EU:n isoa tietosuojauudistusta kiirehditään kasaan. Erityisesti komissio ja tietyt tahot EU-parlamentissa prässäävät nopean käsittelytahdin puolesta. Tietosuoja-asetuksen piiriin kuuluu suuri määrä vaikeita, erittäin monitahoisia ja monimutkaisia asioita. Ehdotus ei kaipaa niinkään kiirehtimistä vaan laatutekemistä. Se kaipaa myös viilausta, se kaipaa korjaussarjaa. Tämä kirjoitus on EU:n tietosuoja-asetuksen korjaussarjan osa 1. Tässä korjaussarjassa mennään aika robustilla tasolla, vaikka aiheesta voisi kirjoittaa todella pitkästikin, kuten tästä ensimmäisestäkin aiheesta. Profiloinnista.

”Myös internetkäyttäjien profiloinnista tulee päästä eroon.”
Näin kirjoitti meppi Mitro Repo 24.10 käsitellessään EU:n tietosuoja-uudistusta. Mistä moinen vimma? Paha-paha profilointi? Kokonaan paha? Läpeensä ilkeä? Ymmärrys kohdallaan?

Profilointia tullaan sääntelemään EU:n tietosuoja-asetuksessa. Aika näyttää tarkemmin että miten loppupeleissä artiklat asettuvat. Euroopan Parlamentin juuri äänestämien muutosehdotusten mukaan profilointi määritellään (Profiloinnin määritelmä, art 4.3a, EP/LIBE 22.10., epävirallinen teksti):

“means any form of automated processing of personal data intended to evaluate certain personal aspects relating to a natural person or to analyse or predict in particular that natural person’s performance at work, economic situation, location, health, personal preferences, reliability or behaviour”

Kun tuon määritelmän lukee niin ensimmäinen ja viimeinen havainto on: määritelmä on todella laaja. Määritelmä kattaa valtaosan nykyisestä henkilötiedon peruskäsittelystä. Ja ei vain yrityksissä vaan muissakin yhteisöissä kuten urheiluseuroissa, hyväntekeväisyysjärjestöissä ja myös jokaisessa Suomen kunnassa. EU:n tietosuoja-asetus koskee nimittäin myös viranomaisten toimintaa.

Ajatellaanpa modernia verkkokauppaa tai verkkopalvelua, jonka asiakas ja jokapäiväinen käyttäjä henkilö on. Automated processing? Kyllä. Analyse…behaviour? Kyllä. Juuri sitä. Jotta voidaan tarjota palvelua. Relevanttia, kohdennettua ja merkityksellistä. Hyvää, jopa erinomaista palvelua. Toivottavasti myös tulevaisuuden julkissektorin tietointensiivissä palveluissa.

Selkeä ero asiakassuhteen sisäisen tiedonkäsittelyn ja ns. kolmansien osapuolien profiilivarantojen välillä

Profiloinnin osalta korjaussarja tarkoittaa ensinnäkin sitä, että tulisi ymmärtää ja hahmottaa profiloinnin eri lajit ja osa-alueet. Profiloinnin sääntelyinto on pitkälti käynnistynyt jo vuosia sitten ns. kolmansille osapuolille kertyneistä verkkoselailijoiden profiilitiedoista, joita on käytetty pääasiassa verkkomainonnan kohdentamiseen. Massiiviset profiilikeskittymät liitetään usein myös Googleen, Facebookiin ja vastaaviin toimijoihin, joiden avulla ja kautta tapahtuu paljon asioita, jotka ovat oma ja haasteellinen maastonsa.

Asiakassuhteessa esimerkiksi kanta-asiakasohjelmissa ja niihin liittyvissä verkko- ja muissa palveluissa profilointi on peruselementti, joka mahdollistaa palveluiden, sisältöjen, markkinoinnin ja muiden toimenpiteiden paremman, sopivamman ja toimivamman toteuttamisen ja kohdentumisen.

Koko profilointi-termin voisi poistaa ja katsoa mitä tiedoilla oikein asiakkaalle ja käyttäjälle käytännössä tehdään – näin helposti katoaa se negatiivinen magnetismi joka hahmottomaan yleistermiin liittyy. Yritysten, yhteisöjen ja viranomaisten tulee ja on syytä informoida asiakkaita ja käyttäjiä paremmin henkilötietojen käsittelystään. Kyllä, paljon paremmin. Ja kansan kielellä – mikä on haaste kaikille sektoreille. Haaste on joka on otettava vastaan ja taklattava myönteisesti.

Sinä profiloit, minä profiloin, hän profiloi

Profilointiin ollaan EU-sääntelyssä kiinnittämässä kielto-oikeutta, joka on kirjoitettu seuraavaan muotoon (Profiling art 20: ote – EP/LIBE 22.10. epävirallinen):

”Without prejudice to the provisions in Article 6 every natural person shall have the right to object profiling in accordance with Article 19. The data subject shall be informed about the right to object to profiling in a highly visible manner.“

Henkilölle tulisi siis oikeus käytännössä kieltää profilointi. Luonnoksissa on myös kohtia profiloinnin sallivista perustilanteista, mutta ne ja niiden suhde kielto-oikeuteen ei ole kunnossa ja kirkas.

Unohdetaan hetkeksi ns. kolmannet osapuolet. Keskitytään palveluun, kanta-asiakkuuteen ja hyvään verkkokauppaan. Eufratin rannoilla torikaupassa pari tuhatta vuotta ennen digitaalista murrosta kauppias on profiloinut asiakkaitaan. Ja muuten, asiakkaat myös kauppiaita. Niin on ollut myös suomalaisessa kyläkaupassa, lähipankin tiskillä ja kunnan talolla. Kaikkialla missä ihminen kohtaa toisen hyödynnetään aikaisempaa tietoa toisesta, päivitetään sitä koko ajan, reaaliaikaisesti täsmitään viestintää ja ennakoidaan seuraavaa vaihetta. Sinä profiloit, minä profiloin, hän profiloi. Neuroverkkotietokone nimeltä aivot profiloi koko ajan kaikissa suhteissa, kaikissa kohtaamisissa. Profilointi on muistamista, huomioimista, säätämistä, tuunaamista – kehittymistä. Se on olennainen ja erottamaton osa inhimillistä eloa.

Ja nyt tuo suhteeseen ja myös asiakassuhteeseen kuuluva ”profilointi” tapahtuu digitaalisessa ympäristössä niin se pitäisi voida kieltää? Siis osittainen lobotomia digitaaliselle torikauppiaalle, palveluntarjoajalle ja kunnan virkamiehelle. Nämä saisivat muistaa vain perustiedot henkilöstä. Ei mitään arkista ”behaviour”-tietoa, jolla kanssakäymisestä ja asiakassuhteesta tulee jollain tapaa järkevää ja tolkullista. Some-aaltojen aikana voi generoitua äkkiä kieltojen antamisen pika-aalto, jossa EU-asetuksen tuomien uusien sähköisten tietosuojapalveluiden siivittämänä kieltoja sataa bittirännistä laariin kaatamalla.

Missä ongelma?

No nyt joku kysyy että mikäs siinä ongelma jos joku haluaa kieltää profiloinnin, sitten on ilman parempaa ja järkevämpää dialogia ja palvelua. Niinpä. Mitä tehdä kun kuntalainen esittää kunnalle uuden artiklan perusteella profilointikiellon? Tai kaupan vakioasiakas? Luodaan ja tuotteistetaan siis sääntelyn pakottamana huonomman palvelun setti kuntalaisille, toisen luokan verkkoasiakkuus jnejne. Ei tolkullista. Eikä halpaa. Ei kunnalle. Ei kaupalle. Ei Suomelle. Ei Euroopalle.

Ylihuomenna kivijalkakaupassa

Asiakas astuu sisään harrastustarvikkeiden kauppaan. Modernissa putiikissa on myyjillä on kannossa tabletit, josta he saavat heti asiakkaasta (joka on myös ketjun verkkokaupan asiakas), tämän asiakassuhteesta, toiveista ja mieltymyksistä tietoa asiakkaan paremmaksi palvelemiseksi. Asiakas onkin antanut ketjulle profilointikiellon ja saa nyt liikkeessä palvelua kuin ei olisi asiakas koskaan ollutkaan. Nollista lähdetään. Järkevää?

Entäpä jos profilointikiellon antanut asiakas onkin asioinut myymälässä kyseisen myyjän kanssa monta kertaa ja myyjä muistaa asiakkaan tarinat, mieltymykset ja kiinnostuksen kohteet ja palvelee asiakasta tätä tietoa hyödyntäen erinomaisesti. Järkevää? Kyllä, molempien kannalta. Tai ehkä asiakasta sittenkin harmittaa kun profilointikielto ei toimi ei-digitaalisessa muistamisessa ja huomioimisessa? Tai ehkä tässä koko kuviossa jokin ei ole kohdillaan?

Profiloinnin karkea korjaussarja lyhyesti:

• Ymmärretään ja sallitaan henkilötietojen käsittely erilaisissa 1to1-tyyppisissä asiakas-, käyttäjä- ja palvelusuhteissa niiden erottamattomana osana. Ei kielto-oikeutta näihin. Annetaan sauma muistaa ja palvella, tehdä hyvin ja tehokkaasti asioita. Hyvin informoiden.
• Kolmannet osapuolet, some-palvelut ja muut mietitään erikseen.
• Koko profilointi-määritelmän järkevyys mietittävä, nyt on ihan liian laaja. Tarvitaanko lainsäädännössä koko termiä?

 

Ps. EU:n komissio on hokenut tietosuoja-asetuksen ”boostaavan” EU-alueen taloutta.