Almost three years ago 60 Minutes episode “The data brokers: selling your personal information” revealed the astonishing amount that data brokers know about us. The show called the data broker industry “a much greater and more immediate threat to your privacy” than “government snooping and bulk collection and storage of vast amounts of data.” Corporate data collection is “coming from thousands of companies you never heard of.”

Even though the advertising community got a swift kick in the gut from US mainstream news, it has mainly been woefully unforthcoming about how much data it is collecting and what it is doing with it. The community claimed that 60 minutes got it wrong and that companies have been collecting data, aggregating it, analyzing it, managing it – and maybe even selling it – since their inception, so there is really nothing new or alarming. Most companies did not alter their practices or policies but kept on doing what they have been doing for years. Unfortunately, this strategy has now backfired.

The draft fails to see the legitimate business models of third parties

According to the proposed EU ePrivacy Regulation, techniques that sneakily monitor the actions of end-users, for example by tracking their activities online or the location of their terminal equipment, pose a serious threat to the privacy of end-users. The draft regulation reads that third parties using cookies or similar techniques, such as device fingerprinting, must obtain user’s consent to access information relating to user’s terminal equipment – consent meaning a statement or a clear affirmative action that must be freely given, specific, informed and unambiguous indication of the data subject’s wishes. For companies that lack the direct consumer interface, obtaining such a consent may prove to be a tedious task.

The draft reveals that the regulators do not fully grasp the role that third parties play in advertising and marketing. First parties, such as media companies, rely on third parties to e.g. offer services that enable advertisers to show users more relevant advertisements to consumers. Thus, third parties play a crucial role in supporting online media and other websites that rely on advertising revenues. Ultimately, the draft fails to see the legitimate business models of third parties, the effects that advertising has on boosting the European economy and the benefits online data could bring about to consumers, businesses and society as a whole. By imposing strict rules on cookies and similar techniques, the regulation could seriously disrupt the whole online ecosystem.

Companies should raise consumer awareness of the role of third parties in supporting free online media

Most consumers, on the other hand, are blissfully unware of third parties and the electronic footprint they leave behind when surfing the Internet. However, as more and more people are becoming aware of the complexities of the modern data economy and the rights that the new EU regulations provide them with, companies will need to be more forthcoming about how they process data. In addition to providing consumers with meaningful information about their online data collection and use practices, companies should raise consumer awareness of the role of third parties in supporting free online media and services.

As argued in “The Privacy Payoff: How Successful Businesses Build Consumer Trust” by the privacy commissioner of Ontario, Canada, Ann Cavoukian, and journalist Tyler J. Hamilton, companies that are open and honest in their communications, adopt privacy policies and are very clear about how they use collected data discreetly to further corporate growth, efficiency and performance will benefit from wider consumer acceptance in international markets. This is what leads to increased revenue, less litigation from the aggrieved, enhanced reputations for their brands and more prospective partners willing to enter into lucrative cooperative ventures.

Relevant aims to provide users with transparency and choice

Transparency means giving information in simple consumer friendly language, not dense privacy policies that only lawyers understand and go unread because of this. Choice means being pro-active in providing mechanisms for simple preferences to be expressed and acted upon with minimal interference in the user experience. Both are essential in building relationships that require a deep well of trust.

Relevant also believes in giving full transparency to its clients. Visibility into how and where data is collected from and how much of marketer’s ad budget goes toward media and how much goes toward the media agencies or vendors from which marketer is buying such media is crucial in modern media buying and in refuting the “black box“ claims made by marketers. By providing transparency and choice Relevant aims to alleviate the concerns related to third party data processing and programmatic advertising.

By clinging onto the argument that third parties do not process personal data or by simply staying silent, companies imply that they have something to hide. By emphasizing the positive (relevance and quality instead of creepy targeting), by being forthcoming about its practices (transparency instead of secrecy) and by sharing the powerful benefits of data by giving back insights to consumers, publishers and marketers (win-win instead of zero-sum), the industry may change how consumers, their contracting parties and regulators alike view them.

It is high time to step out from the shadows into the limelight – that is of course if you have nothing to hide.

Blog post published in collaboration with Relevant Digital, https://relevant.fi/en/blog/out-of-the-shadows-into-the-limelight/

Komissio julkaisi sähköisen viestinnän tietosuoja-asetuksen luonnoksen 10.1.2017. Kyse on asetuksesta eli se on jäsenvaltioissa suoraan sovellettavaa lainsäädäntöä samalla tavoin kuin viime vuonna hyväksytty EU:n yleinen tietosuoja-asetus. Komission mukaan tavoitteena on päivittää nykyisiä sääntöjä ja laajentaa niiden soveltamisalaa niin, että siihen kuuluvat kaikki sähköisten viestintäpalvelujen tarjoajat. Toimenpiteillä pyritään myös luomaan uusia mahdollisuuksia viestintätietojen käsittelyyn sekä lujittamaan luottamusta digitaalisiin sisämarkkinoihin ja parantamaan niiden turvallisuutta. Ehdotuksessa yhdenmukaistetaan sähköisen viestinnän säännöt EU:n yleiseen tietosuoja-asetukseen sisältyvien uusien, maailman tiukimpiin kuuluvien normien kanssa. Komissio on kirjannut keskeisimpiä kohtia omassa yhteenvedossaan, mutta nostan tässä kirjoituksessa esiin erityisesti evästeitä ja sähköistä suoramarkkinointia koskevat ehdotukset.

Evästeiden osalta lainsäätäjän huolena on erityisesti seuranta, jota tehdään ilman käyttäjän tietoa lukuisin eri teknisin keinoin, ei siis vain evästeiden avulla. Ehdotuksessa laajennetaankin evästesääntelyn soveltamisalaa muihin vastaaviin tekniikoihin, kuten ns. device fingerprintingiin. Ehdotuksessa myös huomioidaan, että nykysääntely, joka on johtanut siihen, että käyttäjä kohtaa evästeiden käyttöön suostumuksen pyytäviä tai niiden käytöstä informoivia bannereita tai pop-upeja lähes kaikilla vierailemillaan verkkosivuilla, ei ole ollut toimivaa. Komission näkemyksen mukaan ratkaisuna on, että selainvalmistajille asetetaan velvollisuus tarjota käyttäjille valinnanmahdollisuuksia evästeiden suhteen, ja näin ollen valintoja voitaisiin teoriassa tehdä yksittäisen nettisivun sijaan selaimen tasolla. Kun käyttäjä ottaa käyttöön tietyn selaimen, häneltä kysyttäisiin esimerkiksi, hyväksyykö kaikki evästeet, estääkö kolmannen osapuolen evästeet vai estääkö kaikki evästeet. Nämä käyttäjän valinnat olisivat sitovia kolmansia osapuolia kohtaan.

Todennäköisesti käyttäjä kuitenkin kohtaisi lupapyyntöjä nettisivuilla, sillä asetus edelleen asettaa suostumuksen edellytykseksi suurimmalle osalle evästeiden käyttötarkoituksia. Ainoastaan evästeet, joiden niiden ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa taikka jotka ovat tarpeen käyttäjän pyytämän tietoyhteiskunnan palvelun tarjoamiseksi tai kävijämittaukseen, jonka tietoyhteiskunnan palveluiden tarjoaja tekee, on vapautettu suostumuksen pyytämiseltä. Näin ollen kolmannet osapuolet, joiden tarkoituksena on esimerkiksi käyttäjien profilointi tai mainonnan kohdentaminen, joutuisivat aina perustamaan evästeiden asettamisen suostumukseen.

Suostumuksen tulee ehdotuksen mukaan olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Jotta käyttäjät voisivat jatkossakin nauttia ilmaisista, mainosrahoitteisista palveluista, on yhteistyö julkaisijoiden ja kolmansien osapuolien välillä välttämätöntä, ja näin ollen julkaisijat joutuisivat todennäköisesti pyytämään suostumuksia käyttäjältä nimettyjen kolmansien osapuolien asettamille evästeille riippumatta siitä, mikä on käyttäjän valinta selaintasolla. Lisäksi tulisi mahdollistaa suostumuksen peruuttaminen ja muistuttaa käyttäjiä kuuden kuukauden väliajoin peruuttamismahdollisuudesta. Tästä näkökulmasta ei siis vaikuta lainkaan siltä, että käyttökokemus parantuisi, vaan ilman jonkinlaista keskitettyä ratkaisua tai säännöstekstin tarkentamista käyttäjä voisi kohdata yhä enemmän evästeitä koskevia valintoja. Nähtäväksi jää, voisiko selaimen tarjoama mahdollisuus whitelistata joitakin nettisivuja tai kolmansia osapuolia toimia ratkaisuna, mutta joka tapauksessa yhteistyö on kolmansien osapuolien osalta keskeistä, jotta suostumus olisi sääntelyn tarkoittamin tavoin yksilöity ja tietoinen eli käyttäjä ymmärtää, kenelle ja minkälaiseen käsittelyyn hän suostumuksensa antaa.

Sähköisen suoramarkkinoinnin osalta ehdotuksessa edellytetään käyttäjän suostumusta. Poikkeuksena ovat nykysääntelyn mukaisesti tilanteet, joissa yhteystieto on saatu tuotteen tai palvelun myynnin yhteydessä, jolloin ko. taho voisi käyttää ko. yhteystietoa vastaavien tuotteiden tai palveluiden markkinointiin. Yhteystietojen keräämisen ja viestinnän yhteydessä käyttäjälle on annettava mahdollisuus kieltää suoramarkkinointi. B2B-markkinoinnin osalta asetus jättää asian jäsenvaltioiden säädeltäväksi.

Huomionarvoinen yksityiskohta on luonnoksen toteamus, että suoramarkkinointi on mitä tahansa mainontaa, jossa lähetetään sähköistä markkinointia tunnistetulle tai tunnistettavissa olevalle luonnolliselle henkilölle. Perinteisesti käsitteet markkinointi ja mainonta on haluttu pitää erillään: markkinointi on esimerkiksi tunnistetulle kontaktille tehtyä sähköpostiviestintää, kun taas mainonta on enemmän tai vähemmän tuntemattomalle kävijäjoukolle tehtyä display-mainontaa. Termien valinta ei välttämättä ole täysin tietoinen ratkaisu, mutta on mahdollista, että lainsäätäjä on huomannut markkinoinnin ja mainonnan perinteisten rajojen hämärtyneen, ja esimerkiksi Facebookin kohdennettu mainonta, jossa hyödynnetään asiakkaan sähköpostilistoja, tulisi aiempaa selvemmin sähköistä suoramarkkinointia koskevan sääntelyn piiriin.

Asetuksen on tarkoitus tulla voimaan yhtäaikaisesti tietosuoja-asetuksen kanssa 25.5.2018. Seuraamme lainsäädäntötyön edistymistä ja tarkennamme edellä todettu tulkintoja – keskustelu on tältä osin vasta alkamassa.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Euroopan Unionin tuomioistuin katsoi 19.10.2016 antamassaan ratkaisussa C-582/14, että verkkosivuston käyttäjän dynaaminen IP-osoite on verkkosivuston ylläpitäjään nähden henkilötieto, jos kyseisellä verkkosivuston ylläpitäjällä on käytettävissään oikeudelliset keinot, joiden perusteella se voi tunnistaa kyseisen henkilön sellaisten lisätietojen avulla, jotka ovat käyttäjän internetyhteyden tarjoajan käytettävissä.

Useimmat verkkosivustot tallentavat kaikki sivuston käynnit lokitietoihin. Tietoihin tallennetaan käynnin päätyttyä haetun sivuston tai tiedoston nimi, hakukentissä käytetyt hakusanat, käynnin päivämäärä ja kellonaika, siirrettyjen tietojen määrä, ilmoitus sivustolle pääsyn onnistumisesta ja sen tietokoneen IP-osoite, jolta sivustolle on pyritty. Perinteisesti on katsottu, että dynaaminen IP-osoite eli IP-osoite, joka vaihtuu jokaisen uuden internetyhteyden ottamisen myötä, ei muodosta henkilötietoa, sillä verkkosivuston ylläpitäjällä ei ole käytettävissään tietoja dynaamisen IP-osoitteen liittämiseksi yksittäiseen päätelaitteeseen tai käyttäjään. Vain sivullisella, eli verkkoyhteyden tarjoajalla, on käytettävissään tunnistamiseen tarvittavia lisätietoja.

Henkilötiedoilla tarkoitetaan tietosuoja-asetuksen mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista.

Tuomiossa todettiin, että dynaaminen IP-osoite ei ole ”tunnistettua luonnollista henkilöä” koskeva tieto, koska tällaisesta osoitteesta ei käy suoraan ilmi, kenelle luonnolliselle henkilölle tietokone, jolta internetsivustolla on käyty, kuuluu, eikä tällainen osoite paljasta suoraan muun mahdollisesti tätä tietokonetta käyttävän henkilön henkilöllisyyttä. Dynaamista IP-osoitetta voidaan kuitenkin pitää ”tunnistettavissa olevaa luonnollista henkilöä” koskevana tietona, koska on olemassa laillisia keinoja, joiden avulla verkkosivuston ylläpitäjä voi kääntyä erityisesti kyberhyökkäystilanteessa toimivaltaisen viranomaisen puoleen, jotta tämä ryhtyy tarvittaviin toimiin näiden tietojen hankkimiseksi internetyhteyden tarjoajalta ja käynnistää rikosoikeudellisen menettelyn. Toisin sanoen, verkkosivuston ylläpitäjällä on käytettävissään kohtuullisesti toteutettavissa olevat keinot rekisteröidyn tunnistamiseksi tallennettujen IP-osoitteiden perusteella muiden tahojen eli toimivaltaisen viranomaisen ja internetyhteyden tarjoajan avulla. Jos taas rekisteröidyn tunnistaminen ei ole käytännössä toteutettavissa, koska se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, kyse ei olisi henkilötietojen käsittelystä. Arviointi on näin ollen tehtävä tapauskohtaisesti.

Vaikka tuomioon sovellettiin henkilötietodirektiiviä, on tietosuoja-asetuksen määritelmä verrattain samanlainen kuin sitä edeltävän henkilötietodirektiivin. Tietosuoja-asetuksen henkilötiedon määritelmässä uutta on eksplisiittinen viittaus verkkotunnisteisiin sekä sen korostaminen, että epäsuoraan tunnistamiseen riittää henkilön erottelu muista. Tämä laaja henkilötiedon määritelmä – joka saanee yllä kuvatusta tuomiosta yhä vahvistusta – tulee ottaa huomioon valmistautuessa tietosuoja-asetuksen voimaantuloon. Käytännössä se tarkoittaa, että suuri osa yritysten liiketoiminnasta on tietosuoja-asetuksen piirissä, ja aikaisempi argumentti siitä, että yritys käsittelee vain laitteisiin liitettäviä anonyymeja tietoja, ei ole enää yhtä laajalti käytettävissä.

Rekisterinpitäjien kannalta hyvä asia on, että tuomiossa vahvistettiin myös se, että rekisterinpitäjällä voi olla oikeutettu etu tietojen käsittelyyn mm. sivustojen turvallisuuden ja toiminnan jatkuvuuden takaamiseksi, ja arvioitu Saksan lainsäädäntö, joka korosti suostumusta tietojen käsittelyyn, oli tältä osin liian rajoittava.

Lisätietoja asiasta antaa Anna Paimela.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.