GDPR – nyt iski paniikki!

GDPR ihmetyttää, vihastuttaa, hämmästyttää, mutta harvemmin ihastuttaa. Asia on Suomessa ainakin otettu vakavasti, niinkuin pitääkin, mutta sen lisäksi siihen liittyy tarpeettomia pelkoja ja jotkut meidänkin asiakkaista ovat olleet valmiit laittamaan hokkarit naulaan kun yrittäjä on kokenut olevansa ylipääsemättömän ongelman edessä.

Tässä artikkelissa käydään muutama etenkin B2B-myyntiin liittyvä asia, jotka toivottavasti avaavat GDPR:ää hieman lisää B2B-puhelinmyyntiä/bookkausta tekeville yrityksille.

Päättäjätiedot ovat henkilötietoja

Kyllä, B2B-päättäjätiedot eli minkä tahansa yrityksen käyttämä ”CRM-data” on henkilötietoa ja siten GDPR:n alainen, mikäli rekisterissä on yksilöiviä henkilötietoja (esimerkiksi puhelinnumero tai sähköpostiosoite). Mutta se ei tarkoita, etteikö päättäjätietoja voisi jatkossa säilyttää. Se tarkoittaa vain sitä, että rekisteristä on oltava asianmukainen rekisteriseloste ja tietoja on käytettävä ja säilytettävä asianmukaisesti. Eli ensimmäinen huoli ohi — bisneksesi voi jatkua!

GDPR asetuksessa lukee, että henkilötietojen tallentamiseen täytyy olla peruste. Jo tällä hetkellä Suomessa henkilötietolaki säätää edellytykset, joiden perusteella henkilötietoja saa käsitellä. Samalla tavalla GPRD:n tietosuoja-asetuksessa määritetään perusteteet, joilla henkilötietoja saa tallentaa ja käsitellä. Monesti pelätään, että henkilöltä pitäisi saada aina suostumus listalle ”joutumisesta”, mutta näin ei todellakaan ole, vaan tietosuoja-asetuksessa suostumus on vain yksi käsittelyperuste muiden joukossa.

Tietojen keräämistavat

Tietosuoja-asetus määrittää kolme päätapaa, jolla henkilörekistereitä voidaan kerätä:

  1. Sopimuksellinen tai laillinen oikeus. Jos yritys/päättäjä on asiakkaanne, voitte tietoja tallentaa, koska kyseessä on sopimuksellinen suhde.
  2. Oikeutettu etu. Tietosuoja-asetuksen todellinen taikasana on oikeutettu etu. Tämä tarkoittaa, että rekisteröity voi kohtuudella odottaa tietojensa tällaista käsittelyä. Erityisesti B2B-liiketoiminnassa henkilötietojen käsittely markkinointitarkoituksissa perustuu oikeutettuun etuun. Jos yrityksellä on verkkosivuillaan hankintajohtajan yhteystiedot, on selvää, että henkilö voi asemaansa perustuen odottaa, että hänelle tarjotaan hänen tehtävänkuvaansa liittyviä palveluita tai tuotteita.
  3. Suostumus. Suostumus on varsin ymmärrettävä keräämistapa, mutta siihen liittyviä yksityiskohtia on tarkennett. Muunmuassa henkilön tulee itse lomakeella tai puhelussa aktiivisesti rastittaa tai muutoin suostua markkinointiin, eli vahingossa ei kukaan voi enää antaa suostumustaan. Lisäksi suostumuksen peruuttaminen (opt-out) tulee olla mahdollista helposti, ja samoin tiedonsaantioikeus tulee huomioida. Suosittelemme, että jokaiseen rekisteriin merkitään tarkasti, miten ja milloin tällainen suostumus on annettu.

Mikä muu muuttuu?

Oleellisimmat muutokset liittyy tietojen käsittelyyn. Eli vaikka 10 000 prospektin tallentaminen ja käyttö CRM:ssä voidaan perustella oikeutetulla edulla, tulee GDPR:n mukana nippu sääntöjä, jotka vaativat tekemistä, mutta eivät missää nimessä ole ylipääsemättömiä. Alla on listattu tärkeimmät, ikäänkuin B2B-markkinoinnin ”todo-listana”

  1. Tietojen asianmukainen säilytys. Säilytä vain ne tiedot, joita oikeasti tarvitset perustellusti, eikä niitä jotka ”saa helposti”
  2. Tarkoituksellisuus. Käytä tietoja vain nimettyä tarkoitusta varten. Jos ne ovat sinun prospektejasi, käytä niitä prospektointiin.
  3. Säilytysaika. Säilytä henkilötietoja vain niin kauan kuin niitä tarvitaan. Jos asiakas haluaa rekisteristä pois, poista se. Jos yritys ei ole Sinulle enää oleellinen liiketoimintasi kannalta, poista se.
  4. Tietojen suojaaminen. Tietosi voi olla jatkossakin Excelissä, PostIt lapuilla tai CRM:ssä, niin kauan kuin tiedot ovat suojattu asiallisesti. Exceleiden paikka ei ole avokonttorin pöydällä USB-tikulla, mutta jos vaikka vanhat asiakassopimukset tai listat ovat huolellisesti tallennettu ja pääsy evätty muilta, niin itse säilytysmedialla ei ole merkitystä. Käyttöoikeuksien jakokin onnistuu, oli kyse sitten kassakaapin avaimista tai CRM-käyttäjätunnuksista.
  5. Tietopyynnöt. Yksi GDPR:n ydinelementeistä on läpinäkyvyys, ja yritykselle tämä tarkoittaa, että henkilöllä on oikeus tarkastaa omat tietonsa, korjata niitä tai poistattaa ne. Jos asiakas ei halua tietojaan tallennettavan, todennäköisesti henkilö ei ole myöskään edes tarpeellista säilyttää. Kunnioita siis tätä ja anna asiakkaillesi mahdollisuus lähestyä yritystäsi tietopyyntöjen suhteen.
  6. Dokumentointi. Dokumentoi, miten henkilötietoja käsitellään. Usein tähän viitataan tietojenprosessointisopimuksella (Data Processing Agreement) johon on hyviä pohjia olemassa. Tämä on erittäin hyväksi myös henkilökunnalle, koska silloin he tietävät, miten yritys odottaa/velvoittaa heidän toimivan. Meiltä löytyy tähän hyvät pohjat, jos asia ei ole vielä kunnossa.

Toivottavasti näillä vinkeillä GDPR tuntuu edes hieman lähestyttävämmältä ja vähemmän pelottavalta kirjainyhdistelmältä.

Kuten muissakin asioissa, LeadCloudin tiimi auttaa mielellään, ja mielummin yksinkertaistamme asioita kuin monimutkaistamme niitä. Jos nämä herätti välittömiä kysymyksiä, niin ota puhelin kouraan ja pirauta, apu on lähellä!

2019-08-12T11:53:36+00:00