GDPR loi globaalin lumipalloefektin

EU:n yleinen tietosuoja-asetus GDPR astui voimaan toukokuussa 2018. Uusi asetus aiheutti paljon työtä ja järjestelmämuutoksia etenkin niissä organisaatioissa, joiden tekniset ratkaisut olivat vanhentuneita ja joissa ei ollut entuudestaan määritelty henkilötietojen käsittelyn periaatteita, sanoo Mainostajien Liiton toimitusjohtaja Riikka-Maria Lemminki. Lemminki kertoo millaisia vaikutuksia GDPR:llä on ollut markkinointiin ja mainontaan:

– Alussa törmäsimme sopimuksiin liittyviin ja soveltamisen käytännön haasteisiin jäsentemme kautta. Mediat  ja mainostajat hakivat yhteistä näkemystä asetuksen soveltamisesta ja jotkut mediatalot halusivat sopimuksissaan jo valmistautua tulevaan ePrivacyyn, jonka sisältö ja voimaatuloaika ovat vielä avoinna. Erityisesti sessio- tai istuntoevästeiden tulkitseminen henkilötiedoksi aiheutti erimielisyyttä. Sessioevästeet eivät ole henkilötietoja, silloin kun tietoa ei kytketä yksilöityyn henkilöön. Nostimme tämän asian esiin jäsentemme keskuudessa, ja lopulta löytyi sopimusratkaisu, joka tyydytti eri osapuolia. Myös mediatoimistojen ja asiakkaiden välisissä sopimuksissa oli kohtia, jotka eivät olleet kaikille sopivia. Esimerkiksi lääkäriasemat eivät luovuta omaa dataansa markkinoinnin kohdennukseen, mikä piti huomioida sopimuksissa.

GDPR sai aikaan maailmanlaajuisen lumipalloefektin, joten kyse ei ole enää vain eurooppalaisesta ilmiöstä ja toimintamallista. Tätä kehitystä vauhditti Facebookin Cambridge Analytica -kohu. Esimerkiksi Kiina on ottanut käyttöönsä kansalliset henkilötietojen käsittelyyn liittyvät direktiivit, jotka määrittävät miten dataa voidaan kerätä, säilöä ja käsitellä. Japanin henkilötietojen suojasta määrittävä APPI tuli voimaan jo toukokuussa ja on pääosiltaan linjassa GDPR:n kanssa. Myös Brasilia hyväksyi uuden henkilötietojen käsittelyä koskevan lain LGpD:n elokuussa. Se muistuttaa hyvin paljon GDPR:ää ja tulee voimaan helmikuussa 2020. Myös USA:ssa keskustelua käydään kiivaasti uuden henkilötietojen keräämistä, käsittelyä ja käyttöä rajoittavan lainsäädännön luomisesta, ja Floridassa työstetään vauhdilla osin jopa GDPR:ää tiukempaa sääntelyä.

Seuraamme kehitystä ja olemme mukana vaikuttamassa globaaliin sääntelyyn kattojärjestömme World Federation of Advertisersin kautta, kertoo Lemminki.

EU:n ePrivacy-hanke etenee – mitä on odotettavissa? (video)

GDPR

Digimarkkinointiin vaikuttava ePrivacy-hanke etenee EU:ssa vielä tämän vuoden aikana

IAB Europe julkaisi kesäkuussa viisi videota, joissa käsitellään hankkeen mahdollisia vaikutuksia digitaalisen mainonnan ekosysteemiin.

Videoissa pureudutaan eri näkökulmista datan käyttöön mainonnassa ja käsitellään siihen liittyviä pelkoja ja väärinymmärryksiä.

Ensimmäinen video (pituus 2 min) yrittää vastata kysymykseen

Vakoilevatko mainostajat sinua?

 

 

Sarjan muut videot

ePrivacy: miten data edistää innovaatioita Euroopassa (video)

ePrivacy: data tuo paremman käyttäjäkokemuksen (video)

ePrivacy: EU:n talous hyötyy datan käytöstä (video)

ePrivacy: mitä tapahtuu, jos mainonta katoaa internetistä? (video)

 

Lähde: IAB

Lue myös blogikirjoitus ePrivacy-hankkeesta

Kuluttajat voivat nyt ladata kaiken mitä Apple heistä tietää

Apple on avannut 23.5.2018 uuden tietosuojasivun (Data and Privacy Website), jossa kuluttajat voivat ladata kaikki henkilökohtaiset tietonsa Applen palveluissa.

Kuluttaja saa itselleen hallinnan iCloudiin tallennettuihin tietoihin kuten kuvat ja tiedostot, kontaktit, muistutukset, kirjanmerkit, ostokset, laitehuoltoon liittyvät tiedot ja käyttöstatistiikan.

Toistaiseksi palvelu on käytössä vain Euroopassa (EU + 4 maata) mutta laajenee myöhemmin maailmanlaajuiseksi. Palvelussa voi päivittää omia tietoja, asettaa tili passiiviseksi ja kokonaan poistaa tallennettuja tietoja. Kuvatiedostojen kokoamiseen ladattaviksi paketeiksi voi mennä jopa viikko. Apple ilmoittaa pyynnön lähettäneelle sähköpostilla, milloin hänen tiedostonsa ovat ladattavissa.

Tilin muuttaminen passiiviseksi (deactivate) irrottaa käyttäjän väliaikaisesti Applen ekosysteemistä ja estää mm. FaceTimen ja iMessagen käytön. Palveluun on mahdollista palata myöhemmin ilman, että esim. oma ostohistoria on kadonnut. Tietojen kokonaan poistaminen on lopullista ja sen Apple tuplavarmistaa väärinkäytösten estämiseksi.

 

Applen tietosuojasivu

ePrivacy -asetus jatkaa tietosuojauudistuksia

Elli Laine, Eversheds Sutherland

 

EU:n yleisen tietosuoja-asetuksen eli GDPR:n soveltaminen alkaa 25.5.2018, ja yritykset viimeistelevät hurjaa vauhtia GDPR:n implementointiin liittyviä prosesseja ja dokumentaatiota. Lähivuosina on kuitenkin odotettavissa lisää muutoksia, sillä EU:ssa valmistellaan parhaillaan sähköisen viestinnän tietosuoja-asetusta eli ePrivacy -asetusta.

Taustaa

ePrivacy liittyy GDPR:n tapaan EU:n digitaalisten sisämarkkinoiden kehittämiseen. Digitaalisten sisämarkkinoiden kehittämisessä on kyse kansallisten esteiden poistamisesta verkossa tapahtuvilta liiketoimilta EU:ssa. Digitaalisten sisämarkkinoiden rakentamiseen liittyy paljon lainsäädäntötyötä, ja tietosuojasääntely muiden säädösten ohella on tärkeässä roolissa yksityiselämän ja henkilötietojen suojan varmistamiseksi.

Sähköisestä viestinnästä säädetään tällä hetkellä sähköisen viestinnän tietosuojadirektiivissä, jonka sisältö on Suomessa implementoitu lakiin sähköisistä palveluista (lain nimi on 31.5.2018 asti tietoyhteiskuntakaari).

Nyt tarkoituksena on korvata sähköisen viestinnän tietosuojadirektiivi uudella asetuksella. Myös viestinnän tietosuoja on haluttu säätää direktiivin sijaan asetuksen tasolla, jotta sääntely harmonisoidaan entistä kattavammin EU:ssa. Tällä hetkellä on epäselvää, miten paljon kansallista liikkumavaraa ePrivacy -asetus tulee jättämään jäsenvaltioille.

Mitä ePrivacy muuttaa?

ePrivacy muuttaa muiden sähköisen viestinnän osa-alueiden ohella muun muassa sähköisen suoramarkkinoinnin sekä evästeiden asettamisen ja hyödyntämisen sääntelyä. Sähköisellä suoramarkkinoinnilla tarkoitetaan esimerkiksi sähköpostitse ja tekstiviesteillä suoritettua suoramarkkinointia. ePrivacyn valmisteluversioissa on erityisesti tuotu sääntelyn piiriin myös muut viestintäpalvelut, kuten Skypen ja WhatsAppin kaltaiset pikaviestintäpalvelut.

Sähköisen suoramarkkinoinnin harmonisointi sähköisen viestinnän tietosuojadirektiivin perusteella on suoritettu osin eri tavoilla eri EU-maissa. Esimerkiksi sähköinen suoramarkkinointi B2B -kontakteille on monissa maissa luvanvaraista, mutta Suomessa se on tietyin ehdoin sallittua ilman etukäteen annettua suostumusta.  ePrivacy kuitenkin on muuttamassa B2B -markkinointia luvanvaraisuuden suuntaan.

Sähköisen viestinnän tietosuoja-asetuksessa muutetaan myös evästeiden ja vastaavien seurantateknologioiden käyttämiseen liittyvää sääntelyä. Sähköisen viestinnän tietosuojadirektiivi on implementoitu Suomessa siten, että henkilön katsotaan antaneen suostumuksensa evästeiden asettamiselle, jos henkilön käyttämän selaimen asetuksissa on annettu suostumus evästeiden asettamiselle. Selainten asetuksissa on tyypillisesti oletusasetuksena annettu suostumus evästeiden asettamiselle. Siten Suomen lainsäädäntö on tällä osa-alueella Euroopan tasolla erittäin kevyttä evästeiden asettamista varten edellytettyjen evästeiden osalta.

ePrivacyn valmistelussa evästeisiin vaaditun suostumuksen antamisen muoto on vaihdellut jatkuvasti. Suostumuksen antaminen on ehdotettu tehtäväksi mm. sivustokohtaisesti tai (aktiivisesti) selaimen asetusten perusteella. Vaikka lopullisen tekstin muoto onkin epäselvä, on suositeltavaa varautua siihen, että jatkossa käyttäjän passiivisuutta ei voida tulkita suostumukseksi, vaan aktiivisen, GDPR:n edellytysten mukaisen suostumuksen pyytäminen on tarpeen.

Koska ePrivacy-asetuksen soveltaminen alkaa ja mitä nyt tulisi tehdä?

On vielä liian aikaista sanoa, koska ePrivacyn soveltaminen alkaa. ePrivacy -asetuksen lopullinen tekstimuoto tarkentunee aikaisintaan loppuvuodesta 2018. Lopullisen tekstiversion hyväksymistä voi seurata siirtymäaika, jonka pituudesta ei ole vielä tietoa. GDPR:n kohdalla siirtymäaika on ollut kaksi vuotta, mutta ePrivacyn osalta voidaan sopia muustakin menettelystä.

Yritysten on järkevää ottaa huomioon sääntelymuutos jo tässä vaiheessa. Esimerkiksi evästeiden ja muiden seurantatekniikoiden hyödyntäminen ja käyttöönotto kannattaa suorittaa tuleva todennäköisesti tiukentuva sääntely huomioon ottaen.

Sähköiseen suoramarkkinointiin ja digimarkkinointiin panostavien mainostajien on erityisen kannattavaa seurata sääntelyn kehittämistä, sillä erilaisten suostumusvaatimusten ja -muutosten tuominen omiin prosesseihin ja liiketoimintaan voi edellyttää merkittäviä ajallisia ja taloudellisia panostuksia markkinointibudjettiin.

 

Elli Laine työskentelee lakimiehenä ICT ja IPR Eversheds Sutherland -lakitoimistossa ja on erikoistunut tietosuojaan, IT-alan juridiikkaan ja kansainvälisiin kaupallisiin sopimuksiin.

 

 

Tervetuloa GDPR!

Riikka-Maria Lemminki, toimitusjohtaja Mainostajien Liitto

 

Maailma muuttuu Eskoseni. Tämän ovat joutuneet huomaamaan myös ne, jotka luulivat olevansa kehityksen aallonharjalla ja jalka jo vahvasti tulevaisuudessa. Vielä vuoden alussa iso huoleni oli, että Euroopassa toimivat mainostajat joutuvat GDPR:n voimaan tultua erilaiseen asemaan kuin Euroopan ulkopuoliset mainostajat. Isot toimijat, kuten Facebook, Google, Apple, Amazon ja Twitter ovat kahmineet vuosien varrella kuluttajien dataa sen minkä ovat ehtineet. Ne kuvittelivat selviävänsä GDPR:n muutoksista vain muuttamalla käyttöehtojensa tekstejä. Tuskin kukaan isoista toimijoista ennakoi ennen Facebookin ja Cambridge Analytican skandaalia, että USA:ssa alettaisiin keskustella GDPR:ää vastaavan henkilötietolainsäädännön rakentamisesta. Näin kuitenkin kävi, koska yrityksiltä odotetaan nykyään vastuullisuutta, joka koskee myös asiakasdatan käsittelyä.

Vastuuttomasti toimiva yritys on riski, jota karttavat kuluttajien lisäksi myös sijoittajat. Tämän sai kokea Facebook, jonka arvosta suli yhdessä yössä 60 miljardia dollaria skandaalin seurauksena. Vastuullisuudesta on tullut tärkeä kilpailutekijä, ja sen seurauksena useat mainostajat ja digitoimijat ovat kilvan julistaneet menevänsä henkilötietojen käsittelyssään vielä pidemmälle kuin GDPR vaatii. Kattojärjestömme World Federation of Advertisers (WFA) on julkistanut vetoomuksen, jossa se kehottaa mainostajia ottamaan tiukemman kontrollin datan käsittelystään. Isoista mainostajista Unilever, Mars, Pernod Ricard ja Shell ovat jo ilmoittaneet tekevänsä näin. Monet kotimaiset toimijat ovat menneet vieläkin pidemmälle kuin edellä mainitut yritykset.

Digimarkkinointia ravistellut skandaali oli meille mainostajille pelastus

Uskon, että digimarkkinointia ravistellut skandaali oli meille mainostajille pelastus. Se on saanut kuluttajat ymmärtämään, etteivät digitaaliset alustat ole ilmaisia lounaita, vaan käytön vastineena vastaanotetaan mainoksia, jotka oikein kohdennettuna parantavat käyttökokemusta. Seurauksena on ollut myös mainonnan läpinäkyvyyden parantuminen. Lisäksi riski siitä, että Euroopassa toimivat yritykset ovat henkilötietojen käsittelyn kiristyttyä eri viivalla kuin Euroopan ulkopuolelta toimivat yritykset, on nyt pienentynyt. Maailma muuttuu, mutta nyt se näyttää entistä positiivisemmalta ja vastuullisemmalta.