Tietosuoja, henkilötiedot ja GDPR

[Melodious Oaf]

Asiassa on päällekkäin suomalaisia ja EU-tason säännöksiä.

Suomessa on henkilötietolaki jossa puhutaan "rekisteröidyistä" ja "rekisterinpitäjästä".

GDPR on eri kokonaisuus mutta osin lomittainen. Siinä on "data controller" ja "data subject". Suomeksi käytetään sanoja "rekisterinpitäjä" ja "rekisteröity" näistäkin.

Minun ymmärtääkseni markkinointilupa ei oikeastaan liity näistä kumpaankaan, vaan se koskee jotakin todennäköisesti suomalaista säädöstä nimenomaan suoramarkkinoinnista. Silloin se liittyy yrityksen asiakasviestintään, mutta ei oikeastaan mitenkään esimerkiksi verkkosivuilla oleviin evästeisiin tai siihen, mitä tapahtuu, kun toimit netissä ja joillain sivustoilla.

Saatan tietysti olla täysin väärässä, mutta se olisi kiinnostava tieto.

[Melodious Oaf]

Kyllä markkinointilupa liittyy myös henkilötietolakiin ja näihin juttuihin.

Epäilen että se olisi vanhempaa perua oleva termi, mutta en ole siitä ollenkaan varma.

Samalla tavalla on rekisteröity ja rekisterinpitäjä. Kun tietoja kerätään, rekisteröidyltä pitää saada "opt-in" eli erillinen suostumus siihen, että tietojen käsittelyn tarkoitus voi olla suoramarkkinointi.

Jos tätä kelataan auki GDPR-termein, pitää kertoa mihin tarkoitukseen tietoja kerätään.

Nyt siis... en itse näe miten ne "legitimate interest"-jutut mistä puhuin ongelmana liittyvät ollenkaan tähän.

Katsoin esimerkkinä OP:ta.

Markkinointilupa tarkoittaa sitä, että he voivat lähettää asiakkaalle tietoa ja vinkkejä ajankohtaisista eduista, uusista tuotteista ynnä muusta. Markkinointiluvan voi milloin tahansa perua, ja se on heillä ainakin tehty tosi helpoksi.

Voi valita, haluaako tällaista asiakasviestintää sähköpostilla vai tekstiviesteinä.

Mutta en ymmärrä, mikä yhteys tällä on niihin profilointiin liittyviin nettihommiin. 

[Xantippa]

No vinkiksi sanon, että tässä jos missä kaikki liittyy kaikkeen. Kannattaa tsekata myös missä serverit sijaitsee, jos oikein tahtoo päätään sekoittaa.

En todellakaan nyt ala näistä kinaamaan, mutta sen vain sanon, että Suomen laki ja EU-säädökset eivät juurikaan poikkea toisistaan.

Profilointi on kokonaan kolmas tarina, eikä näihin, aivan kuten jo hokasit, juuri liitykään. Mutta jäädään siihen, että susta tommoinen yleisrekisteri, joka kerää kaiken maailman tietoa susta, jota voit sitten raksutella rastien, on hyvä, ja musta ei.

T: Xante

[Melodious Oaf]

Elisalla näitä lupia voi hallinoida OmaElisassa. En ole heidän asiakkaansa osin koska en pidä tyylistä kohdella asiakkaita.

Kokeilen silti ja kirjaudun OmaElisaan:

Viestintäasetuksia on aika vaikea löytää. Sivulla on kaikenlaisia kategorioita tosi näkyvästi, mutta oikea suunta on klikata omaa nimeä joka näkyy pienellä kulmassa ja sen alta vielä erikseen "Omat tiedot" ja sitten hakeutua välilehdelle "Viestintä".

Markkinointiviestit Elisalta -osiossa on kaksi liukukytkintä: Tekstiviestit ja Sähköpostit. Nämä ovat oletuksena pois päältä, koska suoramarkkinointiin nimenomaan lain mukaan tarvitaan "opt-in".

Osiossa "Palveluihini liittyvät viestit" sekä sähköpostien että tekstiviestien kytkin on lähtökohtaisesti päällä.

Osiossa "Kohdennetummat viestit ja markkinointi" valinnat ovat lähtökohtaisesti päällä.

Osiossa "Asiakastutkimukset" valinnat ovat lähtökohtaisesti päällä.

Osiossa "Tiedotteet" lukee vain, että tiedotteita lähetämme tarvittaessa.

Varsinaisia evästeasetuksia täältä ei löydy, mutta ne löytyvät sivun alareunasta. Vain välttämättömät evästeet on oletuksena valittuna ja tarjotaan painiketta "hyväksy kaikki".

Läpinäkyvyys tässä on sikäli huono, että siinä on vain "toiminnalliset", "analytiikkaan käytettävät" ja "personointiin käytettävät" joista voi sitten valita erikseen jos ei halua käyttää tarjottua "hyväksy kaikki"-vaihtoehtoa. 

Missään ei ole mitään mainintaa että mitään luovutettaisiin kenellekään, mutta jos katsoo mitä ne evästeet ovat valitsemalla "näytä evästeet", siellä on joka kategoriassa omien evästeiden lisäksi Amazonin sun muiden ulkopuolisten tahojen vastaavia vaihtelevankokoinen liuta, jotka tulevat hyväksytyiksi ihan sillä samalla täpällä kuin omatkin evästeet tässä "evästeluokassa".



OP:lla on minusta helpompi hahmottaa, mistä asetukset löytyvät. Omasta profillista "Suostumukset, luvat ja valtakirjat", joka on siinä aika isolla.

Suoramarkkinointia sanotaan suoramarkkinoinniksi mutta muuten toimii samalla tavalla, eli erikseen pitää tilata, jota en ole tehnyt.

Evästeasetuksetkin löytyvät täältä. Niissä on kaikki täpät valittuina, varmaan koska olen vaan painanut että joo joo. Mutta aika selkeästi näkee, että on kolmansien osapuolten markkinointi erillisenä ja kahdessa muussa evästetetyypissä sanotaan, että ei tehdä tietoluovutuksia eli ovat OP:n omia.

Kolmansien osapuolten kohdalla kerrotaan keitä verkostoon kuuluu ja että he voivat käyttää tietoja myös omiin tarkoituksiinsa.



Lopputuloksen kannalta kuitenkin aika sama homma kummallakin. Eroa on kuitenkin saavutettavuudessa ja tyylissä tehdä näitä juttuja.

Näkisin että "markkinointilupa" kuitenkin järkevimmin tarkoittaisi tätä suoramarkkinointia. Siihen pitää erikseen tehdä valinta ihan lain mukaan, enkä näe tätä ongelmana.

Lisäksi Elisalla ja OP:lla on kummallakin tällainen "portaali" asiakkalle, jossa kaikki jutut on aika keskitetysti ja johon tunnistaudutaan.

Suurimmaksi osaksi kun netissä profiloidaan ynnä muuta, ei siellä ole mitään tällaista portaalia mistä voisit käydä valintoja muuttamassa näinkään helposti. 

Ja ehkä se mun ajatus oli osittain sekin, että olis tavallaan helpompi jos joku tekis tommosen portaalin hyvin ja tosi selkeästi ja kaikki vaan käyttäis sitä. Eihän niiden tietojen tarvitsisi siellä olla silti.

Mutta oikeastaan se ongelma ei tossa ratkea, että miten sitten ne tietojenluovutukset kolmansille tahoille. Voishan sen näyttää siellä tosi selkeästi että mitkä on sitä ja sitten vois arvioida kenen kohdalla se on OK.

Esimerkiksi OP:n verkostoon kuuluu Facebook ja muutama muu, ja noilla tiedoilla kohdennetaan siellä mainontaa tai tehdään mitä tehdään.

Se rassaa mua ehkä pykälää vähemmän kuin se, että jotkut sivustot luovuttaa niitä tietoja siis ihan tommosta koostaville yritysille, jotka sitten myy niitä edelleen. Niitä yrityksiä voi olla siinä listalla vaikka 200 niin ettei niitä edes näe ellei klikkaile auki, ja kaikkien kohdalla voi olla se "legitimate interest"-kytkin valmiiksi päällä.

Mutta en tiedä auttaako se nyt niin kauheasti, jos olisi joku portaali, jossa voisi halutesssan erikseen käydä tekemässä ne valinnat jotenkin helpommin tai vaihtoehtoisesti jälkeenpäin nopeasti ja selkeästi hallinnoida.

Mun mielestä se olis jees ja vapauttais siitä että on miljoona tapaa tehdä noi jutut, eikä se ole yritysten intresseissäkään tehdä niitä maksimaalisen reilusti ja hyvin.

Mutta jos sen tekiskin joku muu julkisena palveluna ja niitä hallinoitais kaikille samalla tavalla, itse kokisin että se olis hyvä ja siistiä.

Se kai olis sikäli huono, että vaadittais tunnistautuminen tän jonkin tahon kanssa. Jotkut varmaan mieluummin ei tekis niin, mutta en mä taas pidä tota ongelmana esimerkiksi viranomaisten kanssa asioidessa yleensä. Tai edes Elisan

Voin silti uskoa että Xantippan mielestä ei ole mitään hyvää tässä

[Xantippa]

Mutta jos sen tekiskin joku muu julkisena palveluna ja niitä hallinoitais kaikille samalla tavalla, itse kokisin että se olis hyvä ja siistiä.

Luulen, että tässä on vanha kunnon sukupolvien välinen kuilu. Kun on niin vaikea toivoa, että joku alkaisi ajatella, minne ruutuun laitan rastin julkisena palveluna saatika, että sitä hallinnoittais kaikille samalla samalla tavalla.

Vielä vähemmän voin ajatella, että se olisi minusta hyvä ja siistiä. Enemmän hirvittää.

T: Xante

[Melodious Oaf]

Profilointi on kokonaan kolmas tarina, eikä näihin, aivan kuten jo hokasit, juuri liitykään. Mutta jäädään siihen, että susta tommoinen yleisrekisteri, joka kerää kaiken maailman tietoa susta, jota voit sitten raksutella rastien, on hyvä, ja musta ei.

Kiitos kun kehuit "hokaamisesta".

En tiedä, mitä itse olit hokannut, kun vastasit aiemmin näin:

Nyt en ole varma, mitä tarkoitat, kun puhut rekistereistä. Mutta toistan: ei minun tarvitse muistaa, minne olen antanut esim. markkinointiluvan. Jokainen yritys, joka lähettää minulle markkinointimateriaalia, on velvollinen koko ajan tarkistamaan, että lupa on voimassa. Siitä johtuen juuri nämä ärsyttävät pop-upit koko ajan kysymässä, että näilläkö mennään. Hyväksytkö evästeet. Haluatko perua.

Jos perun, heillä ei ole oikeutta myöskään säilyttää tietojani saati myydä niitä eteenpäin markkinointitarkoituksiin.

Jos taas puhut rekistereistä kuten vaikkapa veroviraston rekisterit, ollaan vähän eri taajamilla. Mutta koskapa näissä keskusteluissa ei.

Tosta vois mun mielestä ihan hyvin luulla, että et oikein tiennyt yhtään, mistä koko keskustelussa edes puhuttiin. Et tiedä, mitä ne rekisterit tai rekisterinpitäjät on, ja näytät luulevan, että markkinointilupa on se mitä kysytään, kun tulee jokin ponnahdusikkuna ja puhutaan evästeistä.

Mutta ei ole mitään ongelmaa hetkeä myöhemmin reteästi todeta mulle että nythän sä vasta hokasit ja kuule kaikki liittyy kakkkeen.

Anna mun kaikki kestää 

[Xantippa]

MO

Pähkinänkuoressa

https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_fi.htm

hieman lisää

https://www.tietosuoja-asetus.org/


https://www.ey.com/fi_fi/law/tietosuoja-asetus

Myönnän, että en jaksanut kamalasti tarkistaa sisältöä. Mutta todennäköisesti jokainen näistä jo etusivulla selittää, miten älytön ajatus on "portaali" joka kerää tietoa siitä, mitä hyväksyntiä ihmiset ovat menneet OPn tai Elisan sivuilla antamaan.

T: Xante

[Melodious Oaf]

Siis se mun ideahan voi silti olla paskaa.

Mutta tavallaan toi juttu markkinointiluvasta sikäli oli erinomainen että se johti OP:n ja Elisan vertailuun, mikä aika hyvin terävöitti kuitenkin kuvaa.

En usko että Xantippa olis ollut kovinkaan hyvin kartalla koko aikana, mutta oli vaan hyvä katsoa konkreettisen esimerkin kautta mikä tossa on se, mikä on se ongelma mun mielestä ja vähän suhteuttaa, kuinka iso asia se nyt on. 

Tolla tavalla esitettynä sen pitäis mun mielestä olla selkeämpi Xantippalle tai kenelle tahansa hahmottaa, vaikka nyt sitten oliskin eri mieltä siitä, onko koko ideassa mitään järkeä vai ei.

Yllättyisin jos tollasta ideaa ei oltais jossain jo pyöritelty tai jos siinä ei olis jotain tosi isoja ongelmia, mistä en tajua mitään.

Mutta ideat on usein semmosia ettei niistä oikein tiedä varmasti, kuinka hyviä ne on, ja ne voi toisaalta olla myös tapoja itse lähestyä jotakin ja hahmottaa paremmin

[Melodious Oaf]

Myönnän, että en jaksanut kamalasti tarkistaa sisältöä. Mutta todennäköisesti jokainen näistä jo etusivulla selittää, miten älytön ajatus on "portaali" joka kerää tietoa siitä, mitä hyväksyntiä ihmiset ovat menneet OPn tai Elisan sivuilla antamaan.

En usko. Ne rekisterinpitäjät olis silti OP ja Elisa.

Idea oli, että OP:n portaali on aivan hitosti parempi ja selkeämpi ja reilumpi, joten periaatteessa vois olla sellainen mahdollisuus että hoidat sun asetukset ja valinnat jonkun mobiilivarmennetyyppisen kirjautumisen kautta kaikkien rekisterinpitäjien kanssa niin että se systeemi nyt vaan on tehty hyvin.

Jos sun mielestä se on kauhea riski että joku viranomaistaho pitää hallussaan semmosta tietoa että missä rekistereissä susta on tietoa ja välittää valintoja rekisterinpitäjän ja rekisteröidyn välillä, niin OK.

Eihän semmosta nyt ole. Ja voihan siihen liittyä joku iso ongelma niin kuin olen koko ajan sanonut.

Onhan sun kaikki terveystiedotkin kootusti OmaKannassa. Siellä kuitenkin on niitä sun henkilötietoja ja voi olla todella arkaluontoistakin materiaalia. Eikä puhuta vain siitä, missä rekistereissä susta on tietoja ja mitä sun valinnat niiden käsittelystä on akselilla kyllä/ei.

Mutta nyt ei puhuta semmosesta asiasta, mihin sulla näyttäis olevan valmiina tietoa, eikä se ongelma varmaan löydy mistään etusivulta kun kerrotaan nykyisestä säädännöstä.

Jos näet selkeästi mikä se ongelma tossa on, kerro se. En väitä ettei sellaista ole.

[Xantippa]

No olen aika hyvin kartalla siitä, että jokainen, joka tietoturvasta ylipäätään on kiinnostunut, on aika paljon sitä mieltä, että sanat portaali ja hallinnointi ovat sen kaltaisia, että omien tietojen suhteen niitä hyvin tarkkaan pohditaan.

Markkinointilupa tässä tosiaan oli ESIMERKKI, kuten sanoinkin koko ajan: esim. Mutta se on todellakin äärimmäisen silmiä avaava, jos on ollakseen, sillä siinä tulee niinkus usein annettua kaikenlaista tietoa.

Sinun pointtisi käsitin, että antaisit huoletta isoveljelle enemmän valvottavaa, jopa sen, mihin sinä olet suostunut. Kunhan vaan pääsisit jotenkin käsitteellisesti helpommin jälkeenpäin uudelleen arvioimaan, mitä ruutua tuli rastittua.

Tätä asiaa todellakin pyöritellään tosi monessa paikassa koko ajan. Ideat on ihania, idealismi on vähän toinen juttu. Kuten sanoin, taitaa olla sukupolvikysymys. Me kylmän sodan vaiheet muistaneet emme usein suhtaudu myönteisesti ajatukseen kerätä tietoa siksi, että sen käyttö olisi helppoa. Se on tietyllä tapaa toki heikkous, sen myönnän, mutta juuri nyt taidetaan taas elää maailmassa, jossa avoimuuden myynti on vaikeampaa.

T: Xante

[Xantippa]

En usko. Ne rekisterinpitäjät olis silti OP ja Elisa.

Ahah, siis kyseessä ei olisikaan "joku muu julkisena palveluna joka niitä hallinoisi kaikille samalla tavalla".

Tarkoitat siis, että yrityksien pitäisi parantaa käytäntöjään. No siitä voidaan olla samaa mieltä. Alun perin minä jo ehdotin, että koko henkilötietojen ja muiden myynti pitäisi kattavammin kieltää, joten jos nämä kaksi tehtäisiin, niin portaaliakaan ei tarvittaisi.

Mitä tulee mobiilivarmentamiseen ja muihin, siinä nyt ollaan jo huimasti parannusta sinällään nähty, mutta niistä tiedottaminen on aika surkeaa. Tarkoitan, että ei ihmiset tajua, mitä se tarkoittaa, kun google kysyy, tallennetaan salasanat tai tuskastuvat todella, kun eivät pääse sisään jonnekin ilman, että vastaanottavat tekstarina sitä ja tätä varmennekoodia.



T: Xante

[Melodious Oaf]

Onko sun mielestä sellainen portaali jossa ois noi luvat keskitetysti ja helposti jotenkin isompi ongelma kuin vaikka nyt Kanta, missä nytkin on kaikki sun terveystiedot?

[Melodious Oaf]

Siis... en ymmärrä tota sun logiikkaa.

Toisekseen siitä mitä sanoit mun lainaamassa yllä näkee ihan selvästi, että sulla oli joku käsitys markkinointiluvasta ja varmaan sellaisista sulla voi olla jotain kokemusta, mutta ei mitään käsitystä siitä, miten se liittyy varsinaisesti lainsäädäntöön tai siihen mistä minä puhuin.

Ihmettelit jopa että mitä se rekisteri tarkoittaa ja onko se niin kuin väestörekisteri vai mikä.

Se velvoite markkinointiluvissa on ihan eri tasoa kuin evästeissä, missä ei ole mitään lakisääteistä "opt-iniä".

Eikä mitkään pop-upit keskimäärin todellakaan liity siihen että sitä koko ajan tarkisteltais että haluatko perua.

Ei markkinointilupaa eikä niitä jo annettuja evästeiden suostumuksia nyt ainakaan. Ne tulee silloin kun niillä ei suostumusta ole kaikkeen mihin ne sen mielellään haluais.

Jos haluat, voit antaa käytännön esimerkkejä ja tai voidaan tutkia eri sivustoja ja katsoa, miten noi toimii. Sehän on ihan faktakysymys ja jos olet oikeassa, silloin olet oikeassa.

Sulla on joku taipumus väittää ihan pokkana tietäväsi sellaista mitä et tiedä ja kyykyttää muita sillä jos et ymmärrä jotakin. Sille sä et varmaan voi mitään, mutta ei se nyt varsinaisesti ole silti mun ongelmani.

[Melodious Oaf]

Mitä tulee mobiilivarmentamiseen ja muihin, siinä nyt ollaan jo huimasti parannusta sinällään nähty, mutta niistä tiedottaminen on aika surkeaa. Tarkoitan, että ei ihmiset tajua, mitä se tarkoittaa, kun google kysyy, tallennetaan salasanat tai tuskastuvat todella, kun eivät pääse sisään jonnekin ilman, että vastaanottavat tekstarina sitä ja tätä varmennekoodia.

Tarkoitin mobiilivarmenteella mobiilivarmennetta, eli tätä pankkitunnusten rinnalla aika yleistä maan sisäisesti meillä käytettyä tunnistautumistapaa.

Se toimii tekstiviesteillä, mutta niitä ei vastaanoteta vaan lähetetään kaksi kappaletta kunkin kirjautumisen yhteydessä.

Miten se liittyy siihen jos Google kysyy, tallennetaanko salasana (vai tarkoitatko selainta kuten Chromea)? Tai mistä niin kuin tässä puhut edes?

[Melodious Oaf]

Mulle tulee käsitys että puhut nyt kaksivaiheisesta tunnistautumisesta (two-factor authentication), jossa tunnuksen ja salasanan lisäksi saatetaan erikseen kysyä vielä jotakin mikä lähetetään sinulle puhelimeen — noin esimerkiksi.

Ja sitten puhut samaan aikaan (kai) siitä, miten jotkut selaimet kuten vaikka nyt Google Chrome saattavat tallentaa kirjautumistietoja tai ehdottavat tätä kirjautuessa kysymällä vaikka että "Tallennetaako salasana?"

Niistä kumpikaan ei ole mobiilivarmenne, enkä tiedä, miksi ihmeessä liität ne tähän.

Ehkä tarkoitit että nämä asiat ovat vaikeita tai jotenkin... niistä pitäisi informoida ihmisiä paremmin. En ole siitä eri mieltä, että varsinkin vanhemmalle väelle kirjautumisten ja salasanojen hallinta voi olla aika painajainen.

Mutta sinällään mobiilivarmenne on tästä iloinen poikkeus, kun sehän on tosi helppo ja selkeä.