Älykästä vai laitonta markkinointia?

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Olkoonpa se selvää: viimeiset viisitoista vuotta hyvä markkinointi on pitkälti perustunut henkilötietojen älykkääseen käyttöön. Nostakaa kätenne, jos ette ole koskaan luovuttaneet tuotetietoja kohderyhmälle kysymättä. No niin? Ei kättä nostettu, ajattelin. Heitäkäämme ensimmäinen kivi, jos ette ole koskaan säilyttäneet nimeänne, puhelinnumeroanne tai sähköpostiosoitettanne ilmoittamatta siitä kyseiselle henkilölle. Okei, ei kiveä. Heitämme ensimmäisen kiven, jos olette... Luulen, että ymmärrätte idean.

Jotkut ovat tietysti menneet paljon pidemmälle, houkutelleet, ottaneet haltuunsa ja sitten ohjanneet tai siirtäneet profiileja, jotka ovat mielenkiintoisia siksi, että he ovat kuluttajia, viattomia ihmisiä, joilla oli heikkous avata sivusto, seurata linkkiä tai ilmaista itseään rekisteröitymällä, liittymällä, jättämällä kommentin... Ja kuka, on sanomattakin selvää, kiirehti hyväksymään yleisiä myyntiehtoja; lukiko ne? Et kai niin ajattele. Vastuu on siis yhteinen.

Viime aikoina on myönnettävä, että ansat ovat moninkertaistuneet. Kulutusvimma, verkostoriippuvuus ja tunnustuksen tarve – "Minä olen olemassa, minä klikkaan!" – eivät ole varmasti olleet turhia jättimäisten tietokantojen luomisessa, joissa sadat miljoonat ihmiset antautuvat epäröimättä kenelle tahansa, joka haluaa häiritä heitä.

Miksi siis riistää itseltämme jotain? Se oli kaunista, uusi talous, horisontaalisuus, uberisaatio, tekoäly. Data, mikä harrastus! Ja me kaikki pyrimme siihen, loppuun asti! Kriisi? Minun silmääni. Ei kaikille, eikä kaikkeen. Pienet miehet eivät ole koskaan valmistaneet, myyneet ja ostaneet niin paljon. Välttääksemme konkurssin, myymme. Vaikka se merkitsisikin romahdusta. Jokainen nimi ja jokainen siihen liittyvä tieto oli säilyttämisen, testaamisen, profiloinnin arvoinen. Jokainen tarvitsee jotakin, jonain päivänä. Sinun täytyy vain luoda se, tämä tarve, anteeksi sen paljastaminen. Tyydyttää se? Kyllä, mutta ei kuitenkaan liikaa. Jotta kone jatkaa pyörimistään.

Tiesimme. Hyväksyimme sen. Kyllä, mutta siinä se. Menimme liian pitkälle. Olemmeko me aikuisia? Ei, aikuisia ei ole olemassa. Vain lapset kasvavat. Joten, kuten lapset, mekin halusimme aina enemmän ja menimme liian pitkälle. Tai melkein menimme liian pitkälle. Ennen kuin oli liian myöhäistä, viranomaiset ryhtyivät toimiin. CNIL ei ollut päästänyt meitä menemään, mutta hyväntahtoisena ja omalle alueelleen suljettuna se oli ylikuormitettu. Niinpä Eurooppa puuttui asiaan. Useita kertoja. Ensin vuonna 1995 ja sitten vuonna 2016, ja vaikutukset ovat voimassa tänään.

Mikä tämä vaikutus on? Laittomuus. Se, mikä oli ennen fiksua markkinointia, on nyt laitonta markkinointia. Jos tästä lähtien käytät asiakas- tai käyttäjätiedostojasi kuten ennenkin, toimit laittomasti. Ja kyllä. Mutta?… Ei. Miten?… Koska.

Kyse on henkilötietojen ymmärtämisestä ja siitä, miten niitä tulisi käsitellä. Panokset ovat korkeat, riskit korkeat. Miljoonien eurojen sakot, henkilökohtainen vastuu, oikeudenkäynti, oikeus – kuulostaako joltakulta? Emme enää vitsaile. Mark, Larry, Serguei, Jeff, kuuletteko minua? Älkää naurako, tekin. Vaikka digitaaliset jättiläiset ovat GDPR:n pääkohteita, se vaikuttaa kaikkiin organisaatioihin koosta riippumatta. Suuryritykset, startupit, putkimiehet, Triffouillisin kaupungintalot ja yhdistykset: ette voi enää käyttää tiedostojanne haluamallanne tavalla.

Tietenkin oli jo olemassa joitakin sääntöjä ja sanktioita. Todellako? Kyllä. Joten tammikuussa 2018, ennen asetuksen voimaantuloa, CNIL määräsi Dartylle seuraamuksen, koska se ei ollut suojannut asiakkaidensa tietoja riittävästi. Kiistanalainen käyttö tuli itse asiassa alihankkijalta, mutta juuri yritykselle määrättiin sakko. 100 000 euron sakko. Joten se ei ole mitään, mutta se on pikkujuttu verrattuna siihen, mitä sinulle voi tapahtua tästä lähtien, jos et sinäkään ole tarpeeksi valppaana.

Unelmoimme. Ei, ei ollenkaan. Eurooppalainen laki määrää, että tiedot kuuluvat kansalaisille, eikä mikään organisaatio voi ottaa niitä haltuunsa käyttääkseen niitä haluamallaan tavalla. Ahaa... Yritysten on ilmoitettava selkeästi ja täsmällisesti, miten ne keräävät, käsittelevät ja tallentavat henkilötietoja. Kyse on lojaalisuuden, läpinäkyvyyden, erityisten, laillisten, riittävien ja rajattujen tarkoitusten kysymyksestä... Häh? Nämä sanat olisivat naurattaneet meitä ennen. Mutta ajat ovat muuttuneet. Euroopan viranomaiset reagoivat, ja ymmärrämme miksi.

Sinun on tehtävä vaikutustenarviointi ennen tietojesi käsittelyä, noudatettava toimialasi käytännesääntöjä ja nimitettävä tietosuojavastaava, joka raportoi kaikista tapauksista valvontaviranomaiselle, Ranskan CNIL:lle. Näiden määräysten noudattamatta jättämisestä on olemassa erilaisia seuraamuksia, jotka vaihtelevat varoituksesta 20 miljoonan euron tai 4 miljardin euron yrityksen maailmanlaajuisen liikevaihdon sakkoon. Öö... Voi ei.

Se on raskasta. Jopa raakaa. Mutta se on meidän omaksi parhaaksemme. Silti... Okei, okei. On totta, että jotain oli tehtävä. Että me, yritykset, meillä oli tapana riisua itsemme, yksilöt. Ensimmäiset ottavat jälkimmäisiltä nimen, sitten osoitteen, sitten maun, sitten tavan, sitten profiilin, ja sitten, huomaamattamme, he vievät heiltä vapaan tahdon. Vapauden. Useimmat yritykset eivät tarkoita mitään pahaa. Vain markkinointia. Mutta lopulta... Nyt riittää.

Web 2.0:n myötä ymmärsimme, että vauraus piilee datassa, mikä johti nykypäivän big datan kaikkivoipaisaan luonteeseen. Tämä voima on niin suuri, että jotkut ihmettelevät, onko julkisen ja yksityisen elämän rajalla enää mitään merkitystä. Eikö ole liian myöhäistä? ihmettelevät toiset. GDPR:n alullepanijat eivät usko niin, tai ainakaan he eivät sano niin. Heidän mielestään me voimme ja meidän on puututtava asiaan, jotta datakeskukset ja niiden omistajat eivät riistä tai vampirisoi meitä.

Heiluri on heilahdellut. Pégasystemsin keväällä 2017 seitsemässä Euroopan unionin maassa 7 000 kuluttajan keskuudessa tekemä tutkimus osoittaa, että 82 % kansalaisista on päättänyt käyttää oikeuksiaan GDPR:n nojalla. Ranskalaiset näyttävät espanjalaisten ja italialaisten ohella olevan herkimpiä henkilötietojensa suhteen. Niinpä 96 % ranskalaisista vastaajista haluaa tietää, mitä tietoja yrityksillä on heistä hallussaan. Koska kansalaiset ovat yhä huolestuneempia oikeuksiensa tunnustamisesta, näitä lukuja ei pidä ottaa kevyesti.

Luottamuksen rakentaminen, suojelun ja vapaan liikkuvuuden yhdistäminen

GDPR ei siis ole teksti, joka voidaan nopeasti unohdella sen voimaantulon jälkeen. Sen tarkoituksena on lopettaa luottamuksellisten tietojen varastamine ja yksityiselämään tunkeutuminen. Yksilöiden suojelu on siksi GDPR:n ensisijainen tavoite.

Johdantokappaleiden alusta (peräti 173 kappaleesta) sävy on asetettu: "Yksilöiden suojelu henkilötietojen käsittelyssä on perusoikeus" (1^öö (ottamalla huomioon). Ja jopa "Henkilötietojen käsittelyn tulisi olla suunniteltu palvelemaan ihmiskuntaa" (4^e harkiten).

Jos suojelun tarvetta pidetään tarpeellisena, se johtuu siitä, että Euroopan parlamentin ja neuvoston jäsenet, jotka edustavat EU:n kansalaisia, katsoivat, että yritykset ja joissakin tapauksissa kenties viranomaiset olivat menneet liian pitkälle henkilötietojen hyödyntämisessä. GDPR on itse asiassa osa sosioekonomista kehitystä, kuten kuudennessa yleisessä tietosuoja-asetuksessa muistutettiin.^e ottaa huomioon: "Nopea teknologinen kehitys ja globalisaatio ovat luoneet uusia haasteita henkilötietojen suojalle. Henkilötietojen keräämisen ja jakamisen laajuus on kasvanut merkittävästi. Teknologiat mahdollistavat sekä yksityisille yrityksille että viranomaisille henkilötietojen käytön liiketoiminnassaan ennennäkemättömällä tavalla. Yksilöt asettavat yhä useammin tietoja itsestään julkisesti ja maailmanlaajuisesti saataville. Teknologiat ovat mullistaneet sekä taloudellisia että yhteiskunnallisia suhteita, ja niiden tulisi entisestään helpottaa henkilötietojen vapaata liikkuvuutta unionin sisällä ja niiden siirtämistä kolmansiin maihin ja kansainvälisille järjestöille samalla varmistaen henkilötietojen korkeatasoisen suojan."

On selvää, ettei EU syytä toista osapuolta enempää kuin toista, vaan osoittaa yritysten, viranomaisten, teknologian ja yksilöiden itsensä jaetun vastuun.

Eurooppakaan ei ole poikkeus 9. päivästä lähtien.^e ottaa huomioon, että siinä todetaan: "Vaikka direktiivi 95/46/EY (ensimmäinen eurooppalainen viiteteksti aiheesta) on edelleen tyydyttävä tavoitteidensa ja periaatteidensa suhteen, se ei ole estänyt tietosuojan täytäntöönpanon pirstaloitumista unionissa, oikeudellista epävarmuutta tai yleistä käsitystä siitä, että yksilöiden suojeluun kohdistuu edelleen merkittäviä riskejä, erityisesti verkkoympäristössä."

Keskeinen havaittu ongelma on suojan tason erot maiden välillä. Siksi yhtenäisyys kaikille EU:n yrityksille ja jopa niiden EU:n ulkopuolisille alihankkijoille näyttää olevan ehdoton edellytys tehokkaalle politiikalle tällä alalla. "Luonnollisten henkilöiden suojelun johdonmukaisen ja korkeatasoisen tason varmistamiseksi ja henkilötietojen liikkuvuuden esteiden poistamiseksi unionissa luonnollisten henkilöiden oikeuksien ja vapauksien suojan tason tällaisten tietojen käsittelyssä olisi oltava sama kaikissa jäsenvaltioissa. Siksi on asianmukaista varmistaa luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaa koskevien sääntöjen johdonmukainen ja yhdenmukainen soveltaminen henkilötietojen käsittelyssä koko unionissa" (10^e harkiten).

Teksti, vaikka se onkin hyvin rajoittava, kuten tulemme näkemään, pyrkii kuitenkin myönteiseen taloudelliseen tavoitteeseen: ”Nämä kehityskulut edellyttävät unionissa vankkaa ja johdonmukaisempaa tietosuojakehystä sekä sääntöjen tiukkaa soveltamista, koska on tärkeää luoda luottamusta, joka mahdollistaa digitaalitalouden kehittymisen koko sisämarkkinoilla” (7^e harkiten).

"Luottamus." Mielestämme tämä on tärkein sana. Jos GDPR:n tavoitteena on taata, palauttaa tai "istuttaa" kansalaisten luottamus julkisiin ja yksityisiin sidosryhmiin Euroopan sisämarkkinoilla, tuemme sitä täysin. On olennaista, että ihmiset, jotka tekevät ostoksia verkossa, käyttävät palveluita, tutustuvat tarjouksiin tai ilmaisevat mielipiteensä, voivat tehdä nämä toimet pelkäämättä yksityisyytensä menettämistä.

Ilman pelkoa riistettynä tai jopa häirittynä, käytän vuoden 2017 lopusta lähtien muotisanaa, joka voisi soveltua digitaaliseen teknologiaan. Kuinka monta kertaa päivässä saamme tietoa, jota emme ole koskaan pyytäneet, oletettavasti siksi, että olemme tilanneet jotain, jonka olemassaolosta emme edes tienneet? Nykyään meidän on peruutettava tilaus, vaikka emme ole koskaan olleet tilaajia. Jos GDPR:ää sovelletaan oikein, tämä ei ole enää tarpeen: uutiskirjeen lähettäminen on nyt kielletty, jos vastaanottaja ei ole nimenomaisesti antanut suostumustaan.

Tämä uusi kunnioitus on hyvä asia. Taloudellinen vaihto ei ole koskaan yhtä hedelmällistä kuin silloin, kun eri osapuolet tuntevat luottamusta toisiinsa.

Näitä sujuvia vaihtoja kannustetaan selvästi: ”Jotta voidaan varmistaa luonnollisten henkilöiden suojelun yhdenmukainen taso kaikkialla unionissa ja välttää eroavaisuudet, jotka estävät henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys talouden toimijoille, mukaan lukien mikroyritykset, pienet ja keskisuuret yritykset, jotta luonnollisilla henkilöillä kaikissa jäsenvaltioissa on samat täytäntöönpanokelpoiset oikeudet ja velvollisuudet ja vastuut rekisterinpitäjille ja henkilötietojen käsittelijöille sekä jotta varmistetaan henkilötietojen käsittelyn johdonmukainen valvonta ja vastaavat seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. Jotta sisämarkkinat toimisivat moitteettomasti, on välttämätöntä, että henkilötietojen vapaata liikkuvuutta unionissa ei rajoiteta eikä kielletä luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä liittyvillä perusteilla” (13).^e harkiten).

Kuten voimme nähdä, tietosuojan ei pitäisi olla este, vaan pikemminkin etu "sisämarkkinoiden moitteettomalle toiminnalle". Yleisen tietosuoja-asetuksen 1 artikla sisältää nämä kaksi tavoitetta. Lainataanpa ensimmäistä kappaletta: "Tässä asetuksessa vahvistetaan säännöt luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja säännöt näiden tietojen vapaasta liikkuvuudesta." Tietosuoja ja vapaa liikkuvuus, Euroopan unionin kaksi perustaa, eivät olisi voitu ilmaista selkeämmin.  

Seuraavissa johdantokappaleissa joskus ilmoitetaan tulevat artiklat sanasta sanaan, paitsi että ne on useimmiten kirjoitettu konditionaalissa osoittamaan toivetta, aikomusta, kun taas artiklat ovat indikatiivissa, mikä tarkoittaa, että ne ovat oikeudellisesti sitovia.

Kun tekstin filosofia on selvitetty, tarkastelkaamme nyt sen pääkohtia.