Emilia Laurila, 25, halusi selvittää, mitä tietoja hänestä on kerätty – paljastui hämmentävän tarkkaa raportointia ja yllättäen tuhottuja tietoja

Yritykset ja viranomaiset keräävät meistä yhä enemmän henkilötietoja. IT-työntekijä ja viestinnän maisteriopiskelija Emilia Laurila, 25, pyysi omat tietonsa nähtäväksi. Tässä artikkelissa hän kertoo mitä tapahtui.

Olen 25-vuotias viestinnän maisteriopiskelija, joka on töissä it-alalla. Datan keräämisen liittyvät asiat eivät ole minulle entuudestaan kovin tuttuja, joten halusin kokeilla, miten 2018 voimaan astunut Euroopan uusi tietosuoja-asetus GDPR toimii käytännössä: Mitä tietoja minusta on kerätty? Ketkä niitä keräävät? Saanko ne nähtäväkseni sähköisessä muodossa, jos pyydän?

Tietojani on vuosien mittaan mennyt ainakin entisille työnantajille, oppilaitoksille, lääkäreille, hotelleille, kunnille, kuntayhtymille, kauppojen kanta-asiakasjärjestelmiin, arvontoihin, applikaatioihin, somesivuille, takseille, lentoyhtiöille, vakuutusyhtiöille, pankeille ja eri nettipalveluihin.

Listaa voisi jatkaa lähes loputtomiin, kun ottaa huomioon, kuinka usein palveluiden käyttöehdoissa joutuu myöntymään siihen, että henkilötietoja luovutetaan kolmansille osapuolille.

Faktalaatikko

• Yritykset ja viranomaiset keräävät ihmisistä entistä enemmän henkilötietoja, kuten osoitteita, henkilötunnuksia ja sijaintitietoja.
• Tietoja kerätään mm. palveluiden tuottamiseen, mainoksien kohdentamiseen ja liiketoiminnan kehittämiseen.
• Henkilötietojen tallentamiseen liittyy aina riski arkaluonteisten tietojen vuotamisesta, identiteettivarkaudesta ja muista tietomurroista.
• Viime vuonna voimaan astuneen EU:n tietosuoja-asetuksen GDPR:n (General Data Protection Regulation) myötä omien tietojen valvonnasta on tullut helpompaa.
• Nykyään yritysten ja viranomaisten keräämät henkilötiedot voi pyytää nähtäväksi sähköisessä muodossa ja niitä voi joissain tapauksissa vaatia poistettavaksi. Tietoja ei saa pyynnöstä poistettua, jos niitä kerätään perustellun tarpeen takia – kuten lain noudattamiseksi tai esimerkiksi tutkimusta tai tilastointia varten.

Henkilötunnukseni voi löytyä jopa sadoista eri rekistereistä. Nimeni ja sähköpostiosoitteeni tuhansista. En ole edes varma tallentaako joku applikaatio sijaintitietojani rekistereihin tälläkin hetkellä.

Lopulta päädyn pyytämään henkilötietoni tarkistettavaksi 15:sta eri paikasta. Mukana on kotimaisia ja ulkomaisia yrityksiä, applikaatioita, entinen työnantajani, Päijät-Hämeessä sijaitseva kunta ja joukkoliikenteestä vastaava kuntayhtymä.

Katso lista organisaatioista

Tori.fi - Kauppapaikka verkossa
Finnair - Suomalainen lentoyhtiö
Norwegian - Norjalainen lentoyhtiö
HSL - Helsingin seudun liikenne
Hostelling International - Yli 4000 hostellia kattava järjestö
Airbnb - Yhdysvaltalainen majoituspalvelu
Wolt - Ruoan välitys- ja kuljetuspalvelu
Timma - Netin ajanvarauspalvelu
Lahden kaupunki
S-yhtymä - Osuuskaupparyhmä
Stockmann - Kaupan alan yritys
Lähitapiola - Pankki ja vakuutusyhtiö
Entinen työnantaja*
Nykyinen joogastudio*
Entinen joogastudio*

Toimittajan huomautus: Tähdellä merkittyjen yritysten nimet on salattu. Tietosuojavaltuutetun mukaan henkilötietojen tarkastamiseen liittyvät ongelmat korostuvat erityisesti pienyritysten kohdalla. Näin ollen katsomme kohtuuttomaksi arvioida julkisesti vain muutaman yksittäisen pienyrityksen tietosuojakäytäntöjä, koska se saattaa aiheuttaa kohtuutonta haittaa niiden toiminnalle. Jutun tavoitteena ei ole osoittaa yksittäisten yritysten ongelmia, vaan arvioida henkilötietojen tarkastamisen toimivuutta kokonaisuutena, kansalaisen näkökulmasta.

Tietojen pyytämisen käytännöt vaihtelevat

Aloitetaan juonipaljastuksella: tietojen pyytäminen voi olla joko tarpeetonta, helppoa tai vaikeaa.

Tietopyyntö voi olla tarpeeton, jos organisaatio ei kerää tietoja tai ne ovat saatavilla ilman tietopyyntöä.

Käyttämäni joogastudio kertoo, että he eivät tallenna asiakkaistaan muita tietoja kuin nimen ja sähköpostiosoitteen. Tämä on myös yksi tapa vastata GDPR:n vaatimuksiin: jättää ylimääräiset henkilötiedot keräämättä.

Ajanvarausjärjestelmä Timman tallentamat henkilötiedot taas saa näppärästi näkyviin kirjautumalla palveluun. Samoin S-ryhmän keräämän datan voi tarkistaa suoraan heidän sivuiltaan, kunhan omistaa S-pankin verkkopankkitunnukset.

Lisäksi jotkut yritykset ovat tehneet oman palvelun tietopyynnöille. Esimerkiksi Torin, Finnairin ja Norwegianin sivuilla tietopyynnön saa matkaan muutamassa minuutissa. Tiedot tai linkki niihin toimitetaan myöhemmin sähköpostilla.

Helppoa, nopeaa ja yksinkertaista.

Etanapostia ja puutteellisia ohjeita

Edellä mainituissa tapauksissa tietojen pyytäminen käy käden käänteessä. Läheskään aina se ei ole yhtä helppoa.

Esimerkiksi LähiTapiolan ja Lahden kaupungin sivuilla on oma tietopyyntölomake, joka pitää tulostaa, täyttää ja lähettää perinteisellä postilla. Lahden kaupunki haluaa lisäksi kopion henkilöllisyystodistuksestani.

Tietoturvasyistä laitan pyynnöt matkaan seurattavina pikakirjeinä. Ajan lisäksi tietojen pyytämisessä voi siis kulua myös rahaa.

HSL:n tietosuojasivuilla taas on linkki, jonka takaa pitäisi löytyä ohjeet tietojen pyytämiseen. Linkki kuitenkin ohjaa käyttäjän takaisin täysin samalle sivulle.

Yritykset ja viranomaiset eivät läheskään aina kerro tarkkoja ohjeita tietojen pyytämiseen. Usein ainoa neuvo kuuluu, että ota yhteyttä asiakaspalveluun tai tietosuojavastaavan.

Miten henkilöllisyys todistetaan? Millä tavoin tiedot toimitetaan? Myöhemmin selviää, että käytäntöjä on monia. Jotkut kehottavat tulemaan paikanpäälle ja jotkut lähettävät tiedot suoraan pelkän sähköpostiosoitteen perusteella.

Muutamalle yritykselle lähetän testimielessä Helsingin Sanomien artikkelissa olleen valmiin tietopyyntölomakkeen suomeksi tai englanniksi.

Liitän mukaan valokuvan henkilöllisyystodistuksestani. Tietopyynnön muodosta ei ole säädetty erikseen, joten henkilötietoja voi pyytää tarkistettavaksi myös näin.

Myöhemmin tosin selviää, että henkilötodistuksen kopiota ei tietenkään kannata milloinkaan lähettää suojaamattomassa sähköpostissa. Kyseessä on vakava tietoturvariski, jota ei kannata ottaa.

Sori, poistimme kaikki tietosi

Yli 4000 hostellia kattava hostelliverkosto Hostelling International vastaa tietopyyntöön ensimmäisenä. Vastaus: olemme poistaneet kaikki tietosi rekisteristämme.

Mitä ihmettä?

Luen vielä kertaalleen lähettämäni tietopyynnön: “I want to see all the data you have of me”. Ei pitäisi jättää tulkinnanvaraa. En mainitse sanallakaan tietojen poistamista.

Lähettämäni tietopyyntö englanniksi

Kopio tietopyynnöstä, joka lähetettiin eri yrityksiin. Yleinen tietosuoja-asetus (GDPR),tietopyynnöt,tietoturva,henkilötiedot,Emilia Laurila

Vastaan, että haluan ainoastaan nähdä tietoni, enkä poistaa niitä. Saan pahoittelut virheestä, mutta tietoja ei kuulemma voi enää palauttaa.

Lue tietosuojavaltuutettu Reijo Aarnion kommentti

Tästä tapauksesta voi tehdä ilmoituksen tietosuojavaltuutetun toimistolle. Vahinko on kuitenkin jo tapahtunut, eikä tietoja voi välttämättä enää palauttaa.

Henkilö voi toimittaa kopiot alkuperäisestä kirjallisesta pyynnöstään ja rekisterinpitäjän vastaukset tietosuojavaltuutetun toimistoon, jonka jälkeen tietosuojavaltuutetun toimisto katsoo asiassa jatkotoimenpiteet. Jatkotoimenpide voi olla esimerkiksi rekisterinpitäjän ohjeistus asiassa.

Viikko tapahtuman jälkeen saan uuden sähköpostin toiselta työntekijältä. Virheen tehnyt työntekijä on kuulemma lähetetty lisäkoulutukseen. Sähköpostissa on myös lisää pahoitteluita: “Once again please accept my apologies for our error”.

Tässä vaiheessa yritys jo tiesi, että Yle on tekemässä aiheesta juttua.

Sori, poistimme kaikki tietosi, osa II

Saan myös toisen vastauksen, että tietoni on poistettu. Asialla on jälleen kerran kansainvälinen majoituspalvelu. Airbnb ilmoittaa, että kaikki itseäni koskevat henkilötiedot on peruuttamattomasti poistettu.

Sattumaako? Todennäköisesti. En keksi yhtään pätevää syytä, miksi juuri majoituspalvelut haluaisivat laittaa tietoni silppuriin.

Ilmoitan taas, että en halua tietojani poistettavan. Saan pahoittelut virheestä sekä vastauksen, että peruuttamattomasti poistetut tiedot on sittenkin palautettu ja ne toimitetaan 30 päivän kuluessa. Mahdollisesta viivästymisestä luvataan myös ilmoittaa.

Kuukausi vierähtää, ja tietoja ei kuulu. Määräajan kuluttua umpeen ne kuitenkin toimitetaan minulle.

LUE MITEN AIRBNB:N TIEDOTTAJA SIMON LETOUZE KOMMENTOI TAPAUSTA 4.7.2019

Otamme asiakkaiden tietosuojan erittäin vakavasti ja periaatteisiimme kuuluu vastata tietopyyntöihin ajoissa. Valitettavasti emme tällä kertaa pystyneet täyttämään korkeita standardejamme ja ryhdymme toimiin sen osalta. Tiedot on nyt toimitettu asianosaiselle.

Henkilötiedot voivat jäädä kokonaan saamatta

Airbnb ja Hostelling International eivät olleet yksittäistapauksia. Tietojen toimittaminen tuotti vaikeuksia myös kotimaisille yrityksille.

Entinen joogastudioni ei koskaan vastannut kysymykseeni, löytyykö minusta tietoja heidän asiakasrekisteristään.

Tori.fi taas on tehnyt sivuilleen portaalin, jossa piirroshahmojen avulla käydään läpi, mitä dataa asiakkaista kerätään ja mihin tarkoitukseen. Omat tiedot voi pyytää tarkistettavaksi tai poistettavaksi nappia painamalla.

Tässä kohtaa palvelu saa vielä täydet pisteet. Todella käytännöllinen ja miellyttävä tapa kunnioittaa kansalaisten oikeuksia.

Muutamassa päivässä sähköpostissa on jo ilmoitus, että pyytämäni tiedot on nähtävillä omasta tietoprofiilistani. Etsimisestä huolimatta en kuitenkaan löydä niitä.

Laitan uuden tietopyynnön, mutta ongelma ei ole kadonnut mihinkään. Totean, että palvelu ei yksinkertaisesti toimi.

LUE TORIN TOIMITUSJOHTAJAN JUHA MEROSEN KOMMENTTI TAPAHTUNEESTA 1.7.2019

Valitettavasti Torissa on ollut tekninen virhe, josta johtuen tietokysely ei ole toiminut henkilön tehdessä kyselyä. Nyt tietokysely on korjattu ja se toimii normaalisti. Jatkamme kehitystyötä palvelun edelleen parantamiseksi.

Toim. huom 13.7.2019: Tietopyyntö ei toiminut Laurilalla vieläkään. Torin tietoprofiiliin on ilmestynyt linkki henkilötietoihin, mutta linkki on rikki.

Datan kerääminen voi olla myös iloinen asia

Periaatteessa minulla ei ole mitään sitä vastaan, että minusta kerätään tietoja. Ehtona on kuitenkin se, että sille on olemassa jokin perusteltu syy.

Paras mahdollinen syy on parempien palveluiden saaminen. S-Ryhmän Omat ostot -palvelun kautta asiakkaat voivat seurata ostokäyttäytymistään kahden vuoden ajalta.

Tietopalvelussa näkyy muun muassa, missä kaupoissa olen käynyt, mitä olen ostanut ja mihin aikaan. Tarvittaessa voin myös kieltää tietojen keräämisen kokonaan.

Montako mehujäätä tuli syötyä viime kuussa? Kuinka paljon käytin rahaa einestuotteisiin verrattuna vihanneksiin? Palvelusta löytyy vastaus moniin kiinnostaviin kysymyksiin.

Parhaimmillaan tämänkaltaiset palvelut voivat viedä kuluttamista sekä terveellisempään että ekologisesti kestävämpään suuntaan. Tulevaisuudessa voimme mahdollisesti tarkistaa ostoksien hiilijalanjäljen tai sademetsille tuhoisan palmuöljyn määrän.

Tallennettuja ja tekstiksi purettuja puhelinkeskusteluita

LähiTapiolan lähettämän kirjekuoren sisällä on todellinen yllätys. Henkilötietojen joukossa on iso nivaska asiakaspalvelun kanssa käytyjä puheluita, jotka on purettu tekstiksi.

Vanhimmat puhelut ovat yli vuoden takaa. En osannut odottaa, että puheluita on tallennettu ja arkistoitu, vaikka siitä kerrotaankin LähiTapiolan sivuilla.

Uskon, että monet eivät tiedä, että yritykset ja viranomaiset voivat tallentaa puheluita, jos nauhoitukselle on hyväksyttävä käsittelyperuste. Todennäköisesti vielä harvempi tuntee oikeutensa saada tallennetut keskustelut nähtäväksi.

Kryptistä koodia ja sentin tarkkoja sijaintitietoja

Silloinkin, kun henkilötiedot toimitetaan asianmukaisesti, niitä saattaa olla hankalaa tulkita. Esimerkiksi Wolt ja Timma toimittivat henkilötietoja itselleni tuntemattomassa JSON-formaatissa.

Google kertoo, että kyseessä on “JavaScript-kielen oliosyntaksi”. Kaivelen muuttujien ja funktioiden joukosta muun muassa seuraavanlaisia Woltin tallentamia tietoja:

$oid": "57cff8f02fc7ee1b92c0eaa3"
$date": "2017-07-07T07:49:00.703Z"
registration_fingerprint": {"request_ip": "193.93.***.**, 205.251.***.**"}
client_location: [24.***463, 60.***279]

Toim. huomio: Tähdet lisätty Laurilan yksityisyyden suojelemiseksi.

Sijaintitiedoilta vaikuttaa. Kuusi asteen desimaalia itse asiassa paljastaa kymmenen sentin tarkkuudella sijaintini.

Sinällään sijaintitietojen tallentaminen ei ole mikään ihme, koska Woltin toiminta perustuu ruuan toimittamiseen. Olen antanut luvan sijaintitietojani käsittelyyn rekisteröityessäni palveluun.

Woltin tietosuojaselosteesta ei tosin kerrota tarkalleen, minkä takia ilmeisesti vuonna 2017 tallennettu ip-osoitteeni ja sijaintini täytyy vieläkin pitää visusti tallessa. En keksi mitään hyvää syytä tähän.

MIKSI WOLT KÄYTTÄÄ JSON-FORMAATTIA JA SÄILYTTÄÄ VANHOJA SIJAINTITIETOJA? LUE VIESTINTÄJOHTAJA HEINI VISANDERIN VASTAUS 26.6.2019

Suomen tietosuojavaltuutettu on ohjeistanut, että GDPR edellyttää tietojen toimittamista seuraavasti: "Tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa". Koska JSON on yleisesti käytössä oleva web-teknologia ja on lisäksi sekä kone-, että ihmisluettava tekstipohjainen muoto, JSON täyttää nämä molemmat ehdot.

Wolt ei säilytä tietoa tarpeettomasti ilman GDPR:n mukaisia käsittelyperusteita. Tietojen säilytysaika arvioidaan aina tapauskohtaisesti. Sijaintidataa saattaa olla tarpeellista säilyttää pidempään, esimerkiksi tilausten tekemistä varten.

Entinen työnantaja: Tietosi ovat Jyväskylässä

Tiesitkö, että sinulla on oikeus pyytää henkilötietoja myös työnantajaltasi? Jos pomosi on kirjannut exceliin kengännumerosi tai myöhästymisesi, sinulla on oikeus saada tiedot nähtäväksi.

Lähetän kyselyn henkilötiedoistani entiselle työnantajalleni jyväskyläiseen ravintolaan.

Minulle kuitenkin kerrotaan, että tietopyyntö pitää toimittaa paperilla, jonka jälkeen henkilötiedot voi noutaa yrityksen toimipaikasta Jyväskylästä. Näin siitä huolimatta, että asun 300 kilometrin päässä kaupungista. Syyksi yritys kertoo, että heillä ei ole sähköistä tunnistautumista käytössä.

Seuraavaksi yrityksen toimitusjohtaja alkaa udella, miksi edes haluan tarkistaa henkilötietoni. Hän ehdottaa, että voisimme keskustella asiasta puhelimessa. Toimitusjohtaja ei kuitenkaan koskaan ota yhteyttä.

VOIKO YRITYS VAATIA HAKEMAAN TIEDOT SATOJEN KILOMETRIEN PÄÄSTÄ? TARVIIKO TIETOPYYNNÖN TEKEMISTÄ PERUSTELLA? LUE TIETOSUOJAVALTUUTETTU REIJO AARNION KOMMENTTI

EU:n yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa mainitaan “Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää”.
Yrityksen olisi todennettava rekisteröidyn henkilöllisyys jotenkin muutoin kuin vaatimalla tätä käymään yrityksen toimipaikassa.

Omien henkilötietojen tarkastamiseen ei tarvitse kertoa perusteita, vaan rekisteröidyllä on siihen muutenkin oikeus.

Lopulta päätän lähteä selvittämään tietojani ja varaan junaliput Jyväskylään. Ajattelen, että samalla voi tavata vanhoja kavereita. Muuten tuskin matkustaisin 300 kilometriä vain nähdäkseni omat henkilötietoni paperilapulle printattuna.

Entinen työnantaja: Kirjekuori jääkaapin päällä

Entisen työnantajan tapaaminen tietopyynnön takia tuntuu hämmentävältä. Ehkä koko toimenpide vaikuttaa ex-työntekijän kostolta?

Netissä on levinnyt juttua GDPR-trolleista, jotka kiusaavat yrityksiä mahdollisimman monimutkaisilla tietopyynnöillä.

Alan jännittää koko tapaamista.

Juna saapuu Jyväskylään ja suuntaan entiselle työpaikalleni. Astun sisään ravintolan ovista ja tiskillä päivystävä tarjoilija noutaa paikalle vähäsanaisen omistajan.

Todistan henkilöllisyyteni ja ojennan tietopyynnön. Omistaja lukaisee sen läpi ja noutaa jääkaapin päällä odottavan kirjekuoren.

En ehdi tarkastamaan epäilyttävän ohutta kirjekuorta samantien, vaan avaan sen vasta kotimatkalla Helsinkiin. Kirjeessä ei ole edes henkilötietojani, vaan yleisluontoinen lista siitä, minkälaisia tietoja yritys säilyttää minusta kuuden vuoden ajan.

”Palkansaajan tiedot”, ”työsopimustiedot”, ”todistus anniskeluoikeudesta”, ja niin edelleen.

Huojentavana tietona mainitaan, että henkilötietoja säilytetään lukkojen takana. Tosin tietojen oikeat omistajat on suljettu oven väärälle puolelle.

Toimittajalta: Sinä omistat omat tietosi

Sadat miljoonat salasanat ovat levinneet netissä, potilaiden sairaskertomuksia on päätynyt väärin käsiin, puolen miljardin asiakkaan henkilötiedot on viety. Tietovuodot eivät ole enää harvinaisia, vaan niistä on tullut osa digitalisoitunutta yhteiskuntaa. Nyt jos koskaan jokaisen pitäisi olla kiinnostunut omien henkilötietojen kohtalosta.

Käytännöt tietopyyntöjen suhteen vaihtelevat merkittävästi. Joskus tietopyynnön lähettäminen onnistuu minuutissa, kun toinen yritys taas ei vastaa lainkaan yhteydenottoihin. Joillain yrityksillä on selkokieliset infosivut asiakkaiden tietosuojaoikeuksista, kun toisten sivuilla lähinnä kehotetaan kysymään asiakaspalvelusta.

Jossain tapauksissa myös henkilötietojen tulkitseminen saattaa olla mutkikasta. JSON-koodin sisään tallennettujen henkilötietojen lukeminen ei onnistu kaikilta ihmisiltä.

Loppujen lopuksi suurin osa organisaatioista kuitenkin toimitti pyydetyt henkilötiedot asianmukaisesti määräajan puitteissa. Henkilötietojen tarkastaminen siis onnistuu yleensä hyvin.

Voiko omista tiedoista tulla vihollisia? Emilia Laurila juoksee karkuun Pacman-pelin haamuja graafisessa kuvassa. Kuva: Yle/Niklas Mäkinen Yleinen tietosuoja-asetus (GDPR),tietopyynnöt,tietoturva,henkilötiedot,Emilia Laurila

Lopuksi jäljelle jää enää yksi kysymys. Voiko itsestään kerättyjä tietoja ikinä hallita?

Yhä useammat laitteet ja palvelut keräävät käyttäjistään informaatiota. Elämä on liian lyhyt kaikkien käyttöehtojen läpikäymiseen, eikä vaihtoehtoja tietojen luovuttamiselle ole yleensä edes tarjolla.

Ihmiset voivat tarkistaa yksittäisten organisaatioden säilyttämät tiedot ja joissain tapauksissa pyytää niitä poistettavaksi, mutta henkilötietoja sisältävien rekisterien määrä on aivan valtava. Siitä syystä tarvitaan myös lainsäädäntöä sekä yritysten ja viranomaisten vastuullisuutta.

Muuten emme pysty säilyttämään yksityisyyttämme digitalisoituneessa maailmassa.

Muokkaukset: 26.8.2019 Tarkennettu faktalaatikon viimeistä kohtaa tietojen poistamisen osalta ja lisätty sanat "joissain tapauksissa" Toimittajalta-osion toiseksi viimeiseen kappaleeseen.