torstai 23. toukokuuta 2013

Isoveli pelasti taas -- kauppa vaikenee

Tietosuoja on jatkuvaa tasapainoilua yksityisyyden ja yleisen edun välillä. Eilen S-ryhmä kertoi kaivaneensa kanta-asiakasrekisteristään niiden ihmisten tiedot, jotka olivat ostaneet hulluruohon pilaamia kasviksia.

Vastaava tapaus vielä vakavammin seurauksin sattui pari vuotta sitten, kun K-kaupat myivät botuliinin saastuttamia oliiveja. Jo tuolloin tiedettiin, että myös S-ryhmä pystyy jäljittämään yksittäisten tuotteiden ostajat.

Merkittävää tämä on siksi, että S- ja K-ryhmä kertovat keräävänsä ostotietoja vain tuoteryhmätasolla, josta ostajia ei voi yksilöidä. Ne jättävät kertomatta, että on toinenkin rekisteri: yhdistämällä kanta-asiakkaiden ostotiedot kassajärjestelmän keräämiin tuotetietoihin pystytään jäljittämään mikä tahansa kanta-asiakkaan tekemä yksittäinen ostos jopa kuusi vuotta taaksepäin (jostain syystä S-ryhmä kertoo säilyttävänsä tietoja vain muutamia kuukausia, mikä ei käsittääkseni voi pitää paikkaansa, koska kyse on kirjanpitoaineistosta).

Ehkä tätä ei pidetä tarpeellisena kertoa, koska yhdistelyä tehdään (ainakin kauppojen oman ilmoituksen mukaan) vain viranomaisten määräyksestä -- silloin kun asiakkaiden terveys on uhattuna.

Olen insinööri enkä juristi, mutta tulkitsen henkilötietolakia toisin. Jos on mahdollista yhdistää tietoja toisen rekisterin kautta ja kytkeä niitä yksittäisiin ostajiin, tästä pitäisi kertoa rekisteriselosteessa. Bonusjärjestelmän rekisteriseloste löytyy netistä, mutta missä on vastava seloste kassajärjestelmistä?

Asia tuli julkiseksi oliivikohun yhteydessä jo syksyllä 2011. Siksi onkin yllättävää, ettei tietosuojavaltuutettu näytä tuntevan asiaa. YLEn uutisessa hän sanoo näin: "Kuluttajille ei ole kerrottu sitä, että järjestelmät ovat niin yksityiskohtaisia. Eikä ole kyllä meille viranomaisillekaan kuvattu sitä, että päästään tuoterivitasoiselle tarkkuudelle."

Erityisen yllättävää tämä on siksi, että oliivikohun jälkeen Tietosuojavaltuutetun toimisto käynnisti selvityksen kanta-asiakasohjelmien tiedonkeruusta. Tiedote aiheesta löytyy täältä, 27.1.2012 julkistettu yhteenveto täältä. Miten tuoterivien tallentaminen voi kaiken tämän jälkeen tulla yllätyksenä?

Totta on, ettei kuluttajille ole kerrottu tietojärjestelmien yksityiskohtaisuudesta. En ymmärrä, mitä kauppaliikkeet pelkäävät. Vaikka bonusjärjestelmät ovat kuluttajan edun kannalta suurta huijausta, asiakkaat suhtautuvat niihin myönteisesti. Osa jopa toivoo nykyistä tarkempaa tiedonkeruuta ("Ottakaa tietoni, Kesko ja S-ryhmä").

Mikä siis estää kauppoja noudattamasta henkilötietolain kirjaimen lisäksi sen henkeä?

22 kommenttia:

Anonyymi kirjoitti...

Juuri tämä vuoksi en ostakaan lahtarimarketeista siideriä/olutta kuin käteisellä ja plussa/s-korttikyselyyn vastaan "Ei ole"

Unknown kirjoitti...

Tuo kertoo siitä kuinka hyvin tietosuojaväki on vedätettävissä.
Ehkä eivät myöskään uskalla moittia näin isoa organisaatiota jonka lonkerot ulottuvat joka paikkaan, korkealle maan johtoon. Ei kai muuten näin monopoliasemaan olisi voitu päästäkään.

Itse olen kliininen auditoija ja näin kokemusta tämmöisestä valvomisesta.

Käsitykseni mukaan pitäisi olla Suomen ulkopuolinen valvoja näin isolle organisaatiolle.
Koko lähes monopoli tilanne pitäisi purkaa hallitusti. Edes ässäkortteja ei saisi olla kunnan tai valtion päättävillä.

Tarvittaisiin EU:ta tässä asiassa.

petrip kirjoitti...

Se ei ole tietosuoja lain tarkoittama arkisto jos hakemine ei ole helppoa. Eli miksi se pitäis ilmoittaa?

Ja se säilytys aika kuukausia todenäköisesti pitää paikkansa. Kirjanpitoaineistossa on tallennettun kuitin numero ja yksittäiset ostokset linkattu siihen . Ja asiakkaan tiedoissa on kuitin numero samaten. Ja se kuuden vuoden säilytys velvollisuus eikoske asiakasrekisteriä sieltä voidaan poistaa viittaus kuittiin ajastettuna ajona vaikkapa puolen vuoden päästä.

Sinänsä outoa, että ihminen joka rikkoo omaa yksityisyyden suojaansa avaamalla facebook tilin jaksaa huolestua kaupan asiakaskorteista. Loukkaus on kevyempi ja siinä on sentään joku upside

Petteri Järvinen kirjoitti...

Se ei ole tietosuoja lain tarkoittama arkisto jos hakemine ei ole helppoa.

Tietosuojalaki (yhdyssana) ei ota mitään kantaa haun helppouteen. Palvelimen lokikin on henkilötietolain tarkoittama rekisteri, jos ip-osoitteista voidaan epäsuorasti selvittää surfaajien henkilöllisyys. (Arkisto ei liity tähän mitenkään).

Petteri Järvinen kirjoitti...

Siinä linkittämässäni artikkelissa kerrottiin mm. "Tarvittaessa nämä tiedot voidaan kuitenkin yhdistää kassajärjestelmien tietoihin...
Jopa kuuden vuoden takaisia ostoksia pystytään selvittämään, koska osto- ja myyntitositteita pitää säilyttää niin kauan."

Kannattaa lukea.

Hannu kirjoitti...

Minulle jäi hieman epäselväksi:
- kenelle asia tuli yllätyksenä?
- mitä kaupan pitäisi Petterin mielestä tarkkaan ottaen tehdä?

Vaikka en pidäkään siitä että "isoveli valvoo", niin tässä tapauksessa ja etenkin tulevissa samanlaisissa tapauksissa minä ainakin pidän erinomaisenä tällaista tiedottamista.

Petteri Järvinen kirjoitti...

- kenelle asia tuli yllätyksenä?

YLEn uutisesta päätellen tietosuojavaltuutetulle

- mitä kaupan pitäisi Petterin mielestä tarkkaan ottaen tehdä?

Päivittää rekisteriselosteensa.

tässä tapauksessa ja etenkin tulevissa samanlaisissa tapauksissa minä ainakin pidän erinomaisenä tällaista tiedottamista

Niin minäkin.

petrip kirjoitti...

Ottaa laki kantaa helppouteen:


henkilörekisterillä [tarkoitetaan] käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta;


Eli jos kyseessä kaksi eri tietojärjestelmää, joidenka väliset ristihaut edellyttävät työläitä toimenpiteitä, kyseessä ei ole henkilörekisteri.

Kohtuuttoman vaivan määrittely ei ole objektiivista. Oleellista lienee, että se edellyttää manuaalista vaihetta ja sellaisesta hausta jää jälki.

Unknown kirjoitti...

Mitä ovat työläät toimenpiteet?

Mitenkä ne määritellään?

Petteri Järvinen kirjoitti...

Kuten sanottua, olen insinööri enkä juristi. Voisin kuvitella, että mikä tahansa koneellinen yhdistely katsotaan riittävän helpoksi. Oikeuskäytäntöä tästä ei taida vielä olla.

K ja S ehkä ajattelevat, että kun kassajärjestelmän ja bonusjärjestelmän tietoja pitää yhdistellä käsin (en kyllä ymmärrä miksi, käykö joku oikeasti manuaalisesti läpi kassakuitteja ostajien löytämiseksi ?!), sitä ei tarvitsisi mainita rekisteriselosteessa.

Itse tulkitsen asiaa tiukasti sen vuoksi, että tietosuojavaltuutettu on henkilökohtaisesti puuttunut web-sivullani olleisiin autojen rekisterinumeroihin, joiden perässä oli tieto auton summittaisesta sijainnista tiettyyn kellonaikaan. Vaikka tässä tapauksessa omistajan selvittäminen vaati tuntuvaa ja hankalaa manuaalista työtä, se oli tehtävissä, ja näin web-sivusta tuli lain tarkoittama henkilörekisteri. En lähtenyt testaamaan tätä näkemystä oikeudessa vaan poistin tiedot.

petrip kirjoitti...

"Kuten sanottua, olen insinööri enkä juristi. Voisin kuvitella, että mikä tahansa koneellinen yhdistely katsotaan riittävän helpoksi. Oikeuskäytäntöä tästä ei taida vielä olla. "

No on siitä monenlaista oikeuskäytäntöä. Ei juuri tähän mutta esimerkiksi mappeihin arkistoituja tietoja ei ole katsottu rekisteriksi, paitsi jos mappien sisällöstä on rakennettu ristiviittaus dokumentti, jonka avulla tiedot löytyvät.

Tämä on helppo tapaus. Kyseiset tiedot ovat eri tietojärjestelmissä joten hakua ei voi tehdä helposti.

Pelkkä sama hakuavain molempiin ei tee siitä yhtä rekisteriä. Muutenhan kaikki valtion rekisterit pitäisi tulkita yhdeksi rekisteriksi. Niidenkin tiedot voidaan poikkeus tapauksissa yhdistellä.

Käsin yhdistely tarkoittaa sitä että operaattori ajaa toisesta järjestelmästä listan kuittinumeroita ja vie ne tiedostona toiseen systeemin ja siellä tehdään haku näillä kuittinumeroilla. Eli ei suju nappia painamalla.

Ja koska tilanteeseen tuskin on varauduttu on mahdollista, että joudutaan jopa haut kirjoittamaan SQL:llä. Ei suuren suuri viiväste, mutta lisänä rikka rokassa

On varmasti riittävän hankalaa että pitäisi oikeudessa

Yksi Turkkulaanen kirjoitti...

Yksinkertaisin ratkaisu:

Lakataan pelaamasta näitä korttipelejä. Niistä saataavat "edut" ovat kaiken muun huijauksen lisäksi mitättömiä, kun muistetaan, että S- ja K- ketjut ovat korottaneet hintojaan sekä antamiensa "alennusten" verran että koko korttirumban aiheuttamien kustannusten verran.

Omalta kohdaltani lopetin korttipelien pelaamisen ja ainoataan vertailen eri kauppojen hintoja.

Osmo kirjoitti...

Samoihin tietoihin päästään käsiksi, jos asiakas on käyttänyt mitä tahansa maksukorttia.

Anonyymi kirjoitti...

Kauan sitten viime vuosikymmenellä erään henkilön kotisivuilla oli kokoelma kuvia väärin pysäköidyistä autoista. Tietosuojavaltuutettu piti tätä laittomana henkilörekisterinä, koska rekisterikilvistä oli selvitettävissä autojen omistaja. Tämä siitäkin huolimatta, että 1) rekisterikilvet olivat vain osa valokuvia, jolloin yhdistely olisi pitänyt tehdä käsin 2) Ajoneuvorekisterikeskuksen haku piti tehdä käsin tekstiviestipalvelun kautta ja 3) haku maksoi käyttäjälle noin euron per kysely.

Jos tapauksessa oli kyse helposti yhdisteltävistä tiedoista, niin mitä S-ketjun toiminta sitten oli? Kuten Petteri totesi, niin oikeuskäytäntöä ei asiasta vielä ole.

petrip kirjoitti...

Eihän valtuutettu ole puuttunut vaikka julkisen vallan rekistereihin. Kun on ihmisen HETU sillä voidaan yhdistää KELAn, rikoskrekisterin, verottajan, puolustusvoimain ja puolentusinan muun tahon tiedot.

Jos ne on eri rekisteri niin ne on eri rekisteri. Ja lainsäädännöllä sanktiodaan näiden rekistereiden luvaton yhdistely. Kokoasiassa ei ole mitään ongelmaa. Kukaan ei ole toiminut väärin, eikä ketään ole edes epäilty (järkevästi) väärintoimimisesta.


Tietosuoja valtuutetunn kanta tuossa valokuvassa lienee perustunut ihan vaan siihen että on itse pitänyt sitä sopimattomana. Sitäkään ei ole koeponnistettu oikeudessa. Sehän mahdollistaa rikkojan tunnistamisen kun hänet samalla autolla liikkeellä näkee.

OlliJT kirjoitti...

Olennaista tässä on se, että kauppa on rekisteriselosteessa kertonut tallentavansa ostotapahtumista vain kuitin loppusumman, mutta todellisuudessa kauppa tallentaa myös yksittäiset tuoterivit. Tämä ei ole yhteensopiva oikeustajuni kanssa. Ymmärrän kyllä, että lainopillisesti kaikki on ok, koska ostorivit muodostavat oman "rekisterinsä".

Yksi Turkkulaanen kirjoitti...

Osmo sanoi aivan oikein, samaan korttipeleistä luopumiseen liittyy myös maksukorttien minimaalinen käyttö. Onneksi käteinen kelpaa vielä joka puolella.

Antti Rautakorpi kirjoitti...

Sanoisin puhuvani puolesta enkä vastaan. Lähinnä puollan Petterin näkökulmaa kuten yleensä muutenkin näkemyksiäsi. Tähän aikaan vaan en koe riittävän rakentavana jatkaa aiheen analysointia.

On hyvä herättää keskustelua ja spekuloida tältäkin kantilta, samoin itsekin haluan asioista puhuttavan avoimesti ja niiden oikeilla nimillä.

Kolmen lapsen isänä käyttäisin korttia kuitenkin, säästääkseni ehkä sen euron tai pari, mutta tosiasiassa isoveli valvoo osan sieltä ja toisen täältä. Se on vaan sitä nykyaikaa. Olemme uhreja, mutta omalla toiminnallamme ruokimme sen suuntaa.

Viikonloppuja!

petrip kirjoitti...

OlliJT sanoi...

Olennaista tässä on se, että kauppa on rekisteriselosteessa kertonut tallentavansa ostotapahtumista vain kuitin loppusumman, mutta todellisuudessa kauppa tallentaa myös yksittäiset tuoterivit. Tämä ei ole yhteensopiva oikeustajuni


Mutta eri rekisteriin. Siihen rekisteriin, jossa on henkilötietoja tallennetaan vain loppusumma.

Ja siihen toiseen, jota tarvitaan toiminnanohjauksessa ja jossa ei ole henkilöön liittyviä tietoja on tallennettu myös yksittäiset myydyt artikkelit.

Eli vaikka se jotakuta ahdistaa niin ei tässä ole mitään rikottu. Ei edes periaatteessa. Ja helpointa on sitten leikata kortit kahtia niin ei tule profilointi riskiä.

Petteri Järvinen kirjoitti...

Ja siihen toiseen, jota tarvitaan toiminnanohjauksessa ja jossa ei ole henkilöön liittyviä tietoja on tallennettu myös yksittäiset myydyt artikkelit.

Auton rekisterinumerokin on henkilötieto, koska sen perusteella voidaan manuaalisesti saada tietää kuka autoa on (todennäköisesti) käyttänyt. Samoin web-palvelinten ja palomuurien lokit voivat olla henkilötietolain tarkoittamia rekistereitä, jos osoitteet ovat epäsuorasti yhdistettävissä henkilöihin.

Vähintäänkin tästä kassatietojärjestelmästä pitäisi olla rekisteriseloste.

Anonyymi kirjoitti...

Mitä v***n väliä on sillä, onko kyseessä "sama" vai "eri" rekisteri, kun tiedot on samalla tavalla selvitettävissä. Ja kukaan ei edelleenkään väitä, että lakia olisi rikottu. Pointti on siinä, että ehkä lainsäätäjällä olisi tämänkin lain suhteen vielä hieman säätämistä.

petrip kirjoitti...

Sillä on kaikki maailman väli. Maailmassa on järjetön määrä tietoa, ja myös sinusta. Ja niiden yhdistelyllä on ainasaatvaissa aikaan vaikkamitä.

Voitaisiin vaikka tutkia rikostutukinnan yhteydessä onko liikenteen vaarantamiseen epäilty henkilö sairastanut jotain, mistä hän on tietoinen ja voinut edes auttaa onnettomuuden syntyä. Se olisi huomattavan helppoa ja ainoa mikä sen estää on se että ihmiset noudattavat lakeja.

Aivan niinkuin tässä.- Kun tuli tilanne jossa laissa kielletty toimenpide tuli tehdä ja siitä ilmoitettiin asianmukaisesti ja toimenpiteeseen saatiin lupa.

Maailmassa on ikävä kyllä aina osa asioista luottamuksen varassa. Kaikkea ei voi kieltää varmuuden vuoksi.

Toiminnanohjaus järjestelmässä olevaa kuitin numeroa tuskin voi rinnastaa rekisterinumeroon, koska se ei sinänsä yksinään yksilöi henkilöä, joten siitä ei rekisteriselostetta tarvita.

Ja se että kuitin numero tallenetaan kerrotaan kyllä. SOK sivut huollossa muttä tässä kilpailijan seloste:

K-Plussa-kortin käyttöön liittyvät tiedot:
• kortilla suoritetut ostot kuitin loppusumma-, tuoteryhmä- tai tuotetasolla (ellei asiakkaan kieltoa),
sisältäen ostopaikan, kuittinumeron, maksutavan, oston päivämäärän ja kellonajan



Eli kaikki on aivan niinkuin pitää. Rekisteri selosteetkin on kunnossa