Minua haastateltiin Effin edustajana Yle:n tekemään, 4.10. julkaistuun juttuun, jonka aiheena oli Tracker-nimisen, alun perin koiran seuraamiseen tarkoitetun GPS-pannan ja kännykkäsovelluksen eriskummallinen käyttötapa. Koiran seuraamisen lisäksi sovelluksessa on metsästyksen turvallisuuden kannalta hyvä toiminnallisuus: sovelluksen käyttäjä voi halutessaan jakaa sijaintinsa muille sovelluksen käyttäjille. On tietysti hyvä jos esimerkiksi jahdissa metsästäjät näkevät toistensa sijainnin. Näin esimerkiksi sovituista sijainneista ja etenemissuunnista harhautuneet metsästäjät ovat paremmassa turvassa.
Jutun aihe oli se, että poliisi on alkanut käyttää kyseistä toimintoa metsästäjien paikantamiseen metsästyksen valvontaa tehdessään. Se on herättänyt ihmetystä ja kysymyksiä poliisin toiminnan laillisuudesta. Toiminnassa on muitakin kyseenalaisia piirteitä, tärkeimpänä se, että valvonnassa käytetyt puhelinlaitteet ja Tracker-lisenssit ovat olleet poliisihenkilöiden henkilökohtaisia, eivät poliisin organisaation hankkimia. Itä-Suomen yliopiston julkisoikeuden professori Tomi Voutilainen on jutussa analysoinut tämän laillisuusongelmia. Voutilaisen sanoman lisäksi on syytä huomata, että jos poliisin oma tietohallinto ei ole mitenkään analysoinut kyseistä ohjelmistoa, sitä käyttävillä poliiseilla on tuskin kovin kovin hyvää kuvaa siitä mikä heidän oma tietosuojansa on. Ketkä kaikki pystyvät esimerkiksi pääsemään käsiksi poliisin valvontatehtävässä harjoittamaa liikkumista koskevaan tietoon jälkikäteen?
Erikoista on että poliisitarkastaja Tuomo Korhosen näkemys jonka mukaan sijaintitieto ei olisi henkilötietoa. Vielä erikoisempaa on se, että apulaistietosuojavaltuutettu Annina Hautala näkee asian samoin. Korhonen sanoo haastattelussa:
– Se on avointa, julkista tietoa, missä ei ole mitään henkilötietoja sisällä. Sitähän ei tiedä, mikä siellä täpän takana on.
Hautala puolestaan muotoilee:
– Jos tieto on sovelluksessa sellaisessa muodossa, ettei se ilman lisätietoa yksilöidy henkilöön, niin on melko vaikea nähdä tietosuojanäkökulmasta, ettei tällaisia tietoja voisi hyödyntää myös viranomaisten lakisääteisten tehtävien hoitamisessa.
Kumpikin kanta on nähdäkseni virheellinen ja niistä seuraa melkoisia ongelmia yksityisyyden suojalle.
Anonyymin tiedon vaatimukset
Professori Voutilaisen kanta “tässä ei ole mitään anonyymiä tietoa” ansaitsee selittävän tarkennuksen. Katsotaan miten EU:n yleinen tietosuoja-asetus eli GDPR määrittelee asian. Asetuksen perusteluosa, EU-lakijargonilla resitaalit, määrittelee resitaalissa 26:
“Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys.”
Olennaista on se, että tieto, joka lisätiedon avulla mahdollistaa henkilön tunnistamisen eli pseudonyymit tietot, on henkilötietoa.
Myöhemmin sama resitaali 26 käsittelee anonyymin tiedon käsitettä ja määrittelee anonyymin datan GDPR:n soveltamisalan ulkopuoliseksi:
“Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.”
On selvää että resitaalin aiemman määrittelyn perusteella tieto, joka muuhun tietoon yhdistettynä mahdollistaa henkilön tunnistamisen, on henkilötietoa. Asiassa unohdetaan usein se, että GDPR ei edes lähde siitä että kyseisen tiedon tulisi olla kyseisen henkilötietoja käsittelevän tiedossa tai hallussa. Riittää, että on olemassa muuta tietoa jonka avulla tunnistaminen voidaan tehdä tietoja yhdistämällä. Sijaintitiedon osalta on olennaista että henkilön sijaintitiedon historiaa seuraamalla on mahdollista tunnistaa henkilö hyvinkin helposti.
Mitä seuraa jos sijaintitietoa ei katsottaisikaan henkilötiedoksi
Norjan yleisradioyhtiö NRK:n toimittaja Martin Gundersen teki vuonna 2020 tutkimustyötä ja kirjoitti jutun joka havainnollistaa karulla tavalla mitä kaikkea mainosverkostojen kautta saatavasta datasta saa irti. Jutun englanninkielinen versio on täällä. Evästeillä ja seuraimilla (tracker) dataa keräävät yhtiöt kovin mielellään väittävät että Internet-sivustojen kävijöistä kerättävän tai kuten Gundersenin työn tapauksessa, kännykkäsovellusten käyttäjistä kerättävän datan avulla ei ole mahdollista tunnistaa yksittäisiä henkilöitä. Tämä on monestakin syystä silkka omaa, henkilötietoja ryöstöviljelevää liiketoimintatapaa puolusteleva valhe.
Gundersen osti mainosverkostojen keräämää dataa 35 000 Norjan kruunulla, silloisen kurssin mukaan noin 3300 eurolla. Summalla hän sai muun muassa kymmenien tuhansien Oslon seudulla liikkuneiden henkilöiden sijaintihistorian. Jokainen täysjärkinen ymmärtänee että jos seuraa tyypillisesti yhden henkilön mukana olevan matkapuhelimen liikkeitä, hyvin nopeasti käy selville missä hän asuu, missä hän käy töissä, mihin hän vie lapsen hoitoon ja missä hän käy säännöllisesti esimerkiksi harrastusten parissa. Näiden tietojen perusteella henkilöllisyyden selvittäminen ei kestä kovin pitkään. Näin Gundersenkin teki ja otti yhteyttä tunnistamiinsa henkilöihin. Artikkelissa on mainio esimerkki harvinaisemmasta sijaintitiedosta: eräs mies oli oleskellut sairaalan synnytysosastolla useina päivinä. Tämän tuoreen isän kommentti toimittajalle oli:
– Väärissä käsissä kuka tahansa voi käyttää sitä (dataa) väärin. Valtiovallan pitäisi suojella meitä tältä.
Jos poliisiylitarkastaja Korhosen, hänen apunaan asiaa pohtineiden poliisihallituksen juristien ja apulaistietosuojavaltuutettu Hautalan kanta, jonka mukaan tiivistäen Tracker-sovelluksen esittämä sijaintieto on “avoimesta tietolähteestä saatavilla olevaa anonyymiä dataa joka ei sisällä mitään henkilötietoja”, heillä kellään ei liene mitään sitäkään vastaan että joku ostaa mainosverkostodataa joka sisältää ihmisten liikkeitä, suodattaa datasta poliisihallituksen toimipisteessä ja tietosuojavaltuutetun toimistossa säännöllisesti oleskelevien henkilöiden liikkeet ja julkaisee tällaiset tiedot karttapohjalla. Minä en sitä tee koska, toisin kuin Korhonen ja Hautala, pidän sitä laittomana. Olen lisäksi samaa mieltä haastatellun norjalaisen tuoreen isän kanssa siitä että valtiovallan pitäisi suojella meitä tällaiselta sen sijaan että liikutaan tulkinnoissa vähintäänkin lain harmaalla puolella. Poliisin rimaa alapuolelta kolistelevan opportunistisen tulkinnan asiassa voi ehkä vielä jotenkin ymmärtää (vaikkakaan sitä ei voi eikä tule hyväksyä) mutta se, että apulaistietosuojavaltuutettu lausuu kuten lausui, on hälyttävää koska se antaa sellaisen käsityksen että tietosuojan ylin valvontaviranomainen ei tunne tietosuojalainsäädäntöä tai tulkitsee sitä hyvin erikoisella tavalla.
Miksi tällä asialla on niin suuri merkitys yksityisyyden suojan kannalta? Tässä käsitellyssä erityistapauksessa on kyse vain yhdestä esimerkistä aikaamme vaivaavasta vitsauksesta. “Ilmainen” palvelu tarkoittaa pääsääntöisesti sitä, että sen käyttäjä on itse myytävä tuote. Hänestä kerätyt henkilötiedot ovat kauppatavaraa ja rahan sijaan palvelusta kerättävä todellinen vastike. Tämä on syy siihen miksi kaltaiseni yksityisyyden suojaa kannattavat aktivistit suhtautuvat nykymenoon, jossa kaupallinen Internet perustuu kyttäyskapitalismille (engl. surveillance capitalism), perin kriittisesti. Toivon totisesti että esimerkiksi poliisi osaa ottaa kyttäyskapitalistisen henkilötietojen ryöstöviljelyn vaikutukset huomioon omassa operaatioturvallisuudessaan.
Vuoden alusta voimaan tulevan EU-asetuksen ((EU) 2019/945) mukaan EU:ssa myytävien dronejen pitää jatkuvasti lähettää droneohjaajan rekisteritunnusta, sekä dronen, että -ohjaajan paikkatietoa. Nämä tiedot ovat kenen tahansa luettavissa kännykkäapplikaatiolla. Vaikka vain viranomaisilla olisi pääsy rekisteriin, josta käy ilmi tarkemmat henkilötiedot, on data silti selkeästi GDPR:n tarkoittamalla tavalla henkilötietoa, koska data on ainoastaan pseudonymisoitu. Lisäksi dataa on helppo kerätä applikaatioista johonkin keskitettyyn nettipalveluun.
En ole törmännyt tahoon, joka olisi ottanut kantaa tämän asetuksen ilmeisiin tietosuojaongelmiin.
Pahoittelen että huomasin tämän kommentin vasta nyt.
Olen samaa mieltä siitä että sekä dronen että ohjaajan paikkatiedot ovat henkilötietoa. Voisitko kuitenkin hieman avata sitä että mikä se tietosuojaongelma tässä on? En oikein hahmota että mikä tässä olisi toisin kuin muiden ilma-alusten kohdalla.