Päivitetty: 7. kesäk. 2023
Käärmeöljykauppiaan eliksiiriä?
Tietosuoja nähdään monessa yrityksessä ainoastaan kustannuksena. GDPR-huuman käärmeenöljykauppiaat lupailivat eliksiirinsä hoitavan yritysten GDPR-kolotuksen – ”100 % GDPR vaatimustenmukaisuus helposti ja vaivattomasti!” Jopa tietosuojavaltuutettu moitti GDPR-konsultteja rahastamisesta ja harhaanjohtamisesta. Jos halusit päästä helpolla – ostaa dokumentin tai analyysin, joka laskun maksamisen jälkeen unohtui pöytälaatikkoon tai nettisivun footeriin – koet epäilemättä GDPR:n hyödyttäneen vain konsulttia.
Tietosuoja tuo investoinnit takaisin keskimäärin 2,7-kertaisena
Tuoreen Ciscon tutkimuksen mukaan yli 40 % yrityksistä saa yli kaksinkertaisesti takaisin sen, minkä ne ovat tietosuojaan investoineet. Hyödyt tulevat mm. siitä, että tietosuojaprosesseilla saadaan tehostettua myyntiä, minimoitua tietoturvaloukkausten seuraamuksia, mahdollistettua ketteryyttä ja innovointia, parannettua yrityksen asemia sijoittajien silmissä sekä rakennettua luottamusta kuluttajien suuntaan. Tutkimuksen mukaan yritykset saavat sijoittamaansa yhtä dollaria vasten keskimäärin 2,7 dollaria hyötyä. Vain 8 prosenttia vastaajista kertoi investointien ylittävän tietosuojatyön hyödyt.
Investointien kokoluokasta antaa osviittaa Ciscon tutkimuksen lisäksi IAPP:n ja EY:n Annual Privacy Governance Report 2019 -tutkimus, jonka mukaan amerikkalaiset yritykset käyttivät vuodessa keskimäärin 952.000 dollaria tietosuojatyöhön verrattuna eurooppalaisten 387.000 dollariin. Työntekijää kohden yritykset käyttivät 11-207 dollaria kustannuksen ollessa suurin alle 5000 työntekijää työllistävillä yrityksillä. Tutkimuksen mukaan 62 prosenttia vastaajista piti heille allokoitua budjettia liian alhaisena velvoitteidensa hoitamiseen.
Tietosuojamaturiteetin kasvattaminen tuo eniten hyötyjä
Mielenkiintoista Ciscon tutkimuksessa oli se, että mitä kehittyneempi tietosuojan taso organisaatiossa oli, sitä enemmän ROI (return on investment) kasvoi. Tutkimus siis osoittaa, että saadakseen kasvatettua tietosuojan kypsyystasoa, yrityksen tulee investoida, mutta nämä investoinnit tulevat takaisin suhteellisesti suurempina.
Iconics (nyk. Folks) on avustanut useita yrityksiä tietosuojamaturiteetin kasvattamisessa. Käytämme työssämme American Institute of Certified Public Accountants (AICPA) ja Canadian Institute of Chartered Accountants (CICA) -järjestöjen luomaa standardoitua mallia. Pyrimme luomaan yhdessä asiakkaan kanssa keinoja, joilla voidaan tulipalojen sammuttelun sijaan (ad hoc -taso) rakentaa toistuvia ja määriteltyjä prosesseja (repeatable ja defined -tasot) sekä lopulta hallita ja optimoida prosesseja koko organisaation parhaaksi (managed ja optimized -tasot).
Tietosuojan kypsyysaste kulkee usein käsikädessä organisaation muiden bisnesprosessien kypsyysasteen kanssa. Erityisesti sen tulisi seurata digitalisaatioon ja datan hyödyntämiseen liittyvien prosessien kehitystä – yhteen kanavaan pohjautuva asiakasnäkymä vaatii varsin erilaisia tietosuojapanostuksia kuin 360-asteen omnichannel -strategian toteuttaminen. Jos yhteyttä näiden välillä ei nähdä, organisaatiolla voi olla dataa ja tekoälyä, mutta ei lainsäädännön sallimia keinoja niiden hyödyntämiseksi. Siinä jos missä, valuu investoinnit hukkaan tai otetaan tarpeeton compliance-riski, joka voi johtaa maineen/luottamuksen vahingoittumiseen, hallinnollisiin sanktioihin, vahingonkorvausvaatimuksiin taikka taloudellisiin menetyksiin datan käytön rajoittamisen ja/tai palveluihin liittyvien muutostöiden johdosta. Vastaavasti on selvää, että tietosuojapanostukset perinteisemmällä yrityksellä voivat olla maltillisempia.
Tee itse vai hanki apua?
Jos organisaation oma aika menee tulipalojen sammutteluun, voi olla paikallaan hankkia ulkopuolista apua muutoksen vauhtiin saamiseen. Asiantunteva konsultti voi tarjota näkemyksiä parhaimmista käytännöistä ja saada muutoksen kehikon luotua tehokkaammin kuin organisaation sisäinen tietosuoja-asiantuntija.
Kypsyystason kasvaessa oletettavasti myös työn painopiste siirtyy takaisin organisaation sisälle. Ohjelmallisen mainonnan kieltä lainatakseni kyse on osaamisen ”in-housaamisesta” kyvykkyyksien ja tietosuojan merkityksellisyyden kasvaessa. Kuten ohjelmallisessa mainonnassa, myös tietosuojan in-housaaminen voi kuitenkin merkitä useiden kuukausien valmisteluja, ja edellyttää mm. sitä, että organisaatiolla on tarvittava sisäinen osaaminen ja vahva johdon tuki jatkotyölle ja osaajien sitouttamiselle.
Vaikka työn painopiste siirtyisi takaisin organisaation sisälle, voi useille dataohjautuville, kypsyystasoaan jo nostaneille organisaatioille olla hyödyksi jatkossakin sparrata kumppanin kanssa ja saada näkemyksistä siivitystä omaan työhön. Konsultti voi tässä vaiheessa haastaa ajattelua ja hahmottaa mahdollisesti kokonaisuuden ja eri toimintojen väliset riippuvuudet sisäistä asiantuntijaa kirkkaammin. Konsultti voi myös mahdollistaa sen, että sisäiset resurssit kohdistetaan tehokkaammin ja säästetään siten aikaa ja kustannuksia.
Konkreettisia hyötyjä
Uskomme siihen, että erityisesti dataohjautuvien yritysten suhteen:
selvät prosessit ja ohjeistukset mahdollistavat sen, että data on laadukasta ja liiketoiminta tietää, millä säännöin sitä voidaan optimaalisesti hyödyntää
yhtenäisten toimintatapojen myötä toiminta tehostuu ja kustannukset laskevat
kuluttajille luodut vaikutusmahdollisuudet parantavat kuluttajien luottamusta yritystä kohtaan, vahvistavat yrityksen brändiä ja parantavat asiakaskokemusta
laadukkaalla tietosuoja- ja tietoturvatyöllä voidaan minimoida tietoturvaloukkausten seuraamuksia ja todennäköisesti myös niiden realisoitumista
riskien hallinnan myötä liiketoimintaa voidaan rakentaa kestävälle pohjalle parantaen yrityksen arvoa sijoittajien silmissä
tietosuoja on osa yritys- ja yhteiskuntavastuuta, ja vastuulliset yritykset saavat tutkituksi liiketoimintahyötyjä mm. houkuttelemalla parhaita osaajia
Tietosuoja voi siis parhaimmillaan olla liiketoiminnan mahdollistaja ja näkyä viivan alla – näkemys, joka saa tukea nyt myös Ciscon tutkimuksesta.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamisen alettua on annettu noin 200 hallinnollista sakkoa, euromääräisesti lähes 150.000.000, ympäri Eurooppaa. Aloitamme sarjan, johon koostamme kuukausittain kiinnostavia tietosuojaratkaisuja meiltä ja muualta.
Tietosuojavaltuutetun toimiston ratkaisuja tammikuulta 2020
Pääsyoikeuden rajat
TSV katsoi 3.1.2020 antamassaan päätöksessä, että pankkisalaisuuteen liittyvästä tietojen luottamuksellisuudesta johtuen puolisolla ei ollut oikeutta päästä muihin kuin omaan asiointiinsa liittyviin asiointitietoihin. Puolisoilla oli yhteinen bonustili, jonka pääkäyttäjäksi oli merkitty pyytäjän vaimo. TSV katsoi, että koko bonustiliin liittyvien asiointitietojen antaminen puolisolle olisi merkinnyt vaimon pankkisalaisuuden loukkausta ja olisi siten vaikuttanut haitallisesti muiden (tässä tapauksessa vaimon) oikeuksiin GDPR:n 15 artiklan 4 kohdan tavalla. Puolison tietoihin pääsyoikeus koko bonustilin tietoihin voitiin siten evätä.
Tapaus kuvastaa hyvin sitä, minkä laajuiseksi rekisteröidyt yleensä näkevät tietoihin pääsyoikeutensa (kaikki mahdolliset häneen liittyvät tiedot) ja minkä laajuinen se oikeasti on. Rekisteröidyn tarkastusoikeus kattaa vain häntä koskevat henkilötiedot, eikä hänellä ole oikeutta saada sellaisia tietoja, jotka liittyvät toiseen rekisteröityyn. Tämä soveltuu myös esim. kanta-asiakasjärjestelmiin, jossa kanta-asiakastili on avattu toisen nimiin ja vaikkapa tämän puolisolla on rinnakkaiskortti, joka on liitetty tiliin.
Tietoturvaloukkauksen ilmoittamisen tapa
TSV antoi 3.1.2020 huomautuksen rahoitusalalla toimivalle rekisterinpitäjälle, kun sen tietoturvaloukkauksesta antama julkinen ilmoitus oli sisällöltään epäselvä. Koska kyse oli ”korkean riskin” aiheuttavasta tietoturvaloukkauksesta, rekisterinpitäjä oli ilmoittanut loukkauksesta henkilökohtaisesti rekisteröidyille. Koska kaikkien yhteystietoja ei kuitenkaan ollut tiedossa, rekisterinpitäjä käytti myös julkista tiedonantoa. Julkisessa ilmoituksessa oli kohta, jonka mukaan ”asianomaisille on lähetetty tilanteesta lisätietoa henkilökohtaisesti”. TSV katsoi, että ilmoitus ei täyttänyt läpinäkyvyyden vaatimusta, sillä niille rekisteröidyille, joille ei ilmoitettu henkilökohtaisesti, mutta joiden henkilötietoja loukkaus kosketti, saattoi jäädä käsitys, ettei loukkaus koskenut heitä, jos heille ei ollut ilmoitettu henkilökohtaisesti. Rekisteröityjen määrä oli huomattava, noin 9000-10000, joista noin 7000 rekisteröidylle ei toimitettu henkilökohtaista ilmoitusta.
Jutussa on huomionarvoista se, että TSV katsoi tietoturvaloukkauksen tapahtuneen aiottua laajemman tietoihin pääsyn takia, vaikka pääsy oli vain rajoitetulla osalla käsittelijän henkilöstöstä, ja rekisterinpitäjän ja käsittelijän välillä oli tehty tietojenkäsittelysopimus. Tietoturvaloukkaukseksi riitti se, että sopimuksessa oli määritelty, etteivät henkilötiedot tallennu tietokantaan eikä käsittelijällä ole pääsyä tietoihin, mutta näin oli kuitenkin käynyt. Sinänsä GDPR:n määritelmä loukkauksesta täyttyi, sillä pääsy oli GDPR:n määritelmän mukaisesti ”luvatonta”.
Ratkaisuja muualta Euroopasta tammikuussa 2020
Kyproksen tietosuojaviranomainen kielsi työnantajana toimineilta kolmelta saman konsernin yhtiöiltä automatisoidun ”Bradford’s Factor” -työkalun käytön ja määräsi näille yhteensä 82.000 euron hallinnollisen sakon. Kyseinen työkalu seurasi työntekijöiden sairauslomia, pisteytti niitä ja loi niiden perusteella jonkinlaisen profiilin työntekijästä tämän sairauspoissaolojen perusteella. Tietosuojaviranomainen katsoi, että kyseessä on ”arkaluontoisten henkilötietojen” kategoriaan kuuluvien terveystietojen käsittely, jolle ei ko. laajuudessa ollut perustetta, vaikka totesikin yleisesti noudatettavan pääsäännön, jonka mukaan työnantaja saa seurata sairauspoissaolojen yleisyyttä poissaolon syyn oikeellisuutta.
Kyseinen menettely ei olisi sallittua myöskään oman lainsäädäntömme perusteella. Työelämän tietosuojalain mukaan työntekijän terveydentilaa koskevat tiedot on kerättävä ensisijaisesti häneltä itseltään ja hänen kirjallisella suostumuksellaan (jonka on oltava nimenomainen, yksilöity ja vapaaehtoinen) niitä voidaan kerätä muualta. Lisäksi tietojen käyttötarkoitus on tarkoin rajattu, mitä osaltaan vahvistaa ko. laissa säädetty tietojen tarpeellisuusvaatimus, josta ei voida poiketa edes työntekijän suostumuksin. Siten tällaisen terveystietojen automaattiseen analysointiin ja profilointiin ei voitaisi ryhtyä edes työntekijän suostumuksella, sillä tällaisten tietojen käsittely tuskin olisi millään perusteella tarpeen työsuhteesta liittyvien velvollisuuksien hoitamiseksi.
Espanjan tietosuojaviranomainen määräsi 44.000 euron sakon yritykselle, joka oli lähettänyt henkilötietoja (nimen, osoitteen ja puhelinnumeron) sisältävän sopimuksen väärälle henkilölle.
Italian tietosuojaviranomainen määräsi 27.800.000 euron sakon telealan yritykselle, joka oli lähettänyt sähköistä suoramarkkinointia tai soittanut markkinointipuheluja ilman vastaanottajien suostumusta tai sen jälkeen, kun he olivat kieltäneet markkinoinnin. Yritys ei riittävällä tavalla huolehtinut telemarkkinointikumppaninsa menettelytavoista tai opt-out -listojen ajantasaisuudesta. Samalla havaittiin myös muita puutteita yrityksen tietojenkäsittelytavoissa, mm. informaation tarjoamisessa, säilytysaikojen määrittelyssä ja tietoturvassa.
Kreikan tietosuojaviranomainen määräsi 15.000 euron sakon yritykselle, joka otti käyttöön videovalvonnan työpaikalla. Viranomainen katsoi, että valvonnan käyttöönotto oli laitonta, sillä siitä ei ollut informoitu työntekijöitä.
Seuraava osa ilmestyy maaliskuun alussa.
Taulukon kuvalähde.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
Eilen 23.1.2020 IAB Finlandin tietosuojaseminaarissa puhuttiin verkkosivujen, markkinoinnin ja mainonnan tietosuojasäännöistä sekä IAB:n Transparency & Consent Frameworkista (TCF). Alla muutamia nostoja digimainonnan tietosuojasta.
Tietosuojavaltuutetun ensimmäiset ratkaisut julkaistu
Päivän teeman kannalta erityisen mielenkiintoinen oli tietosuojavaltuutetun (TSV) suoramarkkinointisuostumuksen pätevyyttä koskeva ratkaisu. Yhtiön käytäntö, jossa asiakasohjelmaan ei voinut liittyä ilman, että hyväksyy samalla suoramarkkinoinnin vastaanottamisen ja joka suostumusta antamatta jättäneiden osalta johti siihen, ettei henkilö voinut varata elokuvalippuja tai ostaa e-sarjalippuja, katsottiin lainvastaiseksi. Rekisteröidyltä saatu suostumus ei ollut vapaaehtoinen eikä riittävän yksilöity EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämällä tavalla.
Muihin TSV:n antamiin ratkaisuihin voi tutustua Finlex-palvelussa.
Suostumuksen määritelmä puhuttaa
Edellä mainitussa ratkaisussa TSV katsoi, että sähköisen viestinnän palveluista annetussa laissa edellytettyyn suostumukseen sovelletaan GDPR:ssä määriteltyjä suostumuksen edellytyksiä. Vaikka ratkaisu koski suoramarkkinointia, voi siitä vetää johtopäätöksen, että myös evästeitä koskevan suostumuksen tulee olla GDPR:n mukainen.
Useat eurooppalaiset tietosuojaviranomaiset ovat katsoneet, että tämä tarkoittaa aktiivista toimenpidettä (opt-in suostumusta, ei passiivisuuteen perustuvaa op-out suostumusta) yksilöityyn käyttötarkoitukseen ja riittävään informaation perustuen (ks. aiempi kirjoitus täältä). Valmiiksi rastitettuja ruutuja vastaan puhuu myös unionin tuomioistuimen Planet 49 -ratkaisu. Täysin yksimielisiä viranomaiset eivät kuitenkaan ole: Suomessa Traficom pitää edelleen kiinni valtavirrasta poikkeavasta tulkinnastaan, että selainasetukset ovat riittävät suostumuksen antamiseksi – tämä siitä huolimatta, että suosituimmat selaimet eivät oletusarvoisesti estä evästeitä (eikä mitään käyttäjän aktiivista toimenpidettä siis tapahdu evästeiden sallimiseksi).
TCF on IAB Europen, julkaisijoiden ja adtech-toimijoiden yhdessä kehittämä keino evästesuostumusten pyytämiseksi ja suostumukseen tai sen puuttumiseen liittyvän tiedon välittämiseksi digitaalisen mainonnan ekosysteemissä. Sen toinen versio pyrkii parantamaan edelleen läpinäkyvyyttä ja tekemään kuluttajille tarjottavista valinnoista mahdollisimman helppokäyttöisiä. Digitaalisen mainonnan maailma on hyvin monimutkainen, joten TCF joutuu väistämättä tasapainottelemaan ymmärrettävyyden ja riittävän tarkan informaation välillä.
Digimainonta vaikeuksissa?
TCF vaikuttaa perustuvan olettamukseen siitä, että digitaalinen mainonta toimii jatkossakin pitkälti samalla tavoin kuin nyt – hyödyntäen pääosin kolmansien osapuolien evästeitä ja vertaamalla eri toimijoiden eväste-ID:tä keskenään mainostilaan tai dataan liittyvän kaupankäynnin mahdollistamiseksi.
Viime viikolla toimiala kuitenkin havahtui, kun Google ilmoitti poistavansa kolmannen osapuolen evästeet Chrome-selaimestaan seuraavan kahden vuoden kuluessa. Osa hätääntyi, kun taas toiset ovat ennakoineet evästeiden kuolemaa jo useamman vuoden. Nyt katse saattaa suuntautua mm. kontekstuaaliseen mainontaan, omaan ensimmäisen osapuolen dataan, mahdollisiin ensimmäisen osapuolen evästeitä hyödyntäviin universaaleihin ID-ratkaisuihin tai eri toimialojen konsortioihin, jotka voivat luoda Googlen ja Facebookin kanssa kilpailevia kirjautumiseen perustuvia ratkaisujaan. Ehkä syntyy uusia innovaatioitakin?
Mitä tehdä?
Verkkosivujen ja digimainonnan osalta moni on tuntunut odottavan sähköisen viestinnän tietosuojadirektiivin uudistusta, jo vuonna 2017 ehdotettua ePrivacy-asetusta. Sen valmistelu on viivästynyt, mutta selväksi on käynyt, että GDPR:n voimaantulo on vaikuttanut myös ePrivacy-sääntelyyn (eli Suomessa sähköisen viestinnän palveluista annettuun lakiin), erityisesti muuttanut suostumuksen määritelmää yllä kuvatuin tavoin. Nyt on siis viimeistään aika lähteä korjaamaan käytäntöjä digimainonnan ja erityisesti evästesuostumuksen pyytämisen osalta.
Tiiviit toimenpidesuositukset, jotka esitin IAB:n tietosuojaseminaarissa, löydät alta:
Tiedä, mitä sivustollasi tapahtuu: tee evästeaudit
Määritä roolisi ja ymmärrä riskitasosi: suomalainen verkkosivusto vs. ohjelmallisesti mainostilaa/dataa myyvä julkaisija tai yritys, joka muutoin tarjoaa palveluitaan Euroopan laajuisesti
Varaudu muutoksiin: panosta 1st party dataan ja/tai pohdi tekeväsi digimainontaa ilman henkilötietoja
Kartoita eri suostumustenhallintamekanismeja (CMP), testaa ja ota käyttöön, erityisesti jos haluat toimia kansainvälisessä ohjelmallisen mainonnan markkinassa (huom. hoida suostumus myös niille evästeille, jotka eivät ole TCF:ssä mukana)
Päivitä tietosuoja- ja/tai evästekäytännöt (esim. yhteisrekisterinpitäjyys Facebookin kanssa, jos käytössä on FB-painikkeita; evästeiden käyttötarkoitukset ja elinkaari; kumppaneiden yksilöinti; suostumuksen hallinta)
Dokumentoi: mm. sopimukset, vaikutustenarvioinnit, oikeutettuun etuun liittyvät tasapainotestit
Seuraa viranomaisratkaisuja ja -suosituksia sekä alan markkinakäytännön muutoksia
Lopuksi vielä muistutus siitä, että evästesääntely on teknologianeutraalia, joten ”evästeillä” tarkoitetaan myös muita vastaavia teknologioita (esim. beaconit, pikselit selaimen paikallinen tietovarasto, fingerprintit, mobiilisovellusten SDK:t). On siis suositeltavaa katsoa koko kävijäseurantaan liittyvä kokonaisuus kuntoon.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.