Erittäin suosittu älypuhelinsovellus WetterOnline jakaa käyttäjiensä henkilötietoja satojen kolmansien osapuolten yritysten kanssa mainostarkoituksiin. Muutama päivä sitten tähän sisältyi myös erittäin tarkkoja paikkatietoja, joiden avulla voidaan päätellä käyttäjän asuinpaikka ja työpaikka tai jopa vierailu sotilastukikohdassa. Nämä tiedot ovat päätyneet markkinapaikoille, joissa niitä tarjotaan avoimesti myyntiin. Vain käyttäjät itse eivät saa tietojaan. WetterOnline kieltäytyy antamasta tietoja käsitellyistä tiedoista väittäen, että GDPR:n mukaisen tiedonsaantioikeuden noudattaminen olisi liian kallista. noyb tekee nyt valituksen Saksan toimivaltaiselle tietosuojaviranomaiselle.
Tarkat sijaintitiedot ovat turvallisuusriski. Tutkimus netzpolitik.org ja muut kansainväliset tiedotusvälineet osoittivat, että suositut älypuhelinsovellukset jakavat useiden satojen miljoonien eurooppalaisten sijaintitietoja ulkopuolisten yritysten kanssa. Tietojen välittäjät yhdistävät sitten tietoja lukuisista lähteistä ja muodostavat kattavia tietokokoelmia. Vielä ongelmallisemmaksi tämän tekee se, että sijaintitietoihin sisältyy myös niin sanottu MAID (Mobile Advertising ID). Tämä on jokaisen käyttäjän yksilöllinen tunniste. Kaikkien näiden tietojen avulla yksittäiset ihmiset voidaan paikantaa metrin tarkkuudella. Seuraavassa vaiheessa voidaan sitten päätellä usein vierailtuja paikkoja, kuten asuin- ja työpaikka, mutta myös vierailut kuntoutusklinikalla tai sotilastukikohdassa. Kuten netzpolitik.org havainnollistaa elävästi, tällaisten tietojen saatavuus voi olla jopa kansallinen turvallisuusriski.
Ingo Dachwitz, netzpolitik.orgin toimittaja: "Databroker Files -tutkimuksemme osoittaa, että tietojemme kauppa on täysin hallitsematon. Kukaan ei pysty seuraamaan, minne älypuhelinsovellusten oletettavasti mainontaa varten keräämät tiedot päätyvät. Tämä olisi jo ongelma, jos tietoja todella käytettäisiin vain henkilökohtaiseen mainontaan. Väärissä käsissä, esimerkiksi tiedustelupalvelujen, ahdistelijoiden tai natsien käsissä, niistä tulee todellinen vaara."
Dataa sataa - kolmansille osapuolille. Netzpolitik.orgin tiimi ja sen yhteistyökumppanit onnistuivat saamaan haltuunsa tällaisen tietokokonaisuuden sekä tietoa myytävien paikkatietojen alkuperästä. WeatherOnline, sovellus, jota on ladattu yli 100 miljoonaa kertaaon yksi niistä sovelluksista, jotka erottuvat erityisen hyvin. Tietoaineiston mukaan sovellus keräsi kymmenien tuhansien käyttäjien tarkat sijaintitiedot vain yhden päivän aikana ja pelkästään Saksassa - ja myi ne eteenpäin seuraavalle taholle lukuisille kolmansille osapuolille mainosalalla toimiville yrityksille. Niin sanottu reaaliaikainen tarjoaminen (RTB) on todennäköisesti keskeisessä asemassa. Siinä mainostilaa huutokaupataan millisekuntien kuluessa eniten tarjoavalle. Sivuvaikutuksena kohdennettujen käyttäjien henkilötiedot päätyvät myös monille muille mainonnan ekosysteemin toimijoille. WetterOnlinen tietosuojakäytännön mukaan näihin kuuluu yli 300 yritystä. Muutama päivä sitten WetterOnline kuitenkin muutti sovelluksensa suostumuslomaketta ja tietosuojakäytäntöä. Siinä todetaan nyt, että GPS-sijaintitietoja ei enää käytetä mainostarkoituksiin.
Kunnioitetaanko asianosaisten perusoikeuksia? Oletettavasti liikaa vaivaa. Saadakseen lisätietoja verkossa kaupattavista sijaintitiedoista netzpolitik.orgin toimittaja Ingo Dachwitz esitti WetterOnlinelle käyttöoikeuspyynnön, joka hylättiin pikaisesti, koska "kaikkien näiden tietojen poimiminen ja kokoaminen vaatisi huomattavia teknisiä, henkilöstöön liittyviä ja taloudellisia resursseja". Yrityksen mukaan pyyntö edustaa "suhteetonta työtä" - mikä ei kuitenkaan ole tietosuoja-asetuksen mukainen poikkeus. Toisin sanoen: WetterOnlinella ei ilmeisesti ole mitään ongelmaa lähettää käyttäjien henkilötietoja sadoille kolmansille osapuolille. Vain silloin, kun rekisteröity haluaa käyttää perusoikeuttaan tietosuojaan, se näyttää menevän liian pitkälle. WetterOnline yksinkertaisesti kieltäytyy noudattamasta lakisääteistä tiedonantovelvollisuutta.
Martin Baumann, tietosuojavaltuutettu noyb: "Yleisessä tietosuoja-asetuksessa tehdään selväksi, että rekisteröidyillä on oikeus saada kopio yrityksen käsittelemistä tiedoista. Poikkeusta ei yksinkertaisesti ole, jos kyseessä on väitetty "suhteeton ponnistus". WetterOnlinen on noudatettava EU-lainsäädäntöä aivan kuten kaikkien muidenkin yritysten."
Saksassa jätetty valitus. noyb on nyt tehnyt valituksen Nordrhein-Westfalenin tietosuojaviranomaiselle netzpolitik.orgin toimittajan Ingo Dachwitzin puolesta (WetterOnline toimii Bonnissa). Pyydämme WetterOnlinea täyttämään kantelijan pyynnön ja toimittamaan kopion käsitellyistä henkilötiedoista sekä tiedot tietojen vastaanottajista. Jotta vastaavanlaiset rikkomukset voitaisiin estää tulevaisuudessa, noyb ehdottaa myös, että toimivaltainen viranomainen määrää hallinnollisen seuraamuksen.
