Eilen 23.1.2020 IAB Finlandin tietosuojaseminaarissa puhuttiin verkkosivujen, markkinoinnin ja mainonnan tietosuojasäännöistä sekä IAB:n Transparency & Consent Frameworkista (TCF). Alla muutamia nostoja digimainonnan tietosuojasta.

Tietosuojavaltuutetun ensimmäiset ratkaisut julkaistu

Päivän teeman kannalta erityisen mielenkiintoinen oli tietosuojavaltuutetun (TSV) suoramarkkinointisuostumuksen pätevyyttä koskeva ratkaisu. Yhtiön käytäntö, jossa asiakasohjelmaan ei voinut liittyä ilman, että hyväksyy samalla suoramarkkinoinnin vastaanottamisen ja joka suostumusta antamatta jättäneiden osalta johti siihen, ettei henkilö voinut varata elokuvalippuja tai ostaa e-sarjalippuja, katsottiin lainvastaiseksi. Rekisteröidyltä saatu suostumus ei ollut vapaaehtoinen eikä riittävän yksilöity EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämällä tavalla.

Muihin TSV:n antamiin ratkaisuihin voi tutustua Finlex-palvelussa.

Suostumuksen määritelmä puhuttaa

Edellä mainitussa ratkaisussa TSV katsoi, että sähköisen viestinnän palveluista annetussa laissa edellytettyyn suostumukseen sovelletaan GDPR:ssä määriteltyjä suostumuksen edellytyksiä. Vaikka ratkaisu koski suoramarkkinointia, voi siitä vetää johtopäätöksen, että myös evästeitä koskevan suostumuksen tulee olla GDPR:n mukainen.

Useat eurooppalaiset tietosuojaviranomaiset ovat katsoneet, että tämä tarkoittaa aktiivista toimenpidettä (opt-in suostumusta, ei passiivisuuteen perustuvaa op-out suostumusta) yksilöityyn käyttötarkoitukseen ja riittävään informaation perustuen (ks. aiempi kirjoitus täältä). Valmiiksi rastitettuja ruutuja vastaan puhuu myös unionin tuomioistuimen Planet 49 -ratkaisu. Täysin yksimielisiä viranomaiset eivät kuitenkaan ole: Suomessa Traficom pitää edelleen kiinni valtavirrasta poikkeavasta tulkinnastaan, että selainasetukset ovat riittävät suostumuksen antamiseksi – tämä siitä huolimatta, että suosituimmat selaimet eivät oletusarvoisesti estä evästeitä (eikä mitään käyttäjän aktiivista toimenpidettä siis tapahdu evästeiden sallimiseksi).

TCF on IAB Europen, julkaisijoiden ja adtech-toimijoiden yhdessä kehittämä keino evästesuostumusten pyytämiseksi ja suostumukseen tai sen puuttumiseen liittyvän tiedon välittämiseksi digitaalisen mainonnan ekosysteemissä. Sen toinen versio pyrkii parantamaan edelleen läpinäkyvyyttä ja tekemään kuluttajille tarjottavista valinnoista mahdollisimman helppokäyttöisiä. Digitaalisen mainonnan maailma on hyvin monimutkainen, joten TCF joutuu väistämättä tasapainottelemaan ymmärrettävyyden ja riittävän tarkan informaation välillä.

Digimainonta vaikeuksissa?

TCF vaikuttaa perustuvan olettamukseen siitä, että digitaalinen mainonta toimii jatkossakin pitkälti samalla tavoin kuin nyt – hyödyntäen pääosin kolmansien osapuolien evästeitä ja vertaamalla eri toimijoiden eväste-ID:tä keskenään mainostilaan tai dataan liittyvän kaupankäynnin mahdollistamiseksi.

Viime viikolla toimiala kuitenkin havahtui, kun Google ilmoitti poistavansa kolmannen osapuolen evästeet Chrome-selaimestaan seuraavan kahden vuoden kuluessa. Osa hätääntyi, kun taas toiset ovat ennakoineet evästeiden kuolemaa jo useamman vuoden. Nyt katse saattaa suuntautua mm. kontekstuaaliseen mainontaan, omaan ensimmäisen osapuolen dataan, mahdollisiin ensimmäisen osapuolen evästeitä hyödyntäviin universaaleihin ID-ratkaisuihin tai eri toimialojen konsortioihin, jotka voivat luoda Googlen ja Facebookin kanssa kilpailevia kirjautumiseen perustuvia ratkaisujaan. Ehkä syntyy uusia innovaatioitakin?

Mitä tehdä?

Verkkosivujen ja digimainonnan osalta moni on tuntunut odottavan sähköisen viestinnän tietosuojadirektiivin uudistusta, jo vuonna 2017 ehdotettua ePrivacy-asetusta. Sen valmistelu on viivästynyt, mutta selväksi on käynyt, että GDPR:n voimaantulo on vaikuttanut myös ePrivacy-sääntelyyn (eli Suomessa sähköisen viestinnän palveluista annettuun lakiin), erityisesti muuttanut suostumuksen määritelmää yllä kuvatuin tavoin. Nyt on siis viimeistään aika lähteä korjaamaan käytäntöjä digimainonnan ja erityisesti evästesuostumuksen pyytämisen osalta.

Tiiviit toimenpidesuositukset, jotka esitin IAB:n tietosuojaseminaarissa, löydät alta:

• Tiedä, mitä sivustollasi tapahtuu: tee evästeaudit

• Määritä roolisi ja ymmärrä riskitasosi: suomalainen verkkosivusto vs. ohjelmallisesti mainostilaa/dataa myyvä julkaisija tai yritys, joka muutoin tarjoaa palveluitaan Euroopan laajuisesti

• Varaudu muutoksiin: panosta 1st party dataan ja/tai pohdi tekeväsi digimainontaa ilman henkilötietoja

• Kartoita eri suostumustenhallintamekanismeja (CMP), testaa ja ota käyttöön, erityisesti jos haluat toimia kansainvälisessä ohjelmallisen mainonnan markkinassa (huom. hoida suostumus myös niille evästeille, jotka eivät ole TCF:ssä mukana)

• Päivitä tietosuoja- ja/tai evästekäytännöt (esim. yhteisrekisterinpitäjyys Facebookin kanssa, jos käytössä on FB-painikkeita; evästeiden käyttötarkoitukset ja elinkaari; kumppaneiden yksilöinti; suostumuksen hallinta)

• Dokumentoi: mm. sopimukset, vaikutustenarvioinnit, oikeutettuun etuun liittyvät tasapainotestit

• Seuraa viranomaisratkaisuja ja -suosituksia sekä alan markkinakäytännön muutoksia

Lopuksi vielä muistutus siitä, että evästesääntely on teknologianeutraalia, joten ”evästeillä” tarkoitetaan myös muita vastaavia teknologioita (esim. beaconit, pikselit selaimen paikallinen tietovarasto, fingerprintit, mobiilisovellusten SDK:t). On siis suositeltavaa katsoa koko kävijäseurantaan liittyvä kokonaisuus kuntoon.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Brexit-kaislikossa suhisee jälleen kiivaasti, kun Iso-Britannia (UK) ja Euroopan unioni (EU) kipuilevat Brexit-järjestelyjen kanssa. Tässä vaiheessa näyttäisi siltä, että enemmän tai vähemmän kaoottinen Brexit tulisi toteutumaan lokakuun 2019 lopussa. Jos UK ja EU eivät pääse sopuun irtautumisen ehdoista, niin kutsuttu ”Hard Brexit” on villeimpien brittipoliitikkojen mukaan myös vaihtoehto. Hard Brexitiä voisi suoraan verrata vastasyntyneen napanuoran leikkaamiseen. Siinä tapauksessa tilanne eron hetkellä UK:lle olisi, kuten kätilö puolivitsikkäästi totesi ko. tilanteessa tyttäreni syntyessä, ”onneksi olkoon, olet nyt omillasi”.

Muiden vaikutusten ohella Hard Brexitillä olisi olennaisia vaikutuksia myös EU:n laajuisiin immateriaalioikeuksiin (kuten tavaramerkit ja desiginit) sekä henkilötietojen käsittelyyn.

EU-tavaramerkit ja yhteisömallit

EU-tavaramerkkien ja yhteisömallien osalta lähtökohtana on, että ne ovat voimassa yhtenäisenä koko EU:n alueella, eli yksinoikeus kattaa aina kaikki EU-maat. UK:n erotessa EU:sta se ei enää luonnollisestikaan ole EU-maa, jolloin kyseisten EU:n laajuisten oikeuksien voimassaolo UK:ssa lakkaa, ja näitä koskevat hakemuksetkin supistuvat koskemaan vain EU:hun jääviä jäsenvaltioita. Samoin sellaiset Madridin järjestelmän mukaiset kansainväliset rekisteröinnit, joissa suoja on haettu kattamaan koko EU:n alueen, eivät enää koske UK:ta. EU:n komissiokin on valveutuneena antanut aiheesta tiedonannon.

Lienee selvää, että tämä voi aiheuttaa harmaita hiuksia niille suomalaisille(kin) yrityksille, joilla on liiketoimintaa UK:ssa, sillä niiden EU:n laajuinen yksinoikeus ei olisi enää voimassa UK:n alueella. Tilanne voisi pahimmillaan johtaa merkittävään kilpailuedun menetykseen, jos paikallinen UK:ssa operoiva kilpailija saisi hankittua yksinoikeuden vaikkapa toisen aiemmin UK:ssa EU-tavaramerkillä suojattuun tavaramerkkiin.  

UK:n hallinto on kuitenkin tiedostanut ongelman ja ohjeistanut, että Brexit-hetkellä voimassa oleville rekisteröidyille EU-tavaramerkeille ja EU-designeille annetaan vastaava UK:n kansallinen rekisteröinti ”minimaalisella hallinnollisella taakalla”. Oikeudet olisivat siis voimassa edelleen saman laajuisina myös UK:ssa, mutta EU-oikeudesta itsenäisenä. Tämä tarkoittaa sitä, että esim. uusimiseen ja valvontaan liittyvät seikat toteutetaan UK:n asianomaisten lakien mukaisesti ja UK:n viranomaisvalvonnassa. Toisaalta oikeudet olisivat myös siirrettävissä ja muuten hyödynnettävissä itsenäisesti. Yrityksen on näin ollen pidettävä tarkempaa kirjaa IPR-portfoliostaan ja portfolion hallinnointi jonkin verran monimutkaistuu.

Jos oikeus sen sijaan on hakemusvaiheessa, edellytetään uuden UK-hakemuksen tekemistä, jos UK halutaan sisällyttää yksinoikeuden kattamaan alueeseen. Tällekin hakemukselle annetaan tosin samat hakemus-, etuoikeus- ym. päivämäärät kuin mitä EU-hakemuksessa, mutta kuten edellä, oikeus olisi sen myöntämisen jälkeen UK:n lainsäädännön alainen.

Vaikka UK:n EU-napanuora katkaistaisiinkin, säilyy UK tavaramerkkien osalta edelleen normaalisti Madridin järjestelmän mukaisessa kansainvälisessä rekisteröintijärjestelmässä. Jos siis yrityksesi liiketoiminnan kansainvälistyessä haluat esim. laajentaa Suomessa rekisteröimäsi tavaramerkin kattamaan muita maita, UK:n osalta on Brexitin jälkeen huomioitava, että rekisteröinti täytyy tehdä EU:lle ja UK:lle erikseen.

Vaikutukset henkilötietojen käsittelyyn

UK:laiset yritykset valmistautuivat varmasti vähintäänkin yhtä suurella pieteetillä lempilapsemme GDPR:n implementointiin kuin EU:hun jäävät valtiot. Oletettavaa on, että sana ”kiitollisuus” kuvaa hyvin sitä tunnetta, joka näiden yritysten johtoportaissa vallitsee, kun tietosuojarumba on aloitettava osittain uudestaan, mikäli EU:n kansalaisten henkilötietoja mielitään vielä Brexitin jälkeen käsitellä.

Henkilötietojen siirto EU-maiden välillä voi tapahtua vapaasti, mutta kun EU-napanuora katkeaa, poistuu myös tämä mahdollisuus. Brexitin myötä UK:sta tulee nimittäin tietosuojamielessä ns. kolmas maa, mikä tarkoittaa sitä, että henkilötietojen siirtoon UK:n alueelle tulee vastaisuudessa olla erityinen, GDPR:n V luvun mukainen peruste. Näistä voi tässä yhteydessä mainita esim. EU-komission päätöksen tietosuojan tason riittävyydestä tai erityisten suojatoimien implementoinnin, kuten komission mallilausekkeet (Standard Contractual Clauses, SCC) tai konserneissa yritystä sitovat säännöt (Binding Corporate Rules, BCR). Näistä ensiksi mainittu, eli komission päätös, ei tosin tule kyseeseen, sillä sellaista ei ole tehty. On vähän jopa huvittavaa, ettei komissio ole tässä parin vuoden aikana saanut aikaiseksi em. päätöstä (esim. pöytälaatikkoon), vaikka UK:n tietosuojaviranomaiset ovat moneen otteeseen toitottaneet, että he jatkavat GDPR:n periaatteiden noudattamista ja heidän kansallinen täydentävä lainsäädäntönsä vastaa tällä hetkellä GDPR:n vaatimuksia (ja osin on vastannut jo aiemmin).

Jos siis yrityksesi käyttää vaikkapa UK:ssa sijaitsevaa palvelinkapasiteettia tai hankkii muita henkilötietojen käsittelyä sisältäviä palveluita, Brexitin toteuduttua pelkkä tietojenkäsittelysopimus (data processing agreement, DPA) palveluntarjoajan kanssa ei enää riitä, vaan ko. palveluntarjoajan kanssa on tehtävä esim. komission mallilausekkeiden mukainen sopimus tietojen siirrosta (jos muita suojatoimia ei ole käytettävissä).

Ei liene kovin kaukaa haettua, että Brexitin toteutuessa UK menettänee vetovoimaansa henkilötietojen käsittelyä sisältävien palveluiden hankintamaana lisääntyneen byrokratian ansiosta. Tällä taas on myös suoria taloudellisia vaikutuksia sekä rekisterinpitäjille (palveluntarjoajan vaihtoon liittyvät kustannukset) että UK:ssa toimiville käsittelijöille (no money, no honey).

Jos yritys kuitenkin haluaa edelleen hankkia henkilötietojen käsittelyä sisältäviä palveluita UK:laiselta toimijalta (ja miksi ei haluaisi, asiantuntemusta ja käyttökelpoista teknologiaa siellä edelleen kuitenkin on), on syytä huomioida, että GDPR:n mukaisten siirrot kolmansiin maihin mahdollistavien suojatoimien tulee olla paikoillaan heti Brexitin hetkellä. Muuten siirto on GDPR:n vastainen ja voi johtaa sanktioihin.

Tietosuojaliitännäisten vaikutusten huomiointi edellyttää toki myös yrityksen sisäisten dokumenttien päivitystä, tarkoittaen esim. tietosuojalausekkeiden päivittämistä siltä osin kuin tietoja siirretään edelleen UK:n alueelle, eli Brexitin jälkeen EU:n ulkopuolelle. Euroopan tietosuojaneuvoston ohjeistus aiheesta on luettavissa täältä.

Brexit-kaislikon suhina todennäköisesti jatkuu lähiaikoina entistä kovempana, joten myös me seuraamme mielenkiinnolla, mitä pusikosta loppujen lopuksi paljastuu.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Rekrytointiin ja työsuhteen solmimiseen liittyy suuria tunteita – innostusta uudesta työpaikasta tai kollegasta taikka pettymystä siitä, että jälleen kerran saa viestin ”valitettavasti valintamme ei tällä kertaa kohdistunut sinuun”. Tunteet ja juridiikka nivoutuvat usein yhteen: mitä paremmin hakija tuntee tulevansa kohdelluksi, niin sitä harvemmin rekrytointi johtaa riitaan. Hyvä hakijakokemus on siis myös juridisten riskien minimointia!

Alla muutamia keskeisiä asioita, joita rekrytointiprosessissa tulee juridisesti huomioida.

Työpaikkailmoitus

Yhdenvertaisuuslain mukaan ketään ei saa syrjiä iän, etnisen tai kansallisen alkuperän, kansalaisuuden, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden, sukupuolisen suuntautumisen tai muun henkilöön liittyvän syyn perusteella. Tasa-arvolain mukaan työpaikkaa ei saa ilmoittaa vain joko naisten tai miesten haettavaksi, jollei tähän ole työn tai tehtävän laadusta johtuvaa painavaa ja hyväksyttävää syytä. Kiellettyä olisi hakea IT-tukihenkilöksi miestä tai edellyttää siivoojalta täydellistä suomen kielen suullista ja kirjallista hallintaa. Sallittua sen sijaan olisi edellyttää mallin työtä hakevalta valokuvaa sekä edellyttää uutistenlukijalta täydellistä suomen kielen suullista ja kirjallista hallintaa.  

Työpaikkailmoituksen sanamuotoja valittaessa ja erityisesti hyperkohdennettua digitaalista työpaikkamainontaa käytettäessä olisi hyvä kriittisesti tarkastella sitä, johtaako sanamuodot tai kohdentaminen olemassa olevien stereotypioiden vahvistumiseen vai monimuotoisuuden lisääntymiseen.

Hakulomakkeet

Hakulomakkeita laadittaessa tulisi pyrkiä ohjaamaan työnhakijaa antamaan vain avoimen työtehtävän kannalta tarpeellisia tietoja. Lisäksi tulee huolehtia tietosuoja-asetuksen mukaisesta läpinäkyvästä informoinnista eli esimerkiksi linkittää hakulomakkeessa rekrytointia koskevaan tietosuojaselosteeseen. Tietosuojaselosteessa tulee kuvata mm. rekisterinpitäjän identiteetti, käsiteltävät tietoryhmät ja tietolähteet, tietojen käsittelytarkoitukset, perusteet ja säilytysaika sekä rekisteröidyn oikeudet.

Tiedonhaku

Tietosuoja-asetus ei aseta rajoitteita eri tietolähteiden käytölle edellyttäen, että henkilötietojen käsittelyn yleisiä periaatteita, kuten tarpeellisuus- ja minimointiperiaatteita sekä informointivelvoitteita, noudatetaan. Suomalaisen työelämän tietosuojalain mukaan henkilötietoja saa kuitenkin kerätä ensi sijassa vain työnhakijalta itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työnhakijalta itseltään, työnhakijalta on hankittava suostumus tietojen keräämiseen. Tietosuojavaltuutettu on esimerkiksi suhtautunut kielteisesti työnhakijan googlaamiseen.

Työhaastattelu

Työnhakijalta voidaan kysyä vain haettavan työn kannalta tarpeellisia tietoja. Haastattelussa tulisi keskittyä selvittämään hakijan ammatillisia edellytyksiä työkokemuksen, koulutuksen ja ydinosaamisen osalta. Kysymysten esittäminen perhetilanteesta, poliittisesta vakaumuksesta, sukupuolisesta suuntautumisesta tai vastaavista arkaluonteisista aiheista voi johtaa syrjintäepäilyyn. Ole siis tarkkana kysymysten muotoilun kanssa: esimerkiksi sen sijaan, että kysyisit, onko hakijalla lapsia voit tiedustella sitä, pystyykö hakija työtehtävien edellyttämin tavoin matkustamaan ulkomaille säännöllisesti.

Valintapäätös

Työnantajalla on oikeus valita tehtävään parhaaksi katsomansa henkilö. Hakijaa ei saa kuitenkaan syrjäyttää esimerkiksi raskauden tai seksuaalisen suuntautumisen tai muulla epäasiallisella perusteella. Kun työnhakijoina on sekä naisia että miehiä, työnantajan on tehtävä ansiovertailu. Soveltuvuus tai sopivuus voi olla hyväksyttävä syy valita tehtävään vähemmän ansioitunut hakija, mutta tärkeää on, että työnantaja osoittaa tosiasiallisesti punninneensa valituksi tulleen ja valitsematta jääneen kykyjä ja ominaisuuksia keskenään. Määrittele siis etukäteen valintakriteerit, joita voi käyttää ansiovertailun ja soveltuvuuden arvioinnin pohjana, ja mm. kirjaa testeihin tai haastatteluihin liittyvät huomiot hakijan ominaisuuksista. Muista, että ominaisuuksien, joihin valinnassa vedotaan, tulee olla merkityksellisiä haettavana olevan tehtävän hoitamisen kannalta.

Blogi toteutettu yhteistyössä Rekrytointiakatemian kanssa, https://www.rekrytointiakatemia.fi/juridiikka/rekrytoinnin-juridiset-sudenkuopat/

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.