Yksityisyyttä ei pidä sekoittaa salailuun. Yksityisyys on meille kaikille kuuluva ihmisoikeus, johon meillä on oikeus ilman syrjintää. Tiedämme, mitä vessassa tapahtuu, mutta suljet silti oven. Se johtuu siitä, että haluat yksityisyyttä, et salailua. Kaikilla on jotain salattavaa, mutta yksityisyys on jotain, joka tekee ihmisestä ihmisen.
Yksityisyys, itsemääräämisoikeus, GDPR ja tiedonsiirto EU:n ulkopuolelle on ollut meidän näytöillä tiuhaan alkuvuoden aikana. Euroopan maissa kuten Ranskassa, Itävallassa ja Saksassa on puututtu asiaan voimakkaasti ja lähitulevaisuus näyttää minkälaisia muutoksia asioihin on tulossa. Yksityisyyden vaaliminen on GDPR:n tärkeä pääpointti ja monet yksityisyyttä ja itsemääräämisoikeutta puolustavat järjestöt ovat ärähtäneet ja lähteneet taistelemaan Googlea, Metaa ja muita suuria tahoja vastaan.
Uusin käänne
EU:n tuomioistuin kumosi kesällä 2020 Schrems 2 -tapauksessa niin sanotun Privacy Shield -yksityisyyssuojan. Privacy Shield hieman yksinkertaistaen tekee lailliseksi käyttäjätietojen siirtämisen Yhdysvaltojen ja EU:n välillä. sillä perusteella, että Yhdysvaltojen laki ei suojaa Yhdysvaltojen tiedustelupalveluiden käyttäjätietoja EU:n tietosuoja-asetusta vastaavalla tasolla. Siitä lähtien Yhdysvallat ja EU ovat keskustelleet ratkaisusta, mutta sillä välin kaikenlaiset internetin perusosat ovat teknisesti laittomia tai saattavat olla laittomia. GDPR antaa useita syitä, joiden vuoksi tällainen siirto voisi olla sallittua, mutta ne ovat kaikki tulkinnanvaraisia, ja tällä viikolla EU:n tuomioistuimet katsoivat, että Googlen fonttien tai Google Analyticsin käyttö on laitonta.
Aiemmin tässä kuussa Saksan tuomioistuin tuomitsi nimettömän verkkosivun 100€ sakkoihin EU:n yksityisyyslakien rikkomisesta. Summa on hyvin pieni, mutta se ei ole uutisen tärkein pointti. Tiivistettynä ongelmana on se, että kantajan IP-osoite pääsi vuotamaan EU:n ulkopuolelle. IP-osoite luokitellaan tiedoksi (PII), jonka avulla käyttäjä voidaan teoreettisesti yksilöidä ja tunnistaa verkossa. Jokaisella verkkoon liitetyllä laitteella on IP-osoite, jonka avulla verkkopalvelut käytännössä tietävät kenen kanssa kommunikoida ja kenelle lähettää tiedot takaisin.
Analytiikka, Meta ja käyttäjäseuranta
Googlen Tag Managerin ja Analyticsin osalta on myös ollut vastaavanlaisia oikeussotkuja Ranskassa. Ranskan kansallinen tietotekniikka- ja kansanvapauksien komissio julkaisi 10. Helmikuuta tiedotteen, jonka mukaan erään ranskalaisen verkkosivuston ylläpitäjälle on annettu virallinen huomautus Google Analyticsin vuoksi. Komissio on aloittanut virallisen ilmoitusmenettelyn muita Google Analyticsia käyttäviä verkkosivustojen ylläpitäjiä vastaan.
Myöskin uutisartikkeleissa oli hetki sitten uutisia kuinka Facebookin ja Instagramin omistava Meta uhkaa jättää EU:n. Tämä ei pienimmissäkään määrin ole pitänyt paikkaansa ja Meta on jo rientänytkin paikkaamaan väärää tietoa antavaa uutisointia. Jos tykkään postauksestasi Instagramissa, mihin tämä tieto säilötään?
Lähteitä: Fontit, Analytics Ranskassa
Miten nämä asiat toimivat?
Kuvitellaan esimerkiksi, että tulet www.huima.com verkkosivuille. Sinun selaimesi lähettää pyynnön palvelimelle, jossa verkkosivut sijaitsevat ja palvelin vastaa pyyntöön lähettämällä tiedot sinun selaimeesi IP-osoitteen perusteella. Sitä voisi verrata kirjeenvaihtoon. Ilman IP-osoitetta pyyntöösi ei voida vastata.
Verkkosivuille tultaessa verkkosivut voivat ohjata käyttäjän selainta lataamaan tietoa kolmansilta osapuolilta, esimerkkitapauksessa Googlen fonteilta. Googlen fonttipalvelun täytyy tietää mikä osoite fontteja tarvitsee, jotta käyttäjä voi ne ladata ja niitä hyödyntää kyseisillä verkkosivuilla. Googlen fonttipalveluiden palvelin saattaa sijaita EU:n ulkopuolella, esim. Yhdysvalloissa. Jos IP-osoite lähetetään yhdysvaltoihin ilman käyttäjän erillistä hyväksyntää, käyttäjän itsemääräämisoikeutta on käytännössä rikottu.
GDPR:n ja tietosuojalain pääasiallinen tarkoitus on vahvistaa EU:n kansalaisten itsemääräämisoikeutta ja antaa heille mahdollisuuden vaikuttaa omien tietojen käyttöön. Perimmäinen tarkoitus näissä lakipykälissä ja turhalta tuntuvissa taisteluissa on se, että yksittäisten käyttäjien yksityisyyttä voidaan vahvistaa.
Sinä voit yksilönä valita, että mitä tietoja sinusta haluat kerättävän, mitä henkilötietoja haluat luovuttaa ja miten niitä voidaan käyttää. Henkilötietojen käyttötarkoitukset pitää olla verkkosivujen ja palveluntarjoajan toimesta hyvin esillä. Esim. verkkokaupoissa pitää olla tietosuoja/rekisteriseloste. Rekisteri- ja tietosuojaselosteessa palveluntarjoajan pitää kertoa kuka rekisteriä ylläpitää, mitä tietoja rekisteriin kerätään, luovutetaanko tietoja EU:n/ETA:n ulkopuolelle, miten tietoja suojataan, kauanko tietoja säilötään ja miten omia tietoja voi muuttaa/poistaa.
Rekisteriseloste pitää olla kaikilla jotka keräävät asiakkaistaan/käyttäjistään yksilöivää tietoa kuten sähköpostiosoite, nimi, osoite tai puhelinnumero. Esim. jos verkkosivuillasi on yhteydenottolomake, sinulla pitää olla myös tietosuojaseloste.
Mitä minun pitää tietää?
Verkkosivujen omistajana sinun täytyy pitää huoli, että sivuillasi on tarvittavat GDPR:n vaatimat dokumentit ja säännökset. Myöskin sinulla ja palveluntarjoajalla täytyy olla tietojenkäsittelysopimus, jossa määritellään suhde tietojen omistajan ja datan käsittelijän välillä. Usein tietojen omistajana on verkkosivujen omistaja ja datan käsittelijänä toimii palveluntarjoaja, kuten Huima.
Olemme näiden asioiden johdosta reagoineet nopeasti ja tehneet muutoksia verkkosivuillemme esim. Evästekyselyiden suhteen. Viime syksynä Kyberturvallisuuskeskus antoi ohjeistuksen evästekyselyiden rakenteesta palveluntarjoajille ja olimme ensimmäisten joukossa tekemässä käyttäjille mahdollisimman läpinäkyviä ja lainmukaisia evästekyselybannereita.