Hyvää tietosuojapäivää! Hakatemian 7 tietosuojavinkkiä vuodelle 2024

Tiesitkö, että tietosuoja on perusoikeus, aivan kuten oikeus sananvapauteen tai oikeus elämään? Entä tiesitkö, että puhelinoperaattorisi sekä Suomen valtio vuotavat henkilötietojasi yritysten, kuten Fonectan, kaupattavaksi kysymättä sinulta mitään? Lisäksi, tiesitkö, että nettisivut, jotka pyrkivät saamaan sinut erehdyksessä tai väsymyksessä klikkaamaan "Hyväksy kaikki" -nappia, rikkovat lakia?

Oletko joskus Googlettanut jotain niin, että joku on tuijottanut ruutua vierestä ja ollut kauhuissasi, että mitä tallennetuista hauista paljastuu? Onko puhelimen ruudullesi pompannut kiusallinen ilmoitus juuri, kun kaverisi lainasi puhelintasi hetkeksi tai katselitte ruutua yhdessä?

Jälleen vietetään kansallista tietosuojapäivää (data privacy day)! Tässä Hakatemian tietosuojavinkit vuodelle 2024.

1. Tietosuoja on ihmisoikeus

Tietosuoja on EU:ssa tunnustettu perusoikeudeksi, siinä missä sananvapaus, uskonvapaus ja oikeus elämäänkin. Tämä saattaa helposti unohtua, joten pidetään se mielessä.

Vahvistetaan ajatusta käymällä lyhyesti läpi, mikä tietosuoja edes on ja mistä se tuli.

Lyhyt katsaus tietosuojan historiaan

Tietosuojan juuret ulottuvat toisen maailmansodan jälkeiseen aikaan. Sen merkitys Euroopassa alkoi korostua 1950-luvulta lähtien, kun Euroopan ihmisoikeussopimus (1953) tuli voimaan. Tässä sopimuksessa taattiin yksityisyyden suoja, mutta se ei vielä sisältänyt erityisiä määräyksiä tietosuojasta.

1960- ja 1970-luvuilla, teknologian kehittyessä ja henkilötietojen käsittelyn yleistyessä, monet Euroopan maat alkoivat laatia omia tietosuojalakejaan. Esimerkiksi Saksan liittotasavallan vuoden 1970 tietosuojalaki oli ensimmäisiä laatuaan maailmassa.

Euroopan unionin tasolla tietosuojan merkitys vahvistui entisestään. Vuonna 1995 hyväksyttiin EU:n tietosuojadirektiivi (Direktiivi 95/46/EY), joka asetti yhtenäiset säännöt henkilötietojen käsittelylle koko unionissa. Direktiivi korosti henkilötietojen käsittelyn läpinäkyvyyttä, tietosuojaoikeuksia ja vaatimusta tietojen asianmukaisesta suojasta.

2000-luvulla tietosuojan merkitys korostui entisestään. Euroopan unionin perusoikeuskirja, joka tuli juridisesti sitovaksi Lissabonin sopimuksen myötä vuonna 2009, sisältää artiklan 8, joka tunnustaa henkilötietojen suojan perusoikeutena.

Nykyään EU:n tietosuojalainsäädännön kulmakivenä toimii yleinen tietosuoja-asetus (GDPR), joka astui voimaan vuonna 2018. GDPR vahvistaa ja yhtenäistää tietosuojaa EU:ssa ja sen myötä henkilötietojen käsittelyyn liittyvät oikeudet ja velvollisuudet ovat entistä selkeämmät. GDPR:n mukaan henkilötietojen käsittelyn tulee olla läpinäkyvää, tietoja saa käsitellä vain laillisen perusteen varassa ja henkilöillä on oikeus saada tietoja siitä, miten heidän tietojaan käsitellään. Lisäksi GDPR tuo mukanaan merkittäviä seuraamuksia lainsäädännön rikkomisesta.

2. Tee tiedonluovutuskielto Traficomille, DVV:lle ja puhelinoperaattorillesi

Tiesitkö, että Traficom (Liikenne- ja viestintävirasto), DVV (Digi- ja väestötietovirasto) sekä puhelinoperaattorisi oletusarvoisesti vuotavat puhelinnumerosi, kotiosoitteesi ja mahdollisesti puolisosi tiedot (jos ajoneuvon haltija ja omistaja ovat erit), Internettiin kenen tahansa haettavaksi niin, että yritykset kuten Fonecta tekevät henkilötietojesi kauppaamisella rahaa?

Normaalit yritykset eivät koskaan voisi tehdä näin. GDPR:ssä on linjattu hyvin selvästi, että ihmisiä tulee informoida henkilötietojen käsittelystä ja käsittelylle on löydyttävä pätevä oikeusperuste (joita GDPR:ssä on kuusi kappaletta).

Traficom ei kuitenkaan ole normaali yritys ja voi käyttää oikeusperusteena lakisääteisen velvoitteen noudattamista (Laki liikenteen palveluista).

Tosiasia kuitenkin on, etteivät suurin osa Suomalaisista tiedä, että heidän henkilötietoja käsitellään valtion siunauksella tällä tavalla. Voi siis aika helposti argumentoida, että GDPR:n edellyttämää informointia, ainakaan tyydyttävällä tasolla, ei ole tapahtunut.

On valitettavaa, ettei valtiota koske samat pelisäännöt henkilötietojen käsittelyssä kun muita. Erilaisten lakisäädösten myötä heitetään Suomalaisten tietosuoja bussin alle, hyvänä esimerkkinä Julkiterhikki, johon kaikkien terveydenhuollon ammattilaisten nimet ja syntymäajat on väkisin laitettu.

Mutta nyt olet informoitu asiasta! Ja onneksi voit tehdä tiedonluovutuskiellot molemmille virastoille.

Tiedonluovutuskielto Traficomille

Kun teet tiedonluovutuskiellon Traficomille ja kiellät ainakin yksittäisluovutukset, rekisterinumerolla ei saa enää haettua yhteystietojasi. Nimesi näkyy kyllä, mutta ei enää sentään kotiosoitetta.

Pääset tekemään kiellon (ja katsomaan tarkemmat ohjeet) tästä.

Tiedonluovutuskielto DVV:lle

Kun teet tiedonluovutuskiellon DVV:lle, sinua ei enää löydy esimerkiksi Fonectasta, kunhan valitset ainakin yhteystietokiellon.

Pääset tekemään kiellon (ja katsomaan tarkemmat ohjeet) tästä.

Tiedonluovutuskielto puhelinoperaattorillesi

Voit tehdä tämän yleensä puhelinoperaattorin omasta sovelluksesta, mutta asia onnistuu myös asiakaspalvelun kautta.

Esimerkiksi Elisan sivuilla lukee näin:

3. Opettele kieltäytymään seurantaevästeistä

Evästeissä ei ole mitään vikaa. Niitä (ja vastaavia teknologioita) tarvitaan, jotta voit pysyä esimerkiksi kirjautuneena web-sovelluksiin. Sovellus muistaa evästeiden avulla, minkä kielen olet valinnut. Ja sovelluksen omistaja saa evästeiden avulla analytiikkatietoja, jotka auttavat sivuston ja palvelun kehittämisessä, eikä tästä ole sivuston vierailijalle mitään haittaa.

Nämä kolme edellä mainittua, suhteellisen harmitonta, evästetyyppiä voidaan kutsua termeillä "istuntoeväste", "toiminnallinen eväste" ja "analytiikkaeväste".

Valitettavasti kaikki evästeet ovat saaneet huonon maineen neljännen evästekategorian takia - seurantaevästeet.


Mitä ovat seurantaevästeet?

Seurantevästeet ovat kolmannen osapuolen markkinointievästeitä. Ne mahdollistavat Googlen, Facebookin ja kumppaneiden mainosimperiumien pyörittämän digitaalisen markkinoinnin ekosysteemin rattaiden pyörimisen.

Nettisivut, jotka on rahoitettu mainoksilla, saavat näyttää juuri sinulle kohdennettuja mainoksia, jolloin klikkauksia tulee enemmän ja nettisivujen omistajat saavat enemmän rahaa.

Yritykset, jotka haluavat mainostaa palveluitaan, voivat kertoa vaikkapa Googlelle ja Facebookille, että juuri sinä vierailit heidän sivustollaan ja vaikutit kiinnostuneelta Niken lenkkareista, jolloin Google ja Facebook alkavat näyttämään (esim. niillä nettisivuilla, jotka näyttävät niitä kohdennettuja mainoksia) sinulle mainoksia Niken lenkkareista, minne ikinä Internetissä menetkin.

Mainosjätit, kuten Google ja Facebook, saavat jatkuvasti enemmän tietoa sinusta ja kaikista muistakin Internetin käyttäjistä. Sekä tietysti paljon rahaa mainostuloista.

Sinä et hyödy tästä mitenkään, selaimesi hidastuu ylimääräisistä skripteistä ja digigoljateille kerääntyy sinusta profiili.

Evästeet vaativat lain mukaan suostumuksen

Suomen laki (tai oikeastaan vaatimus tulee EU-direktiivistä) sanoo, että evästeiden asettamiseen tarvitaan suostumus.

On valitettavaa, ettei seurantaevästeitä ole eriteltynä omaksi kategoriakseen lainsäädännössä, josta seuraa, että käytännössä jokainen nettisivu joka käyttää evästeitä mihinkään muuhun kuin kirjautumiseen joutuu pyytämään siihen suostumuksen ja käyttäjät tottuvat klikkaamaan "joo joo" ihan mihin vain. Tämä johtuu osittain siitä, että laki evästeistä on jo aika vanha, huomattavasti vanhempi kuin GDPR, josta vaatimukset suostumuksen täyttymiseen tulevat. Katsotaan nämä seuraavaksi.

Suostumuksella on tiukat kriteerit

EU-lainsäädännössä (GDPR) on selkeästi kerrottu, mitkä ovat suostumuksen kriteerit. Jos ne eivät täyty, suostumusta ei ole.

  1. Aidosti vapaaehtoinen: Käyttäjän ei tulisi tuntea pakkoa antaa suostumusta, eikä hänelle saa aiheutua haittaa, jos hän kieltäytyy antamasta suostumusta tai peruuttaa sen.
  2. Tietoinen: Käyttäjän on oltava selvillä siitä, mihin hän antaa suostumuksensa. Tämä sisältää tiedon siitä, kuka on tiedon käsittelijä, minkä tyyppistä tietoa käsitellään, mihin tarkoituksiin tietoa käytetään.
  3. Spesifinen: Suostumuksen on liityttävä yhteen tai useampaan määriteltyyn tarkoitukseen ja nämä tarkoitukset on selitettävä riittävän yksityiskohtaisesti.
  4. Yksiselitteinen: Suostumusta ei voida olettaa vaan se on aina annettava aktiivisesti, esimerkiksi rastittamalla ruutu tai valitsemalla asetus sovelluksessa.
  5. Peruutettavissa: Käyttäjällä on oltava mahdollisuus peruuttaa suostumus yhtä helposti kuin hän on sen antanut.

Seurantaevästeitä käyttävät sivustot rikkovat oikeuksiasi

Voisi argumentoida, että seurantaevästeitä käyttävä sivusto rikkoo aina oikeuksiasi. Argumentti menisi kutakuinkin näin:

  • P1. Kukaan ei oikeasti halua seurantaevästeitä.
  • P2. Tästä seuraa, että kun joku painaa "Hyväksy kaikki", hän ei tee sitä, koska haluaa seurantaevästeitä selaimeensa vaan, koska ei jaksa miettiä ja haluaa päästä sivulle, johon oli menossa.
  • P3. Tästä seuraa, ettei suostumus seurantaevästeisiin voi koskaan olla informoitu ja aidosti vapaaehtoinen.
  • Johtopäätös: Seurantaevästeitä ei voi koskaan käyttää rikkomatta rekisteröidyn oikeuksia.

Ensimmäinen premissi toki voidaan kyseenalaistaa, varmasti löytyy joku, joka haluaa evästeet selaimeensa. Ei tarvitse välittää mihin sivulle menee, aina löytyy lenkkareita tarjouksessa.

Mutta mielenkiintoinen ajatus.

"Hyväksy kaikki tai Hallitse asetuksia"

Yritykset eivät yleisesti ottaen oikeasti välitä siitä, että haluatko seurantaevästeitä selaimeesi. Yritykset haluavat laittaa niitä selaimeesi, halusit tai et, koska ne ovat näppärä ja tehokas tapa tehostaa yrityksen mainontaa ja tehdä enemmän rahaa.

Tämä ilmenee valitettavan yleisenä kyseenalaisena toimintamallina (dark pattern), jossa "Hyväksyn kaikki" nappi tehdään kauniiksi ja kirkkaaksi, siinä missä "Ei kiitos" nappi piilotetaan useamman klikkauksen taakse, yrittäen väsyttää käyttäjä hyväksymään kohtalonsa.

Taktiikka toimii erittäin tehokkaasti. Ihmisaivot etsivät epätäydellisen tiedon maailmassa oikoteitä ja tilanteessa, jossa haluat vain päästä nettisivulle, ruudulle ponnahtaa joku ärsyttävä dialogi, klikkaat "Joo joo".

Se näyttää tältä.

On aika helppo argumentoida, että tässä eivät täyty suostumuksen tunnusmerkit. Meidän ei kuitenkaan tarvitse, sillä EDPB (European Data Protection Board), joka on siis kaikkien EU-maiden tietosuojavaltuutetuista (DPA, data protection authority) koostuva porukka on jo muodostanut ryhmän tutkimaan kysymystä.

Tässä on lopputulos (vapaa Suomennos, voit lukea koko dokumentin alkuperäiskielellä täältä):

"Valtaosa viranomaisista katsoi, että kieltäytymis-/hylkäämis-/ei suostumus -vaihtoehtojen puuttuminen mistä tahansa kerroksesta, jossa on evästeiden suostumusilmoituksen hyväksymispainike, ei ole linjassa vaadittujen pätevän suostumuksen ehtojen kanssa ja siten muodostaa rikkomuksen.

Udelleenohjelmoi itsesi sanomaan ei

Tällaista ei tarvitse, eikä pidä hyväksyä.

Sen sijaan kannattaa uudelleenohjelmoida itsensä! Kun alkaa vain määrätietoisesti, joka kerta etsimään evästebannerista sen "Ei kiitos" vaihtoehdon, se tarttuu nopeasti lihasmuistiin ja tulee kohta automaationa. Älä enää hyväksy sitä, että oikeuksiasi rikotaan.

Aloita puhtaalta pöydältä, evästepurkki tyhjäksi

Olet todennäköisesti jo vastannut "joo joo" siellä ja täällä. Voit aloittaa puhtaalta pöydältä tyhjentämällä selaimestasi kaikki evästeet. Tässä on ohje esimerkiksi Google Chromelle.

4. Ota käyttöön adblocker -tuote

Adblocker on ohjelmisto tai laajennus, jonka tarkoituksena on estää mainoksia näkymästä käyttäjän selaimessa, kun hän selailee Internettiä. Nämä työkalut voivat parantaa selailukokemusta vähentämällä häiritseviä mainoksia, nopeuttamalla sivustojen lataamisaikaa ja suojelemalla käyttäjää mahdollisesti haitallisilta mainoksilta.

Ublock Origin

Ublock Origin on erittäin suosittu adblocker-laajennus, joka on saatavilla useille eri selaimille, kuten Chrome, Firefox ja Safari. Ublock Origin ei ainoastaan estä perinteisiä mainoksia, vaan se kykenee myös estämään seurantaskriptejä ja -evästeitä, mikä parantaa yksityisyyden suojaa.

Ublockin asentaminen

Ublockin asentaminen on yksinkertaista, lisäät vain selainlaajennuksen selaimeesi. Esimerkiksi Google Chromeen saat sen suoraan tästä. Löydät latauksen omalle selaimellesi Ublockin sivuilta: https://ublockorigin.com/.

Ublockin käyttö

Ublock toimii automaattisesti. Jos haluat ottaa sen pois käytöstä tietyllä sivustolla, tai räätälöidä sen toimintaa, voit tehdä sen helposti klikkaamalla sen ikonia selaimen oikeassa yläkulmassa olevista lisäosista.

5. Ohjattu käyttö ja pinnatut sovellukset

Kuvitellaan tilanne: Olet ostanut yllätyslahjan puolisollesi ja järjestellyt yksityiskohdat viesteillä ystävän kanssa. Eräänä päivänä puolisosi pyytää lainata puhelintasi hetkeksi tarkistaakseen jotain Internetistä. Juuri kun hän avaa selaimen, puhelimeesi kilahtaa viesti ystävältä, jossa puhutaan lahjasta. Yllätys on pilalla.

Tämä tilanne korostaa yksityisyyden tarvetta, vaikka olisitkin lainaamassa puhelintasi vain hetkeksi tai edes vain katselemassa jotain yhdessä puhelimesi ruudulta.

Onneksi sekä iOS- että Android-käyttöjärjestelmät tarjoavat ratkaisuja ongelmaan!

iPhonen Ohjattu Käyttö (Guided Access)

Ohjattu Käyttö iPhonessa rajoittaa puhelimesi käytön yhteen sovellukseen ja estää ilmoitusten näkymisen, kun toiminto on aktiivinen.

Löydät ohjeet sen käyttöön täältä.

Androidin Pinnatut Sovellukset (Näytön kiinnittäminen / Screen Pinning)

Androidissa "Näytön kiinnittäminen" -toiminto lukitsee puhelimen yhteen sovellukseen ja estää muita sovelluksia tai ilmoituksia avautumasta.

Löydät ohjeet sen käyttöön täältä.

6. Poista hakujen tallentuminen käytöstä

Esimerkiksi Google tallentaa oletusarvoisesti hakuhistoriasi, mikä voi johtaa kiusallisiin tilanteisiin.

Kuvitellaan tilanne, jossa olet googlettanut jotain henkilökohtaista tai noloa ja myöhemmin, kun olet tekemässä uutta hakua ystäväsi läsnä ollessa, aiemmat haut paljastuvat ehdotuksissa. Tämä on yleinen ongelma, joka voi aiheuttaa yksityisyyden loukkauksia.

Ratkaisu: Hakuhistorian Poistaminen ja Poiskytkeminen

Voit suojautua tällaiselta kiusalliselta tilanteelta kytkemällä hakuhistorian pois päältä esimerkiksi Google-hausta. Löydät tähän ohjeet täältä.

7: Käytä tietosuoja.fi -sivua

Suomen tietosuojavaltuutetulla on mainiot nettisivut, josta on helppo löytää tietoa esimerkiksi oikeuksistasi ja miten käyttää niitä. Löydät sivut täältä:

Yhteenveto

Tässä artikkelissa olemme käsitelleet tietosuojan tärkeyttä ja keinoja, joilla voit aktiivisesti suojata omaa digitaalista yksityisyyttäsi. On olennaista muistaa, että vaikka tietosuoja on perusoikeus, sen toteutuminen vaatii meiltä aktiivista osallistumista. Meidän on itse käytettävä GDPR:n tarjoamia oikeuksia, sillä ilman omaa aktiivisuuttamme ne jäävät hyödyntämättä.

Yritykset ja organisaatiot toimivat usein omien etujensa mukaisesti, joten on tärkeää pysyä tietoisena ja valppaana omien henkilötietojemme käsittelyn suhteen. GDPR antaa meille välineitä valvoa ja hallita tietojamme, kuten oikeuden saada tietoa siitä, mitä tietoja meistä kerätään ja miten niitä käsitellään, sekä mahdollisuuden vaatia tietojen poistamista.

Kun kohtaat tilanteita, joissa tietosuojasi on uhattuna tai sinun on puolustettava oikeuksiasi, on tärkeää toimia. Olipa kyse sitten tiedonluovutuskielloista, evästeasetusten määrittämisestä tai vaatimuksesta saada tietää, miten tietojasi käytetään, jokainen toimi on askel kohti vahvempaa tietosuojaa. Tietosuoja ei ole vain lainsäädäntöä vaan myös jokapäiväistä käytäntöä, jossa me kaikki olemme aktiivisia toimijoita. Muistetaan siis pitää tietosuojaoikeudet mielessä ja käyttää niitä tarvittaessa.

hakatemia pro

Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.

Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.