Mitä tietoa myyjä saa kerätä asiakkaista?

Asiakkaan tunteminen on myynnin ja markkinoinnin kulmakivi. Toukokuusta 2018 alkaen asiakkaasta ei saa enää kerätä edes omalle läppärille tietoa, joka ei suoraan liity myyntityöhön.

Tiedon avulla kohdistetaan, personoidaan ja roolitetaan toimenpiteitä myyntipuheesta tarjouksen tuunaukseen. Asiakastieto antaa eväitä myös muun muassa luottoriskien hallintaan.

Mikä muuttuu, kun toukokuussa 2018 astuu voimaan EU:n uusi tietosuoasetus (GDPR, General Data Protection Regulation), joka velvoittaa jokaista rekisterinpitäjää huolehtimaan huomattavasti tarkemmin rekistereistään?

Tilintarkastus- ja veropalveluita tarjoavan PwC:n lakipalveluiden vanhempi asiantuntija Seija Vartiainen vastaa käytännön myyntityötä koskeviin kysymyksiimme.

Asiakkaiden ja yhteistyökumppaneiden taustojen selvittäminen on myynnin riskienhallintaa. Saako asiakkaan luottotietoja jatkossakin hakea ja tallettaa?

Luottotietojen keräämiseen, tuottamiseen, tallettamiseen, luovuttamiseen, käyttöön ja muuhun käsittelyyn sovelletaan luottotietolakia. Tietoja saa hakea ja tallentaa sen verran kuin se on riskienhallinnan kannalta tarpeellista.  Luottotietojen hankkimisesta tulee informoida asiakasta.  Oikeusministeriössä selvitellään parhaillaan, mihin kaikkiin nykyisiin lakeihin uusi EU:n tietosuoja-asetus tuo muutostarpeita.

Tietoja kerätään paljon kumppaniverkostossa ja yhteisiä tietokantoja hyödynnetään esimerkiksi yhteisissä markkinointikampanjoissa. Onko tämä sallittua?

Tätä asiaa koskevat samat säännöt kuin yksittäistä rekisteriä, eli tietoja saa yhdistellä vain tarkoituksenmukaisesti kyseistä käyttötarkoitusta varten. Asiakkaalta pitää olla lupa tällaiseen tiedon käyttöön uudessa yhteydessä eikä yhdistettyjä tietoja saa käyttää jatkuvasti erilaisiin tarkoituksiin.

Miten toimitaan myyjän omalla läppärillä tai kännykässä olevien tietojen kanssa? Saako siellä säilyttää tietoja esimerkiksi asiakkaan puolison syntymäpäivästä tai koiran rodusta?

Nämä ovat juuri sellaisia tietoja, joiden kerääminen tai säilyttäminen tuskin on perusteltua. Myyjien omat rekisterit saattavat olla yrityksen vastuulla, vaikka myyjä kerää tietoja itsenäisesti, jos tietoja käytetään yrityksen tarkoituksen hyväksi. Joka tapauksessa nämäkin rekisterit tulisi tunnistaa. 

Minkälaisia tietoja asiakkaasta saa ylipäätään kerätä, käsitellä ja säilyttää?

Tuleva tietosuojalainsäädäntö sallii vain sellaisten tietojen keräämisen ja käsittelyn, jotka ovat kussakin tilanteessa perusteltuja. Tietojen kerääjällä pitää olla esimerkiksi asiakkaan tai muun tietojen kohteen suostumus tietojen hankintaan.

Lisäksi rekisterinpitäjällä ja tiedon käsittelijällä on paljon vastuita, jotka koskevat tiedon elinkaaren hallintaa. Tietoa on säilytettävä turvallisesti, asiakkaiden on saatava tietoa heistä kerätyistä tiedoista ja tiedot pitää tuhota, kun niitä ei enää tarvita.

Mitkä velvollisuudet työntekijällä on ilmiantaa, jos hän epäilee toimeksiantajan, asiakkaan tai kumppanin toiminnassa laittomuuksia, kuten rahanpesua, veronkiertoa tai harmaan työvoiman käyttöä?

Jos kyseessä on rahanpesu ja toimitaan finanssisektorilla, on alan toimijoilla lainsäädännön perusteella ilmoitusvelvollisuus, ja ilmoittamatta jättäminen on rangaistavaa.

Lainsäädännössä on myös muita erityisiä ilmoitusvelvollisuutta koskevia säännöksiä. Esimerkiksi konkurssipesänhoitajilla on velvollisuus tehdä rikosilmoitus, jos rikosta on syytä epäillä. Viranomaisilla on tiettyjä vihjepuhelimia, joihin epäilyjä voi jättää anonyymisti. Lisäksi joillakin säädellyillä aloilla toimijoilla saattaa olla velvollisuus järjestää sisäinen mahdollisuus ilmoittaa nimettömästi epäilyistä.