Päivitetty: 7. kesäk. 2023
Tietosuoja-asetukseen valmistauduttiin kuumeisesti. Kuluttajina saimme lukuisia GDPR:stä informoivia sähköpostiviestejä yrityksiltä, joiden kanssa olemme joskus asioineet, ja klikkasimme verkkosivustoilla satoja bannereita, joissa pyydettiin lupaa evästeiden asettamiselle. Yrityksissämme panostimme GDPR:n voimaantuloon mm. uudistamalla dokumentaatiota, prosesseja ja tietojärjestelmiä sekä kouluttamalla henkilöstöämme. Nyt emme kuule mitään. Ei uutisia suurista hallinnollisista sakoista tai vahingonkorvauksista, ei pelottavia esimerkkejä datan käytön kieltämisestä. Kansallisen tietosuojalain puuttuessa Suomessa ei ole edes viranomaista, jolla olisi toimivaltaa valvoa tietosuoja-asetuksen soveltamista.
Vaikka saattaa tuntua siltä, että GDPR on kuin vuosituhannen vaihteen Y2K, ilmassa on jo merkkejä siitä, että tietosuoja-asetus tulee edelleen ottaa tosissaan:
Kuluttajat ovat aktivoituneet tietosuojan suhteen Suomessa ja muualla
Ratkaisuja on jo saatu mm. Saksassa, Iso-Britanniassa, Ranskassa ja Itävallassa
Irlannin tietosuojaviranomainen on ilmoittanut aloittavansa tutkinnan Facebookin 50 miljoonaa käyttäjää koskeneesta tietoturvaloukkauksesta
Iso-Britannian ja Irlannin tietosuojaviranomaiset ovat saaneet kantelun siitä, kuinka ohjelmallisessa mainonnassa rikotaan tietosuoja-asetusta
Euroopan tietosuojavaltuutetun mukaan sakkoja on odotettavissa viimeistään loppuvuonna
Erään yhtiön toimitusjohtajaa ja talousjohtajaa vastaan nostettiin kanne perustuen siihen, että yhtiö olisi antanut harhaanjohtavia tietoja osakkeenomistajille yhtiön GDPR-valmiudesta
Yritysten ei siis ole syytä lopettaa tietosuojatyötä, vaan mm. viimeistellä tietojenkäsittelysopimuksia koskevat neuvottelut kumppaneiden kanssa, varmistaa, että tietosuoja on oletusarvoisesti mukana kehitetyissä tuotteissa ja palveluissa sekä varmistaa, että mainonnassa käytettävä data on laillisesti ja läpinäkyvästi kerätty. Vielä ei todellakaan ole valmista: EY:n tutkimuksen mukaan 56 % yrityksistä ei oman ilmoituksensa mukaan täytä tietosuoja-asetuksen vaatimuksia, ja Gartner ennustaa, että yksityisyydensuoja ja digitaalinen etiikka ovat vuoden 2019 merkittävimpiä strategisia trendejä.
Vaikka edellä viitattiin erityisesti tietosuoja-asetuksen täytäntöönpanoon – kuluttajien valituksiin, viranomaistutkimuksiin, sakkoihin – niin on myös muistettava, että sakkoja todennäköisesti pahempi asia on asiakkaiden luottamuksen tai datan menettäminen taikka kokonaisen liiketoimintamallin kieltäminen. Sen sijaan, että ajateltaisiin, että sakkojen puuttuessa voi tehdä mitä tahansa, tulisi ajatella, että panostamalla tietosuojaan voi esimerkiksi parantaa digitaalista asiakaskokemusta. Tekemällä asiat alusta saakka oikein voi varmistaa, että toimintamalli sekä palvelee asiakkaita että kestää viranomaistarkastelun.
Työssä kannattaa pitää mielessä myös se, että Euroopan unioni valmistelee parhaillaan tietosuoja-asetusta täydentävää sähköisen viestinnän tietosuoja-asetusta. Asetuksen valmistelu on ollut niin hidasta, että siihen ovat tuskastuneet niin poliitikot kuin tietosuojavaltuutetut, mutta Euroopan parlamentin keväisten vaalien vuoksi asetuksen voimaantulo saattaa lykkääntyä yhä useilla kuukausilla. Voimme siis vielä yrittää vaikuttaa siihen, miltä sähköisen viestinnän tietosuoja-asetus näyttää sekä erityisesti siihen, millaisena asetuksen näemme: johtaako tahtotila kieltää vakoiluun perustuva mainonta arvioiden mukaisesti mediatalojen kaatumiseen vai onko tuleva sääntely mahdollisuus kehittää digitaalista mainontaa ja luoda uusia liiketoimintamalleja.
Vaikka ePrivacy antaa odotuttaa itseään, GDPR ei ole uusi Y2K – se tapahtuu nyt ja oikeasti.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
Almost three years ago 60 Minutes episode “The data brokers: selling your personal information” revealed the astonishing amount that data brokers know about us. The show called the data broker industry “a much greater and more immediate threat to your privacy” than “government snooping and bulk collection and storage of vast amounts of data.” Corporate data collection is “coming from thousands of companies you never heard of.”
Even though the advertising community got a swift kick in the gut from US mainstream news, it has mainly been woefully unforthcoming about how much data it is collecting and what it is doing with it. The community claimed that 60 minutes got it wrong and that companies have been collecting data, aggregating it, analyzing it, managing it – and maybe even selling it – since their inception, so there is really nothing new or alarming. Most companies did not alter their practices or policies but kept on doing what they have been doing for years. Unfortunately, this strategy has now backfired.
The draft fails to see the legitimate business models of third parties
According to the proposed EU ePrivacy Regulation, techniques that sneakily monitor the actions of end-users, for example by tracking their activities online or the location of their terminal equipment, pose a serious threat to the privacy of end-users. The draft regulation reads that third parties using cookies or similar techniques, such as device fingerprinting, must obtain user’s consent to access information relating to user’s terminal equipment – consent meaning a statement or a clear affirmative action that must be freely given, specific, informed and unambiguous indication of the data subject’s wishes. For companies that lack the direct consumer interface, obtaining such a consent may prove to be a tedious task.
The draft reveals that the regulators do not fully grasp the role that third parties play in advertising and marketing. First parties, such as media companies, rely on third parties to e.g. offer services that enable advertisers to show users more relevant advertisements to consumers. Thus, third parties play a crucial role in supporting online media and other websites that rely on advertising revenues. Ultimately, the draft fails to see the legitimate business models of third parties, the effects that advertising has on boosting the European economy and the benefits online data could bring about to consumers, businesses and society as a whole. By imposing strict rules on cookies and similar techniques, the regulation could seriously disrupt the whole online ecosystem.
Companies should raise consumer awareness of the role of third parties in supporting free online media
Most consumers, on the other hand, are blissfully unware of third parties and the electronic footprint they leave behind when surfing the Internet. However, as more and more people are becoming aware of the complexities of the modern data economy and the rights that the new EU regulations provide them with, companies will need to be more forthcoming about how they process data. In addition to providing consumers with meaningful information about their online data collection and use practices, companies should raise consumer awareness of the role of third parties in supporting free online media and services.
As argued in “The Privacy Payoff: How Successful Businesses Build Consumer Trust” by the privacy commissioner of Ontario, Canada, Ann Cavoukian, and journalist Tyler J. Hamilton, companies that are open and honest in their communications, adopt privacy policies and are very clear about how they use collected data discreetly to further corporate growth, efficiency and performance will benefit from wider consumer acceptance in international markets. This is what leads to increased revenue, less litigation from the aggrieved, enhanced reputations for their brands and more prospective partners willing to enter into lucrative cooperative ventures.
Relevant aims to provide users with transparency and choice
Transparency means giving information in simple consumer friendly language, not dense privacy policies that only lawyers understand and go unread because of this. Choice means being pro-active in providing mechanisms for simple preferences to be expressed and acted upon with minimal interference in the user experience. Both are essential in building relationships that require a deep well of trust.
Relevant also believes in giving full transparency to its clients. Visibility into how and where data is collected from and how much of marketer’s ad budget goes toward media and how much goes toward the media agencies or vendors from which marketer is buying such media is crucial in modern media buying and in refuting the “black box“ claims made by marketers. By providing transparency and choice Relevant aims to alleviate the concerns related to third party data processing and programmatic advertising.
By clinging onto the argument that third parties do not process personal data or by simply staying silent, companies imply that they have something to hide. By emphasizing the positive (relevance and quality instead of creepy targeting), by being forthcoming about its practices (transparency instead of secrecy) and by sharing the powerful benefits of data by giving back insights to consumers, publishers and marketers (win-win instead of zero-sum), the industry may change how consumers, their contracting parties and regulators alike view them.
It is high time to step out from the shadows into the limelight – that is of course if you have nothing to hide.
Blog post published in collaboration with Relevant Digital, https://relevant.fi/en/blog/out-of-the-shadows-into-the-limelight/
Päivitetty: 7. kesäk. 2023
Komissio julkaisi sähköisen viestinnän tietosuoja-asetuksen luonnoksen 10.1.2017. Kyse on asetuksesta eli se on jäsenvaltioissa suoraan sovellettavaa lainsäädäntöä samalla tavoin kuin viime vuonna hyväksytty EU:n yleinen tietosuoja-asetus. Komission mukaan tavoitteena on päivittää nykyisiä sääntöjä ja laajentaa niiden soveltamisalaa niin, että siihen kuuluvat kaikki sähköisten viestintäpalvelujen tarjoajat. Toimenpiteillä pyritään myös luomaan uusia mahdollisuuksia viestintätietojen käsittelyyn sekä lujittamaan luottamusta digitaalisiin sisämarkkinoihin ja parantamaan niiden turvallisuutta. Ehdotuksessa yhdenmukaistetaan sähköisen viestinnän säännöt EU:n yleiseen tietosuoja-asetukseen sisältyvien uusien, maailman tiukimpiin kuuluvien normien kanssa. Komissio on kirjannut keskeisimpiä kohtia omassa yhteenvedossaan, mutta nostan tässä kirjoituksessa esiin erityisesti evästeitä ja sähköistä suoramarkkinointia koskevat ehdotukset.
Evästeiden osalta lainsäätäjän huolena on erityisesti seuranta, jota tehdään ilman käyttäjän tietoa lukuisin eri teknisin keinoin, ei siis vain evästeiden avulla. Ehdotuksessa laajennetaankin evästesääntelyn soveltamisalaa muihin vastaaviin tekniikoihin, kuten ns. device fingerprintingiin. Ehdotuksessa myös huomioidaan, että nykysääntely, joka on johtanut siihen, että käyttäjä kohtaa evästeiden käyttöön suostumuksen pyytäviä tai niiden käytöstä informoivia bannereita tai pop-upeja lähes kaikilla vierailemillaan verkkosivuilla, ei ole ollut toimivaa. Komission näkemyksen mukaan ratkaisuna on, että selainvalmistajille asetetaan velvollisuus tarjota käyttäjille valinnanmahdollisuuksia evästeiden suhteen, ja näin ollen valintoja voitaisiin teoriassa tehdä yksittäisen nettisivun sijaan selaimen tasolla. Kun käyttäjä ottaa käyttöön tietyn selaimen, häneltä kysyttäisiin esimerkiksi, hyväksyykö kaikki evästeet, estääkö kolmannen osapuolen evästeet vai estääkö kaikki evästeet. Nämä käyttäjän valinnat olisivat sitovia kolmansia osapuolia kohtaan.
Todennäköisesti käyttäjä kuitenkin kohtaisi lupapyyntöjä nettisivuilla, sillä asetus edelleen asettaa suostumuksen edellytykseksi suurimmalle osalle evästeiden käyttötarkoituksia. Ainoastaan evästeet, joiden niiden ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa taikka jotka ovat tarpeen käyttäjän pyytämän tietoyhteiskunnan palvelun tarjoamiseksi tai kävijämittaukseen, jonka tietoyhteiskunnan palveluiden tarjoaja tekee, on vapautettu suostumuksen pyytämiseltä. Näin ollen kolmannet osapuolet, joiden tarkoituksena on esimerkiksi käyttäjien profilointi tai mainonnan kohdentaminen, joutuisivat aina perustamaan evästeiden asettamisen suostumukseen.
Suostumuksen tulee ehdotuksen mukaan olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Jotta käyttäjät voisivat jatkossakin nauttia ilmaisista, mainosrahoitteisista palveluista, on yhteistyö julkaisijoiden ja kolmansien osapuolien välillä välttämätöntä, ja näin ollen julkaisijat joutuisivat todennäköisesti pyytämään suostumuksia käyttäjältä nimettyjen kolmansien osapuolien asettamille evästeille riippumatta siitä, mikä on käyttäjän valinta selaintasolla. Lisäksi tulisi mahdollistaa suostumuksen peruuttaminen ja muistuttaa käyttäjiä kuuden kuukauden väliajoin peruuttamismahdollisuudesta. Tästä näkökulmasta ei siis vaikuta lainkaan siltä, että käyttökokemus parantuisi, vaan ilman jonkinlaista keskitettyä ratkaisua tai säännöstekstin tarkentamista käyttäjä voisi kohdata yhä enemmän evästeitä koskevia valintoja. Nähtäväksi jää, voisiko selaimen tarjoama mahdollisuus whitelistata joitakin nettisivuja tai kolmansia osapuolia toimia ratkaisuna, mutta joka tapauksessa yhteistyö on kolmansien osapuolien osalta keskeistä, jotta suostumus olisi sääntelyn tarkoittamin tavoin yksilöity ja tietoinen eli käyttäjä ymmärtää, kenelle ja minkälaiseen käsittelyyn hän suostumuksensa antaa.
Sähköisen suoramarkkinoinnin osalta ehdotuksessa edellytetään käyttäjän suostumusta. Poikkeuksena ovat nykysääntelyn mukaisesti tilanteet, joissa yhteystieto on saatu tuotteen tai palvelun myynnin yhteydessä, jolloin ko. taho voisi käyttää ko. yhteystietoa vastaavien tuotteiden tai palveluiden markkinointiin. Yhteystietojen keräämisen ja viestinnän yhteydessä käyttäjälle on annettava mahdollisuus kieltää suoramarkkinointi. B2B-markkinoinnin osalta asetus jättää asian jäsenvaltioiden säädeltäväksi.
Huomionarvoinen yksityiskohta on luonnoksen toteamus, että suoramarkkinointi on mitä tahansa mainontaa, jossa lähetetään sähköistä markkinointia tunnistetulle tai tunnistettavissa olevalle luonnolliselle henkilölle. Perinteisesti käsitteet markkinointi ja mainonta on haluttu pitää erillään: markkinointi on esimerkiksi tunnistetulle kontaktille tehtyä sähköpostiviestintää, kun taas mainonta on enemmän tai vähemmän tuntemattomalle kävijäjoukolle tehtyä display-mainontaa. Termien valinta ei välttämättä ole täysin tietoinen ratkaisu, mutta on mahdollista, että lainsäätäjä on huomannut markkinoinnin ja mainonnan perinteisten rajojen hämärtyneen, ja esimerkiksi Facebookin kohdennettu mainonta, jossa hyödynnetään asiakkaan sähköpostilistoja, tulisi aiempaa selvemmin sähköistä suoramarkkinointia koskevan sääntelyn piiriin.
Asetuksen on tarkoitus tulla voimaan yhtäaikaisesti tietosuoja-asetuksen kanssa 25.5.2018. Seuraamme lainsäädäntötyön edistymistä ja tarkennamme edellä todettu tulkintoja – keskustelu on tältä osin vasta alkamassa.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.