Siitä lähtien, kun yleinen tietosuoja-asetus (GDPR) tuli voimaan vuonna 2018, Euroopan unionin kansalaisilla on entistä vahvempi yksityisyyden suoja ja tietosuoja. Laki on kuitenkin kaukana täydellisestä - ja suuret teknologiayritykset, alan lakimiehet ja lobbaajat varmistivat, että he käyttävät kaikkia arsenaalinsa välineitä joko GDPR:n säännösten kiertämiseen (väärintulkinnalla) tai vaikuttamaan lakia koskevaan yleiseen mielipiteeseen niin, että kuluttajat eivät syyttäisi rikkomuksista heitä vaan itse GDPR:ää. Tämä on viime vuosina johtanut moniin harhakäsityksiin tietosuojasta ja erityisesti GDPR:stä. Siksi tämän vuoden tietosuojapäivän kunniaksi, noyb selventää 5 yleisintä väärinkäsitystä.
1. GDPR pakottaa yritykset käyttämään evästebannereita
Tämä on väärin. Yleinen tietosuoja-asetus ei pakota verkkosivustoja käyttämään evästebannereita. Sen sijaan yritysten on saatava nimenomainen suostumuksesi, jos ne haluavat seurata liikkumistasi verkossa. Yleensä tämä tehdään, jotta sinulle voidaan näyttää kiinnostuksen kohteisiisi perustuvia yksilöllisiä mainoksia. Yritykset päättivät pyytää suostumustasi evästebannereilla ja syyttävät siitä usein tietosuoja-asetusta.
Mutta siinä ei ole vielä kaikki: Maksimoidakseen suostumusmäärät - ja siten myös voitot - monet verkkosivustot käyttävät tarkoituksellisesti harhaanjohtavia ja harhaanjohtavia evästebannereita, joiden avulla suostumuksen epääminen tai peruuttaminen on (lähes) mahdotonta.
Kun seuraavan kerran näet evästebannerin, muista, että niitä ei ole olemassa GDPR:n vuoksi vaan siksi, että yritys haluaa hyötyä henkilötiedoistasi.
2. Yritysten on pelättävä tietosuojaviranomaisten seuraamuksia
Valitettavasti tietosuojaviranomaiset turvautuvat tiukkoihin täytäntöönpanotoimiin vain poikkeustapauksissa. Noybin analyysi tietosuojaviranomaisten toiminnasta vuosina 2018-2023 osoitti, että vain 1,3 prosenttia tapauksista johtaa sakkoihin. Irlannin tietosuojaviranomainen, joka on vastuussa useimmista suurimmista teknologiayrityksistä (Meta, Google, Apple, OpenAI, Microsoft ja monet muut), antaa jopa sakkoja vain 0,26 prosentissa käsittelemistään tapauksista. Ja vaikka Irlannin DPC antaisikin sakon, se on tuskin koskaan perii rahoja, kuten tiedotusvälineet kertovat.
Lähes 900 tapauksestamme tiedämme, että menettelyt pitkittyvät usein useiden vuosien ajan, ja yritys pääsee lopulta vain varoituksella pälkähästä. Joissakin tapauksissa tietosuojavaltuutettu on jopa vaihtanut roolia konsultoidakseen yritystä, joka on rikkonut tietosuojalainsäädäntöä. Esim: Vuonna 2024 noyb haastoi Hampurin tietosuojaviranomaisen oikeuteen, koska saksalaista SPIEGEL-uutislehteä vastaan nostetussa Pay or Okay -jutussa oli ristiriitaisuuksia. Viranomaiskäsittelyn aikana Hampurin tietosuojaviranomainen oli tiiviissä yhteydessä SPIEGELiin. Sen sijaan, että se olisi tutkinut asiaa ja tehnyt puolueettoman päätöksen, se myös tapasi useita kertoja yrityksen edustajia, kutsui heidät tiloihinsa ja antoi palautetta ehdotetuista muutoksista, jotka koskivat niiden Pay or Okay -järjestelmän toteuttamista. Menettelyn hallinnollisista kustannuksista Hampurin viranomainen veloitti SPIEGELiltä 6 140 euroa. Halvemmalla kuin käytännössä kuka tahansa asianajaja.
Kaiken kaikkiaan on - valitettavasti - harhaluulo, että yritysten tarvitsee pelätä tietosuojaviranomaisten vakavia seuraamuksia tietosuojaa koskevan perusoikeuden rikkomisesta.
3. Mainonnan on oltava yksilöllistä, muuten kukaan ei ostaisi sitä ja mainosala menisi konkurssiin!
Mainosalan väite, jonka mukaan sen on välttämätöntä seurata sinua eri puolilla internetiä ja kiusata sinua harhaanjohtavilla evästebannereilla pysyäkseen toiminnassa, on enemmän kuin kiistanalainen. Itse asiassa on olemassa monia vaihtoehtoisia tapoja ansaita rahaa verkkosivustolla, kuten kontekstisidonnainen mainonta, tuotesijoittelu, maksullinen sisältö tai freemium-mallit, joissa tietty sisältö on saatavilla vain maksua vastaan.
Jopa tieteelliset tutkimukset herättävät epäilyjä mainosteollisuuden väittämän mainosten seurannan kannattavuudesta - ja siten tarpeellisuudesta -. Esimerkiksi yhdysvaltalainen tutkimus vuodelta 2019 osoittaa, että henkilötietojen käyttö lisää verkkosivuston tuloja vain noin 4 prosenttia. "Tämä vastaa keskimäärin 0,00008 dollarin lisäystä mainosta kohden", tutkimuksessa todetaan.
Mutta on olemassa vielä äärimmäisempiä esimerkkejä: Alankomaiden yleisradioyhtiö NPO ilmoitti jopa tulojensa kasvaneen, kun se oli luopunut kohdennetusta mainonnasta.
Tämä tekee selväksi, että on olemassa vaihtoehtoisia ratkaisuja yrityksille, jotka seuraavat sinua internetissä.
4. Yleinen tietosuoja-asetus puuttuu elinkeinovapauteen
Ei, se ei vaikuta. EU:n perusoikeuskirjassa vahvistetun elinkeinovapauden mukaan sinulla on selkeästi "vapaus harjoittaa liiketoimintaa unionin oikeuden sekä kansallisten lakien ja käytäntöjen mukaisesti".
Tämä tarkoittaa, että yritysten on noudatettava lakia, olipa kyse sitten verotuksesta, ympäristönsuojelusta tai tietosuojasta ja yksityisyyden suojasta. Ei ole olemassa mitään perusoikeutta harjoittaa liiketoimintaa, joka ohittaisi yrityksen lakisääteisen velvoitteen, vaikka monet yritykset haluaisivatkin sitä.
Lisäksi liiketoiminnan harjoittamisen vapaus tarkoittaa itse asiassa sitä, että teillä on oikeus harjoittaa taloudellista toimintaa. Sinulla on vapaus ryhtyä esimerkiksi apteekkariksi, eikä ole välttämätöntä, että jompikumpi vanhemmistasi on ollut apteekkari. Tietenkin myös apteekkarin on noudatettava lakia. Samapätee suuriin teknologia- ja muihin yrityksiin.
5. Ihmiset käyttävät väärin tiedonsaantioikeuttaan ja tulvivat yrityksiä tiedonsaantipyynnöillä
Vaikka yleisen tietosuoja-asetuksen 15 artiklan mukainen tiedonsaantioikeus on olennainen edellytys sille, että henkilötietoja voidaan hallita edes hieman digitaaliaikana, jotkut yritykset vastustavat sitä väittäen, että se edellyttäisi "suhteettomia ponnisteluja". Tällaiset lobbausta koskevat väitteet pääsivät jopa saksalaiseen kannanottoon, jossa käyttöoikeuspyyntöjä kuvailtiin yhä useammin "väärinkäytettäviksi".
Todellisuus ei kuitenkaan tue edes tätä väitettä. Laki sisältää jo nyt suojatoimia väärinkäytösten estämiseksi: Yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan mukaan yritykset voivat periä kohtuullisen maksun tai jopa hylätä pyynnöt, jos ne ovat "ilmeisen perusteettomia tai kohtuuttomia erityisesti toistuvuutensa vuoksi".
Lisäksi valtaosa EU:ssa toimivista yrityksistä ei toimi niin tietointensiivisesti, että ne saisivat paljon pyyntöjä. Noybin (pian julkaistavassa) tutkimuksessa 73,3 prosenttia tietosuojavastaavista totesi, että tiedonsaantioikeus aiheuttaa vain vähän tai ei lainkaan työtä. Päinvastoin, suuret yritykset usein vain jättävät huomiotta kuluttajien tietopyynnöt tai pidättävät osan tiedoista, joihin ihmisillä on lain mukaan oikeus. Esimerkiksi mainonnan välittäjä Xandr (Microsoftin tytäryhtiö) ilmoitti, että vuonna 2022 vastausprosentti tietoihin tutustumista ja tietojen poistamista koskeviin pyyntöihin oli hämmästyttävät 0 prosenttia.
Lisäksi useimmat suuret teknologiayritykset ovat tähän mennessä ottaneet käyttöön jonkinlaisen automatisointityökalun, jonka avulla ne voivat täyttää GDPR:n mukaiset tiedonsaantipyynnöt laajamittaisesti, yleensä "lataa tietosi" -työkalun avulla - mutta eivät silti anna sinulle kaikkia tietojasi.
Toisin sanoen: yrityksillä on keinot käsitellä käyttöoikeuspyyntöjä ilman merkittävää työmäärää. Ne eivät vain halua antaa sinulle pääsyä käsiteltyihin tietoihin.
6. Bonuksena harhaluulo: miljardien eurojen sakot, noyb täytyy olla rikas!
Tietenkään noyb ei saa mitään tietosuojaviranomaisten määräämistä sakoista. Kun tietosuojaviranomainen kerää sakkoja, rahat menevät sen maan valtion talousarvioon, jossa viranomainen sijaitsee (tai Espanjassa suoraan tietosuojaviranomaiselle).
noybin työ yksityisyydensuojaa edistävän tulevaisuuden puolesta on mahdollista vain 5 400 tukijäsenemme ansiosta. Jos sinäkin haluat tukea asiaamme, voit lukea lisää jäsenyydestämme täällä. Voit myös tavoittaa meidät osoitteesta info@noyb.eu jos sinulla on kysyttävää.
