteröidyn kohtuulliset odotukset. Rekisteröidyn oikeudet ja vapaudet taas syrjäyttävät rekisterinpitäjän oikeudet mm. silloin, kun rekisteröity on lapsi. Kaikissa tapauksissa rekisterinpitäjän tulee itse arvioida, voiko hän käyttää keräämiään asiakastietoja oikeutetun etunsa perusteella.

Suostumus

Henkilötietoja voidaan käsitellä henkilön antaman suostumuksen perusteella, vaikka muuta oikeusperustetta tietojen käyttämiselle ei olisi. Jotta suostumusta pidettäisiin asetuksenmukaisena oikeusperusteena, se tulee antaa vapaaehtoisesti ja tietoisesti. Lisäksi suostumuksen tulee olla yksilöity ja yksiselitteinen. Erityisten henkilötietoryhmien kohdalla suostumuksen on oltava nimenomainen. Näin ollen suostumuksen pyytämiseen tulee kiinnittää erityistä huomiota. Suostumuksen antamista koskeva pyyntö on esitettävä selkeästi ja suostumus tulee antaa jollakin toimella, esimerkiksi merkitsemällä rasti ruutuun. Rekisterinpitäjän tulee myös tarvittaessa voida osoittaa, että suostumus on annettu ja että se on olemassa. Alaikäisten (alle 16-vuotiaiden) lasten osalta suostumus tulee saada vanhemmilta.

Suostumuksen tulee kattaa kaikki henkilötiedon käyttötarkoitukset. Mikäli tietoa halutaan käyttää markkinoinnissa, suostumus tulee saada nimenomaan markkinointia varten. Jos rekisterinpitäjällä jo olevat suostumukset täyttävät edellä kuvatut vaatimukset, kerättyjä suostumuksia ei tarvitse uusia.

Kerättyjen asiakastietojen myöhempi käyttö markkinoinnissa tulee voida perustella

Markkinoinnin kannalta tärkeimmät tiedot ovat asiakkaiden ja mahdollisten uusien asiakkaiden tiedot. Jatkossa näiden tietojen käsittelyperusteen merkitys korostuu, sillä alun perin muussa kuin markkinointitarkoituksessa kerättyjen asiakastietojen myöhempi käyttö markkinoinnissa tulee myös voida perustella jollakin asetuksen mukaisella edellytyksellä. Käytännössä varmin tapa toimia asetuksen mukaisesti on pyytää asiakkailta suostumus myös tämänkaltaiseen tietojen käyttöön. Suositeltavaa olisi myös suunnitella prosessit siltä varalta, että asiakas peruuttaa suostumuksensa tai vastustaa tietojensa käyttöä markkinoinnissa. Tällöin käsittelyperustetta ko. asiakaan tietojen hyödyntämiselle ei enää ole, ja tietojen käyttäminen markkinointitarkoituksissa tulee lopettaa.