Toukokuussa internetin maailmaa järisytti GDPR niminen EU säädäntö. Mikäli GDPR ja sen sisältö on mennyt ohitse kaikesta mediamyllytyksestä huolimatta, voit lukaista siitä tiivistelmää esimerkiksi täältä. Nyt kun suurin tomu on jo laskeutunut, otetaampa katsausta tilanteeseen eli mikä on muuttunut?

Internetsivut

Internetsivuille on evästeiden keräämisen tiedotteen kylkeen nyt entistä kattavampi tarjonta oman datan hallinnointiin. Monilla sivuilla tämä on näkyvällä erillisellä palkilla toteutettu sivun alalaidassa, mutta on tuota tietojenkeruun säätelyä tarjottu käsille myös lähes koko ruudun peittävänä pop-up ikkunana. Osassa näistä on suoraan ja hyvin selkeästi tarjolla valinnat tietojen keruun säätämiselle, osassa taas on ilmoitusluontoisempi meininki ja häivytetymmällä linkillä pääsee omia asetuksiaan säätämään. Se, että onko tuo häivyttäminen kuinka sallittua, jää vielä nähtäväksi. Tätä ei kuitenkaan saa piilottaa käyttäjältä vaan sen tulee olla helposti ja selkeästi saatavilla. Tulkinnanvaraista on myös tuo, että kuinka näkyvästi tämä pitää käyttäjän ruudulle tarjota ennen pääsyä kokonäytön hyödyntävälle surffailukokemukselle.

Täysin EU:n hylänneiden sivujen määrä onneksi kutistui nopeasti muutoksen jälkeen, yritykset ja muut ymmärsivät pian ettei kyseessä ole kuitenkaan niin suuri muutos.

Sovellukset

Myös sovelluksiin on tullut tiedonkeruun säädökset, etenkin jos puhutaan mainosrahoitteisista mobiilisovelluksista. Monissa tämä on helposti hoidettu parilla klikkauksella mieleiseksi eikä tästä sen enempää tarvitse murehtia, mutta tulipa tuossa jo itselle sovellus vastaan mikä näemmä nyt jatkuvasti syyllistää minua käyttäjänä siitä etten salli personoidun ja kohdennetun mainonnan toteuttamista vaan säädin asetukset siten ettei minusta saa luoda profiilia. Alla kuvankaappaus näytöllä sinnittelevästä syytöksestä:

Ymmärrän sinällään pelinkehittäjien huolen omasta taloudellisesta selviytymisestä, kohdennettu mainonta ja käyttäjäprofilointi on kuitenkin tuottavampaa mainostulojen osalta kuin mitä ylimalkainen mainonta ilman kohdennusta tarjoaa. Kuitenkin itse käyttäjänä suhtaudun tuohon verkossa tapahtuvaan seurantaan samoin kuin esimerkiksi puhelinmarkkinointiin, en pidä itse siitä että minulle soitetaan ja tyrkytetään profiloinnin (tai pahimmillaan ilman profilointia...) mitään puhelimitse vaan valveutuneena kuluttajana osaan kyllä itse tehdä ostospäätökseni. Kohdentamattoman mainonnan suhteutan TV:n mainoksiin, pakollinen lisä jolla toimintaa rahoitetaan. TV ei myöskään tee minusta kohdennettua profiilia eikä siten myöskään kohdenna mainoksia suoraan minulle vaan niillä tavoitellaan isosta massasta mahdollisesti kiinnostuneita.

Yllä olevan kuvan mukaista syyllistämistä en kuitenkaan itse hyväksy, sillä mainonnan kohdentamattomuus on oma valintani sekä oikeuteni.

Tilaukset ja markkinoinnit

Suomessa on jo pitkään ollut hyvinkin valveutunut tilanne sen suhteen, että mitä tietoja pitää olla kuluttajalle saatavilla esimerkiksi tilausta tehdessä tapahtuvan tietojen ylöskirjaamisen yhteydessä. Sama on myös koskenut kyselyitä ja arvontoja, eli näissäkin on kattavasti jo aiemmin kerrottu mihin tietoja käytetään. Näiden osalta suurin muutos onkin ollut mahdollisuus vaikuttaa itse omalta kohdalta siihen, mihin noita kerättäviä tietoja saa käyttää, läpinäkyvyys on ollut jo kattavasti kunnossa.

Yritysten tietoturva

Yrityksillä on GDPR:n myötä entistä suurempi vastuu tiedottaa asiakkaita ja ottaa yhteyttä viranomaisiin mikäli tietoturva on vaarantunut. Joitain yksittäisiä tapauksia on jo tullut ilmi siitä, että tähän ei aina niin vakavasti ole suhtauduttu, mutta mistään isoista sakoista tai tuomioista ei vielä ole kuulunut ainakaan omiin korviini mitään. Suhtautuminen tietoturvatiedottamiseen on kuitenkin ainakin esimerkiksi Britanniassa ollut vähän heikolla tolalla etenkin pienillä ja keskisuurilla yrityksillä (Appstractor Corprationin raportti), raportin perusteella yli puolissa yrityksissä on jätetty ainakin yksi tietoturvahyökkäys raportoimatta eteenpäin. Suomenkielisen tiivistelmän raportista voit lukea esimerkiksi Tivistä.

Tuomioita

Tuomioita on jo joitain yksittäisiä keritty langettamaan, monta isompaa tapausta on vielä käsittelyssä kuten esimerkiksi ICANN järjestön toistuvat oikeudenkäynnit kansainvälisten WHOIS-tietokantojen ylläpitämiseksi. Tarkemmin ICANN:in tapauksesta voit lukea englanniksi The Registerin julkaisusta, itse sain ainakin viihdykettä lukiessani ICANN:in sinnikkyydestä taistella näkemyksensä puolesta.

Itselleni mielenkiintoisin tuomio tähän asti on koskenut Jehovan todistajien toimintaan kohdistunut tuomio. Tästä löytyy tarkemmin tietoa CURIA:n tiedotteesta: selkeälukuisempi lehdistötiedote ja virallinen Tuomio ECLI:EU:C:2018:551. Kyseessä on siis tuomio siitä, että Jehovan todistajat ovat keränneet ihmisistä rekisteriä jossa käy ilmi osoite, nimi sekä muita henkilötietoja joita on sitten käytetty saarnaamistyötä koordinoimaan.

 

GDPR:n evankeliumia todistamassa,

Elektronikkari