Sitran toteuttamassa digijälkiselvityksessä seurattiin kuuden testihenkilön avulla yksilödatan kulkua digitaalisissa palveluissa sekä selvitettiin yksilön mahdollisuutta ymmärtää datatalouden toimintaympäristöä. Tuloksista ilmeni, että digitaalisten palveluiden käyttäjällä on hyvin rajallinen näkymä ja niukasti aitoja vaikutusmahdollisuuksia siihen, miten hänen dataansa kerätään ja hyödynnetään.
Toimijoiden verkosto on niin monimutkainen, että datan kulkua eri palveluiden välillä on käytännössä mahdotonta hahmottaa. Verkkopalveluiden käyttäjällä ei ole näkyvyyttä siihen, mitä dataa hänestä kerätään ja mille kolmansille osapuolille dataa menee. Ihmiset joutuvat luottamaan palveluiden yleistäviin ja vaikeaselkoisiin evästekäytäntöihin, tietosuojalausekkeisiin ja käyttäjäehtoihin.
– Luulin, että datani jää palveluntarjoajalle, esimerkiksi verkkolehden käyttöön. Selvisikin, että tietoni leviää erilaisille toimijoille ympäri maailmaa ja että dataani hyödyntävä verkosto on täysin hallitsematon, kommentoi yksi testihenkilöistä.
Mitä yksilöistä kerätyille tiedoille tapahtuu
Digitaalisissa palveluissa yksilöiden toiminnasta syntyy dataa, joka on arvokasta omaisuutta ja kauppatavaraa. Sen hallinta on pääasiassa globaalien teknologia- ja datayritysten käsissä. Yksilödatan avulla luotuja käyttäjäprofiileja hyödynnetään muun muassa mainonnan kohdentamisessa.
Kartoitus vahvistaa käsitystä, että yksilödatalla käytävän kaupankäynnin verkosto on monimutkainen erilaisten toimijoiden kokonaisuus, joka toimii kuluttajan kannalta piilossa ja omilla pelisäännöillään. Yksilödatan jakamisen käytännöt on kuvattu pitkissä ja vaikeaselkoisissa, yrityslähtöisissä käyttöehdoissa. Niiden hyväksyminen mahdollistaa usein kuluttajadatan jakamisen kolmansille osapuolille.
– Yhden palvelun tietosuojaselosteen lukeminen ei anna kokonaiskuvaa siitä, mihin kaikkialle dataa jaetaan. Yksilön vieraillessa yhdessä kaupallisessa palvelussa kymmenet tai jopa sadat muut toimijat voivat kerätä dataa taustalla. Tämä tapahtuu sekunnin murto-osassa, kertoo johtava asiantuntija Tiina Härkönen Sitrasta.
EU:n tietosuoja-asetuksen toimivuus on kysymysmerkki
Kartoituksesta ilmeni, että Euroopan yleinen tietosuoja-asetus (GDPR) läpivalaisee yksilön datan kulkua digitaalisissa palveluissa vain rajoitetusti. Toimintaympäristö on monikerroksinen ja vaikeasti hahmotettavissa. Toimijoille lähetettävä tietopyyntökysely on kuluttajan ainoa tapa saada tietoa hänestä kertyneestä datasta. Yksilöllä ei kuitenkaan ole mahdollisuutta tietää kaikkia kolmansia osapuolia, joille heidän dataansa jaetaan.
– Kartoituksemme osoittaa, että yksilön on hyvin vaikeaa saada kokonaiskuva henkilökohtaisen datansa syntymisestä, tietojen yhdistelystä ja datan käytöstä. Vaihtoehtoisia datatalouden liiketoimintamalleja tarvitaan nykyistä reilumman tulevaisuuden varmistamiseksi, toteaa asiantuntija Riitta Vänskä Sitrasta.
Digitaalisten palveluiden käytöstä kertynyt data mahdollistaa hyvin yksityiskohtaiset profiilit käyttäjistä.
– Internet on tehty aikuisille. Lasten ei voi odottaa ymmärtävän käyttöehtoja, jotka ovat vaikeaselkoisia aikuisillekin. Lapsista kerätään valtavia määriä dataa, sitä myydään eteenpäin ja heitä profiloidaan siinä kuin aikuisiakin, muistuttaa Vänskä.
Tavallisen ihmisen on mahdoton ymmärtää kerätyn datan ja kolmansien osapuolten määrää. Monet kolmannet osapuolet vaihtavat saamaansa dataa keskenään. Lisäksi osa yhdistelee evästeitä erilaisten käyttämiensä tunnisteiden perusteella (cookie-syncing) eli muodostaa ihmisestä kokonaiskuvan, vaikka käytettyjä laitteita olisi useampia.
Suomessa ei vaadita ponnahdusikkunaa
Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla. Evästeistä kertomista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Suostumuksen voi pyytää vapaasti haluamallaan tavalla, kunhan sitä ei pyydetä valmiiksi rastitetulla ruudulla. Evästekäytännöt on mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa. Mediatalojen julkaisujen kohdalla useimmiten halutaan selkeä suostumus tarjottavan palvelun käyttöehtoihin.
Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Lisäksi tiedot evästeen toiminta-ajasta ja tieto siitä, saavatko kolmannet osapuolet mahdollisuuden käyttää evästeitä, on ilmoitettava käyttäjälle. Palvelun käyttäjältä on pyydettävä suostumus evästeiden avulla kerättävien tietojen tallentamiseen ja käyttöön. Informaatio evästeiden avulla kerättävistä tiedoista ja mahdollisuus niiden tallentamisen kieltämiseen pitää toteuttaa käyttäjän kannalta mahdollisimman vaivattomasti. (Laki sähköisen viestinnän palveluista 205 §)
Oikeusministeri Henriksson: ”Arkaluontoiset tiedot eivät saa olla kaupan”
Kansalaisten on voitava luottaa siihen, että heidän tietojaan käsitellään lainmukaisella, läpinäkyvällä ja kestävällä tavalla. Heidän on myös voitava hallita ja ymmärtää, miten ja mihin heidän tietojaan käytetään, painotti oikeusministeri Anna-Maja Henriksson Tietosuojapäivän avajaispuheessaan.
– Maailma muuttuu suuntiin, joita meidän on vaikea vielä tänään ennakoida. Siksi on tärkeää luoda kulttuuri, jossa dataa kunnioitetaan ja arkaluontoinen tieto ei ole kaupan, Henriksson sanoi.
Hallitusohjelmaan on kirjattu henkilötietojen suojan määrätietoinen kehittäminen. Oikeusministeriössä aloitetaan positiivisen luottotietorekisterin valmistelutyö. Selvityksen alla on myös automatisoidun päätöksenteon lainsäädännölliset reunaehdot.
– Minulle oikeusministerinä on itsestään selvää, että tällaisen sääntelyn laatimisessa on otettava huomioon henkilötietojen suojaa sääntelevä lainsäädäntökehikko ja sen sisältämät periaatteet. Sama koskee myös esimerkiksi sote-sääntelyä ja erilaisia digitalisaatioliitännäisiä hankkeita, Henriksson totesi Tietosuojapäivä 2020 -tapahtumassa.