Suostumus ja GDPR, osa 2: markkinointi? (evästeet ja vähän oikeutettua etua)

Vähän aikaa sitten kirjoitin GDPR:stä ja suostumuksesta. Käytin tässä tilanteessa useammassa tilanteessa esimerkkinä markkinointia asiasta, joka olisi yleensä sillä tavalla esimerkiksi sopimuksen täytäntöönpanosta poikkeava käsittelyperuste, että se vaatisi suostumuksen. Moni näytti vetäneen tästä sen johtopäätöksen, että markkinointi vaatisi aina suostumuksen, tai ainakin ymmärtäneen minun väittävän niin. Joten tarkennetaanpa aihetta vielä hieman.

Kuten aiemmin todettiin, suostumus on vain yksi tietosuoja-asetuksen sallima käsittelyperuste henkilötietojen käsittelylle. Suostumus on myös ehkä käytännössä se kaikkein viimeisin vaihtoehto, eli suostumus on otettava silloin kuin mitään muuta käsittelyperustetta ei “keksitä”. Tämä on myös tietosuojaviranomaisten “virallinen kanta”, joka ilmenee heidän yhteistyöelimen eli WP 29:n ohjeistuksesta. Yleensä käsittelyperusteena on muun muassa sopimussuhde asiakkaaseen tai vaikkapa lakisääteiseen tehtävään perustuva velvoite.

On siis täysin mahdollista, että suostumusta käytetään käsittelyperusteena markkinointiin. Mutta mitä markkinoinnilla tarkoitetaan? Se onkin hyvä kysymys, koska suostumuksen tai muun perusteen käyttötarkoitus vaikuttaa merkittävästi siihen, millaista markkinointia on tarkoitus tehdä.

Jos kysymys on ns. “perinteisestä” markkinoinnista eli esimerkiksi postitse lähetettävistä tarjouksista yms, markkinointiin ei tarvita suostumusta vaan tällöin markkinointia voidaan tehdä ns. oikeutetun edun perusteella joka on yksi tietosuoja-asetuksen nimenomaisesti sallimista henkilötietojen käsittelyperusteista markkinointiin.

Oikeutettu etu tarkoittaa sitä, että yrityksellä on jokin intressi eli tarkoitus henkilötietojen käsittelylle. Oikeutetun edun ongelma ja riski on kuitenkin se, että se edellyttää varsin taidokasta “oikeuspunnintaa” eli perustelua sille, miksi esimerkiksi markkinointi olisi sekä yrityksen että rekisteröidyn etujen mukaista.

Oikeutettu etu asettaa myös varsin korkeat vaatimukset rekisteröidyn informoinnille eli rekisteröidyn tulee osata ymmärtää ja  tietyllä tavalla myös “odottaa” markkinoinnin tapahtuvan. Rekisterinpitäjällä on myös velvollisuus minimoida yksityisyyden “loukkaukset” eli vaikutukset rekisteröidyn tietosuojaan. Rekisterinpitäjän tulee dokumentoidusti osoittaa, että se on arvioinut käsittelyn tapahtuvan asianmukaiseen tarkoitukseen, että käsittely on tarpeen tarkoituksen saavuttamiseksi ja vaikutus rekisteröidyn yksityisyyteen on riittävän vähäinen.

Tyypillinen tilanne on esimerkiksi se, että asiakas tilaa tuotteen verkkokaupasta ja kauppias tämän jälkeen mainostaa samanlaisia tuotteita asiakkalleen samaa kanavaa käyttäen. GDPR antaa tällöinkin mahdollisuuden kieltäytyä moisesta ns. “opt-out” suostumuksen kautta eli ilmoittamalla että ei halua enää olla markkinoinnin kohteena. Itse asiassa GDPR:n oikeus “olla olematta suoramarkkinoinnin kohteena” koskee mitä tahansa käsittelyperustetta eli ymmärtääkseni opt-out vaihtoehto markkinoinnille tulisi tarjota myös sopimuksen tai suostumuksen perusteella tapahtuvan markkinoinnin osalta.

Sähköinen suoramarkkinointi

Jos taas puhutaan sähköisestä suoramarkkinoinnista, tähän tarvitaan ePrivacy-vaatimusten vuoksi suostumus. Eprivacyä käytetään lyhenteenä eprivacy-direktiivistä, joka Suomessa on implementoitu Tietoyhteiskuntakaareen, jonka nimi tulee muuttumaan 1.6.2018 alkaen tylsästi laiksi sähköisen viestinnän palveluista. Siksi käytän mielummin termiä eprivacy. Sekavaa? Ei se mitään, britit käyttävät siitä vielä termiä PECR.

Tietoyhteiskuntakaari/sähköisenviestinnänlaki/eprivacy/PECR sääntelee siis kaikkea tietoverkossa liikkuvaa tietoa, ei ainoastaan henkilötietoa ja tietosuojanäkökulmasta. Sääntely koskee varsinkin operaattoreita jotka välittävät tietoa sekä erityisesti tilanteita, joissa käyttäjän laitteelle joko asetetaan koodinpätkää (esimerkiksi evästeitä) tai sitten sieltä otetaan tietoja (kuten sijainti). Laissa säännellään lisäksi siis myös sähköistä suoramarkkinointia. Suomessa eprivacy on toteutettu niin, että sähköistä suoramarkkinointia varten tarvitaan opt-in eli ennakolta annettava suostumus.

Eprivacya ollaan kovaa vauhtia sorvaamassa EU:ssa direktiivistä asetukseksi, mutta työ on vielä joiltakin osin kesken, tavoitteena lienee saada uudistus voimaan ensi vuoden lopulla. Koska työ on vielä kesken, suostumusta koskevat säännökset sähköisen suoramarkkinoinnin osalta ovat vielä hieman arvoituksen peitossa.

Miljoonan dollarin kysymys onkin se, millainen tuon tietoyhteiskuntakaaren mukaisen suostumuksen tulee olla GDPR:n voimaan tullessa? Useampi tietosuoja-ammattilainen on todennut, että suostumuksen tulisi vastata GDPR:n vaatimuksia silloin kun käsitellään henkilötietoja kuten esimerkiksi IP-osoitteita.

Eprivacy/tietoyhteiskuntakaari/sähköinenviestinnänlaki viittaa nimittäin suoraan nykyiseen henkilötietodirektiivin suostumuksen osalta ja GDPR:n voimaantultua kaikki tällaiset viittaukset tulkitaan tarkoittavan tietosuoja-asetuksen vastaavia kohtia.

Tämä tarkoittaisi ilmeisesti sitä, että ainakin osittain joillakin sivuilla jouduttaisiin hakemaan GDPR-tyylinen suostumus evästeille. Tosin tämä ei ole ainoa vaihtoehto, koska tällöinkin henkilötietojen käsittelylle voidaan “kehitellä” toinenkin käsittelyperuste, kuten esimerkiksi oikeutettu etu, mutta sen perusteleminen henkilötietoja käsittelevien evästeiden kohdalla voi olla haastavaa, koska oikeutettu etu edellyttää myös rekisteröityjen oikeuksien tasapainottamista, ja harvoin rekisteröidyn voidaan katsoa saavan varsinaista “etua” markkinoinnista ja evästetietojen käsittelystä.

Samalla tavalla myös esimerkiksi sähköiseen suoramarkkinointiin tarvittava suostumus joutuisi täyttämään GDPR:n vaatimukset. Aika näyttää, tuleeko tämä olemaan myös tietosuojaviranomaisten näkemys.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: