Miksi valita suostumus? GDPR:n mukaisen oikeutetun edun ja suostumuksen vertailu kanta-asiakasjärjestelmissä
Nevala, Sanni (2020-01-03)
Miksi valita suostumus? GDPR:n mukaisen oikeutetun edun ja suostumuksen vertailu kanta-asiakasjärjestelmissä
(03.01.2020)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
suljettu
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe202001212844
https://urn.fi/URN:NBN:fi-fe202001212844
Tiivistelmä
Tiedosta on tullut nykyaikana arvokas kilpailuvaltti, jolla yritykset pyrkivät rakentamaan lisäarvoa liiketoiminnalleen. Nopean teknologisen kehityksen myötä erityisesti luonnollisten henkilöiden henkilötiedot kaipaavat erityistä suojaamista, kun heidän tietojaan käytettäessä kaupalliseen tarkoitukseen. Suomessa päivittäistavarakaupan jätit, S-ryhmä ja Kesko, käyttävät molemmat liiketoiminnassaan menekinedistämiseksi ja markkinoinnin kohdentamiseksi kuluttajien henkilötietoja, joita ne keräävät kanta-asiakaskorttien välityksellä. Markkinointia kohdennetaan yleensä erilaisten johdettujen tietojen ja kuluttajista muodostettujen asiakasprofiilien perusteella. Vaikka kohdennettu markkinointi yleensä koetaan hyödylliseksi, saattavat kuluttajien oikeudet tulla loukatuiksi, kun kuluttajilla ei useinkaan ole tietoa tällaisesta henkilötietojen
käsittelystä tai sen laajuudesta, sillä kuluttajat eivät yleensä lue tietosuojaselosteita tai käsittelyehtoja.
Tutkielma käsittelee kahta Euroopan unionin yleisen tietosuoja-asetuksen, GDPR:n, mukaista käsittelyperustetta, suostumusta ja oikeutettua etua S-ryhmän ja Keskon kanta-asiakasjärjestelmien käsittelyperusteena. GDPR:n mukaan rekisterinpitäjän on aina perustettava käsittelytoimintansa johonkin asetuksessa määriteltyyn käsittelyperusteeseen tai muuten käsittely katsotaan laittomaksi. Tutkielmassa otetaan erityisesti kantaa sen puolesta, minkä vuoksi päivittäis-
tavaraketjujen tulisi markkinointikäsittelyssään nojautua erityisesti suostumukseen, sillä se on käsittelyperusteista ainoa, joka takaa rekisteröidylle mahdollisuuden kontrolloida häntä koskevia tietoja ja valvoa omia etujaan. Erityisesti profilointia ja suoramarkkinointia voidaan suorittaa joko suostumuksen tai oikeutetun edun perusteella, joten tutkielmassa on myös avattu kummankin käsittelyperusteen keskeiset elementit ja tutustuttu tarkemmin profiloinnin aiheuttamiin haasteisiin.
Tutkielmassa perehdytään lisäksi S-ryhmän ja Keskon kanta-asiakassopimuksien solmimisprosessiin tietosuojanäkökulmasta. Tutkielmassa todetaan, että ketjut käyttävät suostumusta melko marginaalisiin käsittelytarkoituksiin ja varsinainen profilointi ja markkinointi tapahtuu oikeutetun edun perusteella. Oikeutetun edun käyttäminen on kuluttajan kannalta usein huomaamatonta, joten tieto henkilötietojen käsittelystä saattaa jäädä kuluttajalle epäselväksi. Koska ketjut käsittelevät kuluttajista melko syvällekin heidän yksityisyytensä piiriin meneviä henkilötietoja, tutkielmassa esitetään, että käsittely tulisi suorittaa pikemminkin suostumuksen perusteella, joka takaisi yhtäältä kuluttajien kunnollisen informoinnin ennen käsittelyn aloittamista ja toisaalta antaisi kuluttajalla itse valtaa päättää, haluaako hän suostua tällaisen käsittelyn kohteeksi. Ketjujen tämänhetkiset suostumuksenkeruutavat todetaan myös puutteellisiksi, joten tutkielmassa esitetään myös kehitysehdotuksia niiden parantamiseksi.
käsittelystä tai sen laajuudesta, sillä kuluttajat eivät yleensä lue tietosuojaselosteita tai käsittelyehtoja.
Tutkielma käsittelee kahta Euroopan unionin yleisen tietosuoja-asetuksen, GDPR:n, mukaista käsittelyperustetta, suostumusta ja oikeutettua etua S-ryhmän ja Keskon kanta-asiakasjärjestelmien käsittelyperusteena. GDPR:n mukaan rekisterinpitäjän on aina perustettava käsittelytoimintansa johonkin asetuksessa määriteltyyn käsittelyperusteeseen tai muuten käsittely katsotaan laittomaksi. Tutkielmassa otetaan erityisesti kantaa sen puolesta, minkä vuoksi päivittäis-
tavaraketjujen tulisi markkinointikäsittelyssään nojautua erityisesti suostumukseen, sillä se on käsittelyperusteista ainoa, joka takaa rekisteröidylle mahdollisuuden kontrolloida häntä koskevia tietoja ja valvoa omia etujaan. Erityisesti profilointia ja suoramarkkinointia voidaan suorittaa joko suostumuksen tai oikeutetun edun perusteella, joten tutkielmassa on myös avattu kummankin käsittelyperusteen keskeiset elementit ja tutustuttu tarkemmin profiloinnin aiheuttamiin haasteisiin.
Tutkielmassa perehdytään lisäksi S-ryhmän ja Keskon kanta-asiakassopimuksien solmimisprosessiin tietosuojanäkökulmasta. Tutkielmassa todetaan, että ketjut käyttävät suostumusta melko marginaalisiin käsittelytarkoituksiin ja varsinainen profilointi ja markkinointi tapahtuu oikeutetun edun perusteella. Oikeutetun edun käyttäminen on kuluttajan kannalta usein huomaamatonta, joten tieto henkilötietojen käsittelystä saattaa jäädä kuluttajalle epäselväksi. Koska ketjut käsittelevät kuluttajista melko syvällekin heidän yksityisyytensä piiriin meneviä henkilötietoja, tutkielmassa esitetään, että käsittely tulisi suorittaa pikemminkin suostumuksen perusteella, joka takaisi yhtäältä kuluttajien kunnollisen informoinnin ennen käsittelyn aloittamista ja toisaalta antaisi kuluttajalla itse valtaa päättää, haluaako hän suostua tällaisen käsittelyn kohteeksi. Ketjujen tämänhetkiset suostumuksenkeruutavat todetaan myös puutteellisiksi, joten tutkielmassa esitetään myös kehitysehdotuksia niiden parantamiseksi.