Ovatko tietosi oikeasti siellä missä luulet niiden olevan?

Erilaisten sovellusten käyttäminen jättää meistä runsaasti jälkiä eri järjestelmiin ja siten myös esimerkiksi palvelimiin ympäri maailmaa. Yllättävää on se, että tuoreen tutkimuksen mukaan merkittävä osa erilaisten mobiilisovellusten keräämästä datasta, mukaan lukien henkilötiedoista, päätyy melko hallitsemattomasti minne sattuu.

Ranskan tietosuojaviranomaisen (CNIL) tutkimusyksikkö LINC tutki Android-mobiilisovellusten tietojen käyttöä ja erityisesti sitä, mihin tiedot leviävät. Tutkimuksessa syvennyttiin 400 ETA-alueella suosittuun Android-sovellukseen ja niiden keräämään tietoon.

Tutkimus kokonaisuudessaan kattoi 2000 erilaista sovellusta. Tutkimus tehtiin ohjelmistolla, joka pyrki analysoimaan, minne kaikkialle tietoja päätyy. Tutkimus on tehty ennen Safe Harbor-päätöstä ja osa sovelluksista on käyttänytkin Safe Harboria tietojen siirron oikeutuksena. Tutkijat tutkivat myös iOS-laitteiden taustajärjestelmiä ja päättelivät että vastaavanlaisia tuloksia olisi todennäköisesti saatavissa myös Apple-laitteiden tietojen siirrosta.

Yhdysvallat pääosassa

Tutkimuksessa havaittiin, että kaksi kolmasosaa sovellusten käyttämistä palvelimista sijaitsi Yhdysvalloissa. Suurin osa sovelluksista ei kysynyt käyttäjältä suostumusta siirrolle Yhdysvaltoihin ainakaan selkeästi. Tämän lisäksi neljäsosa palvelimista sijaitsi ns. “kolmansissa maissa” eli maissa joissa EU:n komission mielestä ei ole riittävä tietosuojan taso. Tutkimuksessa tunnistettiin sovellusten lähettävän tietoa ainakin Kiinaan, Hong Kongiin ja Venäjälle. Kuvaavaa on myös se, että ainoastaan yksi prosentti sovelluksista välitti tietoa ainoastaan ETA:n sisällä.

Mikäli sovellusten tarjoajilla ei ole riittäviä sopimuksia tai muita sitoumuksia Euroopan Talousalueen ulkopuolella sijaitsevalta vastaanottajalta, kysymys voi olla laittomasta tietojen siirrosta. Vaikuttaisi myös siltä, että vain 53 sovellusta tukeutui jo kuopattuun Safe Harboriin eli merkittävä osa siirroista tapahtui joko muilla keinoin tai ilman mitään turvakeinoja. Tutkijat toteavatkin yksikantaan, että heidän mielestään ainakin 9,5 prosenttia sovelluksista rikkoo tietosuojadirektiivin 25 artiklan mukaista tietojen siirtokieltoa. Siirtokiellolla tarkoitetaan siis sitä, että henkilötietoja ei saa siirtää ETA-alueen ulkopuolelle mikäli rekisterinpitäjä ei ole varmistunut riittävästä tietosuojan tasota eli esimerkiksi käyttänyt EU:n mallisopimusta tai Privacy Shieldiä. Toinen vaihtoehto on kysyä käyttäjältä suostumus tietojen siirtoon.

Vielä hälyyttävämpää oli kuitenkin se, että yli puolella tutkituista sovelluksista ei ollut tarjolla riittäviä tietoja tietosuojan osalta. Sovelluksissa ei ollut esimerkiksi riittävää ns. “privacy policya” eli tietosuojaselostetta. Eli käyttäjät eivät todennäköisesti tiedä tai ainakaan ymmärrä että heidän tietojansa voi päätyä ympäri maailmaa.

Olisikin mielenkiintoista tutkia, miten tärkeänä käyttäjät pitävät sitä, että heillä ei ole mitään tietoja miten heidän tietoja käsitellään ja siirretään maiden rajojen yli. Vaikuttaisi, että sovellusten suosio kuitenkin osoittaa sen, että käyttäjiä ei tämä asia näytä kiinnostavan, vaikka viimeaikaisten tutkimusten mukaan asia on toisin.

Halpa ja tehokas syö lainmukaisuuden

Tutkimus on hyvä osoitus siitä, millaisen haasteen kanssa tietosuojan osalta nykymaailmassa eletään. Henkilötiedot leviävät hyvin laajalle, koska kehittäjät pyrkivät hyödyntämään olemassa olevaa infrastruktuuria mahdollisimman tehokkaasti.

Esimerkiksi Amazonin, Googlen ja Microsoftin tarjoamat virtuaaliset palvelinratkaisut ovat hinnaltaan niin halpoja ja suorituskyvyltään niin tehokkaita, että lähes kaikki aloittelevat sovellusten kehittäjät käyttävät jotakin näistä jossakin osassa palveluaan. Ongelma näissä palveluissa on vain, että monet palveluista pyrkivät mahdollisimman tehokkaaseen tilankäyttöön ja saatavuuteen tarkoittaen käytännössä sitä, että tiedot levitetään ympäri maailmaa.

Monesti palvelun ostajalla ei ole edes mahdollisuutta vaatia, että tieto säilytetään jossain tietyssä maassa tai tietyssä palvelinsalissa. Syy tähän on selvä: kun palveluntarjoaja saa itse päättää miten tilaa käytetään tehokkaasti, hinta pysyy alhaalla.

Tässä on myös keskeisin kysymys tietosuojan kannalta, johon sovelluskehittäjät joutuvat jatkossa vastaamaan: miten varmistan, että informoin ja suojaan käyttäjää riittävän hyvin samalla kun pyrin tekemään tuotteen mahdollisimman halvaksi, ellei jopa ilmaiseksi? Yllämainitun tutkimuksen perusteella on selvää, että monet suositutkin sovellukset joutuvat jatkossa muuttamaan käytäntöjään rajusti jotta ne vastaisivat tietosuoja-asetuksen vaatimuksiin.

En haluaisi uskoa, että kysymys on täysin tahallisesta virheestä vaan enemmänkin tietämättömyydestä: kaikki kehittäjät eivät ehkä ymmärrä tietojen siirron merkitystä. Pikemminkin on varmaan niin, että vahvasti luotetaan siihen, että kun alla on luotettu tekijä kuten Amazon, homma on kunnossa. Tietosuoja-asetus ei kuitenkaan toimi näin, vaan vastuu on rekisterinpitäjällä eli näissä tilanteissa sovelluksen tarjoajalla.

 

Hukassa tietosuoja-asetuksen kanssa? Aloita tutustuminen näistä ilmaisista lähteistä.

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s