GDPR, DPA, DPIA, LIA, CCPA, CMP, TCF, GVL…
Osa digimarkkinoijista tuntuu vielä parantelevan tietosuoja-asetuksen (GDPR) voimaantuloon valmistautumiseen liittyviä haavoja, kun pitäisi jo opetella kasa uusia kirjainyhdistelmiä. DPA:n, DPIA:n, LIA:n lisäksi puhutaan mm. CCPA:sta, CMP:stä, TCF:stä ja GVL:stä. Samalla pitää hahmottaa, mitä apulaistietosuojavaltuutetun evästesuostumusta koskeva ratkaisu tai Privacy Shieldin kumoaminen käytännössä tarkoittaa.
Miten nämä kaikki pitäisi ottaa haltuun?
Evästesuostumus
Apulaistietosuojavaltuutetun ratkaisu siitä, että verkkosivuston julkaisijan tulee pyytää evästeisiin GDPR:n mukainen vapaaehtoinen suostumus, on tullut lainvoimaiseksi. Ratkaisun mukaan selainasetuksin annettu suostumus ei täytä GDPR:n vaatimuksia mm. sen vuoksi, että suostumuksesta kieltäytyminen ja suostumuksen peruuttaminen eivät ole yhtä helppoja kuin suostumuksen antaminen. Ratkaisu käytännössä edellyttää, että käyttäjältä saadaan suostumus evästeisiin ennen niiden asettamista. Yleiseurooppalaisista ratkaisuista ja viranomaisohjeista voidaan myös vetää yhteen, että käyttäjää tulee informoida evästeiden käyttötarkoituksista ja niitä asettavista kumppaneista mahdollisimman läpinäkyvästi. Ratkaisun kohteena olevalle yritykselle annettiin määräaika 1.9.2020 korjata käytäntöjään.
TCF ja CMP
Suostumustenhallintamekanismien käyttöönottoon on ajanut edellä mainitun ratkaisun lisäksi se, että IAB Europen Transparency & Consent Frameworkin (TCF) 2.0 -version siirtymäkausi on päättynyt 15.8.2020. Erityisesti mediasivustot ovat ottaneet käyttöön ns. consent management platformeja (CMP), joiden avulla käyttäjää informoidaan evästeiden käytöstä ja pyydetään suostumus tietojen tallentamiseen käyttäjän päätelaitteelle ja näiden tietojen käyttöön yksilöityihin käyttötarkoituksiin.
TCF:n mahdollistamin tavoin osa toimijoista vetoaa evästeillä kerättyjen tietojen hyödyntämisessä oikeutettuun etuun. Suostumuksen ja oikeutetun edun ero käytännössä se, että suostumus annetaan (käyttäjä laittaa rastin ruutuun tai siirtää togglen on -asentoon) ja oikeutettua etua vastustetaan (käyttäjä ottaa rastin ruudusta pois tai siirtää togglen off -asentoon). Jos sivusto myy digitaalista mainontaa ja/tai hyödyntää dataa ohjelmallisen mainonnan ekosysteemissä, on TCF:n mukaisesti välitetty suostumusta koskeva tieto (consent string) kieli, jota ko. ekosysteemissä toimivat tahot voivat lukea.
TCF koskee ennen kaikkea mediasivustoja ja adtech-palveluntarjojia. Useat kaupalliset CMP-palveluntarjoajat tarjoavat myös TCF:ää yksinkertaisempaa evästesuostumusta, joka voi olla ratkaisu monen tavanomaisen verkkosivuston tarpeisiin.
Ammattijargonista kohti yhteistä kieltä
Kun tietosuoja-asiantuntijat heittävät puheessaan LIA:a, DPIA:a, DPA:a, LIA:a ja CIPP:ä on kyse omaa ammatti-identiteettiä vahvistavasta jargonista, joka kuitenkin helposti rajaa rivityöntekijän ulkopuolelle ja tekee tietosuojan toteuttamisesta vain tietyn rajatun ammattikunnan työtä. Samalla tavoin digimarkkinoija saattaa puhua DSP:stä, SSP:stä, DMP:stä, CDP:stä, CMP:stä ja TCF:stä, ja tulee termejä ja käytäntöjä avaamatta rajanneeksi ulos sen henkilön, jonka pitäisi neuvotella sopimus tai laatia tietosuojainformaatio.
Miten kirjoittaa tietosuojaseloste, jossa kuvataan digitaaliseen markkinointiin liittyvä henkilötietojen käsittely mahdollisimman kansantajuisesti, ellei itsekään täysin ymmärrä?
Tietosuoja ei ole koskaan ollut vain juristien asia, vaan verkkokäyttäytymisdataa hyödyntävä digitaalinen mainonta ja markkinointi on erinomainen esimerkki siitä, että eri alojen asiantuntijoiden tulee tehdä yhteistyötä ja löytää yhteinen kieli. Juristin tai tietosuoja-asiantuntijan tulee ymmärtää käytännöt, digimarkkinoijan tulee viestiä liiketoiminnan tarpeista ja digimainonnan toimintalogiikoista sekä teknologian avulla tulee huolehtia siitä, homma toimii myös konepellin alla. Lain, liiketoiminnan ja teknologian tukena ovat prosessit, joilla varmistetaan, että kaikki nivoutuu yhteen ja kyse on jatkuvasta kehitystyöstä, ei projektista. Avoimuus ja selkeä viestintä ovat ensimmäisiä askeleita eri asiantuntijaryhmien osallistamiseen, ja siihen, ettei tietosuoja jää pelkäksi paperiharjoitukseksi.
Folks x Quru
Jotta voisimme mahdollistaa sen, että asiakas saa kattavaa palvelua yhdestä pisteestä, Folks on yhdistänyt voimansa digitaalisen markkinoinnin ja analytiikan ammattilaisista koostuvan tiimin, Qurun, kanssa. Yhdessä voimme tarjota asiakkaillemme kattavan, erityisesti nettisivujen tietosuojaan liittyvän palvelun, jossa auditoidaan asiakkaan verkkosivujen tietosuojakäytännöt, selvitetään sivuston evästeet ja skriptit, tehdään toimenpidesuositukset sekä avustetaan suositusten toteuttamisessa, kuten CMP:n implementoinnissa tai verkkosivun tietosuojaselosteen laatimisessa. Qurun missiona on auttaa asiakkaita hyödyntämään dataa liiketoiminnan ytimessä, kun taas Folksin missiona on käyttää lakia tämän mahdollistamiseen.
Onko sinulla homma hallussa?
Jos tuntuu siltä, että evästeisiin ja verkkosivuihin liittyvässä tietosuojatekemisessä olisi vielä petrattavaa, ota yhteyttä Annaan +358 40 164 8626, anna.paimela@legalfolks.fi.
Lue myös Qurun toimitusjohtajan Mira Mäkirannan blogi: "Keksit haltuun: Lainmukaisen evästehallinnan kolme tärkeää askelta".
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.