23.3.2018

Profiloinnilla presidentiksi

Profiloinnilla presidentiksi

Mitä yhteistä on Donald Trumpilla, Facebookilla ja Cambridge Analyticalla? – Ainakin kyky saada aikaan iso, lihava tietosuojakohu.

Kohu puhkesi viikonloppuna, kun New York Times ja The Observer-lehdet kertoivat, että Thisisyourdigitallife-sovellus keräsi tietoja myös testikäyttäjien Facebook-kavereiden profiileista heidän tietämättään. Kerätyt tiedot luovutettiin analytiikka- ja sosiaalisen median profilointiyritykselle Cambridge Analyticalle. Thisisyourdigitallife on vuonna 2014 julkaistu persoonallisuustesti, jonka Facebook-käyttäjät saattoivat ladata. Sen latasi Facebookin mukaan 270 000 ihmistä, jotka samalla antoivat suostumuksen tietojensa käyttöön.

Asian paljasti lehdille Cambridge Analytican entinen työntekijä Christopher Wylie. Wylie kertoi, että yhtiö keräsi sovelluksen avulla jopa 50 miljoonan yhdysvaltalaisen tietoja. Tietoja käytettiin hänen mukaansa äänestäjien profilointiin, jotta Donald Trumpin vaalikampanja voisi tehdä kohderyhmille täsmämainontaa.

Tässä kohussa on kyse vakavasta henkilötietojen väärinkäytöstä ja tietosuojaloukkauksista. Automaattinen henkilötietojen käsittely, kuten profilointi on kuitenkin merkityksellinen myös monien yritysten kannalta. Profilointi on yritystoiminnassa hyvin yleistä esimerkiksi markkinoinnin ja myynnin apuvälineenä. Asiaa on siis hyvä tarkastella lähemmin yritysten näkökulmasta.

EU:n uuden yleisen tietosuoja-asetuksen (GDPR) mukaan profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Yritys saa kuitenkin käyttää profilointia, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten, se on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, tai se perustuu rekisteröidyn nimenomaiseen suostumukseen.

Usein automatisoitua päätöksentekoa käyttävissä yrityksissä on perusteena se, että automatisoitu päätös on välttämätön rekisteröidyn ja yrityksen välisen sopimuksen tekemistä varten. Esimerkiksi kuluttajaluottoja tarjoavan yrityksen voi olla välttämätöntä käyttää automatisoitua päätöksentekoa luottosopimuksen tekemisen nopeuden ja tehokkuuden kannalta. Yrityksen pitää kuitenkin pystyä osoittamaan, että automatisoitu päätöksenteko on välttämätöntä. Jos automatisoitu päätöksenteko ei ole välttämätöntä, yrityksen tulee pyytää rekisteröidyn nimenomainen suostumus.

GDPR ei määrittele automaattiseen päätöksentekoon liittyvää ”merkittävää vaikutusta”. Yleisesti voidaan ajatella, että jos yritys tekee automaattisen käsittelyn perusteella päätöksen palvelujen tarjoamisesta rekisteröidylle ja millä ehdoilla se palvelun tarjoaa, automaattisella käsittelyllä on oikeusvaikutuksia tai vastaavia ”merkittäviä vaikutuksia”. Suoramarkkinoinnin kohdistamisella ja tietyn tyyppisten tuotteiden tarjoamisella rekisteröidyille ei pääsääntöisesti katsota olevan oikeusvaikutuksia rekisteröidylle. Tietosuojatyöryhmän mukaan kuitenkin esimerkiksi profiloinnin perusteella määritetyille ylivelkaantuneille ihmisille kohdistetulla uhkapelimainonnalla voitaisiin katsoa olevan merkittäviä vaikutuksia rekisteröidyille.

Kun yrityksessä käytetään automatisoitua päätöksentekojärjestelmää, yrityksen on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tämä tarkoittaa sitä, että rekisteröidyllä oikeus vaatia, että tiedot käsittelee luonnollinen henkilö ja että rekisteröidyllä on oikeus milloin tahansa vastustaa profilointia. Rekisteröityä on myös informoitava profiloinnin olemassaolosta ja sen seurauksista. Lisäksi on kerrottava mitä varten profiloidaan ja mitä tietoja käytetään. Kun profilointi liittyy automaattiseen päätöksentekoon, on annettava lisäksi merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Mikäli yrityksesi siis käyttää automaattista henkilötietojen käsittelyä, kuten profilointia, tulee yrityksen ottaa huomioon edellä mainitut asiat. Lisäksi automaattinen henkilötietojen käsittely lisää henkilötietojen käsittelyyn liittyviä riskejä ja vaikuttaa siten velvollisuuteen tehdä tietosuojaa koskeva vaikutustenarviointi.

Palatakseni Donlad Trump – Facebook – Cambridge Analytica -fiaskoon, kohu on saanut valtavat mittasuhteet ja myös perustellusta syystä. Miljoonien ihmisten henkilötiedot ovat vaarassa vain siksi, että pieni osa käyttäjistä on tehnyt Facebook-testin. Ottaen huomioon miten helppoa on väärinkäyttää henkilötietoja, on GDPR erittäin toivottava lisä tietosuojalainsäädäntöömme ja toivottavasti toimii suunnannäyttäjänä myös EU:n ulkopuolella. Loppuun haluan lisätä myös pienen muistutuksen siitä, mitä tietosuoja oikeastaan tarkoittaa:

”Privacy means that people know what they sign up for”
–       Steve Jobs