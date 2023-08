Tiistaina tietosuojavaltuutetun toimisto kielsi väliaikaisesti venäläisen taksipalvelu Yangon asiakkaiden henkilötietojen siirron Suomesta Venäjälle.

Kiellon taustalla on Venäjällä syyskuun alussa voimaan tuleva lakimuutos, jonka myötä Venäjän turvallisuuspalvelulla FSB:llä on oikeus saada taksitoiminnassa käsiteltäviä asiakastietoja. Käytännössä lakimuutos mahdollistaisi sen, että FSB saisi haltuunsa Yango-asiakkaiden tietoja Venäjän lisäksi muistakin maista, joissa Yango toimii.

Yango on venäläisen Yandexin omistama taksipalvelu, joka toimii tällä hetkellä Pohjoismaista Suomessa ja Norjassa. Yhtiön mukaan Yango-taksipalvelun henkilötietojen käsittelystä vastaa Alankomaissa sijaitseva yhtiö Ridetech International B.V, joka on Yango-sovelluksen palveluntarjoaja EU-alueella.

Yangon antamasta selvityksestä käy ilmi, että yhtiö kuitenkin siirtää tietoja edelleen Venäjälle, kertoo tietosuojavaltuutettu.

Tietoturva-asiantuntija Petteri Järvinen vastasi Ylelle tietojenkeruuta koskeviin kysymyksiin.

Mitä tietoja Yango-sovellus pystyy keräämään?

Järvisen mukaan Yango pystyy keräämään yllättävän paljon tietoa käyttäjistään.

– Yangon tietojärjestelmiin tallentuu tiedot kaikista ajoista, niihin liittyvistä laskutuksista ja käyttäjän itsensä palveluun kertomista tiedoista. Tietojärjestelmiin tallentuu myös maksukortteihin liittyvät tiedot ja tietenkin itse matkojen tiedot eli mistä on matkustettu ja mihin. Tiedoista selviää yleensä myös matkustajan nimi. Tiedoista voi päätellä yllättävän paljon, etenkin jos toistuvasti käyttää Yango-taksia ja liikkuu samojen paikkojen välillä.

Mitä FSB sitten voisi tehdä Yangon keräämillä tiedoilla?

Tietoja voidaan Järvisen mukaan käyttää monilla tavoilla väärin.

Järvisen mukaan suomalaisten, joilla ei ole yhteyksiä Venäjään, ei tarvitse olla ensijaisesti huolissaan. Järvisen mukaan tarkkana on kuitenkin syytä olla, sillä koskaan ei voi olla täysin varma, mihin tiedot päätyvät.

– Venäjä on tietosuojan ”villilänsi”, ja ilman valtion lupia tai lakeja tiedot vuotavat ja niitä voidaan Venäjällä avoimesti ostaa erilaisista rekistereistä pimeillä markkinoilla. Ilmeisesti myös viranomaiset jopa myyvät niitä ansaitakseen lisätuloja.

Järvinen muistuttaa, että venäläisviranomaisia kiinnostaa lopulta vain hyvin pieni osa henkilöistä. Tällaisia henkilöitä voivat Järvisen mukaan olla esimerkiksi kaksoiskansalaiset tai Suomeen Venäjältä esimerkiksi asevelvollisuutta paennut henkilö.

– Viranomaisia kiinnostaa sellaiset henkilöt, jotka ovat Venäjälle kiinnostavia tai jollain tavalla tärkeitä. Tavallisen kansalaisen ei tarvitse olla huolissaan, mutta kaksoiskansalaiset voivat kiinnostaa Venäjän viranomaisia ja heitä voidaan liikkumistiedoilla kiristää, jos sieltä paljastuu jotain arkaluontaista. Tai jos on paennut Venäjältä esimerkiksi asevelvollisuutta, niin tällaisia henkilöitä voidaan jäljittää Suomesta ja heidän kohdallaan riski on sitten ihan toista tasoa.

Järvinen suosittelee viimeistään nyt poistamaan Yango-sovelluksen puhelimesta kokonaan. Jos Yango-taksia kuitenkin edelleen käyttää, kannattaa taksimatkat maksaa pankkikortin sijaan käteisellä.

– Ei tässä kansalainen itse voi muuta tehdä.

Tietoturva-asiantuntija, tietokirjailija Petteri Järvisen mukaan venäläisviranomaisia voi kiinnostaa esimerkiksi kaksoiskansalaiset.

Kritiikkiä viranomaisille

Järvinen sanoo, että tietosuojavaltuutetun tiistainen päätös kieltää tietojen siirtäminen Venäjälle on vähintä, mitä voitiin tehdä.

– Pikainen, äkkinäinen päätös tuntuu hieman siltä, että ei ole seurattu maailman tapahtumia, eikä ole osattu suhtautua Venäjään riittävällä vakavuudella.

Tietosuojavaltuutetun määräys tulee tulee voimaan 1. syyskuuta ja on lähtökohtaisesti voimassa 30. marraskuuta saakka.

– Tässä on varmaan ongelmana se, että Yangon EU-alueen yhtiö on muodollisesti Alankomaissa, ja sen takia toimenpiteitä pitäisi koordinoida koko EU-tasolla. Sen takia suomalaisenkin viranomaisen päätös on tilapäinen ja odottaa koko EU-alueen yhteistä päätöstä.

Hän pitää kummallisena, että Yango voi edelleen ylipäätään toimia Suomessa. Esimerkiksi Latvia, Liettua ja Viro kielsivät kyytipalvelun maissaan, kun Venäjä aloitti sodan Ukrainassa.

Ei turvallisuusriskejä

Hallituksen tulisi pohtia mahdollisia toimia Yango-taksipalvelun toiminnan rajoittamiselle, jos palvelun käyttäjätietojen päätyminen Venäjälle vaarantaa suomalaisten turvallisuuden, sanoo eduskunnan liikenne- ja viestintävaliokunnan puheenjohtaja Jouni Ovaska (kesk.) Helsingin Sanomille keskiviikkona.

Ylen tavoittama liikenne- ja viestintäministeriön tietoturvallisuudesta vastaavan osaston osastojohtaja Laura Eiro kertoo, että Suomen lainsäädännön puitteissa ei ole mahdollista rajoittaa tai kieltää kokonaan Yangon toimintaa Suomessa.

Eiron mukaan käytännössä Yangon toimintaan on jo puututtu tietosuojavaltuutetun toimesta, kun tietosuojavaltuutetun toimisto tiistaina kielsi Yango-taksipalvelun henkilötietojen siirrot Suomesta Venäjälle väliaikaisesti.

Eiron mukaan Kyberturvallisuuskeskus on myös hetki sitten arvioinut Yangoon liittyvät tietoturvakysymykset, ja niihin ei liity riskejä, joihin tulisi välittömästi puuttua.

Eiro myös muistuttaa, että Yango ei Suomessa harjoita taksiliikennettä, joten sillä ole taksiliikennelupaa Suomessa. Teknisesti ottaen Yango ei ole taksiliikenneyritys, vaan välityspalvelu, joka käyttää kuskeja ja yhtiöitä, joilla on taksiliikennelupa.

Yle ei tavoittanut tämän jutun julkaisuun mennessä tietosuojavaltuutetun toimistosta kommentteja.

