Uusi tietosuoja-asetus ja suostumus

JIT-miehen blogissa aloitetaan nyt tietosuoja-asetusta koskevat talkoot ja lukemalla asetuksen pääkohtia läpi ja nostamalla esiin ajatuksia. Ensimmäisellä kerralla tarkastellaan suostumusta eli asiakkaan tai “rekisteröidyn” lupaa omien tietojensa käyttämiseen palvelun tuottamisessa (ja kaikessa muussa kivassa).

Suostumus on ollut pitkään eräänlainen vakiokuvio internetin tietosuojassa. Suostumuksen avulla lähestulkoon kaikki verkkopalveluja tarjoavat toimijat ovat pystyneet keräämään ja hyödyntämään runsaasti tietoa käyttäjistä muun muassa evästeiden avulla. Suostumusta on ollut monenlaista, kuten sellaisia, että asiakas antaa suostumuksen tietojen keräämiseen “jatkamalla sivujen käyttöä” eli aikalailla huomaamattaan. Esimerkiksi Facebook on laatinyt erittäin laajan sivuston käyttäjien antamien tietojen käytöstä:

facebook

Yllämainittu lähestymistapa on jo jonkin aikaa katsottu riittämättömäksi ja sen sijaan on vaadittu selkeätä suostumusta, jossa asiakas “sitoutuu” ja hyväksyy tietojen keräämisen. Tämä ajatus on alun perin lähtöisin Ranskan tietosuojaviranomaisen käytännöstä, joka sitten on vähitellen kopioitu monen muun maan käytäntöön. Muutoksen seurauksena hyvin monessa sivustossa on nykyään varsin ärsyttäviä “hyväksyn evästeiden käytön” bannereita tai ponnahdusikkunoita, kuten esimerkiksi tällaisia:

telegraaf

Moni sosiaalisen median palvelu toimii tällaisen “suostumuksen” avulla. Käyttöehdoissa on kohta, jossa todetaan, mitä kaikkea tiedoilla voidaan tehdä ja miten niitä käytetään. Monet palvelut ovat laatineet erillisen “yksityisyyden suojan ehdot” eli ns. “privacy policyn” joilla pyritään selventämään tietojen käyttöä. Käyttäjä yleensä hyväksyy nämä ehdot erikseen ja klikkaa rekisteröityessään “hyväksyn ehdot” kohtaa. Joskus ehdot hyväksytään myös esimerkiksi kun palveluun kirjaudutaan, kuten esimerkiksi Sanoman palveluissa:

Sanoma

Suostumuksen osalta on pitkään keskusteltu siitä, tuleeko käyttäjän antaa suostumus hiljaisesti eli siten, että lähtökohtaisesti hyväksyy ehdot, jotka ovat osana sopimusta (ns.”opt-out”). Toinen vaihtoehto on ollut se, että asiakkaan tulee selkeästi ja erikseen hyväksyä ehdot (ns. “opt-in”).

Suomessa erityisesti ensimmäinen vaihtoehto  (“opt-out”)on ollut käytössä pitkään esimerkiksi suoramarkkinoinnissa yrityksille, eli yritykset ovat ostaneet runsaasti yhteystietoja sisältäviä tietokantoja joiden perusteella on etsitty sopivia asiakkaita. Saan jatkuvasti tällaisia osoitetietotarjouksia itsekin koska oman yritykeni yhteystiedot löytyvät YTJ-tietokannasta, esimerkisi näin:

osoitetieto

(kertaakaan en muuten ole näitä tietoja ostanut)

Rekisteröidyt eivät välttämättä ole antaneet suostumustaan tietyn yrityksen markkinoinnille vaan tiedot voivat olla peräisin esimerkiksi jostain yleisestä luettelosta. Rekisteröidylle on sitten lähetetty sähköpostitse mainoksia ja sähköpostissa on tarjottu mahdollisuus poistua postituslistalta. Tämä käytäntö on kuitenkin poistumassa, eikä enää olisi mahdollista uuden tietosuoja-asetuksen myötä. Itse asiassa monessa Euroopan maassa käytäntö ei enää ole mahdollista.

Uusi suostumus eri käyttötarkoituksiin

Uusi tietosuoja-asetus vie suostumuksen vielä askeleen pidemmälle. Lähtökohtana on, että mikäli tietoja käytetään muuhun kuin palvelun tuottamiseen, tähän on oltava erillinen suostumus. Suostumuksella tarkoitetaan:

mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen

Asetuksen johdannon 32 kohdassa todetaan taas, että:

Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn.

[…]

Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta

Suostumusta ei voisi enää antaa “vaikenemalla” eli siten että käyttäjä ei reagoi johonkin tiettyyn tekoon. Lisäksi suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Asetuksen 7 artiklassa todetaan, että rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Vaatimuksena on myös, että suostumus on oltava eriteltävissä eri käsittelyjen osalta. Eli asiakkaalla tulisi olla oikeus esimerkiksi suostua tietojen käsittelyyn palvelun toimittamisen kannalta mutta kieltäytyä vaikkapa yrityksen markkinointikirjelmistä.

Siten esimerkiksi tällainen Finnairin lentolippujen ostolomakkeessa oleva kohta ei todennäköisesti enää olisi mahdollinen:

Finnair consent.pngYlläolevassa kohdassa Finnair siis sanoo sinulle varsin epäsuorasti, että keräämme sinun tietojasi, mukaanlukien sähköpostiosoitteesi sivulta ja lähetämme sinulle sähköpostia jos jätät varauksen kesken. Käyttäjä siis jättämällä tämän kohdan valitsematta antaa suostumuksen tietojen keräykseen ja prosessointiin. Tällainen ei enää olisi jatkossa mahdollista, koska ainakaan minun mielestäni tuo ei täytä keskeistä vaatimusta suostumuksen selkeästä “aktiivisesta” antamisesta. Asiakkaan passiivisuus johtaa tietojen prosessointiin eikä toisinpäin.

Suostumuksen peruutus aina mahdollista

Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa ja rekisteröidylle on annettava selkeästi tieto tästä jo ennen suostumuksen antamista. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista tehdyn käsittelyn lainmukaisuuteen eli siihen mennessä kerätyt tiedot voidaan käsitellä entiseen tapaan. Suostumuksen peruuttamisesta ja sen vaikutuksista täytyy kirjoittaa joskus vielä laajemmin.

Suostumus ei saa olla edellytys palvelun käytölle

Suostumus on annettava “vapaaehtoisesti”.Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. Asiakasta ei periaatteessa saisi pakottaa antamaan tietonsa kaikkien saataville. Nykyisentyyliset “ota tai jätä” ehdot eli “jos et suostu tietojen hyödyntämiseen, et voi käyttää palveluakaan” eivät olisi enää jatkossa mahdollisia.

Käyttäjällä tulisi olla mahdollisuus siis “valikoida” miten tämän tietoja prosessoidaan esimerkiksi palvelua käyttäessä. Google esimerkiksi jo nyt pyrkii houkuttelemaan käyttäjää tutustumaan ehtoihinsa silloin tällöin vaikkapa hakuja tehtäessä:

google

On mielenkiintoista nähdä, miten kyseinen nämä varsin tiukat vaatimukset muokkaavat tarjottavia palveluja ja erityisesti ns. “ilmaisia” verkossa tarjottavia palveluja, jotka tähän mennessä ovat pitkälti nojanneet käyttäjien tiedon kapitalisoinnin varassa.

Yksi tietosuoja-asetuksen periaatteista onkin, että omat henkilötiedot olisivatkin jatkossa “käypää valuttaa”, eli palvelun vastaanoton voisi maksaa luovuttamalla omia tietojaan. Olisi esimerkiksi hyvinkin mahdollista, että jotkut palvelutarjoajat antavat käyttäjille “premiumpalvelua” ilmaiseksi, jos nämä esimerkiksi suostuvat laajempaan tietojen hyödyntämiseen.

Varmaa on kuitenkin se, että käytännössä lähestulkoon kaikkien palvelujen käyttöehtoja ja käyttöä joudutaan ainakin jonkin verran muokkaamaan jatkossa ja käyttäjät todennäköisesti joutuvat hyväksymään kymmeniä sopimusehtojen muutoksia klikkailemalla siellä täällä ennen kuin pääsevät käsiksi viimeisimpään kissavideoon.

Asetuksen Luonnostekstin suomenkielinen versio.

Saako urheilijan olympiatwiitin retwiitata?

Viikonloppuna sosiaalisessa mediassa (lue: twitter) käytiin kipakkaakin keskustelua (ilmeisesti) Kansainvälisen olympiakomitean mediaohjeista urheilijoille. Ellun kanat -viestintäyhtiön (-toimiston? -monitoimitoimiston??) Kirsi Piha kirjoitti Suomen olympiakomitealle avoimen kirjeen, jossa varsin perustellusti arvosteltiin olympiakomitean sääntöjä.

Piha kirjoittaa, että urheilijoille annetun ohjeistuksen mukaan olympialaisiin osallistuvat urheilijat saavat tuoda sosiaalisessa mediassa tai muutoin esiin muita kuin olympialaisten virallisia yhteistyökumppaneita vain erikoisluvalla. Pihan mukaan sääntö koskee myös urheilijoiden sponsoreita. Ilmeisesti ohjeistuksessa todetaan, että urheilijoiden henkilökohtaiset sponsorit eivät saa esimerkiksi retwiitata urheilijoiden twiittejä tai lähettää urheilijoille sosiaalisessa mediassa tsemppiviestejä.

Lisäksi kyseinen ohjeistus listaa myös 20 sanaa ja sanontaa, jotka ovat ”kiellettyjä” sosiaalisen median käytössä ajalla 27.7.–24.8. Kiellettyjen sanojen listalla ovat mm. Rio/Rio de Janeiro, gold, silver, bronze, medal, effort, performance, summer (!), victory, Citius – Altius – Fortius (ja kaikki sen käännökset) ja kaikki muu olympialaisiin viittaava sanasto. Olympia-aiheisia sanoja ”saavat” siis käyttää vain olympialaisten viralliset yhteistyökumppanit.

Lyhyen etsinnänkään jälkeen en onnistunut löytämään kyseistä ohjeistusta internetistä, joten joudun kommentoimaan asiaa vain Pihan kirjoituksen perusteella.

Miksi KOK tekee näin? Syynä on tietysti jättimäiset sponsorisopimukset, jotka ovat sen tärkein tulonlähde. Sponsoriuden yksi keskeisimpiä tekijöitä on yksinoikeus eli tietylle yritykselle luvataan ainutlaatuinen asema kisoissa: kukaan muu ei voi olla esimerkiksi virallinen juomasponsori (Coca-Cola). Näin yritys saa “omia” kisat itselleen, rahoilleen maksimaalisen vastineen ja brändilleen miljardiyleisön huomion.

Tavaramerkit ja tekijänoikeus suojaavat

Tärkein omimiskeino ovat KOK:n omistamat lukuisat tavaramerkit ja tekijänoikeudet, joita yritys saa mainonnassaan yksinomaisesti käyttää. Helpoimpia juridiselta kannalta ovat olympia-tunnukset, logot, sloganit (citius, altius, fortius) tunnussävelet ja maskotit jotka KOK on itse luonut ja omistaa siten kokonaan.

Yllämainittujen osalta on varsin selvää koska ne ovat ylittävät ns. teoskynnyksen ja näin ollen ovat tekijänoikeuden alaisia. Lisäksi tahot voivat rekisteröidä itselleen tiettyjä tavaramerkkejä. Suomen Olympiakomitea on muun muassa rekisteröinyt sanan “olympia” tavaramerkikseen, tosin varsin rajoitetusti. Ymmärtääkseni myös KOK on rekisteröinyt suurimman osan tunnuksistaan vähintään kansainvälisesti. Lisäksi olympiatunnuksia suojaa oma kansainvälinen sopimuksensa.

IMG_1136

Muutaman ison kansainvälisen sponsorisopimuksen nähneenä voin todeta, että isoja kisoja järjestävät organisaatiot panostavat rajusti myös merkkiensä suojelemiseen eli siihen, että kukaan ei käytä merkkiään luvatta. Tahoilla on käytössään runsaasti resursseja oikeuksiensa valvomiseen. Lisäksi on hyvin tyypillistä, että kisatunnusten käyttöä myös säännellään tarkasti eli lähestulkoon kaikki mainosmateriaalit joudutaan hyväksyttämään itse järjestävällä taholla.

Brasiliassa on olympiakisojen alla säädetty lakeja, jotka suojelevat KOK:ta olympiatunnusten hyväksikäytöltä. Tällä pyritään hillitsemään erityisesti piraattituotteiden kauppaa ja mainostamista. Pahimmassa tapauksessa väärentäjä tai maineella ratsastaja voi joutua rikosvastuuseen suurten korvausvastuiden lisäksi. Näiden lakien säätäminen on muuten yksi vaatimus KOK:lta kisojen järjestämiselle. Muutkin järjestöt, muun muassa jalkapallon maailmanmestaruuskisoja järjestävä Fifa vaatii tällaisia lakeja. (esimerkiksi jalkapallon MM-kisoissa 2010 lakeja käytettiin juuri tähän tarkoitukseen).

Voiko sanan käytön kieltää?

Kysymys on hyvin kinkkinen. On selvää, että esimerkiksi olympiarenkaat on sellainen tunnus, jota ei voi käyttää ilman KOK:n lupaa. Mutta entäpä sanaa “olympia”? Tai “mitali”? Entäpä “kesä”? Voiko mikä tahansa yritys käyttää niitä?

Yleinen käsitys lienee se, että esimerkiksi sanaa “olympia” täytynee varoa käyttämästä, koska se on varsin vahvasti assosioitunut olympialiikkeeseen ja sen sponsoreihin sen mukana. Todennäköisesti mikä tahansa yritys ei voisi käyttää niitä markkinoinnissaan viittauksena Rion olympiakisoihin. Sen sijaan muita “olympia” -aiheisia sanoja voisi käyttää markkinoinnissa, esimerkiksi lentoyhtiö Olympic Air saa myydä matkoja olympialaisten aikana.

Sen sijaan sanan “mitali” tai “kesä” käyttöä ei voida mitenkään kieltää. Yritykset kyllä mielestäni voivat siis edelleen onnitella urheilijoita sosiaalisessa mediassa mitalista. Kyseessä on varsin yleisluontoinen sana eikä sitä voi kukaan omia. Ymmärtääkseni kyseistä sanaa ei myöskään ole rekisteröity minkään tahon tavaramerkiksi.

MUTTA KOK on mielenkiintoisesti kohdistanut mediaohjeistuksen itse urheilijoihin. Joten urheilijat itse kantavat vastuun siitä, että ohjeistusta noudatetaan. Siksi urheilijoiden täytynee itse sopia omien (ei olympia-) sponsoreidensa kanssa, miten heidän kanssaan saa kommunikoida esimerkiksi sosiaalisessa mediassa. Eli urheilijaa sponsoroivan yrityksen ei kannattaa kaikesta huolimatta noudattaa KOK:n vaatimuksia, koska muuten urheilija voi joutua vaikeuksiin. Melkoinen vangin dilemma! Onnitellako ja tsempatako urheilijaa vai ei? Ymmärrän hyvin, miksi Piha kirjoittaa aiheesta.

Mielenkiintoista on se, että Pihan mainitsemat säännöt koskevat kaikkia urheilijoita, kuten esimerkiksi erittäin hyvin palkattuja koripalloilijoita, jotka eivät saa mainostaa omia kenkiään olympia-aiheisesti kisojen aikana. Tosin kansallisilla joukkueilla voi olla omia paikallisia sponsoreita, jotka saanevat mainostusta tehdä.

Urheilijoiden lisäksi myös olympiakisojen katsojat joutuvat varomaan sanojaan. Tavallisesti nimittäin kisojen lippujen sopimusehdoissa kielletään kaikenlainen mainostaminen. Eli todennäköisesti kisakatsomosta twiittaamisessakin on rajansa ja jos yrittää mainostaa liikaa jotain tiettyä ei-sponsoroitua yritystä, tiedossa voi olla ongelmia, pahimpana oikeusjuttu ja vähintäänkin katsomosta poistaminen. Olisi mielenkiintoista tietää, miten moista kieltoa pystytään tosin valvomaan.

Mielikuvamainonta: hankala “porsaanreikä”

KOK voisi periaatteessa hyödyntää myös “yleisluontoisia” ilmaisuja kuten juuri yllämainitut “mitali”, “suoritus”, “kesä” ja kieltää niiden käytön markkinointisäännöksiin perustuen. Tällöin täytyy kuitenkin olla näiden käsitteiden yhdistelmästä eli siitä, miten näiden avulla luodaan yleinen käsitys kisoista ja “tunnelmasta”. Eli yritys ei saisi ratsastamaan “olympiakisojen mielikuvalla”jonka KOK on kovalla työllä saanut aikaiseksi.

Tässä on kysymys jo paljon monimutkaisemmasta asiasta. Tällöin kysymys ei ole yhdestä yksittäisestä sanasta tai kuvasta, vaan näiden tekijöiden yhdistelmästä joka luo mielikuvaa. Monet yritykset pyrkivät ratsastamaan markkinoinnissaan olympialaisilla ja siksi käyttävät mainonnassaan geneerisiä urheilijoiden, juoksuratojen ja urheiluvälineiden yms kuvia. Tällaiseen puuttuminen on myös mahdollista, mutta varsin vaikeaa. En ole aiheen asiantuntija, joten jätetään sen kommentointi ammattilaisille. Mutta tärkeätä on huomata, että myös tällaiseen geneeriseen mainostamiseen voitaneen äärimmäisissä tapauksissa puuttua juridisin keinoin. Asiaa kutsutaan “norkkimiseksi”  ja tästä on kirjoittanut tarkemmin ja paremmin Sarita Schröder Linkedinissä.

Amerikkalainen analyysi aiheesta

Privacy Shield käyntiin

Privacy Shield -järjestely on tullut virallisesti voimaan elokuun alussa. Järjestelyn verkkosivuilla ei vielä keskiviikkona ollut yhtään hyväksyttyä rekisteröintiä, mutta odotettavissa on, että lähipäivinä yhtiöiden nimiä alkaa ilmestyä.

Muun muassa Microsoft on jo ilmoittanut rekisteröityneensä Privacy Shieldiin heti ensimmäisenä päivänä.

Privacy Shield on järjestely, jossa yhdysvaltalaiset yritykset sertifioivat itse itsensä eli lupaavat noudattaa järjestelyn sääntöjä. Sertifiointi tehdään vuosittain. Privacy Shield korvasi aiemman Safe Harborin, joka todettiin pätemättömäksi viime vuoden lokakuussa.

Rekisteröintiin on odotettavissa ruuhkaa, koska jokainen vähänkin Eurooppaan palveluja tarjoava yhtiö todennäköisesti haluaa rekisteröityä. Safe harborissa oli aikanaan yli 5000 yrityistä, joista erään arvion mukaan noin 3300 oli aktiivisia.

Miksi tällainen sertifiointi tehdään? Siksi, että komission mielestä tällöin yritykselle voidaan siirtää henkilötietoja EU:n alueelta. Privacy Shield on sinänsä yritysten arkea helpottava järjestely, koska eurooppalaisten yritysten ei tarvitse käyttää aikaa vieviä EU:n mallilausekkeita eli käytännössä solmia erillinen sopimus koskien tietojen siirtoa.

Virallisesti Privacy Shield täytyy hyväksyttää komissiolla. Komissio antoi Privacy Shieldiä koskevan hyväksyvän päätöksen heinäkuussa.

Nyt siis eurooppalaisilla yrityksillä, jotka käyttävät yhdysvaltalaisia toimittajia on jälleen mahdollisuus “täysimääräisesti” käyttää näitä toimittajia. Olisin silti vielä varovainen Privacy Shieldin suhteen, sekin todennäköisesti ajautuu aikanaan EU:n tuomioistuimen tarkasteltavaksi, joten lienee hyvä olla jonkinlainen varasuunnitelma, kuten esimerkiksi tietojen siirtäminen EU:n alueelle.

Privacy Shield tuo käytännössä joiltain osin yhdysvaltalaisten yritysten henkilötietojen käsittelyn EU:n tietosuojasäännösten kaltaiseen sääntelyyn. On kuitenkin hyvä huomata, että Privacy Shieldin keskiössä on yhtiön itsesertifiointi eli yhtiöt pitkälti itse määrittelevät sen, onko niillä riittävä pätevyys järjestelyyn.

Komissio on julkaissut lyhyen oppaan Privacy Shieldistä, jonka löydät tästä.

Lue myös:

Tietosuoja-asetus hyväksyttiin, Privacy Shield vielä arvoitus

Mitä Safe harbor ja Privacy Shield oikeastaan tarkoittaa?