Facebookin tietosuoja huolestuttaa ihmisiä syystäkin. Olen kirjoittanut siitä, miten erityisesti viime vuonna Facebookin tietosuojakohut ovat herättäneet ihmisiä huolehtimaan paremmin henkilötiedoistaan sosiaalisessa mediassa.
Jo enemmistö on huolestunut Facebook-tiedoistaan
Tässä se, mitä tiedämme kyselyjen perusteella Facebook-kohun vaikutuksista suomalaiskäyttäjiin tähän mennessä:
- Ylen maaliskuun viimeisellä viikolla v. 2018 teettämän kyselyn mukaan 58 % vastaajista oli erittäin tai melko huolestunut siitä, että Facebook-tietoja voitaisiin käyttää vahingollisesti. Kysely tehtiin pian sen varmistuttua, että Cambridge Analytica -vaalivaikuttamisyritys oli käyttänyt Facebookista saatuja tietoja Trumpin kampanjassa.
- DNA teetti oman kyselynsä noin viikko Ylen kyselyn jälkeen (6.-10.4.2018). Sen tulosten mukaan vastaajista 54 % oli muuttanut Facebookin käyttöään ainakin jollakin tavalla. 7 % kertoi poistaneensa Facebook-tunnuksensa. Tämä on mielenkiintoista, sillä viikkoa aiemmin Ylen kyselyssä kukaan ei vielä kertonut poistaneensa tunnusta. Näyttää siis siltä, että pako Facebookista alkoi juuri tuolloin huhtikuun 2018 alussa, kun Facebookin tietosuojakohun käsittely oli mediassa kiivaimmillaan.
- Tuorein tieto Facebookin suomalaiskäyttäjien kävijäkadosta lienee Sanomalehtien liiton kysely loka-marraskuulta 2018. Sen mukaan Facebookia ”käytti säännöllisesti” 60 % 15-74-vuotiaista. Vuotta aiemmin lukema samassa kyselyssä oli 63 %. Epäsäännöllisesti Facebookia käyttäneillä pudotus lienee huomattavasti suurempi.
- Tilastokeskuksen joulukuussa julkistaman kyselyn mukaan 66 % suomalaisista oli rajoittanut älypuhelimen sovellusten asetuksista pääsyä henkilökohtaisiin tietoihin. Facebookin tietosuojakohulla lienee suuri vaikutus tässäkin.
Viime vuoden maaliskuussa annoin tässä blogissa vinkkejä, miten käyttäjät voivat asetuksiaan muuttamalla estää Facebookia käyttämästä heidän käyttäjätietojaan mm. mainosten kohdentamiseen. Kyseinen kirjoitus on ollut hyvin suosittu taas viime aikoina – ehkä osittain Facebookissa parhaillaan kiertävän perättömän kiertokirjeen vuoksi.
Tuolloin minulta jäi vielä käsittelemättä Facebookin mainosasetusten kaksi ylintä kohtaa: ”Omat kiinnostuksen kohteesi” ja ”Mainostajat”. Korjaan sen puutteen tällä kertaa.
Kun olet kirjautuneena Facebookiin, löydät mainosasetukset tästä osoitteesta:
https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen
1. Poista tavat, joilla Facebook on profiloinut sinut
Klikkaa ”Omat kiinnostuksen kohteesi”. Tästä aukeaa lista niistä tavoista, joilla Facebook on (ainakin) profiloinut eli luokitellut sinut.
Huomaa, että lista on jaettu moneen välilehteen. Niitä klikkaamalla voit selata kaikki sinusta tehdy luokittelut läpi.
Lista perustuu tykkäämiesi Facebook-sivujen ja klikkaamiesi Facebook-mainosten aiheisiin. Eli aiheisiin, joista Facebookilla on näyttöä sinun olevan kiinnostunut.
Jos olet ollut aktiivinen Facebookin käyttäjä, voi luokitteluja olla helposti kymmenittäin. Niiden kaikkien avulla sinulle voidaan kohdistaa mainoksia.
Voit poistaa luokitteluja viemällä hiiren luokan päälle ja klikkamalla ruksia:
2. Poista eri yritysten sinusta Facebookiin viemät asiakastiedot
Facebookin mainoskone ei perustu vain palvelun suoraan toiminnastasi keräämään dataan. Sen lisäksi monet yritykset sekä nettisivustot ja sovellukset vievät asiakkaidensa tietoja Facebookiin voidakseen kohdistaa näille mainoksia. Tämä pätee myös suomalaisyrityksiin.
Voit katsoa sinusta Facebookiin asiakastietoja vieneet yritykset klikkaamalla mainosasetusten toista kohtaa ”Mainostajat”. Kyseinen lista löytyy sen alta ensimmäisestä välilehdeltä: ”Who use a contact list added to Facebook”.
Saatat löytää listalta esimerkiksi seuraavan tyyppisiä yrityksiä:
- Sanoma- ja aikakauslehtiä
- Matkapuhelinoperaattoreita
- Kauppaketjuja
- Verkkokauppoja
- Lentoyhtiöitä
- Verkkopalveluita ja -sivustoja, joihin olet rekisteröitynyt
- Sovelluksia ja pelejä
Uskoisin listan läpikäymisen olevan monelle silmiä avaava kokemus, että kuinka monista rekistereistä omia tietoja löytyy ja että niitä viedään Facebookiin.
Voit poistaa mainostajia listalta samoin kuin edellä.
Kyse on siitä, että nämä yritykset ovat vieneet Facebookiin asiakasrekisteriinsä perustuvan asiakastiedoston. Kyseinen tiedosto on voinut sisältää sinusta seuraavia tietoja:
- Nimi
- Sähköpostiosoitteet
- Puhelinnumerot
- Postinumero ja kunta/kaupunki
- Maa
- Syntymäpäivä, syntymävuosi ja ikä
- Mobiilimainostajatunnus eli kännykkäsi yksilöivä tunniste
- Facebook-käyttäjätunnus
Jos jokin yritys vie asiakastietojasi Facebookiin kohdistaakseen sinulle mainoksia Facebookin mainoskoneen kautta, kyse on sähköisestä suoramarkkinoinnista, jossa käytetään apuna profilointia. EU:n yleisen tietosuoja-asetuksen eli GDPR:n mukaan tällaiseen täytyy olla asiakkaan antama yksiselitteinen suostumus.
Facebookiin koko mainoskone perustuu käyttäjien profilointiin keräämällä heistä dataa mahdollisimman paljon. Facebookia käyttämällä olet hyväksynyt sen heidän käyttöehdoissaan. On kuitenkin eri asia, että joku muu yritys päättää viedä sinulta luottamuksellisesti saatuja tietoja Facebookiin hyödynnettäväksi mainonnassa.
Jos huomaat, että joku yritys on vienyt sinusta tietoja Facebookiin ilman suostumustasi, kannattaa antaa palautetta kyseiselle yritykselle. Sellaisen en myöskään sallisi kohdistaa itselleni mainoksia enää jatkossa.
Muista katsoa myös kaksi muuta välilehteä: ”Käyttämäsi sivusto tai sovellus” sekä ”Vierailemasi kohteet”. Viimeisin kohta liittyy siihen, että Facebook-mainoksia voidaan kohdistaa sinulle myös sijaintisi perusteella, mikäli et jo ole estänyt sitä Facebook-sovelluksestasi. Voit tarkistaa tämän käyttäjätunnuksesi sijaintiasetuksista.
Lisää -kohdan alta löydät lisäksi listan mainoksista, joita olet klikannut edellisen 3 kuukauden aikana. Voit siis tarkistaa, onko Facebookin profilointi ollut kohdallasi tehokasta vai ei. Jos hyvin menee, se näyttää tältä:
LEHMÄTKIN LENTÄIS 
Ja mikäs pakko se on lärvikirjalle ilmoittaa mitään oikea tietoa itsestään – jos sitä nyt on ylipäänsä pakko käyttää? Ei se ole mikään viranomainen. Feikkiprofiili selaimella, joka pitää ip-tunnuksen omana tietonaan toimii hyvin – kunhan ne kaverit tietää, kenestä on kyse. Sepä vallan tuloksellista mainontaa, täysin keksaistujen asiakastietojen pohjalla, hip hei!
Periaatteessa Facebookin käyttöoikeus perustuu sopimukseen eli käyttöehtojen hyväksyntään. Jos et anna oikeita tietoja, tunnuksesi voidaan poistaa, koska rikot sopimusta.
Sinänsä olen samoilla linjoilla, ettei kannata itsestään antaa turhia tietoja millekään taholle.
Väärän nimen anto Facebook-tunnukseen ei muuten estä tuota, mistä yllä kirjoitin, että muut yritykset vievät asiakasrekistereistään tietoja Facebookiin. Ne tiedot voidaan yhdistää feikkinimellä olevaan Facebook-profiiliin esimerkiksi sähköpostiosoitteen, puhelinnumeron tai kännykän yksilöivän tunnisteen perusteella. Juuri se on koko asiakastiedoston Facebookiin viemisen idea.
Kyllähän nuo kaikki tiedot, siis ei pelkästään nimi, voivat olla keksittyjä. Sähköpostiosotteen voi esimerkiksi luoda vaivatta johonkin huitsin nevadassa sijaitsevaan serveriin. Tuo on niin sinisilmäsuomalaista ajattelua, että on muka tehty jokin pyhä sopimus, jonka ehtoja EI voi rikkoa! Hah! Paras vaihtoehto toki on se, että ei lainkaan sekaannu tuommoisiin kyttäys- ja vakoiluvirityksiin. Pitäkööt hauskaa keskenään.
Entäpä puhelinnumero ja puhelimen mainostunniste? Harvalla on erikseen toinen kännykkä Facebook-sovellusta ja kaikkia muita sovelluksia (joista tiedot myös voidaan välittää Facebookille) varten. Todennäköisintä on, että Facebook tietää sen feikkiprofiilisi oikean käyttäjän nimen monenkin eri firman tuomasta rekisteristä.
Sopimus on sopimus. Tietenkin on jokaisen oma asia, miten siihen suhtautuu, mutta mielestäni parasta on lähteä koko Facebookista, jos ei halua sen ehtoja noudattaa. Ehdottomasti hyvä päätös olisi häipyä sieltä.
Somen kohdennettu mainonta ei nähdäkseni täytä sähköisen suoramarkkinoinnin määritelmää. SVPL 200 pykälä: ”Automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.”
Näin ollen voi tulla perustellusti myös siihen lopputulemaan, että ei tarvitse suostumusta. Halutessaan täytyy voida kieltää, tätä myös somealustan omat ehdot yleensä edellyttävät.
Jos kohdennetaan evästeillä kerätyn datan perusteella, evästeisiin toki täytyy olla suostumus. Jos kohdennetaan CRM-tiedon perusteella, riittäisi opt-put-mahdollisuuden tarjoaminen. Somealusta ei myöskään itse kysy kohdentamiseen suostumusta vaan tarjoaa opt-outin.
Viime kädessä toki viranomainen linjaa, jos linjaa.
Sähköinen suoramarkkinointi yksityishenkilölle on yksi asia ja profilointi toinen. Jos luit artikkelin tarkasti, niin en puhu siinä tavallisesta Facebookin kohdennetusta markkinoinnista, vaan siitä, että yritys tosiaan on vienyt rekisteristään tietoja tietyistä henkilöistä Facebookiin, joilla markkinointi kohdennetaan. Silloin se on hyvinkin sähköistä suoramarkkinointia eikä ns. kohdentamatonta sähköistä markkinointia (jonka vastaanottavia henkilöitä ei tiedetä ennalta).
GDPR:n kannalta painavinta tässä on se, että yritys vie henkilötietoja Facebookiin, jossa niitä käytetään profilointia hyödyntävään markkinointiin. Tähän henkilötietoja Facebookiin vievä yritys tarvitsee ko. henkilöiltä suostumuksen tai sopimuksen. Tässä GDPR:n artikla 22 on hyvin selvä.
Pitää siis huomata, että vaikka Facebookilla on käyttöehtojen mukaan oikeus tehdä profilointia käyttäjistä, niin se koskee vain Facebookia, ja kun mainostajat vievät henkilötietoja Facebookiin, jossa niitä käytetään profilointiin, he tarvitsevat erikseen suostumuksen tai sopimuksen ko. henkilöiltä.
Olen käsitellyt markkinointia ja GDPR:ää useissa koulutuksissa yrityksille ja muillekin tahoille, esimerkiksi tässä esityksessä slidet 52-59:
Profilointiin suoramarkkinointitarkoituksissa ei tarvita suostumusta, se on legitiimin intressin piiriin kuuluvaa käsittelyä. Facebook on markkinoinnissa käytettävä alihankkija ja prosessori, eikä muidenkaan prosessorien käyttöön tarvita suostumusta. Miksi siis facebookin custom audienceen tarvittaisiin? En myöskään ole sitä mieltä, että tähän soveltuisi art. 22 sillä tällä käsittelyllä ei ole oikeusvaikutuksia tai muuta merkittävää vaikutusta jota ko. artiklassa edellytetään. Näin ollen en edelleenkään näe perustetta miksi pitäisi olla suostumus. Toki mikään einestä sellaista kysymästä, mutta ei sitä edellytetä.
Kuulostaa siltä, että näemme tilanteen muuten samoin, mutta tulkinta siitä, onko kyseessä
a) sähköinen suoramarkkinointi ja/tai
b) profilointi
on meillä aivan vastakkainen.
Väitätkö, että yrityksen rekistereistä henkilötietojen vienti Facebookin mainoskoneeseen ei ole näitä kumpaakaan? Mielestäni ne ovat molempia.
Kumpaankin yllä mainittuun tarvitaan suostumus, kun kyse on yksityishenkilöstä. Rekisterinpitäjän oikeutettu etu kyllä riittää organisaatioiden edustajille tehtävään sähköiseen suoramarkkinointiin, mutta ei yksityishenkilöille.
Tulkintani perustuu myös Tietosuojavaltuutetun toimiston ohjeisiin:
https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi
”Yleensä kohdennetulla profilointiin perustuvalla markkinoinnilla ei ole oikeusvaikutuksia vastaavia merkittäviä vaikutuksia yksilöihin. Silloin markkinointia ei määritellä automaattiseksi päätöksenteoksi. Tästä esimerkkinä verkkokaupan harjoittama markkinointi, joka perustuu yksinkertaiseen demografiseen profiiliin: 25‒35-vuotiaat Pohjois-Pohjanmaalla asuvat naiset, jotka todennäköisesti ovat kiinnostuneita muodista ja tietynlaisista vaatteista.
On kuitenkin mahdollista, että kohdennetulla profilointiin perustuvalla markkinoinnilla on vastaavia merkittäviä vaikutuksia yksilöihin. Tämä riippuu esimerkiksi
– profilointimenettelyn tunkeilevuudesta, kuten tavasta jolla yksilöitä seurataan eri verkkosivujen, laitteiden ja palveluiden välityksellä
– markkinoinnin kohteena olevien odotuksista ja toiveista
– markkinointikanavasta
– markkinoinnin kohteiden haavoittuvuudesta.
Sellainen markkinointi, joka tavanomaisesti vaikuttaa vain vähäisesti markkinoinnin kohteisiin, saattaa vaikuttaa merkittävällä tavalla tiettyihin henkilöryhmiin, kuten vähemmistöihin ja haavoittuvassa asemassa oleviin yksilöihin. Esimerkiksi korkeakorkoisten lainojen säännöllinen kohdennettu markkinointi henkilölle, joka tiedettävästi tai todennäköisesti on taloudellisessa ahdingossa, voi johtaa henkilön lisävelkaantumiseen.”
Jos asiakkaiden henkilötietojen vienti Facebookiin ei täytä em. kriteereitä, niin mikä sitten? Facebook lienee vienyt profiloinnin markkinoinnissa kaikkein pisimmälle.
Lisäksi Tietosuojavaltuutetun toimisto antaa selvän tulkinnan, että suostumus tarvitaan tässä tapauksessa:
”2. Suostumuksen määritelmä
Automaattinen päätöksenteko ja profilointi voivat perustua rekisteröidyn nimenomaiseen suostumukseen. Huolehdi, että rekisteröidyltä pyydetty suostumus täyttää nimenomaiselle suostumukselle asetutut edellytykset.”
Jo pelkästään suostumuksen yleinen GDPR:n määrittely (artikla 4) edellyttää, että se on yksilöity ja yksiselitteinen: sen antajan pitää siis aidosti ymmärtää, mihin kaikkeen suostumuksensa antaa ja mitä sen perusteella tehdään. Eli pelkkä yleinen suostumus sähköiseen markkinointiin ei todellaakan riitä henkilötietojen vientiin Facebookin mainoskoneeseen.