Mitä haittaa rekisteröidylle on henkilötietojen keräämisestä?

S-ryhmä ilmoitti heinäkuussa laajentavansa tuotekohtaista ostotietojen keruuta. Aiemmin toteutetun kuitin loppusumma- tai tuoteryhmätasoisen tiedon keräämisen sijasta syyskuun alusta lähtien ryhmän kaupoissa kerätään bonuskorttia esittävien asiakkaiden ostotiedot tuotteen tarkkuudella.

Aiheesta olisi paljon kirjoitettavaa ja paljon siitä on jo kirjoitetukin. Eräs silmiinpistävimmistä on keskustelussa toistuvasti esitetty kysymys: “Mitä haittaa rekisteröidylle on henkilötietojen keruusta?” S-ryhmä perustelee käsittelevänsä tietoja turvallisesti, joten miten tieto voisi olla asiakkaalle vaaraksi?

Tuoreeltaan kysymykseen vastasi mm. Petteri Järvinen blogimerkinnässään. Kysymystä toistetaan jatkuvasti, joten vielä kerran muutamia vastauksia.

Sopimusehdot muuttuvat

S-ryhmä on tähän mennessä erikseen kysyttäessä kertonut, että kerättyjä ostotietoja säilytetään kaksi vuotta. Yhtiö on myös luvannut, että tietoja ei luovuteta kolmannelle osapuolelle. Rekisteriselosteessa kerrotaan, että tietoja voidaan käsitellä EU:n ulkopuolella.

S-ryhmän asiakasomistajajärjestelmän säännöissä todetaan heti johdantokappaleessa: “Oikeus sääntöjen muutokseen pidätetään”. Säännöissä todetaan, että päätösvaltaa osuuskaupassa käyttävät sen omistajat, mutta käytännössä valta on delegoitu viime kädessä SOK:n hallintoneuvostolle. Vaalijärjestelmän monimutkaisuuden ja äänestysaktiivisuuden heikkouden johdosta ei liene liian rohkeaa väittää, että hallintoneuvosto nimitykset ovat poliittisia mandaatteja. Vallan käytön demokraattisuus ei vaikuta kovin vahvalta.

S-ryhmä teki yksipuolisesti asiakasomistajia enempää kuulematta päätöksen myös tiedonkeruun laajentamisesta. Tiestosuojavaltuutettu ilmaisi huolen, että S-ryhmä on muuttamassa yksipuolisesti sopimusta, joka asiakasomistajajärjestelmästä alunperin on solmittu.

Kun S-ryhmä voi laajentaa tuotetasoisen ostotiedon keruuta, se voi myös muuttaa sopimusehtoja uudelleen niin, että kerätty tieto muuttuu yhtiölle konkreettisesti rahanarvoiseksi tuotteeksi. Uudella muutoksella, tiedon voisi luovuttaa yhteistyökumppaneille. Esimerkiksi Kesko on tämän jo huomioinut omissa ehdoissaan niin, että tietoja voidaan päivittää K-plussa -ohjelmaan kuuluvien yritysten kesken.

Tietomurron riski

Henkilötietoja on lainkin nojalla suojattava ja onhan S-ryhmä vakuutellutkin suojaamisen tehokkuudesta. Kysyttäessä tietoturvasta, S-ryhmän asiakkuusjohtaja Pekka Malmirae väitti yhtiöllä olevan 25 vuoden kokemuksen asiakasrekisterin ylläpitämisestä. Vähän myöhemmin toisessa haastattelussa hän vastasi kysymykseen tietosuojasta: “Eihän sataprosenttista tietoturvaa ole, kun kerran puolustusvoimiltakin on tietoja vuodettu”.

Malmirae on oikeassa. Kun tietoa tallennetaan jonnekin ja sen olemassaolo on yleisesti tiedossa, on olemassa riski tiedon joutumisesta vääriin käsiin. Mitä arvokkaampaa tieto on, sen enemmän sitä tavoitellaan. S-ryhmän keräämän tiedon määrä on valtava, mikä tekee siitä vieläkin haluttavampaa.

Pelottavin tietovuoto on sellainen, jota tiedon omistaja ei itsekään huomaa. Uusi tietosuoja-asetus määrää kertomaan rekisteröidyille tietovuodoista. Kertominen ei ole mahdollista, jos tietovuotoa ei havaita. Voi olla, että vuoto todetaan vasta pitkään varsinaisen vuodon jälkeen, kun tietoa on oikeudetta hyödynnetty ja aletaan epäillä esimerkiksi osapuolien poikkeuksellista eroa kilpailussa.

Vuonna 2013 suuri yhdysvaltalainen kauppaketju Target joutui tietomurron kohteeksi. Murtautujat saivat käsiinsä kymmenien miljoonien Targetin luottokorttiasiakkaiden henkilötietoja Wikipedia. Tietomurrossa vuoti luottokorttitietoja, joiden pitäisi olla erittäin vahvasti suojattu, joskaan niitä ei mielellään pitäisi tallentaa pidempään, kuin ostotapahtuman kannalta on välttämätöntä.

Jos vahvasti suojatut luottokorttitiedot pääsevät vuotamaan, on vain ajan kysymys, koska ostotiedot vuotavat osaavan murtautujan käsiin.

Profilointi

Kauppa ei mielellään kerro sitä yksistelitteisesti perustellessaan ostotietojen keruuta, mutta käytännössä tiedon keruun tarkoitus on mahdollistaa asiakaskunnan profilointi. Asia ilmaistaan kiertoilmaisuilla: “tarkoitus on tuottaa asiakkaalle parempia palveluja”, “kohdennetaan markkinointia tehokkaammin”.

Kaupat etsivät ostodatasta signaaleja, joiden perusteella voi päätellä asiakkaasta erilaisia asioita. Yhdysvalloissa huomattiin, että raskaudessaan toiselle kolmannekselle ehtineiden odottavien äitien ostokäyttäytyminen muuttuu. He siirtyvät ostamaan hajustamattomia ihonhoitotuotteita ja alkavat ostaa ravintolisiä, kuten kalsiumia, magnesiumia ja sinkkiä. Näiden signaalien perusteella ostodatasta voidaan päätellä, ketkä asiakkaista ovat mahdollisesti kohta synnyttämässä.

Kauppiaiden tavoite on sitouttaa asiakkaansa keskittämään ostoksensa mahdollisimman tehokkaasti yhteen kauppaketjuun. Se on ollut alunperin koko osuuskauppaliikkeen tarkoitus. Kohdentamalla vauvatuotteiden markkinointia ja tarjoamalla niistä näyttäviä alennuksia juuri oikealla hetkellä asiakkaat leimaantuvat perhetilanteen muutoksessa herkästi vielä entistä tiiviimmin omaksi kokemansa kaupan asiakkaaksi.

Saatuaan asiakkaan “koukkuun”, kauppaliike voi palauttaa yksilöllisesti tarjotut alennukset ennalleen. Kohdentamalla tarjouksia yksilöllisesti kauppaliikkeen kokonaiskate pysyy parempana, kuin antamalla sama tarjous koko asiakaskunnalle.

Samaisessa Target-kauppaketjussa profilointi aiheutti otsikkoja nostattaneen tilanteen. Lukiolaistytön vihainen isä vaati kauppiaalta selvitystä, miksi tämä lähettelee hänen tytärelleen tarjouskuponkeja vauvanvaatteista ja -sängyistä.

Tytär ei ollut kertonut isälleen raskaudesta. Kauppaketjun harjoittaman ostotietojen keruun johdosta tytöllä ei ollut mahdollisuutta valita, koska kertoo raskaudesta isälleen. Kauppaketju saattoi asian tyttären isän tietoon ensin. Lähde: Forbes

Uusi tietosuoja-asetus tekee mahdolliseksi kieltää profilointi. Vaikuttaa, että kauppaketjut haluavat muuttaa ostotiedon keräämisen ehtoja vielä, kun se on mahdollista. Vuonna 2018, kun uusi tietosuoja-asetus otetaan käyttöön, asenneilmasto ja lainsäädännön velvoitteet ovat rekisteröidyn kannalta paremmat. Kansalaisen mahdollisuudet vaikuttaa omien henkilötietojensa käsittelyyn ja käsittelyn rajoittamiseen laajenevat.

Asiakasprofiiliin kytkeminen hinnoitteluun

Monet pankit ovat jo siirtyneet nk. asiakaskohtaiseen hinnoitteluun. Tämä tarkoittaa, että pankki julkaisee yleistasoisen hinnaston, mutta käytännössä tarjoaa asiakkaille eritasoista ja erihintaista palvelua asiakkuuden perusteella. Laina-asiakkaat eivät enää matalan korkotason aikana automaattisesti ole pankille tuottoisia, joten heidän peruspalvelunsa ja lainan oheiskulut saattavat olla kalliimpia, kuin asiakkaan, joka ostaa samasta pankista myös sijoituspalveluja.

Lentoyhtiöiden tapauksessa puhutaan dynaamisesta hinnoittelusta. Lentöyhtiö tietää, milloin asiakkaat varaavat lentoja eniten. Näinä viikonpäivinä ja vuorokaudenaikoina tarjottavia hintoja kannattaa nostaa korkeammaksi, koska todennäköisesti matkoja varataan korkeammista hinnoista huolimatta, koska varaus on tehtävä.

Lentöyhtiöt saattavat tallentaa kävijätietoa ja esimerkiksi tarjota tiettyä yhteysväliä hakevalle asiakkaalle aluksi hyvin edullista hintaa. Asiakkaan palattua vertailemasta samaa yhteysväliä muiden yhtöiden tarjonnasta hinta onkin yhtäkkiä muuttunut kalliimmaksi. Yle: Miksi lennon hinta nousee?

S-ryhmä on perustanut yhtiöryppääseensä oman pankin ja hankkinut omistukseen vakuutusyhtiön. Ostodatan keruun laajentamiseen liittyvässä keskustelussa on noussut pelko, että S-ryhmä käyttää yhtiöryppään sisällä asiakasprofiloinnin tietoa esimerkiksi vakuutuksien dynaamiseen hinnoitteluun. Tämä olisi nykyisten ehtojen mukaista. Tietojen hyödyntäminen on rajattu S-ryhmän sisäiseksi, mutta ei ole tarkemmin määritelty, miten tietoa hyödynnetään yhtiön eri yksiköissä.

Vakuutustoiminnassa olisi yhtiölle edullista tarkentaa vakuutustarjonnan riskejä. Henkilövakuutusta ei kannata edullisesti tarjota henkilölle, jonka sairastumisen riski vaikuttaa ostokäyttäytymisen perusteella suurelta. Nopeasti kuulostaa jopa oikeudenmukaiselta, että enemmän kuluja aiheuttavat myös maksavat enemmän.

Suomessa terveydenhoito on vielä toistaiseksi kansalaiselle maksutonta. Terveydenhuollon paineet kuitenkin kasvavat jatkuvasti, kun väestö vanhenee. Huoltosuhde heikkenee, kun työikäisen väestön suhde työmarkkinoiden ulkopuolella oleviin vähenee.

On mahdollista, että huoltosuhteeltaan köyhtyvässä yhteiskunnassa ylimääräinen terveydenhoidon turvaava vakuutus muuttuu tarpeelliseksi. Onko tällaisessa yhteiskunnan muutoksessa suotavaa, että terveysvakuutuksen saaminen on joillekin ihmisryhmille kohtuuttoman kallista heidän tulotasoonsa suhteutettuna tai sellaisen saaminen muuttuu jopa mahdottomaksi?

Asiakasdata viranomaisen käsissä

Profilointitiedosta voi olla erityistä hyötyä lainvalvojalle. Esimerkiksi ostokäyttäytymisen ristiinvertaaminen kansalaisen ilmoittamiin verotietoihin voi osoittaa poikkeamia, joiden perusteella voisi olla mahdollista löytää ja tutkia laitonta veronkiertoa.

Suomessa ostodataa on jo käytetty rikostutkinnassa, kun huumerikoksista epäillyn Jari Aarnion epäilyttävän käteisen käytön jäljille päästiin Plussa-kortilla kerättyjen ostotietojen perusteella. Lähde: HS

Tietovuotaja Eric Snowdenin paljastaman Yhdysvaltojen suorittaman masssavalvonnan jälkipeli osoitti, kuinka valtio voi salaisesti vaatia yrityksiä luovuttamaan kansalaisista keräämiään tietoja. Edes epäilty itse ei saa tietää, että esimerkiksi hänen sähköpostiviestintäänsä tutkitaan viranomaisen toimesta. Suomessakin Poliisin suorittamasta esitutkinnasta ilmoitetaan tutkinnan kohteelle vasta, kun se on mahdollista tutkintaa vaarantamatta.

Läpinäkyvyys on perinteisesti ollut tuomioistuimien luotettavuuden selkäranka. Kun tuomioistuin alkaa tehdä salaisia ja perustelemattomia päätöksiä, sen toiminnan ja puolueettomuuden arvioiminen muuttuu mahdottomaksi. Jopa Suomessa on osoitettu tapauksia, jossa tuomioistuin on määrännyt telekuuntelulupia heikoin tai jopa valheellisin perustein. Lähde: HS

Hollannin hallituksen neuvoa-antavan tieteellisen neuvoston (WRR) jäsen ja entinen oikeusministeri Ernst Hirsch Ballin on todennut, että voi olla hyytävä vaikutus yhteiskuntaan, kun ihmiset tiedostavat olevansa jatkuvasti valvottuina. Lähde: Nltimes

Hollannissa onkin säädetty erikseen profilointitiedon käyttämisestä. Esimerkiksi algoritmin tuottamaa analyysiä ei voi käyttää todisteena tuomioistuimessa.

Urkinta

Henkilötietojen urkkiminen on Suomessa kansanhupia. Keväällä 2016 yli 50 poliisissa työskentelevää virkamiestä sai syytteen Anneli Auerin tietojen urkinnasta. Kymmenet poliisit olivat vuonna 2011 yrittäneet päästä katsomaan Auerin tietoja poliisin Patja-järjestelmästä. Lähde: HS

Terveystiedot eivät ole sen enempää suojassa luvattomalta katselulta. Verkkohakujen perusteella tapaukset eivät ole niin yleisiä ehkä sen takia, että kehnojen tietojärjestelmien johdosta kiinnijäämisen riski on pienempi, kuin poliisin rekisterien luvattomassa käytössä. Tapauksia silti löytyy. 2015 syksyllä Poliisi käynnisti tutkinnan Etelä-Karjalassa yli 500 potilaan tietojen luvattomasta katselusta. Lähde: Yle

Jopa urkintaa karmivampaa on potilastietojen huolimaton käsittely. Keväällä 2016 HUS:n potilaspapereita löytyi roskalavalta vantaalaisen kerrostalon pihalta. Lähde: HS

Uteliaisuus on vahva voima, joka toisinaan oikein pakottaa ihmisen tekemään asioita, jotka itsekin kokee vääräksi. Erityisen helppoa ammattihenkilön on hakea järjestelmistä tietoja, kun kokee sen säännöistä huolimatta jollakin erityisellä perusteella oikeutetuksi. Kukapa ei tuntisi houkutusta hakea hyvän ystävän uuden poikaystävän taustatietoja rekistereistä tai selvittää uuden vuokralaisehdokkaan luotettavuutta?

S-ryhmä kertoo, että keräämäänsä ostodataan pääsee vain hyvin rajattu joukko S-ryhmän palveluksessa olevia työntekijöitä.

Tietosuojavaltuutetun toimisto selvitti, miten kävi rikosjutuissa, joista oli pyydetty tietosuojavaltuutetun lausuntoa saman vuoden 2007 aikana. Selvityksestä kävi ilmi muun muassa, että henkilötietojen lainvastaiseen käsittelyyn syyllistyvät tavalliset työntekijät tai toimihenkilöt. Tyypillinen tietosuojavaltuutetulle tullut lausuntopyyntö kohdistui epäiltyyn henkilörekisteririkokseen, jossa työntekijä tai toimihenkilö oli käsitellyt henkilötietoja työtehtäviinsä liittymättömästä syystä. Lähde: Tietosuoja-lehti

Oikeus yksityisyyteen

Oikeudesta yksityisyyteen säädetään ihmisoikeuksien yleismaailmallisen julistuksen 12. artiklassa. Yksityiselämän suojasta määritellään myös Suomen perustuslaissa. Se on voimallinen oikeushyvä, joka painaa vahvasti puntarissa, kun punnitaan rekisterinpitäjien perusteita henkilötietojen käsittelylle.

Huolimatta siitä, miten vahvaksi oikeus yksityisyyteen on lainsäädännössä noteerattu, moni on nykypäivänä valmis luopumaan siitä yllättävän vähällä. S-ryhmä lupaa ostohyvitystä parhaimmillaan 5 % ostosten summasta, mutta harvassa taloudessa on varaa kuluttaa niin paljon, että saavuttaa parhaan luokan kuukauden ostokertymän hyvistysportaissa.

S-ryhmän bonustaulukon mukaan 400 €:n kuukausiostoilla ansaitsee 120 €:n arvosta bonusta vuodessa. Kun kulutat lähes 5 000 €, saat 120 € hyvitystä.

Mistä rahat ostohyvitykseen saadaan? Tietenkin kuluttajalta, joka maksaa oman ostohyvityksensä tuotteiden hinnoissa. Moni on valmis myymään osan yksityisyydestään ostohyvityksellä, jonka voisi saada alennettuina hintoina yksityisyytensä säilyttäen.

Joillekin luopuminen siitä osasta yksityisyyttä, jonka ostodatan keräämisellä menettää, tuntuu epämiellyttävältä. Heille edellä mainitut riskit tuntuvat todennäköisemmiltä ehkä sen takia, että heillä on omakohtaista kokemusta siitä, miten huolimattomasti tietoja yleisesti käsitellään.

Kun valtaosa kuluttajista hiljaisesti hyväksyy tietojensa keräämisen, he tekevät yksityisyyden säilyttämisen vaikeammaksi niille, jotka sitä vaalivat. Kauppias voi argumentoida ostodatan keruuta sillä, että kritiikistä huolimatta valtaosa haluaa kerätä ostohyvityksensä. Hänen, joka hyväksyy tietojen keruun, on myöhäistä katua päätöstä sitten, kun on jo luopunut yksityisyydestään. Menetettyjä tietoja ei voi saada takaisin. Kun on joutunut asiakasprofiloinnin paaria-luokkaan, sieltä on vaikeaa, ellei mahdotonta päästä pois.

Hyödyt ylittävät riskit

“Minulla ei ole mitään salattavaa”, monet toteavat ja sallivat henkilötiedon keruun ilmeisistä riskeistä huolimatta. Hyödyt tietojen keräämisestä ylittävät käsittelyyn liittyvät riskit.

Tietojen kerääminen tuskin monelle tuottaakaan suurta haittaa elämänsä aikana. Riskit realisoituvat ehkä vasta seuraavalle sukupolvelle, kun yhteiskunta entisestään muuttuu.

Siinä vaiheessa, kun riskit relisoituvat, niistä kärsivä sukupolvi ei voi enää valita, vaan valinnan on tehnyt heidän vanhempansa. Niin teki raskaana olevan lukiolaistytön isän käyttämä kauppaketju kertoessaan tyttären raskaudesta tämän tahtomatta.

Vastikään realisoitui myös tapaus, jossa aikuisuuteen kasvava nuori nainen joutui haastamaan vanhempansa oikeuteen vaatiakseen omia kuviaan poistettavaksi sosiaalisesta mediasta. Naisen vanhemmat olivat lupaa kysymättä julkaisseet tyttärensä kuvia, jotka tämä itse koki nolostuttavaksi. Lähde: Yle

Muokattu 17.9.2016 - lisätty Urkinta ja Oikeus yksityisyyteen -kappaleet ja viimeisen kappaleen viittaus: “Tytär haastoi vanhempansa oikeuteen”