sunnuntai 11. syyskuuta 2016

Citycon näyttää miten henkilötietoja ei pidä käsitellä

Päivän Hesarissa Citycon antaa malliesimerkin siitä, miten henkilötietoja EI pidä käsitellä. On yllättävää, että näinkin iso yritys toimii kuin norsu posliinikaupassa ja osoittaa olevansa aivan pihalla paitsi lain sisällöstä myös asiakkaiden tahdosta.

Ehkä se johtuu kokemattomuudesta. Kiinteistösijoitusyhtiön asiakkaita ovat tiloja vuokraavat yritykset, eivät kauppakeskuksessa vierailevat asiakkaat. Citycon on lähtenyt vieraille vesille, mutta silloinkin mobiilisovelluksen tehneen kotimaisen yrityksen olisi pitänyt painaa jarrua. Jokainen devaaja tai projektipäällikkö tuntee varmasti tietosuojalain periaatteet ja Suomessa käydyn yksityisyyskeskustelun.

Tästä on kyse: suuren kauppakeskuksen laajennuksen myötä aiemmin käytössä ollut kolmen tunnin ilmainen pysäköinti poistui. Nykyään ilmaista aikaa on kaksi tuntia, mutta asentamalla Iso Omena -sovelluksen se tuplaantuu.

Mobiilisovellusta mainostetaan puomeilla.
Lisää mainosta ovilla, pysäköintiajan varjolla.
Aikojen mittaamiseksi valtaviin parkkihalleihin tuli pysäköintipuomit, jotka hidastavat sisäänajoa. Ehkä tällä varaudutaan tulevan metron liityntäpysäköintiin, mutta kilpaileva Sello-kauppakeskus antaa ilman puomejakin viisi tuntia pysäköintiaikaa ja junan liityntäpysäköintiä varten on oma alueensa (josta pitää maksaa yksi euro ja käyttää matkakorttia). Eikä yhtään henkilötietoa tarvitse luovuttaa mihinkään. Pitkä ilmainen pysäköintiaika hyödyttää kauppakeskusta: mitä pidempään asiakkaat pysyvät keskuksessa, sitä enemmän he kuluttavat. Mutta Sello ei olekaan Cityconin omistuksessa.

Herää epäily, että Iso Omena hankaloittaa tarkoituksella autoilevien asiakkaiden elämää saadakseen heidät lataamaan sovelluksen ja luovuttamaan tietonsa. Nykyään on tapana siirtää vastuu asiakaskokemuksen parantamisesta asiakkaalle itselleen: "Lataa sovellus ja luovuta tietosi, jotta voimme palvella sinua paremmin!". Kaikki tapahtuu muka asiakkaan omaksi eduksi. Niin varmaan.

Jos oikeasti haluatte palvella minua paremmin, poistakaa aluksi nuo sisäänajoa haittaavat puomit ja palatkaa vanhaan käytäntöön.

Toinen yleinen kikka on vedota yhteisöllisyyteen. Antamalla tietonsa kaupan käyttöön asiakas "liittyy yhteisöön".

Haluathan sinäkin kuulua yhteisöön?
Hesarin jutussa vain muutama asiakas kertoo tutustuneensa pitkiin sopimusehtoihin, jotka näytetään puhelimessa pienellä fontilla. Olisi kannattanut.
Pieni osa käyttöehdoista.
Citycon varaa oikeuden kerätä tietoja S- ja K-kauppojen rekistereistä (ei liene käytännössä mahdollista), väestörekisterikeskuksesta, Trafista ja sosiaalisen median palveluista (Instagram, Twitter, Facebook ym).

"Tämä on vain omaksi parhaakseksi"
Kaikella tällä keskus haluaa vain "mahdollistaa mahdollisimman mutkattoman ja antoisan asiakaskokemuksen".

Sopimustekstin mukaan Cityconin asiakasrekisteri voi pitää sisällään myös "sosiaalista ja taloudellista asemaa koskevat tiedot (muun muassa ammattisi ja tieto tuloluokastasi)". Ilmeisesti tämän tiedon tueksi Trafista haetaan rekisterin perusteella auton merkki ja vuosimalli ("käyttämäsi ajoneuvon rekisteritunnus ja muut käyttämääsi ajoneuvoa koskevat tiedot (muun muassa tieto ajoneuvon omistajasta, merkistä ja vuosimallista)").

Ehtoja lukiessa herää epäily, että ne on suomennettu jostain amerikkalaisesta esikuvasta ajattelematta koko asiaa. Luulisi näin ison yrityksen käyttävän kotimaisia juristeja. Ovatko sellaiset asiat kuin henkilötietolain tarpeellisuusvaatimus tai käyttötarkoitussidonnaisuus lainkaan tuttuja? Tarpeettomia tietoja ei saa kerätä edes henkilön suostumuksella.

Yleisen paheksunnan ohella mobiilisovelluksessa on pari kiinnostavaa juttua. Ensinnäkin siinä on sisätilapaikannus, jonka pitäisi näyttää kartalla, missä asiakas on. Ohjelman ilmoituksen mukaan paikannus perustuu kauppojen wifi-verkkoihin ja kiinteistön magneettikenttiin. Mahdollisesti todellinen syy paikannuspalveluun on halu analysoida asiakkaan liikkumista. Hyvä puoli on, ettei paikannus toimi. Testasin sitä usealla käyntikerralla Samsung S7-puhelimessa ja tiedot olivat ihan sattumanvaraisia.

Sisätilapaikannus ei toimi. Ei mikään suuri menetys asiakkaan näkökulmasta.
Toinen hyödyllinen ominaisuus on auton paikantaminen parkkihallissa. Eilisellä käynnillä kuuntelin vanhemman pariskunnan riitelevän suureen ääneen siitä ,mihin auto oli jäänyt. Toiminolle on epäilemättä käyttöä, sillä parkkihalleja on useita (joskin paikannus toimii vain P1-hallissa).

Karttanäyttö on aidosti hyödyllinen.
Paikannus perustuu kameroihin, joita on parkkihallin katossa tasaisin välein. Kamerat lukevat auton rekisterikilvet.

Auton paikannus perustuu kattokiskossa oleviin kameroihin.
Yksi kameroista lähikuvassa.
Paikannustoiminto löytyy mobiilisovelluksen valikosta ja se näyttää myös kuvan autosta.

Onko tämä autosi vai otetaanko seuraava?
Hieno juttu MUTTA: miten onkin kehittäjiltä taas unohtunut tietosuoja ja esimerkiksi häiriköivät ex-puolisot ja stalkkerit?

Auton paikannus onnistuu kaikkialta. Jos siis haluat seurata puolisosi liikkeitä, voit tarkistaa menikö hän oikeasti Iso Omenaan. Jos haluat ahdistella exääsi tai naarmuttaa hänen autoaan, löydät kohteen helposti.

Vähintäänkin sovellusta pitäisi rajoittaa niin, että sillä voi paikantaa vain oman auton (jonka rekisterinumero kerrotaan sovelluksen tiedoissa) ja/tai käyttö rajoittaa ostoskeskuksen sisäverkkoon.

Eivät tulleet väärinkäytösmahdollisuudet koodaajalle mieleen? On luultavasti sen verran nuori.

Ehkä Hesarin juttu sai Cityconin katumapäälle. Auton paikannus toimi vielä viikko sitten, mutta ei enää eilen. Mitään ilmoitusta ei tullut, autoa vain ei löytynyt useista hakuyrityksistä huolimatta. Jos ominaisuus on otettu pois käytöstä, siitä voisi kyllä mainita.

Hesarin juttu ja asiakkaiden reaktiot ovat tervetullut merkki siitä, että henkilötietojen käyttö kiinnostaa kansalaisia. Lainvastainen ja huonosti suunniteltu toiminta johtaa syystäkin PR-katastrofiin, jonka rinnalla Särkänniemen delfiinit näyttävät hyvältä mainokselta.

13 kommenttia:

Anonyymi kirjoitti...

Tässä on monta asiaa ja monella eri tasolla. Se ei sinänsä ole uusi asia, että käyttäjät ovat naiiveja, monet palveluja kehittävät innostuvat teknologigioiden mahdollistamana suoranaiseen ahneuteen.

Aika harvalla kiinteistösijoittajalla on tietääkseni kompetenssia toteuttaa teknisesti itse tämän kaltaisia monimutkaisia teknisijä järjestelmiä, jotka edellyttävät mm. mobiilisovelluksen ohjelmointia ym.

Tämän kaltaisia järjestelmiä hankitaan kumppanien kautta, jotka joko toteuttavat osan itse ja teettävät alihankintana tarvittavia asiakaskohtaisia osia tai sitten kumppani teetättää käytännössä kaiken ulkoisilla toimittajilla ja hoitaa itse vain projektia ja testausta avaimet käteen periaatteella. Toimittanut taho lienee ajatellut, että vastuun toiminnan laillisuudesta kantaa tilaaja ja keskittynyt vain erilaisten teknisten mahdollisuuksien esittelyyn mitä he voivat tarjota toimittamillaan järjestelmillä.

Tiedä sitten kuinka paljon tilaajan (Citycon) päässä on vaivauduttu miettimään lainmukaisuutta. Ja ymmärretty, että jos rikkoo lakia joutuen oikeuteen, niin tietämättömyys laista ei kelpaa selitykseksi, joskin bonafide/malafide voidaan huomioida annettussa tuomiossa.

No asian oikeudellinen puoli sikseen. Teknisestä puolesta sen verran, että mobiilipaikannus sisätiloista toimivuus riippuu hyvin paljon ympäristöstä, jossa sitä yritetään toteuttaa.

Isoissa avarissa tiloissa, joissa ei ole esteitä, synny yllättäviä heijastuksia ja vaimennuksia on paremmat mahdollisuudet saada paikannus toimimaan tarkemmin yksittäiselläkin tasolla.

Tiloissa jotka on jaettu pienempiin tiloihin kuten toimistorakennukset ja erityisesti energiatehokaiksi rakennetut paljon metallipintoja rakenteiden sisällä tai pinnoissa sisältävät tilat, sekä mm. UV- ja radioaaltoja vaimentavat lasielementit aiheuttavat isoja ongelmia saada mobiilipaikannusta toimimaan muuten kuin vain yleisellä tasolla. Näissä samoissa tiloissa mobiilioperaattorit joutuvat täydentämään kuuluvuutta useilla rakennuksen sisälle sijoitetuilla pienitehoisilla aputukiasemilla.

Verkon puolelta tehtäessä hyvissäkään olosuhteissa ei nykyisin kuitenkaan päästä sisällä alle 7m tarkkuuteen, mutta yleisellä tasolla saadaan toki päätelaitemääristä tietoja kuinka paljon niitä on missäkin osassa rakennusta milloinkin, miten asiakasvirrat kulkevat. Voidaan nähdä trendejä ja käyttää niitä ennusteiden tekemisen apuna.

Päätelaitteessa oleva sovellus luultavasti parantaa paikannuksen tarkkuutta ja ulottaa se kaikkialle missä käyttäjä liikkuu, sen lisäksi tietysti että sillä saadaan urkittua naiivilta tai välinpitämättömältä käyttäjältä paljon muutakin tietoa, jota ilmeisesti aiotaan hyödyntää, myydä eteenpäin ja niin edelleen.

Arvelisin myös, että on täysin mahdollista, että tilaaja on suostunut järjestelmätoimittajan sopimukseen ja saanut järjestelmän käyttöönsä, sen tuottamaa dataa ja raportteja huomattavan edullisesti nimen omaan siihen perustuen, että järjestelmän toimittajalla on myös siihen yhtäläinen pääsy ja oikeus myydä vähintäänkin datasta jalostettua tietoa eteenpäin.

Se mitä kerätyllä datalla yhdistelemällä voidaan tehdä on niin iso asia, ettei se tähän kommenttiin kannata yrittää sisällyttää. Lyhyesti vain, että moniko on tullut ajatelleeksi seuraavia. Paikkatiedosta näkee missä asut, teet työtä, syöt, harrastat, nukut mutta usein myös sen kenen kanssa, päivä ja viikkorytmin, loma-ajat ja kohteet, varsin usein myös mikä on langattoman kotiverkkosi nimi, mitä muita laitteita siellä verkossa on ja mikä on liittymän IP-osoite ulospäin, mitä muita langattomia verkkoja on lähistöllä niissä paikoissa joissa liikut ja paljon muuta.

Anonyymi kirjoitti...

Ilmeisesti tämän tiedon tueksi Trafista haetaan rekisterin perusteella auton merkki ja vuosimalli ("käyttämäsi ajoneuvon rekisteritunnus ja muut käyttämääsi ajoneuvoa koskevat tiedot (muun muassa tieto ajoneuvon omistajasta, merkistä ja vuosimallista)").

Auton kuljettaja ei varmaankaan voi valtuuttaa jotain ulkopuolista hakemaan tällaisia tietoja auton omistajasta ja/tai haltijasta? Ei ole mitään takeita siitä, että autoa kuljettaisi sen haltija tai omistaja.

Anonyymi kirjoitti...

@Anonyymi

Trafiltahan saa nuo samat tiedot myös useammakin eri palveluntarjoajan kautta, ellei erikseen ole haettu kieltoja. Ajoneuvoliikennerekisteri on lähtökohtaisesti julkinen rekisteri, kuten linkatulla sivulla todetaan.

Malliksi yhdeltä palvluntuottajalta näet mitä tietoja luovutetaan.

Anonyymi kirjoitti...

Ajoneuvoliikennerekisteri on lähtökohtaisesti julkinen rekisteri, kuten linkatulla sivulla todetaan.

Vaikka ajoneuvorekisteri on julkinen rekisteri, ei sen tietoja silti saa hyödyntää miten tahansa. Tietojen käyttöä koskevat normaalit henkilötietojen käsittelyä koskevat säännöt.

Nyt ajoneuvon omistaja/haltija voi päätyä Cityconin rekistereihin ilman että itse saa tietoa asiasta, tai että voi edes oikaista Cityconin mahdollisesti tekemiä virhepäätelmiä.

Anonyymi kirjoitti...

@Anonyymi

Aivan ei tietenkään saa käyttää tietoja lain vastastisesti ja perustaa laitonta rekisteriä. Rekisterin pitäjän olisi syytä kysyä ajoneuvon omistussuhteesta ja hakea tietoja vain jos ajoneuvo on käyttäjän ilmoituksen mukaan oma ja antaessaan siihen luvan. Senkin jälkeen pitäisi vielä tarkastaa haetuista tiedoista, että väite pitää paikkansa eikä tallettaa kenenkään nimiä joita rekisterissä on ja ajoneuvon teknisiäkin tietoja vain jos omistajatieto täsmäsi annettuun. Jos tiedot eivät täsmää omistajaan, niin on pysäköintipalvelun pitäjän asia myöntääkö jatketun pysäköintiajan vai ei.

Mutta tähän astisen tiedon perusteella mitä koko hankkeesta olen lukenut, niin syntyy vaikutelma että on edetty niin tekniikka edellä, että tuskin on paljon päätä vaivattu juridisilla kysymyksillä kun innostus mahdollisuuksista tehdä liiketoimintaa asiakasvirroilla ja niistä kerättävällä datalla on ollut päällimmäisenä.

Anonyymi kirjoitti...

"Eivät tulleet väärinkäytösmahdollisuudet koodaajalle mieleen? On luultavasti sen verran nuori."

Miksi koodarin pitäisi tällainen tajuta???!!! Kyllä se on sovelluksen tilaaja, jonka pitää ko. vaatimus tajuta pyytää/vaatia.

Petteri Järvinen kirjoitti...

Ei ajattelua ole kielletty koodareiltakaan. Eri asia, jos koodaustyö on teetetty halvalla Intiassa.

Anonyymi kirjoitti...

Cityconin toiminta parkkihallin suhteen on saanut minut boikotoimaan koko Iso Omenaa. Jotkut ilmeisesti pitävät 1984 meiningistä ostoskeskuksessa. Toisaalta - minua ärsyttää jo se jatkuva mainonta ja muzakki näissä ostoskeskuksissa.

Anonyymi kirjoitti...

Tämä kommentti ei osu aivan aiheeseen eli en kommentoi mielestäni hyvin kirjoitettua juttua, vaan pikkusen menee nyt sivuun...

Minua kiinnostaisi käydä läpi analyyttisesti Cityconin kyseinen tietosuojaseloste lopputyötäni varten. 16.9.2016 lähtien olen yrittänyt saada sitä nähdäkseni, mutta se on poistettu osoitteesta, johon esimerkiksi Google Play -kaupan Iso Omena -sovelluksen sivulta viitataan. Tietosuojaselostetta ei siis tosiasiallisesti edes saatavilla asennettaessa Iso Omena -sovellusta.

Guuglailemallakaan en löytänyt kyseistä dokumenttia. Googlen välimuistista löytyi sentään englanninkielinen dokumentti, joka oli viimeisen kerran Googlen toimesta tallennettu välimuistiin 10.8.2016. Petteri Järvisen julkaisemien tietosuojaselosteen otteiden vertailu löytämääni dokumenttiin osoitti, että suomenkielinen dokumentti on sisällöltään niin erilainen, etten voi löytämääni englanninkielistä käyttää materiaalina. Olisko jollakin vinkkiä mistä tuo suomen kielinen dokkari vielä löytyisi?

Anonyymi kirjoitti...

"Olisko jollakin vinkkiä mistä tuo suomen kielinen dokkari vielä löytyisi?"
Eikös Anonyymin pitäisi ihan lakien perusteella saada se Cityconilta?
Lähettää kirjeen ja pyytää. Jos ei saa, pyytää tietosuojavaltuutettua pyytämään.

Anonyymi kirjoitti...

"Eikös Anonyymin pitäisi ihan lakien perusteella saada se Cityconilta?
Lähettää kirjeen ja pyytää. Jos ei saa, pyytää tietosuojavaltuutettua pyytämään."

Lähetin sähköpostitse pyynnön saada dokkari Cityconilta, mutta en pidättele pyynnön toteutuksen odottelun kanssa hengitystä. Varmuuden vuoksi kyselen useammalta suunnalta.

Petteri Järvinen kirjoitti...

Oletko asentanut mobiilisovelluksen, siinä on mahdollisuus katsoa sopimus ennen ehtojen hyväksymistä?

Anonyymi kirjoitti...

Onko tuolla Citycon sivuilla tai missään mainintaa rekisteriselosteesta?

Jos on henkilörekisteri täytyy olla myös rekisteriseloste.

http://www.tietosuoja.fi/fi/index/useinkysyttya/rekisteriseloste.html

Jos ei löydy rekisteriselostetta tai pyydettäessä sitä ei anneta niin asiasta voi ilmoitella tietosuojavaltuutetun toimistoon tietosuoja@om.fi

Suosittelen ilmoittelemaan jotta saadaan rekistereille vastuuhenkilö joka kantaa myös oikeudessa vastuuta huonosti tehdyistä ja ylläpidetyistä henkilörekistereistä.

Website Security Test