rebecca-aldama-660180-unsplash

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat, jotka tarjoavat kanta-asiakasohjelmia.

Selvityksessä tarkasteltiin seuraavia kohtia:

  • Henkilötietojen käsittelyn oikeudelliset edellytykset
  • Käsiteltyjen henkilötietojen määrä
  • Rekisteröidylle toimitetut tiedot
  • Rekisteröidyn kieltäytyminen henkilötietojen käsittelystä suoramarkkinointia varten
  • Henkilötietojen säilyttämisen ehdot

Selvityksessä käsiteltiin 12 eri tapausta, joissa 11 löydettiin henkilötietojen käsittelyyn liittyviä tietoturvaloukkauksia. Selvityksen jälkeen, esiin nostettiin useita ehdotuksia kanta-asiakasohjelmien asiakkaiden henkilötietojen käsittelyn ja tietoturvan parantamiseksi. Ehdotuksien toivotaan auttavan ymmärtämään, miten virheitä voitaisiin ehkäistä kun henkilötietoja käsitellään GDPR:n vaatimusten mukaisesti.

Yrityksen oikeutettu etu ei saa toimia perustana suoramarkkinoinnille

Useat yritykset, jotka käsittelivät henkilötietoja suoramarkkinointia tai profilointia varten käyttivät käsittelyn perustana kohtuuttoman usein oikeutettua etua. Oikeutettua etua ei voida pitää henkilötietojen käsittelyn laillisena perustana läheskään kaikissa tapauksissa. Useimmissa tapauksissa rekisteröidyn (asiakkaan) edut ovat rekisterinpitäjän etuja tärkeämmät. Henkilötietoja voidaan käsitellä suoramarkkinoinnissa vain rekisteröidyn suostumuksella.

Ylimääräisen tiedon kerääminen

Tutkimuksen aikana havaittiin, että lähes 40 prosenttia yrityksistä kerää tietoa liian paljon suhteessa sen alkuperäiseen tarkoitukseen. Esimerkiksi kanta-asiakkaiden antaessa tietonsa asiakassuhteen muodostamiseksi, kysytään asiakkailta heidän tarkkaa syntymäaikaansa. Tietosuojaviranomaiset uskovat, että asiakassuhteen luomiseksi riittäisi pelkästään syntymävuosi ja ikä. Ylimääräisen tiedon kerääminen asiakkaasta katsottiin tarpeettomaksi, ellei se ole välttämätöntä kanta-asiakkuuden luomiseksi.

Tiedon siirto kolmansille osapuolille

Suurimmassa osassa tapauksia, yritykset eivät ilmoittaneet henkilötietojen siirrosta kolmansille osapuolille. Näin ollen, asiakkaat saavat harhaanjohtavaa ja epätarkkaa tietoa henkilötietojensa käsittelystä ja siitä mihin heidän tietonsa lopulta päätyvät.

Suoramainonnan estäminen

Rekisteröidyillä on oltava mahdollisuus kieltäytyä suoramarkkinoinnista. Jotkut selvityksessä mukana olleista yrityksistä eivät kuitenkaan tarjoa selkeitä, ilmaisia tai helppokäyttöisiä vaihtoehtoja estää suoramarkkinointia.

Henkilötietojen tallentamisen ja säilyttämisen ehdot

Yli 60 prosentilla selvityksessä mukana olleista yrityksistä oli ongelmia henkilötietojen tallentamisen ja säilyttämisen ehtojen osalta. Joillakin yrityksillä ei ollut tarvittavia ehtoja tai sopimusta tietojen säilyttämiseen tai ehdoissa oli kohtuuttoman pitkä säilytysaika.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Helsingin sanomat julkaisi hiljattain artikkelin, jossa kerrottiin tietosuojavaltuutetun määränneen rahoitusyhtiö Svea Ekonomin muuttamaan henkilötietojen käsittelyä koskevia käytäntöjään.   Tietosuojavaltuutettu aloitti tutkinnan...
GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei...
Terveydenhuoltoala ja GDPR

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita....
Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että...
IP – osoitteen Anonymisaatio – Google Analytics

IP – osoitteen Anonymisaatio – Google Analytics

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP-...
Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Tietosuojavaltuutetun toimisto on saanut suuren määrän valituksia mahdollisista tietoturvaloukkauksista yleisen tietosuoja-asetuksen astuessa voimaan 25 toukokuuta 2018. Suomen tietosuojaviranomaiset ovat aloittamassa...
GDPR: Oikeutettu etu

GDPR: Oikeutettu etu

Oikeutettu etu MITÄ TARKOITTAA OIKEUTETTU ETU? GDPR määrittelee kuusi laillista perustaa henkilötietojen käsittelylle → oikeutettu etu on yksi niistä Oikeutettu etu on...
Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat,...
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset...
Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Suoramarkkinointi ja kuluttajien käyttäytymismallit (profilointi) ovat keskeisiä työkaluja,...