Tulostusversio

4/2011

Sosiaalinen media: Facebook herättää kysymyksiä

Teksti: Päivi Männikkö

Pohjoismaiden tietosuojaviranomaisten ja yhteisöpalvelu Facebookin neuvonpidossa selvisi, että Facebook katsoo kuuluvansa henkilötietodirektiivin soveltamisalaan. Moni muu asia odottaa lisäselvityksiä.

Internetin yhteisöpalvelu Facebook työllistää eurooppalaisia tietosuojaviranomaisia.

Facebookin Euroopan-yhtiön toimisto on Irlannissa, joten Irlannin tietosuojaviranomaisen tehtävänä on arvioida, käsitteleekö Facebook eurooppalaisten käyttäjiensä henkilötietoja EU:n lainsäädännön mukaisesti.

Pohjoismaiden tietosuojaviranomaiset puolestaan ovat selvittäneet Facebookin tietosuojakäytäntöjä. He esittivät Facebookille lisäkysymyksiä, joihin yhtiö vastasi syyskuussa.

Mitä Pohjoismaat halusivat tietää?

Viranomaiset kysyivät, katsooko Facebook toimintansa kuuluvan EU:n henkilötietodirektiivin piiriin. Yhtiöltä kysyttiin myös, mitä käyttäjien antamia henkilötietoja se käyttää itse ja mitä se luovuttaa esimerkiksi sovellusten tarjoajille ja mainostajille. Tykkää-, etsi kavereita- ja kasvojentunnistussovellusten kautta Facebook saa myös ei-jäsenten ja kirjautumattomien jäsenten henkilötietoja. Viranomaisia kiinnosti, mitä tietoja yhtiö kerää heistä.

Pohjoismaat halusivat myös selvyyttä siihen, missä määrin käyttäjä voi vaikuttaa yksityisyysasetuksiin.

Mitä vastauksista selvisi?

Yhtiö totesi, että se soveltaa eurooppalaista henkilötietodirektiiviä ja Irlannin henkilötietolakia ja kuuluu siten Irlannin tietosuojavaltuutetun lainvalvonnan piiriin.

Sen sijaan useat muut vastaukset jättivät tarkentamisen varaa. Tarkennuksia saataneen viimeistään Irlannin tietosuojaviranomaisen tarkastuksessa.

Mitkä asiat jäivät epäselviksi?

Käyttäjien roolissa ja oikeuksissa on vielä tarkennettavaa, samoin kolmansien osapuolten asemassa. Teknisen alustan toimintaa ja paikkatietojen käsittelyä on myös selvitettävä lisää. 

Mitkä seikat käyttäjien oikeuksissa vaativat tarkennuksia?

Miten käyttäjien henkilötietoja käsitellään ja yksityisyysasetuksia muutetaan? Ennen kaikkea: kerrotaanko käyttäjille tietosuojakäytännöistä riittävän selvästi ja pyydetäänkö heiltä suostumusta?

Toisaalta käyttäjät myös tuottavat itse tietoja, ja käyttäjien roolin monimuotoisuus mutkistaa tietosuojakäytäntöjen arviointia.

Mitä ovat kolmannet osapuolet?

Facebook tarjoaa alustan muille toimijoille, jotka tuottavat sovelluksia ja kohdennettua mainontaa sekä perustavat erilaisia ryhmiä ja sivuja.

Kolmansien osapuolten rooli vaikeuttaa Facebookin tietosuojan arviointia. Mitä tietoja ne saavat käyttäjistä? Onko niiden palvelujen rekisterinpitäjänä Facebook vai palveluntarjoaja? Kenen puoleen käyttäjä kääntyy, jos hän haluaa tietää, mitä tietoja kolmansien osapuolten palvelut keräävät hänestä?

Käyttäjille lähetetään esimerkiksi kohdennettua mainontaa, joka perustuu näiden profiileihinsa tekemiin päivityksiin. Kuinka yksilöityä tietoa mainostajat saavat näistä päivityksistä?

Mikä teknisessä alustassa mietityttää?

Miten käyttäjän oikeudet otetaan siinä huomioon?

Esimerkiksi Facebook tietää käyttäjiensä nettisurffailusta silloinkin, kun he eivät ole kirjautuneina. Palvelussa siis käytetään seurantaevästeitä. Evästeiden käyttö taas edellyttää Euroopassa nykyään käyttäjän etukäteissuostumusta.

Facebookissa voi myös ottaa käyttöön paikannussovelluksen, jossa käyttäjä ilmoittaa sijainnistaan matkapuhelimella. Pyydetäänkö käyttäjältä suostumus paikkatietojen keräämiseen, ja miten käyttäjä voi vaikuttaa niiden käsittelyyn? Yleisesti ottaen mobiili- ja muun teknologian käytön kasvu on lisännyt paineita analysoida paikkatietoa entistä tarkemmin.

Ovatko EU-maat yhtä mieltä siitä, että Facebookiin sovelletaan Irlannin henkilötietolakia?

Henkilötietodirektiivi edellyttää, että Euroopassa henkilötietoja käsittelevällä yhtiöllä on edustus Euroopassa. Yhtiöön sovelletaan yleensä sen maan henkilötietolakia, jossa sillä on edustus.

Facebookin kohdalla on keskusteltu siitä, pitäisikö muillakin EU-mailla kuin Irlannilla olla toimivaltaa. Esimerkiksi Saksan tietosuojaviranomaisten mielestä yhtiöön pitäisi soveltaa myös Saksan tietosuojalainsäädäntöä, koska henkilötietojen käsittelyllä on vaikutuksia saksalaisiin käyttäjiin.

Mitä tapahtuu seuraavaksi?

Irlannin tietosuojaviranomainen tekee tarkastuksen Facebookin Euroopan-yhtiöön ja laatii siitä oikeudellisen arvion. Se valmistunee vuoden 2012 alussa. Arvion perusteella Euroopan tietosuojaviranomaiset päättävät jatkotoimista.

Mitä tapauksesta voi oppia jo nyt?

Henkilötietojen käsittely kannattaa suunnitella hyvin etukäteen. Ennen kuin käyttäjien henkilötietojen käsittelyä muutetaan, palveluntarjoajan pitää miettiä, miten muutokset vaikuttavat käyttäjiin.

---

Juttu perustuu tietosuojavaltuutettu Reijo Aarnion haastatteluun, Norjan tietosuojaviranomaisen selvitykseen ja Pohjoismaiden tietosuojaviranomaisten Facebookille lähettämään tiedusteluun.

Lue myös

Palveluntarjoajan vastuu: Uusyrittäjää ei neuvota tietosuojasta »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.