Luovutan mielelläni dataa saadakseni käyttää digipalveluita ilmaiseksi. Minua ei haittaa, että minusta kerätty data on vastine ”ilmaiselle” palvelulle. Minua ei häiritse, että saan tietojeni pohjalta kohdennettuja mainoksia. – Kuulostaako tutulta?
Datan käyttö on villiä: ilmaisia palveluita ei ole
Tiedätkö, millaista dataa yritykset keräävät vastineeksi ilmaisista palveluista? Käytännössä kauppaa käydään tällä hetkellä sokkona, kun et voi tietää, mitä olet ”maksuksi” todellisuudessa luovuttanut. Maksusta voidaan aidosti puhua vain silloin, kun ostettava tavara tai palvelu ja siihen liittyvä maksu ja ehdot ovat selkeät.
Ovatko datan keruun ehdot reiluja? Usein eivät. Reilua kaupankäyntiä on se, että hinta ja ostokseen liittyvät vaikutukset ovat selvillä. Jos luit palvelun käyttöehdot – olipa kyseessä some, peli tai urheilukello – ja ne olivat selkeät, ymmärrettävät ja kohtuulliset, ollaan jo lähellä reilua kaupankäyntiä. Jos käyttöehdot olivat niin pitkät ja vaikeat, ettet jaksanut lukea niitä loppuun, saatoit antaa kohtuuttomia lupia esimerkiksi puhelimesi kautta saatavaan dataan, kuten kaikkiin valokuviisi tai kavereidesi puhelinnumeroihin.
Suojaako lainsäädäntö? Kyllä ja ei. Laki takaa sinulle oikeuden yksityisyyteen, mutta hyvin usein suosittujen digipalvelujen käyttöehdot pyrkivät päinvastaiseen. Et aina ole asiakas, vaan datan eli raaka-aineen tuottaja. Digipalvelun oikeita asiakkaita voivat olla yritykset tai muut organisaatiot, jotka haluavat hyödyntää ja ostaa palvelun käyttäjistä kerättyä dataa. Yksityisyys on ihmisen kehityksen ja hyvinvoinnin kannalta erityisen tärkeä, ja sen menettämisellä voi olla arvaamattomat seuraukset.
Voiko asialle tehdä jotain? Kyllä. Voit selvittää digipalveluita tarjoavilta yrityksiltä, minne dataa valuu ja miten sitä käytetään, lähettämällä tietopyynnön. Lisäksi voit kieltää tietojesi keräämisen.
Tee tietopyyntö: Viisi tärkeintä kysymystä
- Mitä dataa olen joutunut antamaan yrityksen käyttöön (esim. yhteystiedot, valokuvat, viestihistoria)?
- Mitä dataa käyttäytymisestäni on kerätty (esim. tiedot käyttämistäni sovelluksista, tiedot käyttäytymisestäni verkkosivuilla, sijaintitiedot, haku- ja selailuhistoria)?
- Mitä dataa minusta on hankittu muualta (esim. julkiset rekisterit, mainostajat tai dataa keräävät kolmannet osapuolet)?
- Mitä minusta yksilönä on päätelty, kuinka minut on luokiteltu ja millaista analyysia on tehty?
- Miten minusta kerättyä tietoa on käsitelty ja keille tietoani on jaettu?
Kun lähetät pyynnön palveluntarjoajalle, kerro myös haluatko tarkastaa kaikki tietosi vai tiedot vain tietyltä ajanjaksolta sekä ilmoita myös yhteystietosi. Yksi esimerkki tietopyynnöstä (englanniksi) löytyy Sitran Henkilödatan jäljillä -julkaisusta, jossa selvitettiin testihenkilöiden avulla henkilödatan kulkua ja käyttöä digipalveluissa.
Miten tietopyynnön voi tehdä ja kenelle se lähetetään?
Yrityksen tai muun organisaation nettisivuilta pitää käydä ilmi, kuinka tietopyynnön voi tehdä. Se löytyy usein Tietosuoja-linkin takaa. Tietopyynnön muoto on lain mukaan vapaa, joten erityisiä ehtoja sen tekemiselle ei saa olla. Laajamittaisesti arkaluontoisia tietoja keräävien sekä ihmisiä säännöllisesti ja järjestelmällisesti seuraavien toimijoiden ja julkishallinnon organisaatioiden tulee lain mukaan nimetä tietosuojavastaava, jolle tietopyyntö lähetetään.
Vaikka tietopyynnön muodolle ei ole erityisiä vaatimuksia, se kannattaa tehdä aina kirjallisena, jolloin sinulla on todiste pyynnöstä, jos ongelmia myöhemmin ilmenee. Pyyntöön pitää vastata 30 päivän kuluessa. Jos tietopyyntö on epäselvä tai erityisen laaja, vastaajalla on oikeus 60 päivän toimitusaikaan.
Tietopyynnön tekijänä sinun tulee todistaa henkilöllisyytesi, jotta saat oikean henkilön tiedot. Yrityksen pitää tarjota sinulle tietoturvallinen tapa toimittaa todistus henkilöllisyydestäsi. Yleensä se on suojattu sähköposti.
Kun lähetät tietopyynnön, sinun kannattaa myös pyytää kuittaus siitä, että pyyntö on mennyt perille. Yritykset eivät välttämättä tee tätä automaattisesti. Tietojen toimittamisessa saattaa kulua kuukausi, joten on hyvä varmistaa, että prosessi on oikeasti käynnissä.
Joissakin palveluissa on toiminto, jonka kautta saa muutamalla klikkauksella perustietoa kerätystä datasta. Kannattaa kuitenkin tehdä virallinen tietopyyntö sähköpostilla, sillä siten voi saada huomattavasti laajemman kuvan datan keräämisestä ja käytöstä.
Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä eli palvelua tarjoava organisaatio voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolmen kuukautta alkuperäisestä pyynnöstäsi.
Käytä oikeuksiasi, voit saada hyötyä muissa palveluissa
On tärkeää ymmärtää, mitä dataa sinusta on kerätty ja kuinka paljon, jotta sinulla säilyy hallinta omiin tietoihisi. On hyvä myös tietää, minne dataa on siirretty ja mitä päätelmiä siitä on tehty. On myös hyödyllistä nähdä, kuinka paljon palvelun toiminnan kannalta tarpeetonta tietoa kerätään.
Palvelujen kannalta on tärkeää, onko kerätty tieto oikeaa ja onko toisaalta tarvetta pyytää palveluntarjoajaa korjaamaan tai poistamaan tietoa. Saatat huomata, että kerätystä datasta olisi hyötyä toisessa käyttämässäsi palvelussa. Palveluntarjoajan luotettavuutta voi myös hyvin arvioida tutustumalla itsestä aikojen kuluessa kerättyyn dataan.
Sinulla, digitaalisten palvelujen käyttäjällä, on lainsäädännön turvaama oikeus kysyä ja saada vastaus palveluntarjoajalta datastasi ja sen käytöstä. Jos vastausta ei kuulu, voit ottaa yhteyttä Tietosuojavaltuutetun toimistoon ja tehdä asiasta valituksen.
Lähde: Tietosuojavaltuutetun toimiston ohjeistus
Blogi julkaistiin Digi- ja väestötietoviraston järjestämällä Digiturvaviikolla 25.-29.10.2021. Psst. Digiturvaviikko-tallenteet voi katsoa myös jälkikäteen.
Lue lisää