Digiturvavahti 1/2019

Yhdysvaltalainen internet-yhtiö Google on saanut Ranskan tietosuojaviranomaiselta CNIL:ltä 50 miljoonan euron sakot Euroopan unionissa viime keväänä voimaan astuneen yleisen tietosuoja-asetuksen rikkomisesta.

Googlesta oli valitettu heti asetuksen voimaan astuessa mm. sillä perusteella, että se hankkii väärillä tavoilla luvan käyttäjätietojen keräämiseen eikä yhtiöllä ole laillista perustaa käyttäjätietojen käyttämiseksi mainosten kohdentamiseen. Tämä oli yksi ensimmäisistä loppuun asti viedyistä valitustapauksista.

Otoksia tietosuojaviranomaisen tiedotteesta:

"A lack of transparency"

• Tiedot käsittelystä levällään useissa dokumenteissa
• Käyttäjä ei ymmärrä käsittelyä

"No valid legal basis"

• Useita käyttötarkoituksia yhdistetty yhteen suostumukseen
• Suostumus ”pre-ticked checkbox”

Lue myös: Ranskan tietosuojaviranomaisen tiedote asiasta

Facebookilla takanaan useita negatiivisia tietosuojauutisia kuluneen vuoden ajalta

• “Cambridge Analytica, breaches, exposing unpublished user photos, and special arrangements with firms including Spotify and Netflix”

Tietosuojaongelmien vaikutuksia?

• Tutkimuksessa Facebook äänestettiin ylivoimaisesti epäluotettavimmaksi suureksi teknologiatoimijaksi
• Osakekehitys viimeisen vuoden ajalta $180 -> $124

Samalla Saksassa viranomainen harkitsee FB:lle kieltoa kerätä käyttäjätietoa 3.osapuolilta

• Tämä vaikuttaisi mm. Like-painikkeet ja muihin upotuksiin kaikilla ulkopuolisilla sivustoilla, joista Facebook kerää paljon tietoa mm. mainosten vaikuttavuuteen liittyen
• Perusteluna: ”Ihmiset eivät ymmärrä suostuneensa tällaiseen.”

Lue myös: PEW:n tutkimus vahvistaa - ihmiset eivät ymmärrä Facebookin algoritmejä
Facebookin tietosuojaongelmat saattavat kiihtyä Saksassa

Seuraava tietosuojaneuvoston kokous on käynnissä parhaillaan 22.1.-23.1.

Käsittelyssä kokouksessa on mm. paljon kritiikkiä osakseen saanut Privacy Shield -järjestelmä

• Iso osa EU-US tietosiirroista perustuu tämän järjestelmän laillisuuteen
• Tarjoaako itsearviointiin paljolti perustuva järjestelmä oikeasti takeita hyvästä tietosuojasta?

Privacy Shield -järjestelmään liittyvä organisaatio itse-sertifioituu kauppaministeriön ylläpitämällä privacyshield.gov-sivustolla ja sitoutuu julkisesti noudattamaan kehyksen antamia vaatimuksia. Liittyminen on vapaaehtoista, mutta mukaan lähteneen organisaation lupauksesta tulee valvottava Yhdysvaltain lainsäädännön mukaisesti.

Lue myös: Privacy Shield -frameworkin kuvaus

Teema internet-yhteyden omaavien laitteiden tietoturva ja tietosuoja alkaa tulla yhä useammin vastaan uutisissa.

Artikkelissa paljon hyviä vinkkejä, joilla pääset kärryille tietosuojasta. Hankkiessa tai ostaessa lahjaksi älylaitteita, tarkista mm.:

• Mitä tietoja laite kerää? 
• Mitä tietoja laite lähettää eteenpäin ja minne?
• Millainen organisaatio taustalla toimii?
• Kerrotaanko tietosuojasta avoimesti?

Amazonin Ring-turvakamerat olivat uutisissa negatiivisessa valossa, kun Amazonin omalle R&D-tiimille oli jaettu vapaa pääsyoikeus kaikkiin turvakameroiden videoihin. Ihmiset odottavat, että sensitiivistä tietoa käsitellään asian vaatimalla vakavuudella.

Teema varmasti ainakin kasvattaa ihmisten tietoisuutta tietosuojaongelmista. Kuluttajan odotukset tietosuojasta korkealla, vaikka he eivät sitä ääneen sanoisikaan, ja negatiiviset yllätykset voivat saada isoja vaikutuksia.

Lue myös: Mozilla:Privacy not included - vertailu älylaitteiden turvallisuudesta
Amazon Ring: Strangers may have been watching too