Saako Facebook-päivityksellä halvemman vuokran?

Viime viikolla silmiini osui uutinen mielenkiintoisesta englantilaisen startupin uudesta palvelusta, jonka avulla esimerkiksi työnantajat tai vuokranantajat voivat selvittää mahdollisen kandidaatin “kelpoisuuden”. Se miten tämä selvitetään, on kuin suoraan jostakin mielipuolisesta elokuvasta: yritys skannaa vuokralaiseksi haluavan henkilön sosiaalisen median aktiivisuuden ja päättelee sen perusteella, miten suuri “riskitekijä” hän on.

Score assured -yhtiön Tenant Assured palvelu on jo tarjolla yhtiön yhdysvaltalaisille asiakkaille. Vuokraisäntä voi lähettää vuokralaiskandidaatille pyynnön rekisteröityä palveluun. Kun käyttäjä sitten kirjautuu sivustolle, sille on annettava täysi pääsy kaikkiin käyttäjän sosiaalisen median palveluihin, kuten Facebookiin, Linkediniin, Twitteriin ja Instagramiin. Tämän jälkeen palvelu käsittelee käyttäjän kaikki kyseisiin palveluihin tekemät aktiviteetit, kuten postaukset, keskustelut (mukaanlukien yksityisviestit) ja tykkäykset. Käsittelyn tuloksena vuokralainen ja vuokraisäntä saa käyttöönsä raportin, jossa kerrotaan käyttäjän “taloudellinen stressitaso”.

Washington post

Washington Postin toimittajan saama raportti palvelusta.

Washington Postin toimittaja kokeili palvelua ja sai huomata, että palvelun mielestä tärkeätä tietää hänestä olivat muun muassa miten usein hän oli twiitannut “laina” tai “raskaus” tai vaikkapa “murhaaja”.

Palvelua tarjotaan vuokranantajille ja ilmeisesti yhtiö on myös kehittämässä vastaavaa palvelua työnantajille. Vaikka kyseessä on englantilainen yritys, se tarjoaa tällä hetkellä palveluja vain yhdysvaltalaisille asiakkaille. Tämä ei tarkoita sitä, että yhtiöön ei sovellettaisi EU:n tietosuojasääntöjä, mutta kirjoitan tästä myöhemmin.

Palvelun tavoitteena on sen perustajan mukaan lisätä vuokranantajien turvaa. Tällaisen analyysin perusteella pystytään ilmeisesti hyvinkin päättelemään, miten iso riski esimerkiksi on, että vuokrat jäävät maksamatta. Ehkäpä jopa erittäin matalan riskin vuokralainen voisi saada alennusta tällä perusteella?. Vuokranantajien lisäksi palvelun hyödyntämisestä olisivat varmasti kiinnostuneet monet taloudellista riskiä arvioivat toimijat, kuten pankit ja vakuutuslaitokset.

Suostumus ja tietojen käsittely

Olisiko tämä mahdollista ja laillista Suomessa?

Tietosuojan näkökulmasta tilanne on mielenkiintoinen. Henkilöstä kerätään runsas määrä tietoa, joka joissain tapauksissa sisältää myös varsin epäedullista tietoa esimerkiksi entisistä kumppaneista tai työpaikoista. Tietoa, jota ei ole alun perin tarkoitettu tällaiseen käyttöön, kun se on postattu someen. Kokonaisuutena voitaisiin todeta, että kaikki kerätään ja hyödynnetään.

On mielenkiintoinen ajatus, että some-tilin perusteella henkilöstä saadaan “alaston” ja “totuudenmukainen” kuva. On hyvin todennäköistä, että olet somessa aivan erilainen kuin lainaa tai vuokra-asuntoa hakiessasi. Siihen on olemassa hyvät syyt, mutta todennäköisesti suurin syy ei kuitenkaan ole vuokranantajan huijaaminen. Totta kai jokainen haluaa antaa itsestään mahdollisimman positiivisen kuvan henkilölle, joka tekee taloudellisia päätöksiä sinusta.

Mutta käyttäjähän antaa suostumuksensa tietojen käsittelylle, joten ongelmaa ei ole, vai onko? No ei se näin helppoa ole! Ensinnäkin näen jo sen ongelmallisena, että vuokrasopimuksen tai työsopimuksen, miten ison, hienon ja tärkeän tahansa, edellytyksenä olisi koko sosiaalisen median sisällön paljastaminen. Siinä ammutaan todellakin tykillä kärpästä!

Esimerkiksi Suomessa henkilötietolaki edellyttää, että tietojen käsittelyllä tulee olla selkeä suhde käyttötarkoitukseen. Lisäksi tietoja saa kerätä vain siinä laajuudessa, kun se on palvelun toteuttamisen kannalta olennaista. On aivan selvää, että kaikkien tietojen kerääminen ei ole olennaista palvelun toteuttamiseksi. Lisäksi palvelu näyttää prosessoivan tietoja, jotka ovat suoraan sanottuna syrjiviä, esimerkiksi jotain merkitystä näyttäisi olevan sanalla “raskaus”.

Lisäksi merkittävä ongelma kyseisessä palvelussa on se, että se ei ilmeisesti rajoita tietojen käsittelyä henkilöön itseensä. Eli palvelu ilmeisesti analysoi ja käsittelee myös kaikkien käyttäjän kanssa yhteydessä olevien henkilöiden viestejä ja tietoja. Sinänsä tämäkään ei pitäisi olla olennaista lopputuloksen kannalta ja käsiteltävän tiedon laajuus on aivan liian suurta. Todennäköisesti vuokralaisen ystävät ja tuttavat eivät edes tiedä, että heidän tietonsa joutuu käsittelyn kohteeksi.

Eivätkä ongelmat lopu tähän: eipä unohdeta käyttäjän oikeutta tulla unohdetuksi eli vaatia, että sellaisia tietoja ei käsitellä, jotka eivät enää pidä paikkaansa. Kyseinen palvelu käsittelee kaikki tiedot, myös ne, jotka eivät ole enää millään tavalla relevantteja. Henkilö on voinut esimerkiksi etsiä tietoja “lainoista” ystäviltään aiemminkin tai voinut osallistua keskusteluun, jossa joku ystävistä on saanut huonoa kohtelua lainayhtiöltä. Olisiko tällainen tieto olennaista vuokrasopimuksen kannalta? Mielestäni ei mitenkään.

Suurempi ongelma olisi vielä työlainsäädäntö: Suomesssa tietoja työnhakijasta saa kerätä vain työntekijältä itseltään. Vaikka työntekijä antaisikin tietoja itsestään antamalla luvan katsoa sosiaalisen median profilejaan, jopa automaattisesti, työnantajan tulisi silti keskittyä vain siihen tietoon, mikä on työtehtävän hoitamisen kannalta olennaista, ei siis aivan kaikkeen. Ja esimekriksi juuri “raskauden” etsiminen tiedoista ei olisi mitenkään laillista.

Näyttäisi siltä, että yritys ei ole ottanut vakavasti ainakaan vielä tietosuojaan liittyviä kysymyksiä. Sen käyttöehdot kun eivät sano yhtään mitään palvelusta itsestään, vaan ainoastaan verkkosivujen tietojen käsittelystä. Tästäkin huolimatta kysymys on palvelutyypistä, joka tulee varmasti tulevaisuudessa yleistymään: ihmisten tietoja käytetään tavalla, joihin niitä ei alun perin ole tarkoitettu. Kuinka paljon, jos ollenkaan tämä on mahdollista, on täysi mysteeri.

Selvää on kuitenkin, että tietosuojalainsäädäntö ei anna palveluntarjoajalle täyttä vapautta tehdä henkilön tiedoilla mitä tahansa, vaikka käyttäjä on antanut “täyden” suostumuksensa.

Kolme yhtiötä sai sakot Safe Harborin noudattamisesta Saksassa

Hampurin osavaltion tietosuojaviranomainen (Hamburgischen Datenschutzbeauftragten) on määrännyt sakkoja kolmelle Hampurissa pääpaikkaa pitävälle kansainväliselle yritykselle, koska nämä eivät olleet suojanneet riittävästi tietojen siirtoa Yhdysvaltoihin.

EU:n tuomioistuin totesi viime vuoden lokakuussa, että ns. Safe harbor -järjestelmän mukaisesti tehdyt henkilötietojen siirrot Yhdysvaltoihin eivät täytä EU:n tietosuojadirektiivin vaatimuksia riittävästä tietojen suojasta. Lue tarkemmin aiheesta täältä ja täältä.

Hampurin osavaltion tietosuojaviranomainen määräsi Adoben, Punican ja Unileverin maksamaan sakkoja, koska ne eivät olleet riittävän nopeasti siirtyneet käyttämään vaihtoehtoisia keinoja, kuten komission hyväksymiä vakiolausekkeita tietojen siirrossa Yhdysvaltoihin. Viranomaisen mielestä yrityksillä oli ollut puoli vuotta aikaa reagoida tilanteeseen. Paikallinen tietosuojaviranomainen oli tutkinut 35 Hampurissa kotipaikkaa pitävän yrityksen tietojen siirtoa.

Sakot eivät olleet kokonaisuudessaan mitenkään mittavat: Adobe joutuu maksamaan 8000 euroa, Punica 9000 euroa ja Unilever 11.000 euroa. Kysymys on ensimmäisestä Euroopan aluella tehdystä päätöksestä, jossa tietosuojaviranomainen määrää sakkoja ns. Schrems-tuomion jälkeen. On vain ajan kysymys, milloin muiden osavaltioiden tai valtioiden viranomaiset seruaavat perässä jos Privacy Shieldiä ei saada kunnolla käyntiin.

On sinänsä haastavaa ajatella, että yritykset voisivat täydellisesti reagoida puolen vuoden kuluessa kyseiseen tuomioistuimen ratkaisuun, erityisesti koska EU ja Yhdysvallat on neuvotellut myös Safe Harborin korvaavasta Privacy Shieldistä. Privacy Shield on ollut roimassa vastatuulessa viime aikoina, eikä sen pitävyydestä EU:n tietosuojaperiaatteiden valossa, ole kovinkaan vahvoja takeita.

Englanninkielinen artikkeli aiheesta

VAHTI:n toimintasuosituksia tietosuojan uudistukseen valmistautumiseen

Valtionvarainministeriön asettama valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) julkaisi eilen torstaina raportin jossa annetaan “pähkinänkuoressa” (raportti on 38 pdf-sivua pitkä) kuvaus tulevasta tilanteesta sekä varsin hyviä suosituksia siitä, miten organisaatioiden tulisi valmistautua uuden EU:n tietosuoja-asetuksen tuomiin muutoksiin.

Vaikka VAHTI-raportti on periaatteessa suunnattu julkisen hallinnon organisaatioille, siinä on runsaasti hyvää ohjeistusta, joka sellaisenaan koskee myös yksityisiä yrityksiä.

Kahlasin läpi nopeasti raportin ja varsinkin raportin kuudennessa osassa annetaan mielenkiintoisia ja järkeviä suosituksia toimenpiteistä:

  1. Johdon osallistuminen ja tarvittavien resurssien varaaminen
    Tietosuoja on saatava organisaation johdon agendalle, se ei saa enää olla pelkästään “IT-ihmisten” tai jonkun muun osaston näpertelyä. Tietosuoja tulisi olla osa jokapäiväistä toimintaa tietosuojasääntelyn vaatimalla tavalla
  2. Nykytila-analyysi: Ensiksi tulisi muodostaa näkemys organisaation tämänhetkisestä tilanteesta. Tehtävä arviointi tulisi osittaa esimerkiksi organisaation toimintojen mukaisesti. Perustarkoituksena on tunnistaa puutteet ja kehityskohteet sekä suunnitella toimenpiteet, joilla nykytilaa voidaan parantaa ja huolehtia tietosuojan toteutumisesta osana jokapäiväistä toimintaa.
    • Henkilötieto- ja sopimusinventaario:  Inventoidaan käsiteltävät henkilötiedot ja tunnistetaan missä ja kenen toimesta (mukaan lukien alihankkijat jne) henkilötietoja käsitellään.
    • Riskiarvio Onko tietoturvan toteutus riittävällä tasolla henkilötietojen koko elinkaaren ajan. Riskiarvioon tulee sisällyttää myös meneillään olevien tietojärjestelmähankkeiden uudelleen arviointi.
    • Tietosuojavastuut Tuleeko organisaation nimittää tietosuojavastaava? Onko tietosuojavastuut jakautuneet useaan eri yksikköön? Kenellä on kokonaisvastuu?
    • Johdon raportointi Nimettävän tietosuojavastaavan tai muun tietosuojaorganisaation jäsenen vastuulle on hyvä osoittaa sekä johdon säännöllinen raportointi että vuosiraportin laatiminen
    • Henkilöstön koulutukset, ohjeet ja viestintä
      Koko henkilöstön tietosuojaosaaminen on avainasemassa toteutuksessa. Tämä edellyttää koulutusta, ohjeistusta sekä selkeää viestintää aiheesta
    • Käynnissä olevat hankkeet On virhe ajatella, että asetuksen vaikutus ei koske tämänhetkisiä hankkeita. Asetus ja sitä tukeva kansallinen lainsäädäntö tulee voimaan kahden vuoden kuluttua ja vaikuttaa lähiaikoina käyttöön otettaviin järjestelmiin ja hankkeisiin
    • Tietoturva Tietoturvan osuutta uudessa lainsäädännössä ei voi ylikorostaa. Organisaatioilla on laaja vastuu huolehtia riittävästä tietoturvasta erityisesti suhteeessa käsiteltävien tietojen luonteeseen nähden.
  3. Tietosuojan kehittämisprojektit: VAHTI-raportti selkeästi tuo esille sen, että kaikki yllämainitut vaatimukset ja toimenpiteet vaativat varsin suurta suunnanmuutosta. Tämän vuoksi työhön on ryhdyttävä mahdollisimman pian, mieluiten omana hankkeenaan.
  4. Asetuksen seuranta: Vaikka asetusteksti on nyt saatavilla, Suomessa lainsäädäntö tulee vielä muotoutumaan seuraavan kahden vuoden aikana. Lisäksi kansallista liikkumavaraa on asetuksessa jonkin verran, esimerkiksi lasten oikeuksien osalta. Siksi on tärkeää seurata lainsäädäntöä vielä kehityshankkeiden aikanakin

 

Lähteet:

  1. tietosuojauutiset.fi
  2. Vahti-tiedote