GDPR: Henkilötietoja ja henkilötietoja
Kesäkuussa Yle julkaisi artikkelin ”Suomi ei olekaan EU-tietosuojan mallioppilas – Tutkijoiden mukaan Suomi toimii laittomasti nettiseurannan valvonnassa”. Vedin sen verran pahasti päiväkahvit väärään kurkkuun, että päätin tuoda keskusteluun myös toista näkökulmaa. Juttu luo nimittäin kuvan, että nettisivujen analytiikka eli web-analytiikka olisi jotain hyvin epäilyttävää ja keräisi todellisia yksittäistä henkilöä yksilöiviä henkilötietoja.
Ylen artikkeliin oli haastateltu tietoturvayrityksen tietosuoja-asiantuntija Heikki Tolvasta, tietosuojaan ja EU-oikeuteen perehtynyttä oikeustieteen tutkija Toni Selkälää, julkisoikeuden professori Tomi Voutilaista, apulaistietosuojavaltuutettu Anu Talusta, kyberturvallisuuskeskuksen päällikkö Heidi Kivekästä ja oikeuskanslerinviraston tietosuojavastaava Pekka Liesivuorta.
Olipas läkähdyttävä lista lakiasiaintuntijoita ja tietoturvanikkareita. Tämä kattaus vastaa yleisemminkin Ylen artikkeleita tietosuoja-aiheesta.
Missä on toinen näkökulma aiheeseen eli miksi sitä dataa kerätään ja mitä hyötyä siitä on yrityksille ja kuluttajillekin. Ylessä on päässyt ääneen lähinnä tietosuojafanaatikot, jotka eivät selvennä esimerkiksi sitä mitä henkilötiedolla tarkoitetaan web-analytiikan tapauksessa.
Lisäksi lakimiesten tai tutkijoiden annetaan kommentoida toimialaa, jonka erityisasiantuntijoita he eivät ole. Tutkija Toni Selkälä toteaa artikkelissa: "kun ihmisten käyttäytymisen seuranta ja mainosten kohdentaminen ei ole edes erityisen tehokasta, miksi ihmeessä haluamme toimia näin?". Voisin kirjoittaa analyytikon kokemuksella pitkän pätkän kohdennetun mainonnan toimivuudesta mutta jätetään se asia nyt seuraavaan artikkeliin. Tyydyn vain toteamaan, että kyllä se on tehokasta.
Eksyin jo hieman sivuun aiheesta web-analytiikka. Selkälän mainitsema käyttäytymisen seuranta toki liittyy mitä suurimmalta osin myös analytiikkaan. Web-analytiikan avulla yritys tutkii sivuston liikennettä, esimerkiksi kuinka suuri osa etusivulle tulleista jatkaa selaamista. Tavoitteena on kehittää sivustoa käyttäjäystävällisemmäksi ja tietysti esimerkiksi verkkokaupan tapauksessa myyvemmäksi.
Ylen artikkelissa ei tuotu selkeästi esille mitä henkilötiedolla tarkoitetaan web-analytiikasta puhuttaessa.
Intuitiivisesti useimmilla tulee henkilötiedosta mieleen, että hänestä tallennetaan todellisia henkilötietoja kuten nimi, osoite tai puhelinnumero. Jotain siis mistä sinut voi tunnistaa sinuksi. GDPR:n mukaan henkilötiedoksi kuitenkin lasketaan myös pseudonyymit tiedot ja nyt nähtävästi eräissä oikeustapauksissa osin anonyymit tiedotkin.
Pseudonyymi tieto, mitäs se sitten tarkoittaa? Pseudonyymi tai pseudonymisoitu tieto on sellaista, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Jos kuitenkin lisätiedoilla yksilö voidaan erottaa, on tietosuojasäännöksiä sovellettava.
Web-analytiikan tapauksessa tämä tulisi kyseeseen esimerkiksi, jos analytiikan data yhdistetään CRM-järjestelmästä saatavaan tietoon. CRM-dataa taas voidaan kerätä esimerkiksi, kun henkilö tekee verkkokaupassa ostoksen. Tällöinhän hänen on täytynyt täyttää todelliset henkilötietonsa. Suostumus tietojen yhdistämiseen voidaan kuitenkin kysyä tässä vaiheessa. En mene nyt sen tarkemmin tähän aiheeseen mutta todettakoon, että osa web-analytiikan datasta on luokiteltavissa juuri pseudonyymiksi dataksi.
Anonyymi tai anonymisoitu tieto taas tarkoittaa, että henkilöä ei voida tunnistaa. Tällaista dataa ei katsota henkilötiedoiksi eikä niihin ei sovelleta tietosuojasäännöksiä. Anonyymi tieto kuulostaa selkeältä mutta ei ole sitä käytännössä.
Web-analytiikan data nimittäin on lähtökohtaisesti anonyymia. Toimiakseen analytiikkaohjelma kuitenkin tallentaa käyttäjän koneelle evästeitä. En pureudu nyt tähän teknologiaan sen syvemmin mutta web-analytiikan asettama eväste ei ole siinä mielessä todellinen henkilötieto, että sen perusteella voitaisiin tunnistaa tietty henkilö.
Siitä huolimatta Euroopan unionin tuomioistuimen näkemyksen mukaan evästeiden tallentaminen nettikäyttäjän koneelle edellyttää käyttäjän aktiivista suostumusta. Erityisen häiritsevä kohta tuomioistuimen ratkaisussa on kommentti, että päätökseen ei vaikuta se katsotaanko tallennettava eväste henkilötiedoksi vai ei.
Tietosuoja-asia ei tosiaan ole mitenkään selkeä, koska Suomessakin kahdella eri viranomaisella on aiheesta eri tulkinnat. Apulaistietosuojavaltuutettu katsoo, että sivustolla olevan bannerin kautta annettavan suostumuksen ei voida katsoa täyttävän GDPR:n vaatiman suostumuksen edellytyksiä.
Traficomin eli tietosuoja-asioita valvovan viranomaisen mukaan taas suostumus evästeisiin voidaan antaa ja peruuttaa esimerkiksi bannerein tai selainasetuksin, kunhan ehdot suostumuksesta täyttyvät ja suostumuksen peruutus on yhtä helppoa.
Vastustanko tällä kirjoituksellani tietosuojan parantamista? En todellakaan. On erittäin tärkeää, että yritysten on pitänyt nohevoitua keräämänsä todellisten, tiettyä oikeaa henkilöä yksilöivien henkilötietojen suhteen. Edelleenkin monet yritykset epäonnistuvat kertomaan mitä, missä, miksi ja kuinka kauan he säilyttävät ihmisten todellisia eli tiettyä henkilöä yksilöiviä henkilötietoja.
Esimerkiksi henkilöturvatunnusten vuotamisesta voi seurata merkittäviä ongelmia. Mielestäni resurssit ja sanktiot tulisi suunnata näihin tapauksiin sen sijaan että hermostutaan pelottavasta (faktisesti anonyymista) verkkoseurannasta.
Voi olla, että oikeuskäytäntö ajaa sivustojen käytänteet edelleen tiukemmiksi ja jatkossa lähes kaikilla sivustoilla tulee ensin koko sivun täyttävä pop up, jossa kysytään suostumus datan keräämiseen. Mitä se tekee sitten käytettävyydelle, onkin taas toisen kirjoituksen aihe.
Kirjoitus julkaistu aiemmin LinkedIn-artikkelina.