The organisation must establish and follow a clear, compliant process for sending marketing or awareness materials to individuals, ensuring adherence to data protection and telecommunications laws.

• Before sending any direct marketing communications, obtain valid consent from the individual in accordance with applicable data protection regulations.
• Clearly identify the organisation as the sender in all marketing communications — anonymised or misleading identities are not permitted.
• Provide a simple, accessible opt-out mechanism that allows individuals to withdraw from receiving marketing messages at any time. The opt-out process must be as easy as the process for giving consent.
• Ensure that opt-out or withdrawal requests are honoured without undue delay and at no cost to the individual.
• Maintain verifiable records of each individual’s consent and any withdrawal of consent to demonstrate compliance.

Organisaation täytyy määritellä toimintatavat, joiden avulla rekisterinpitäjälle tiedotetaan kaikista henkilötietojen käsittelijöistä ennen tietojen käsittelyn aloittamista.

Ilmoituksen on sisällettävä käsittelijöiden käsittelevät tiedot sekä käyttötarkoitukset, joihin he tietoja käsittelevät.

Sopimuksen nojalla käsiteltyjä henkilötietoja, esimerkiksi pilvipalvelua asiakkaille tarjottaessa, ei saa käyttää markkinointi- tai mainontatarkoituksiin ilman tietoja hallitsevan asiakkaan selkeää suostumusta.

Tätä suostumusta ei voi esimerkiksi vaatia tarjotun pilvipalvelun käytön edellytyksenä.

Tämä vaatimus on linjassa yleisten henkilötietojen käsittelyä koskevien vaatimusten kanssa, joissa kaikella henkilötietojen käsittelyllä on oltava selkeä oikeusperusta. Mahdolliset käsittelyt on dokumentoitava normaalisti.

Organisaation tulisi varmistaa, että sopimusperusteisesti käsiteltyjä henkilötietoja ei käytetä markkinointiin tai mainostamiseen ellei siihen ole etukäteissuostumusta rekisteröidyltä.

Suostumusta markkinointiin ja mainostamiseen ei voi käyttää ehtona palvelun saamiselle.

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

• Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
• Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
• Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
• Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.