Liidilistat ja GDPR

Sellaista mietin, että miten käy liidilistojen. Liidejähän on kerätty etenkin b2b kaupassa varsin monella tavalla. Sellainen on varsin tavanomaista näinä päivinä, että tehdään nk. sisältömarkkinointia, toisin sanoen tehdään blogikirjoitus ja julkaistaan joku opas, jonka henkilö saa käyttöön antamalla sähköpostiosoitteensa, ja sitten pienellä printillä joutuu samalla hyväksymään, että lisätään sähköpostilistalle, jota käytetään markkinointitarkoitukseen. Tuon kaiketi voi toteuttaa GDPR:kin mukaisesti. Varsinainen kysymykseni kuitenkin on se, että suurin osa potententiaalisista asiakkaista b2b kaupassa on sellaisia, jotka eivät käy oppaita latailemassa taikka sähköpostilisoille liittymässä. Nuo liidit hankitaan tyypillisesti myyjän/yrittäjän aktiivisella panostuksella kaivamalla monesta eri paikasta ja eri tavalla: kyliltä, toreilta, tapaamisista, yritysten kotisivuilta, blogikirjoituksista, Linkedinistä, Twitteristä jne. Sitten henkilön nimi ja yhteystiedot pistetään ylös liidilistaan, jotta niihin on helppo olla yhteydessä kun lähtee kontaktoimaan, eli esim. soittamaan puhelimella. Noh, nythän liidi eli kontaktoitava henkilö ei tiedä olevansa tällaisella listalla ennen kuin hänelle soitetaan. Tämähän ei taida olla GDPR:n mukaista toimintaa? Henkilönhän pitää suostua tietojen käsittelyyn etukäteen ja hänen pitää saada tietää miten tietoja käsitellaan jne (eli nähdä tietosuojaseloste)? Jos liidilistojen kerääminen tällä tavalla pitää lopettaa, niin eikös se aika isosti rajoita b2b myyntiä ja vaikeuta siten yleisesti liiketoiminnan harjoittamista?

3 tykkäystä

Ja jos tätä erinomaista kysymystä vielä yhtä kautta konkretisoi: Syyllistyykö b2b-myyjä ja hänen työnantajansa GDPR:n vastaiseen toimintaan, jos hän julkisista lähteistä (esim. firmojen nettisivut, lehtiuutiset, asiakkaan puhelinvaihde, Finder, Kaupparekisteri) kerää itselleen työlistaa potentiaalisista yritysasiakkaista ja pyrkii listaan keräämään tiedon henkilön nimestä, puhelinnumerosta ja sähköpostista. Sen jälkeen hän soittaa ja/tai lähettää sähköpostia listalla oleville henkilöille. Tässähän eivät GDPR:n vaatimukset suostumuksesta tai oikeutetusta edusta toteudu. Jos tällainen toiminta on kiellettyä, johtaa se joko a) jatkuvaan säännöstön rikkomiseen tai b) henkilökohtaisen b2b-myyntityön loppumiseen tässä maassa. Itse tulkitsen, että yhteystietoja henkilökohtaista kommunikaatiota varten on lupa kerätä edelleenkin. Missä kohtaa se muuttuu GDPR:n alaiseksi ja mihin saakka se on sallittua? Minua kauhistuttaa suomalaisten tapa ylivarovaisuuteen ja -tulkintaan. Se on tässä nyt ilmeinen riski. Kun vastaatte näihin kysymyksiin, niin toivoisin, että huomioisitte myös käytännön elämän ja sen inhimillisyyden.

2 tykkäystä

Erinomainen ja merkittävä kysymys ehdottomasti. Eli ja jätetään tuo GDPR mukaisesti esim. nettisivuilla ym. asiakkaan suostumuksella kerätyt tiedot ja keskitytään yhteystietoihin jotka myyjä aktiivisesti kerää jo julkisista lähteistä (yrityksen nettisivut, someprofiilit jne.). Sen verran tärkeä ja varmasti monia koskettava kysymys, että päätin rustailla vähän kattavamman vastauksen.

Ensin on hyvä muistaa, että kaikki henkilötietojen keruu liiketoiminnan yhteydessä kuuluu Asetuksen piiriin. Esim. jo pelkkä puhelinnumeron kirjoittaminen muistilappuun nimen kera on Asetuksen alainen rekisteri. Kaikella tietojen henkilötietojen käsittelyllä on oltava Asetuksen antama lainmukainen perusta ja tilanteessa jossa henkilö ei ole antanut suostumustaan, tarkastellaan muita perusteita, kuten jo mainittu oikeutettua etua. Mutta ennenkuin lähdetään polttamaan liidilistoja, luetaan Tietosuoja Asetuksen esilausekkeen 47 viimeinen lause: “Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.” Eli lainsäätäjät ovat pitäneet mielessään myös suoramarkkinoinnin, mukaan lukien B2B markkinoinnin, normaalin toiminnan Asetusta sumpliessaan.

Seuraavaksi, otetaan kuitenkin huomioon seuraavat peruslähtökohdat:

  1. Yrityksen, tai oikeushenkilön, yhteystiedot eivät kuuluu asetuksen piiriin (Artikla 1(2). Eli yrityksen tietoja, kuten yritys@info.fi saa käsitellä ja lähestyä vapaasti.
  2. Yksityisten elinkeinonharjoittajan yhteystiedot tai yrityksen työntekijän henkilökohtainen yritysähköposti, mallia etunimi.sukunimi@yritys.fi ovat kaikella todennäköisyydellä suojeltuja henkilötietoja joiden käsittelyyn vaaditaan oikeutus, mutta muistetaan että k.o. henkilötiedot on luotu liikkeen harjoittamista varten. Niitä ei tulee suoraan verrata esim. kuluttujan yhteystietoihin.

Milloin siis elinkeinonharjoittajan yhteystietoja, tai yrityksen työntekijän yksilöityjä yhteystietoja voidaan käsitellä B2B markkinointi tarkoistuksissa ja mitä käsittelyyn saa kuulua. Väittäisin että vastaus löytyy jo mainitun ‘oikeutetun edun toteuttamisesta’ Artikla 6(1)(f) alaisuudesta.

Käsittelyn lainmukaisuus Artikla 6(1)(f) alaisuudessa vaatii:

  1. Rekisterinpitäjällä on oikeutettu etu;
  2. Käsittely tarpeellista rekisterinpitäjän oikeutetun edun toteuttamiseksi;
  3. Rekisterinpitäjän oikeutettu etu on tasapainossa rekisteröidyn oikeuden yksityisyydensuojaan kanssa. Markkinoijan oikeutettu etu perustuu esim. jo mainittuun Tietosuoja Asetuksen esilauselmaan 47, mutta myös esilauselmaan 1, jossa ‘elinkeinonharjoittaminen’ mainitaan yhtenä perusoikeuksista jota vasten yksityisyyden suojaa voidaan punnita. Lisäksi elinkeinonharjoittaminen löytyy oikeutena kaikkea EU lain soveltamista sitovan EU Perusoikeuskirjan Artiklasta 16.

Sovelletaan tätä B2B suoramarkkinointiin:

  1. Onko rekisteröidyllä oikeutettu etu käsittelyyn? Jo mainittu esilauseke 47 toteaa että yleisesti käsittely suoramarkkinointi tarkoituksessa voidaan katsoa oikeuteksi eduksi. Tämä vaatii edun yksiselitteistä määrittelyä. Otetaan esimerkiksi vaatetehdas. Vaatetehtaan tulee toimiakseen myydä vaatteita jälleenmyyjille; tämä vaatii yhteydenottoa jälleenmyyjiin.

  2. Onko käsittely on tarpeen oikeutetun edun toteuttamiseksi? Tämä rajaa käsiteltävät tiedot vain niihin joita rekisterinpitäjä todella tarvitsee liiketoimintaansa. Tämä tarkoittaa potentiaalisen asiakasyrityksen sellaisen työntekijän tietoja jonka voi kohtuudella olettaa olevan vastaanottava markkinoinnille. Esim. vaatevalmistaja kerää tavaratalojen vaateosaston sisäänostajien yhteystiedot, mutta ei kerää ruokaosaston henkilöiden tietoja.

  1. Onko rekisterin pitäjän oikeutettu etu on tasapainoissa rekisteröidyn oikeuden yksityisyyteen kassa? Mitkä ovat markinoijan oikeudet? Kysymys kuuluukin, ovatko markkinoijan oikeuksien toteuttaminen tasapainossa yksityisyyden suojan kanssa. Tätä punnittaessa tulee muunmuassa kysyä:

a) Mikä on rekisterinpitäjän ja rekisteröidyn suhde? Vaatetehtaalla ja tavaratalon vaatteiden sisäänostajalla on vähintäänkin potentiaalinen kauppasuhde.

b) Onko rekisteröity voinut kohtuudella olettaa kyseistä tietojensa käsittelyä? Väittäisin että sisäänostaja tai yrittäjä on voinut kohtuudella olettaa että kun tiedot, hänestä liikkeenharjoittajana, on laitettu julki nettisivuille, blogiinsa (paitsi jos kyseessä on täysin yritystoimintaan liittymätön blogi), twitteriin tai hän on antanut tiedot ilmi “torilla tai tapaamisessa” että häneen voitaisiin otettaa yhteyttä myös myyntitarkoituksissa.

c) Ovatko tiedot herkkäluonteisia? Väittäisin että henkilön yritys sähköposti tai numero eivät ole kovin herkkäluonteisia.

d) Mikä on henkilötietojen käsittelyn vaikutus rekisteröityyn? Väittäisin yhteydenotto työaikana tuskin aiheuttaisi kovin suurta haittaa.

e) Voidaanko olettaa että rekisteröity vastustaisi k.o. tietojensa käsittelyä? Esim. henkilö voisi olla sujut työyhteystietojensa käsittelyyn, mutta voisi hyving vastustaa kotinumeronsa ja henkilökohtaisen sähköpostinsa käyttöä.

Väittäisin siis että B2B markkinoinnissa voidaan edelleen käyttää itse kerättyjä liidilistoja, kunhan niiden laatu varmistetaan yllä olevien kohtien perusteella eikä niihin kerätä tarpeettomia tietoja. Lisäksi kaikkien yhteydenottojen yhteydessä tulee varmistaa että rekisteröidyn on helppo kieltäytyä tulevista yhteyden otoista, jolloin hänen tietonsa tulee poistaa rekisteristä.

2 tykkäystä