Viimeisen kuukauden aikana on kahdella eri asiakkaalla noussut keskusteluun sähköiseen markkinointiin liittyvät tietosuojasäädökset CRM-järjestelmien kannalta. Lienee siis paikallaan kerrata niistä olennaisimmat kohdat ja torjua kolme yleisintä myyttiä.

Myytti 1: ”Meidän asiakkaat on B2B:tä, ei niitä tarvitse tässä huomioida”

Usein luullaan, että tietosuojasäädökset koskettavat vain kuluttaja-asiakkaita (B2C) ja että niitä ei tarvitse huomioida puhtaasti yritysten välisessä liiketoiminnassa (B2B). Luulo on väärä. Esimerkiksi henkilötietolaki kattaa kaikkien henkilöiden tietojen käsittelyn, oli sitten kyse B2C-asiakkaista tai B2B-asiakkaiden kontaktihenkilöistä.

Laki edellyttää mm., että henkilötietoja käsitellään huolellisesti (5 §), suunnitelmallisesti (6 §) ja käyttötarkoitukseen sopivalla tavalla (7 §). Käsitellylle on oltava edellytykset (8 §) ja tietojen on oltava tarpeellisia ja virheettömiä (9 §). Lisäksi käsittelystä on laadittava rekisteriseloste (10 §). Nämä säännöt koskettavat kaikkien henkilötietojen käsittelyä asiakassuhteen laatuun katsomatta.

Myytti 2: ”Meillä on kieltolista – se riittää”

Useimmat sähköistä markkinointia tekevät organisaatiota ovat oppineet, että kieltolista on oltava. Se on jo hyvä alku, mutta ei vielä riittävästi. Tarkastelen seuraavassa markkinointia sähköisten ja paperisten kampanjoiden näkökulmista.

Sähköistä markkinointia säätelee henkilötietolain lisäksi sähköisen viestinnän tietosuojalaki ja erityisesti sen 7 luku. Sen 26 § edellyttää, että sähköisen markkinoinnin kohteena olevat B2C-kontaktit ovat antaneet markkinoinnin vastaanottamiseen suostumuksensa etukäteen. Pelkkä kielto-oikeus ei siis riitä vaan tarvitaan sallimislista ja selkeät prosessit, joiden mukaan sallimistietoja kerätään ja käsitellään.

B2B-kontakteille sähköistä markkinointia voi lähettää ilman etukäteistä lupaa (henkilötietolain vaatimuksia on kuitenkin noudatettava mm. käyttötarkoituksen ja tarpeellisuuden osalta), ja heillä on lain antama kielto-oikeus sähköiselle markkinoinnille.

Perinteisen markkinoinnin (eli printtisuorat, mainoskirjeet ym. kosketeltavia elementtejä sisältävät markkinointikampanjat) ja eräiden muiden yhteenottojen osalta henkilötietolain 30 § antaa oikeuden kieltää itseensä kohdistuvat toimenpiteet. Käytännössä siis CRM-järjestelmässä on ylläpidettävä kieltolistaa niistä asiakkaista, jotka ovat kieltäneet perinteisellä postilla tehtävän markkinoinnin. Tässä ei tehdä erottelua B2B- ja B2C-asiakkaisiin, eli molempia koskettavat samat säännöt.

Sähköistä ja paperista markkinointia sekä B2B- että B2C-markkinaan tekevä organisaatio tarvitsee siis minimissään kolme listaa CRM-järjestelmäänsä:

• lista B2C-kontakteista, jotka ovat sallineet sähköisen markkinoinnin
• lista B2B-kontakteista, jotka ovat kieltäneet sähköisen markkinoinnin
• lista kontakteista, jotka ovat kieltäneet perinteisen markkinoinnin.

Myytti 3: ”Poistakaa minut rekisteristänne”

Myös markkinoinnin vastaanottajien keskuudessa elää erilaisia myyttejä, joista absoluuttinen kielto-oikeus on yleisin. Luullaan, että jokaisella meistä on oikeus määrätä yritys poistamaan omat tietomme yrityksen asiakasrekisteristä. Näin ei kuitenkaan pääsääntöisesti ole.

Henkilötietolain 2 luku kuvaa henkilötietojen käsittelyä koskevat yleiset periaatteet. Siellä 8 § säätelee käsittelyn edellytyksiä ja listaa yhdeksän erilaista edellytystä, joiden perusteella henkilötietoja saa käsitellä. Jos jokin näistä edellytyksistä täyttyy (esim. asiakassuhde) ja muut lain vaatimukset eivät toisin edellytä, on yrityksellä oikeus käsitellä henkilön tietoja.

Poistopyyntöä voi tarkastella myös asiakaspalvelullisesta näkökulmasta. Jos asiakas haluaa pois rekisteristä ja jos pakottavia syitä (eri lait, viranomaisvaatimukset ym.) ei ole, kannattaako asiakastyytyväisyyttä vaarantaa?

Mahdollisissa rekisteristäpoistoissa on huomioitava käytännön seuraukset. Yleensä poistoa pyytävä haluaa katkaista kaiken markkinointiviestinnän, ja uskoo, että täydellinen poisto on paras ratkaisu tähän. Jos poistettava tiedot löytyvät mistä tahansa yleisestä rekisteristä (esim. asiakastietoja ja tuoreutuspalveluita myyvien yritysten rekisterit), on riskinä, että saman asiakkaan tiedot latautuvat joskus myöhemmin täysin uusina kontakteina yrityksen CRM-järjestelmään. Kun tietoa markkinointikiellosta ei ole (jos sellainen oli, se katosi poiston yhteydessä), saattaa henkilö pienen tauon jälkeen saada jälleen postia yrityksestä, josta hän juuri halusi eroon.

Yhteenvetona

Tietosuoja-asioita käsittelevien lakipykälien kuivasta paperimaisuudesta huolimatta ne sisältävät yksiselitteisiä määräyksiä siitä, miten organisaatioiden on toimittava. Jokaisen henkilötietoja käsittelevän yrityksen on tunnettava nämä yleiset normit sekä muut omaa toimialaansa koskevat erityissäädökset. Jos lakitekstit eivät suoraan avaudu, on apua haettava muualta.

Tietosuojaan liittyviä kysymyksiä on käsitelty suomenkielisessä kirjallisuudessa mm. seuraavissa teoksissa:

• Oksanen (2010): CRM ja muutoksen tuska (oma kirjani)
• Helopuro, Ristola ja Perttula (2009): Sähköisen viestinnän tietosuoja
• Salminen (2009): Tietosuoja sähköisessä liiketoiminnassa.

Lisäksi mm. Asiakkuusmarkkinointiliitto on julkistanut markkinointiin liittyviä pelisääntöjä, jotka kuvaavat hyvin eri lakien vaatimuksia ja niiden soveltamiseen liittyviä käytäntöjä. Tietosuoja-asioista erityisesti kiinnostuneiden kannattaa myös tilata Tietosuoja-lehti.