Käyttäjän profilointi vaatii aina käyttäjältä luvan

Wall Street Journal kirjoittaa Metan saamasta 400 miljoonan euron sakosta Irlannin tietosuojaviranomaiselta. Sakko on annettu, koska Meta ei ole erikseen pyytänyt käyttäjiltään lupaa kohdennettuun mainontaan. Päätös on myös laajemmin merkittävä, koska aiemmin moni muukin palvelu on pitänyt oman palvelun sisällä tapahtuvaa personointia ja mainosten kohdentamista asiana, johon ei tarvita rekisteröityneeltä käyttäjältä erillistä lupaa.

Artikkeli

Facebook on siis ajatellut, että mainonnan kohdentaminen käyttäjän toiminnan perusteella kuuluu palvelun omistajan oikeuksiin, joihin käyttäjät ovat suostuneet rekisteröityessään. EU:n viranomaisten linjaus tekee tästä tulkinnasta nyt varsin kyseenalaisen. Wall Street Journalin artikkeli arvelee tämän päätöksen potentiaalisesti vaikuttavan merkittävästi Metan liiketoimintaan jatkossa.

“The ruling, announced Wednesday by Ireland’s Data Protection Commission, also imposed fines of 390 million euros, or $414 million, on Meta, saying that the company violated EU privacy laws by saying such ads are necessary to execute contracts with users.

Meta, the parent of Instagram and Facebook, said it disagrees with the ruling and plans to appeal both it and the fines.

Litigation could take years, but if the decisions are upheld, they could mean that Meta will have to allow users to opt out of ads that are based on how individual users interact with its own apps—something that could hurt its core business.”

Metan kanssa samantyyppistä tulkintaa ovat harjoittaneet myös monet verkkokaupat ja mediatalot, jotka ovat tietoisesti antaneet käyttäjille oikeuden kieltäytyä vain muilla sivustoilla tapahtuvasta seurannasta ja mainonnasta. Oman sivuston sisällä tapahtuvaa selaamista ja ostosten tekemistä käyttää moni sivusto palveluiden personointiin, mainosten kohdentamiseen ja erilaiseen kohdennettuun viestintään – eikä tästä voi kieltäytyä.

Eli jos käyttäjä on rekisteröitynyt ja kirjautunut palveluun, on palvelun sisällä tapahtuvaa toimintaa kohdeltu varsin vapaana riistana asiakasprofiilien rakentamiseen – oli siihen kysytty lupaa tai ei.

“The Irish decisions are significant because they could end up restraining Meta’s ability to use some of the data it collects on its own apps. The decisions don’t specifically order Meta to seek users’ consent to use their activity data to target their ads, but they eliminate the contractual legal justification Meta currently uses to do so. That leaves the company few other options under EU law to justify such ads, privacy lawyers and activists say.”

Jos tämä päätös jää voimaan tällaisenaan, voi tällä olla varsin merkittäviä vaikutuksia kotimaisiin mediataloihin ja verkkokauppoihin.

“Meta has long allowed users to opt out of personalizing ads based on data it gleans from users’ activity on other websites and apps. But it doesn’t give users any such option for opting out of ads based on data about activity on its own platforms—such as what posts a user comments on or videos an Instagram user watches.”

Moni mediatalo on tehnyt muutoksia, mutta maltillisesti

Nykyisellään aika harva mainosten myyjä on vielä ottanut GDPR-linjauksia kovin vakavasti. Lähinnä on rajoitettu ylenpalttista seurantaa anonyymeiltä käyttäjiltä, mutta hyvin harva on ryhtynyt rakentamaan todellista lupasysteemiä siihen, että asiakkailta kysyttäisiin selkeästi lupa esimerkiksi asiakkaan ostohistorian tai selailuhistorian hyödyntämiseen kohdennetussa mainonnassa.

“Wednesday’s decision represents a warning shot for the digital advertising industry. Many companies rely on behavioral ads. But some EU privacy regulators have been insisting that such ads require user consent in a way that makes it easy to say no—even when dealing with data that a company collects itself.”

On vielä vaikea sanoa, mihin kaikkeen tämä EU:n tulkinta vaikuttaa, mutta selvää on, että tietosuojaviranomaisten linja on varsin tiukka käyttäjien profilointia kohtaan, ellei lupaa ole yksiselitteisesti kysytty, ja kieltäytymisvaihtoehto myös selvästi tarjottu.

Päätös ei siis tarkoita sitä, etteikö verkkokauppa esimerkiksi saisi ostohistorian tai selailuhistorian perusteella suositella käyttäjälle muuta sopivaa ostettavaa. Näin kyllä saa tehdä, jos on pyytänyt tähän luvan käyttäjältä ja tarjonnut mahdollisuuden myös kieltäytyä.

Luvan pyytämistä ei myöskään saa yhdistää esimerkiksi ostotapahtumaan, eli ostaessaan tuotteen, käyttäjä ei voi automaattisesti antaa lupaa seurantaan ja profilointiin.

EU haluaa estää luvattoman profiloinnin kokonaan

Tässä on tietysti taustalla ajatus käyttäjien lähtökohtaisesta anonymiteetistä, joka on esimerkiksi fyysisessä maailmassa hyvin pitkällä.

Esimerkiksi ostoskeskukset eivät saa kysyä ihmisten henkilötietoja ostoskeskuksen ovella, vaikka haluaisivat. Leffassa ja museossa tulee voida asioida ilman henkilötietojen kertomista, ja niin edespäin.

Kivijalkakauppojen puolella tämä on ollut pitkään todellisuutta. Tokmannilla, Prismassa tai Gigantissa on voitava asioida ilman tunnistautumista, eikä kauppa saa tallentaa ostajan henkilötietoja ilman käyttäjän suostumusta. Tämä sama ideahan ei ole todellisuutta esimerkiksi verkkokaupoissa tai mediatalojen sivustoilla tänä päivänä. Käytännössä kaikki isot verkkokaupat ja mediatalojen sivustot pakottavat ostajat antamaan runsaasti henkilötietoja ostoksen yhteydessä, eivätkä anna helppoja mahdollisuuksia kieltäytyä näiden tietojen tallentumisesta ja käytöstä ainakin jonkinlaisessa markkinoinnissa.

Täten jos pitäisi veikata, niin EU kyllä puskee tämän linjauksen läpi, ennemmin tai myöhemmin. Myös verkkokaupoissa ja mediatalojen sivustoilla on voitava asioida kohtuullisella anonymiteetillä, ja käyttäjän on itse voitava vaikuttaa siihen, mihin henkilötietoja käytetään. Myös mediataloille tämä tulee tarkoittamaan aiempaa selkeämpiä lupalappuja, jos käyttäjälle halutaan näyttää kohdennettua mainontaa, oli sitten kyse uutiskirjeistä tai verkkopalveluista. Monelle mediatalolle tämä voi vaatia aika isojakin muutoksia, koska nykyisellään moni edellyttää Facebookin tavoin, että käyttäjä hyväksyy kohdennetun mainonnan osana mediatalon kanssa tehtävää sopimusta, eikä yksittäinen käyttäjä voi tästä ehdosta neuvotella.

Aikajännettä tähän muutokseen on toki vaikea ennustaa. Melkein kaikki mikä liittyy GDPR:aan, vaikuttaa olevan aika hidasta. Tämäkin asia laitettiin vireille vuonna 2018, eli matka ilmoituksesta päätökseen kesti neljä vuotta. Ja nyt ovat edessä vielä valituskierrokset.

Mutta todennäköisesti tämä muutos tulee, ennemmin tai myöhemmin.

PS. BBC on myös kirjoittanut aiheesta, eikä tämä juttu ole maksumuurin takana.

PSS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 900 tilaajaa).

Perttu Tolvanen

Perttu on Vierityspalkin päätoimittaja ja kirjoittaja.

Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja toinen perustaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton konsulttiyhtiö, joka suunnittelee digitaalisia palveluita ja auttaa asiakkaita onnistumaan uudistushankkeissaan. Ota yhteyttä Perttuun!

2 kommenttia on “Käyttäjän profilointi vaatii aina käyttäjältä luvan”

  1. Perttu Tolvanen

    Tämä päätös on toki myös jossain määrin ristiriitainen: Facebook saa profiloida omia sisältöjään käyttäjille, mutta ei saa käyttää samaa logiikkaa mainosten jakeluun.

    Eli tässä varmasti päästään vielä monenlaisiin keskusteluihin siitä, että mikä on luvanvaraista kaupallista profilointia ja mikä on sitten palveluun täysin elimellisesti kuuluvaa toimintaa.

    Ja sama koskee mainontaa myös esimerkiksi verkkokaupoissa, että onko ostohistorian hyödyntäminen mainonnan kohdennuksessa palvelun sisällä luvanvaraista vai kaupan perustoimintaa.

    Fyysisen maailman vertauskuva on helppo, mutta digimaailma on vähän erilainen, voisi väittää myös, että käyttäjät odottavat jonkinlaista kohdennusta, kun ovat rekisteröityneet. EU tuntuu olevan tästä sitä mieltä, että kaikkeen profilointiin pitäisi pyytää lupa hyvin yksiselitteisesti.

    Voisi myös ajatella, että ns hyvät toimijat pyytävät luvat mieluusti, mutta osalle luvan pyytäminen on vaikeampaa.

  2. Tämä profilointi on kyllä mielenkiintoinen asia tietosuojanäkökulmasta. Juuri hiljattain EU:n parlamentissa äänestettiin laista, joka käsittelee poliittista profilointia ja sen käyttämistä poliittiseen mainontaan. Kirjoitin siitä juuri hiljattain kommentin:

    https://arxiv.org/abs/2303.02863

    Kuten myös itse kirjoitat, oletettavissa on, että tulevaisuudessa tätä profilointiasiaa tullaan toimeenpanemaan Euroopassa tiukemmin GDPR:än tiimoilta (erityisesti koskien sen artiklaa 9).

Kommentointi on suljettu.



Vierityspalkki-blogi

Julkaistu vuodesta 2006. Vierityspalkki on blogi kotimaisen internet-alan trendeistä, teknologioista ja alan toimistoista. Seuraa, niin tiedät miten ja kenen toimesta syntyvät parhaat verkkopalvelut, verkkokaupat ja räätälöidyt web-sovellukset.
Lisätietoa blogista ja sen lukijoista.

  • 1100+ asiantuntija-artikkelia.

    Toimitettua asiasisältöä kattavasti teknologioista ja web-alan ilmiöistä. Vierityspalkki nostaa esiin alan puheenaiheita ja tuoretta tutkimustietoa, osallistuu keskusteluun sekä haastattelee alan asiantuntijoita ja toimistoja.


    Kaikki artikkelit

  • 1300+ digipalvelun referenssicasea.

    Julkaisut-palsta tarjoaa näkyvyyttä kiinnostaville uusille verkkopalveluille ja web-sovelluksille, ja antaa asiakkaille mahdollisuuden arvioida eri toimistojen osaamista.


    Selaa toimistojen julkaisuja

  • 1000+ aktiivista lukijaa blogin kuukausikirjeellä.

    Kerran kuukaudessa ilmestyvä kuukausikirje koostaa julkaistut artikkelit, uudet julkaisut, avoimet työpaikat ja ajankohtaiset linkkivinkit.


    Tilaa uutiskirje

  • 31 kokenutta digitoimistoa

    on päässyt aina ajantasaiselle Toimistot-listalle. Lista on auttanut asiakkaita löytämään kokeneita digitoimistokumppaneita jo usean vuoden ajan. Lista keskittyy WordPress-osaajiin ja räätälöityjen web-sovellusten tekijöihin.


    Selaa Toimistot-listaa

Tilaa kuukausikirje

Kerran kuukaudessa ilmestyvä uutiskirje koostaa artikkelit, julkaisut, työpaikat ja linkkivinkit. Kirjeellä on jo yli 1000 tilaajaa.
Huom. Sähköpostiosoitettasi ei luovuteta eteenpäin, eikä käytetä mihinkään muuhun tarkoitukseen – ihan oikeasti.

Siirry takaisin sivun alkuun