Saako urheilijan olympiatwiitin retwiitata?

Viikonloppuna sosiaalisessa mediassa (lue: twitter) käytiin kipakkaakin keskustelua (ilmeisesti) Kansainvälisen olympiakomitean mediaohjeista urheilijoille. Ellun kanat -viestintäyhtiön (-toimiston? -monitoimitoimiston??) Kirsi Piha kirjoitti Suomen olympiakomitealle avoimen kirjeen, jossa varsin perustellusti arvosteltiin olympiakomitean sääntöjä.

Piha kirjoittaa, että urheilijoille annetun ohjeistuksen mukaan olympialaisiin osallistuvat urheilijat saavat tuoda sosiaalisessa mediassa tai muutoin esiin muita kuin olympialaisten virallisia yhteistyökumppaneita vain erikoisluvalla. Pihan mukaan sääntö koskee myös urheilijoiden sponsoreita. Ilmeisesti ohjeistuksessa todetaan, että urheilijoiden henkilökohtaiset sponsorit eivät saa esimerkiksi retwiitata urheilijoiden twiittejä tai lähettää urheilijoille sosiaalisessa mediassa tsemppiviestejä.

Lisäksi kyseinen ohjeistus listaa myös 20 sanaa ja sanontaa, jotka ovat ”kiellettyjä” sosiaalisen median käytössä ajalla 27.7.–24.8. Kiellettyjen sanojen listalla ovat mm. Rio/Rio de Janeiro, gold, silver, bronze, medal, effort, performance, summer (!), victory, Citius – Altius – Fortius (ja kaikki sen käännökset) ja kaikki muu olympialaisiin viittaava sanasto. Olympia-aiheisia sanoja ”saavat” siis käyttää vain olympialaisten viralliset yhteistyökumppanit.

Lyhyen etsinnänkään jälkeen en onnistunut löytämään kyseistä ohjeistusta internetistä, joten joudun kommentoimaan asiaa vain Pihan kirjoituksen perusteella.

Miksi KOK tekee näin? Syynä on tietysti jättimäiset sponsorisopimukset, jotka ovat sen tärkein tulonlähde. Sponsoriuden yksi keskeisimpiä tekijöitä on yksinoikeus eli tietylle yritykselle luvataan ainutlaatuinen asema kisoissa: kukaan muu ei voi olla esimerkiksi virallinen juomasponsori (Coca-Cola). Näin yritys saa “omia” kisat itselleen, rahoilleen maksimaalisen vastineen ja brändilleen miljardiyleisön huomion.

Tavaramerkit ja tekijänoikeus suojaavat

Tärkein omimiskeino ovat KOK:n omistamat lukuisat tavaramerkit ja tekijänoikeudet, joita yritys saa mainonnassaan yksinomaisesti käyttää. Helpoimpia juridiselta kannalta ovat olympia-tunnukset, logot, sloganit (citius, altius, fortius) tunnussävelet ja maskotit jotka KOK on itse luonut ja omistaa siten kokonaan.

Yllämainittujen osalta on varsin selvää koska ne ovat ylittävät ns. teoskynnyksen ja näin ollen ovat tekijänoikeuden alaisia. Lisäksi tahot voivat rekisteröidä itselleen tiettyjä tavaramerkkejä. Suomen Olympiakomitea on muun muassa rekisteröinyt sanan “olympia” tavaramerkikseen, tosin varsin rajoitetusti. Ymmärtääkseni myös KOK on rekisteröinyt suurimman osan tunnuksistaan vähintään kansainvälisesti. Lisäksi olympiatunnuksia suojaa oma kansainvälinen sopimuksensa.

IMG_1136

Muutaman ison kansainvälisen sponsorisopimuksen nähneenä voin todeta, että isoja kisoja järjestävät organisaatiot panostavat rajusti myös merkkiensä suojelemiseen eli siihen, että kukaan ei käytä merkkiään luvatta. Tahoilla on käytössään runsaasti resursseja oikeuksiensa valvomiseen. Lisäksi on hyvin tyypillistä, että kisatunnusten käyttöä myös säännellään tarkasti eli lähestulkoon kaikki mainosmateriaalit joudutaan hyväksyttämään itse järjestävällä taholla.

Brasiliassa on olympiakisojen alla säädetty lakeja, jotka suojelevat KOK:ta olympiatunnusten hyväksikäytöltä. Tällä pyritään hillitsemään erityisesti piraattituotteiden kauppaa ja mainostamista. Pahimmassa tapauksessa väärentäjä tai maineella ratsastaja voi joutua rikosvastuuseen suurten korvausvastuiden lisäksi. Näiden lakien säätäminen on muuten yksi vaatimus KOK:lta kisojen järjestämiselle. Muutkin järjestöt, muun muassa jalkapallon maailmanmestaruuskisoja järjestävä Fifa vaatii tällaisia lakeja. (esimerkiksi jalkapallon MM-kisoissa 2010 lakeja käytettiin juuri tähän tarkoitukseen).

Voiko sanan käytön kieltää?

Kysymys on hyvin kinkkinen. On selvää, että esimerkiksi olympiarenkaat on sellainen tunnus, jota ei voi käyttää ilman KOK:n lupaa. Mutta entäpä sanaa “olympia”? Tai “mitali”? Entäpä “kesä”? Voiko mikä tahansa yritys käyttää niitä?

Yleinen käsitys lienee se, että esimerkiksi sanaa “olympia” täytynee varoa käyttämästä, koska se on varsin vahvasti assosioitunut olympialiikkeeseen ja sen sponsoreihin sen mukana. Todennäköisesti mikä tahansa yritys ei voisi käyttää niitä markkinoinnissaan viittauksena Rion olympiakisoihin. Sen sijaan muita “olympia” -aiheisia sanoja voisi käyttää markkinoinnissa, esimerkiksi lentoyhtiö Olympic Air saa myydä matkoja olympialaisten aikana.

Sen sijaan sanan “mitali” tai “kesä” käyttöä ei voida mitenkään kieltää. Yritykset kyllä mielestäni voivat siis edelleen onnitella urheilijoita sosiaalisessa mediassa mitalista. Kyseessä on varsin yleisluontoinen sana eikä sitä voi kukaan omia. Ymmärtääkseni kyseistä sanaa ei myöskään ole rekisteröity minkään tahon tavaramerkiksi.

MUTTA KOK on mielenkiintoisesti kohdistanut mediaohjeistuksen itse urheilijoihin. Joten urheilijat itse kantavat vastuun siitä, että ohjeistusta noudatetaan. Siksi urheilijoiden täytynee itse sopia omien (ei olympia-) sponsoreidensa kanssa, miten heidän kanssaan saa kommunikoida esimerkiksi sosiaalisessa mediassa. Eli urheilijaa sponsoroivan yrityksen ei kannattaa kaikesta huolimatta noudattaa KOK:n vaatimuksia, koska muuten urheilija voi joutua vaikeuksiin. Melkoinen vangin dilemma! Onnitellako ja tsempatako urheilijaa vai ei? Ymmärrän hyvin, miksi Piha kirjoittaa aiheesta.

Mielenkiintoista on se, että Pihan mainitsemat säännöt koskevat kaikkia urheilijoita, kuten esimerkiksi erittäin hyvin palkattuja koripalloilijoita, jotka eivät saa mainostaa omia kenkiään olympia-aiheisesti kisojen aikana. Tosin kansallisilla joukkueilla voi olla omia paikallisia sponsoreita, jotka saanevat mainostusta tehdä.

Urheilijoiden lisäksi myös olympiakisojen katsojat joutuvat varomaan sanojaan. Tavallisesti nimittäin kisojen lippujen sopimusehdoissa kielletään kaikenlainen mainostaminen. Eli todennäköisesti kisakatsomosta twiittaamisessakin on rajansa ja jos yrittää mainostaa liikaa jotain tiettyä ei-sponsoroitua yritystä, tiedossa voi olla ongelmia, pahimpana oikeusjuttu ja vähintäänkin katsomosta poistaminen. Olisi mielenkiintoista tietää, miten moista kieltoa pystytään tosin valvomaan.

Mielikuvamainonta: hankala “porsaanreikä”

KOK voisi periaatteessa hyödyntää myös “yleisluontoisia” ilmaisuja kuten juuri yllämainitut “mitali”, “suoritus”, “kesä” ja kieltää niiden käytön markkinointisäännöksiin perustuen. Tällöin täytyy kuitenkin olla näiden käsitteiden yhdistelmästä eli siitä, miten näiden avulla luodaan yleinen käsitys kisoista ja “tunnelmasta”. Eli yritys ei saisi ratsastamaan “olympiakisojen mielikuvalla”jonka KOK on kovalla työllä saanut aikaiseksi.

Tässä on kysymys jo paljon monimutkaisemmasta asiasta. Tällöin kysymys ei ole yhdestä yksittäisestä sanasta tai kuvasta, vaan näiden tekijöiden yhdistelmästä joka luo mielikuvaa. Monet yritykset pyrkivät ratsastamaan markkinoinnissaan olympialaisilla ja siksi käyttävät mainonnassaan geneerisiä urheilijoiden, juoksuratojen ja urheiluvälineiden yms kuvia. Tällaiseen puuttuminen on myös mahdollista, mutta varsin vaikeaa. En ole aiheen asiantuntija, joten jätetään sen kommentointi ammattilaisille. Mutta tärkeätä on huomata, että myös tällaiseen geneeriseen mainostamiseen voitaneen äärimmäisissä tapauksissa puuttua juridisin keinoin. Asiaa kutsutaan “norkkimiseksi”  ja tästä on kirjoittanut tarkemmin ja paremmin Sarita Schröder Linkedinissä.

Amerikkalainen analyysi aiheesta

Privacy Shield käyntiin

Privacy Shield -järjestely on tullut virallisesti voimaan elokuun alussa. Järjestelyn verkkosivuilla ei vielä keskiviikkona ollut yhtään hyväksyttyä rekisteröintiä, mutta odotettavissa on, että lähipäivinä yhtiöiden nimiä alkaa ilmestyä.

Muun muassa Microsoft on jo ilmoittanut rekisteröityneensä Privacy Shieldiin heti ensimmäisenä päivänä.

Privacy Shield on järjestely, jossa yhdysvaltalaiset yritykset sertifioivat itse itsensä eli lupaavat noudattaa järjestelyn sääntöjä. Sertifiointi tehdään vuosittain. Privacy Shield korvasi aiemman Safe Harborin, joka todettiin pätemättömäksi viime vuoden lokakuussa.

Rekisteröintiin on odotettavissa ruuhkaa, koska jokainen vähänkin Eurooppaan palveluja tarjoava yhtiö todennäköisesti haluaa rekisteröityä. Safe harborissa oli aikanaan yli 5000 yrityistä, joista erään arvion mukaan noin 3300 oli aktiivisia.

Miksi tällainen sertifiointi tehdään? Siksi, että komission mielestä tällöin yritykselle voidaan siirtää henkilötietoja EU:n alueelta. Privacy Shield on sinänsä yritysten arkea helpottava järjestely, koska eurooppalaisten yritysten ei tarvitse käyttää aikaa vieviä EU:n mallilausekkeita eli käytännössä solmia erillinen sopimus koskien tietojen siirtoa.

Virallisesti Privacy Shield täytyy hyväksyttää komissiolla. Komissio antoi Privacy Shieldiä koskevan hyväksyvän päätöksen heinäkuussa.

Nyt siis eurooppalaisilla yrityksillä, jotka käyttävät yhdysvaltalaisia toimittajia on jälleen mahdollisuus “täysimääräisesti” käyttää näitä toimittajia. Olisin silti vielä varovainen Privacy Shieldin suhteen, sekin todennäköisesti ajautuu aikanaan EU:n tuomioistuimen tarkasteltavaksi, joten lienee hyvä olla jonkinlainen varasuunnitelma, kuten esimerkiksi tietojen siirtäminen EU:n alueelle.

Privacy Shield tuo käytännössä joiltain osin yhdysvaltalaisten yritysten henkilötietojen käsittelyn EU:n tietosuojasäännösten kaltaiseen sääntelyyn. On kuitenkin hyvä huomata, että Privacy Shieldin keskiössä on yhtiön itsesertifiointi eli yhtiöt pitkälti itse määrittelevät sen, onko niillä riittävä pätevyys järjestelyyn.

Komissio on julkaissut lyhyen oppaan Privacy Shieldistä, jonka löydät tästä.

Lue myös:

Tietosuoja-asetus hyväksyttiin, Privacy Shield vielä arvoitus

Mitä Safe harbor ja Privacy Shield oikeastaan tarkoittaa?

 

Onko embeddaus laillista?

Linkittäminen ja embeddaus on viime päivinä puhuttanut mediaa ja myös juristejakin, koska Pasi Kiviojan loistavassa blogissa kerrottiin erään lakimiehen kirjeestä, joka oli saanut lehtitalot varpailleen. Lakimies oli lähettänyt eräiden julkisuuden henkilöiden (suomalaisen formulakuljettajan ja tämän vaimon) puolesta kirjeen, jossa vaati mediataloja lopettamaan päämiestensä kuvien julkaiseminen embedattuna eli ns. suorana linkkinä omilla sivuillaan.

Kiviojan blogissa käydään juttu riittävän tarkasti läpi, joten keskityn tässä postauksessa vain asian juridiseen puoleen. Median edustajat näyttävät vetoavan tässä tapauksessa pari vuotta vanhaan EU:n tuomioistuimen BestWater (C-348/13) -tuomioon sekä ilmeisesti myös ns. Svensson (C-466/12) -tuomioon. Embeddaan tähän erään johtavan median edustajan twiitin:

 Mitä on Embeddaus?

Embeddaus (keksiikö joku paremman suomenkielisen sanan tälle?) on eräänlaista linkittämistä toisen sisältöön. Jo aiemmassa oikeuskäytännössä linkittäminen on katsottu sallituksi. Embeddauksessa sisältö tuodaan näkyviin linkittäjän sivulla esimerkiksi näin:

Vaikka näyttäisi siltä, että olen kopioinut kuvan Instagramistani (vai Instagrammista?), en itse asiassa ole kopioinut sitä mihinkään. Kuva on edelleen Instagramissani. Ylläoleva laatikko vain näyttää kuvani, joka on Instagramissa. Jos kuvaa klikataan, se näyttää kuvan Instagramissani. Eli käytännössä se on vain hieno linkki. Jouduin muuten muuttamaan omia “yksityinen käyttäjätili” -asetuksiani, jotta tämä kuva saatiin näkyviin.

Tekijänoikeudet

Tekijänoikeudet eivät todellakaan ole omaa ydinosaamistani, mutta joudun vääntämään niiden kanssa päivittäin ja onnekseni käytössäni on Euroopan huipputason IP-osaajat koko ajan. Typistetään tässä tekijänoikeus kuitenkin näin: kun otat kuvan, se on sinun. Kukaan muu ei saa käyttää kuvaasi ilman sinun lupaa (tiettyjä rajoituksia on, mutta ei puhuta niistä nyt). Tekijänoikeus tunnetaan hienommin kielto-oikeutena eli oikeutena estää muita hyödyntämästä sinun teostasi, kuten esimerkiksi valokuvaa.

Eli kukaan muu kuin sinä, valokuvan ottaja, ei saa rahallisesti hyötyä kuvastasi ilman sinun lupaasi.

Kun lataat kuvan esimerkiksi Twitteriin ja Instagramiin, palvelujen käyttöehdot toteavat, että sinä annat Twitterille ja Instagramille oikeuden julkaista/levittää kuvasi. Mutta se ei tarkoita sitä, että Twitter tai Instagram nyt omistaisi sinun kuvasi, ehei! Nämä yritykset saavat vain oikeuden käyttää kuvaasi palvelun toteuttamiseen eli siihen, että kuva näytetään palvelussa:

Insta

Linkittäminen ja embeddaus vs. tekijänoikeus

Tässä vaiheessa moni varmaan siis ajattelee, että hei! Lehdethän tekee rahaa julkkiksilla ja julkaisee niiden Insta/Face/Twitter-kuvia omille verkkosivuilleen. Sehän on rahantekoa eikö? Eikö silloin yritetä rahallisesti hyötyä kuvasta?

Näin ajatteli myös yllämainittu lakimies, joka mielestäni varsin nokkelasti (Kiviojan blogin mukaan) vetosi siihen, että lehdet julkaisevat eli levittävät luvatta päämiehensä kuvia verkkosivuillaan ja saavat sitten mainostajilta yms tuloja, koska sivuilla on kävijöitä.

Tarkastellaanpa asiaa ensiksi linkittämisen kannalta: onko linkittäminen “julkaisua”? Jos et näe itse teosta, mutta tiedät että tätä linkkiä klikkaamalla pääset näkemään sen, julkaisetko  teoksen eli levitätkö sen?

EU:n tuomioistuimen mielestä et. Loogisesti ajateltunahan tilanne on sama kuin se, että minä kerron että Amsterdamin Rijksmuseumissa on aivan mahtava Vermeerin teos nimeltä Het Melkmeisje. Mene sinne ja näe! Eli kerron missä tämä teos on nähtävillä, mutta en vie (eli varasta) sitä omaan kotiini.

Taustalla on muutama mielenkiintoinen EU:n tuomioistuimen ratkaisu, joista seuraavaksi tarkastelen viimeisintä ns. BestWater -ratkaisua (C-348/13).

Kuuluisa BestWater

BestWater -ratkaisussa oli kysymys Youtube-videosta, jonka saksalainen yritys nimeltä BestWater oli ilmeisesti teettänyt (BestWater väitti, että video oli päätynyt Youtubeen ilman sen lupaa). BestWater valmistaa vedenpuhdistusjärjestelmiä. Yhtiö tehnyt veden saastumista ja sen puhdistamista esittelevän videon, joka päätyi Youtubeen.

BestWaterin kilpailijat äkkäsivät tämän videon ja embeddasivat sen omille sivuillensa. Eli BestWaterin luoma video hyödytti nyt myös sen kilpailijan liiketoimintaa. Arschloch!!, BestWaterin omistajat varmaankin ajattelivat. Käyttäjät siis pystyivät katsomaan videon kilpailijan sivuilta, vaikka se todellisuudessa näytettiinkin Youtuben servereiltä.

BestWaterin mielestä sen kilpailija saattoi videon yleisön saataville eli julkaisi BestWaterin tekijänoikeuden alaista materiaalia omilla verkkosivuilla, hyötyen täten luvatta BestWaterin teoksesta.

No, käräjillehän siitä jouduttiin, ja saksalainen tuomioistuin pyysi lopulta EU:n tuomioistuinta ratkaisemaan asian. Tuomioistuin katsoi (viitaten mm. SGAE/Rafael Hoteles, C-306/05, Organismos Sillogokis, C-136/09 ja ITV Broadcasting, C-607/11 -ratkaisuihin), että julkaisemista on se kun materiaali julkaistaankin eri muodossa kuin alun perin (esim televisiolähetys esitetään Youtubessa = uusi julkaisu Youtubessa).

Tuomioistuimen mielestä keskeisin kysymys oli se, pyrittiinkö kilpailijan videon embeddauksella
saattamaan teos uuden yleisön saataville eli oliko kysymys uudesta julkaisusta uudessa muodossa tai alustalla (Youtuben sijaan kilpailijan verkkosivulla).

Tuomioistuimen mielestä näin ei ollut, koska teknisesti käyttäjät vain katsoivat videota Youtubesta. Katsominen vain tapahtui kilpailijan verkkosivun kautta. Täten embeddaus katsottiin sallituksi.

Soveltuminen Instagramiin ja muuhun Someen

Kyseinen BestWater-ratkaisu ei koskenut Instagramia, mutta aion nyt ottaa rohkean askeleen ja todeta, että ratkaisun periaate soveltunee sellaisenaan myös muihin sosiaalisen median kanaviin, joista voidaan tehdä vastaavia embeddauksia. Olennaista lienee se, että video, kuva tai postaus on saatettu julkisesti saataville eli esimerkiksi “julkisena postauksena” jolloin se on kaikkien palvelua käyttävien käyttäjien nähtävissä.

Lisäksi palvelut mahdollistavat embeddauksen sallimisen tai kieltämisen. Oletuksena lienee, että jos käyttäjä on sallinut embeddauksen, sen saa tehdä myös esimerkiksi media.

Onkohan tilanne toinen silloin, kun käyttäjällä ei ole julkista profiilia, vaan tämän postaukset ovat ainoastaan tietyn ryhmän (esim seuraajien tai ystävien) nähtävillä? Tällöin embeddauksessa voisi ehkä olla kysymys uudesta yleisöstä. Entäpä silloin, kun embeddausta ei ole sallittu? Tähän toivon jonkun aiheesta paremmin tietävän vastaavan.

Medialla on käsittääkseni myös eräitä “erivapauksia” eli uutisoinnissa voi käyttää esim kuvia jostain teoksesta, mukaan lukien myös ns. kuvakaappaukset kunhan uutisoinnin ainoa tarkoitus ei ole teoksen julkaisu ja siitä hyötyminen ja kunhan kysymys on uutisesta tai journalistisesta tuotteesta.  Eli tarkoitus on uutisoida jostain asiasta eikä niinkään periä rahaa itse teoksesta.  Pääosassa on siis uutinen, ei itse teos. Tällöin myös ymmärtääkseni voisi julkaista kuvia esimerkiksi Instagramista myös sellaisilta sivuilta, jotka eivät ole julkisesti saatavilla.

Toinen asia on yksityisyyden suoja, johon en mene tässä sen suuremmin. Yksityisyyden suoja tarkoittaa sitä, että tietyissä tilanteissa henkilöllä on oikeus pitää asiat yksityisinä eikä niitä saa saattaa muiden tietoon. Tällainen suoja vaihtelee mm. yhteiskunnallisen aseman mukaan (esim pääministerillä on erilainen yksityisyyden suoja kuin valtioneuvoston kanslian huoltomiehellä).

Saako Facebook-päivityksellä halvemman vuokran?

Viime viikolla silmiini osui uutinen mielenkiintoisesta englantilaisen startupin uudesta palvelusta, jonka avulla esimerkiksi työnantajat tai vuokranantajat voivat selvittää mahdollisen kandidaatin “kelpoisuuden”. Se miten tämä selvitetään, on kuin suoraan jostakin mielipuolisesta elokuvasta: yritys skannaa vuokralaiseksi haluavan henkilön sosiaalisen median aktiivisuuden ja päättelee sen perusteella, miten suuri “riskitekijä” hän on.

Score assured -yhtiön Tenant Assured palvelu on jo tarjolla yhtiön yhdysvaltalaisille asiakkaille. Vuokraisäntä voi lähettää vuokralaiskandidaatille pyynnön rekisteröityä palveluun. Kun käyttäjä sitten kirjautuu sivustolle, sille on annettava täysi pääsy kaikkiin käyttäjän sosiaalisen median palveluihin, kuten Facebookiin, Linkediniin, Twitteriin ja Instagramiin. Tämän jälkeen palvelu käsittelee käyttäjän kaikki kyseisiin palveluihin tekemät aktiviteetit, kuten postaukset, keskustelut (mukaanlukien yksityisviestit) ja tykkäykset. Käsittelyn tuloksena vuokralainen ja vuokraisäntä saa käyttöönsä raportin, jossa kerrotaan käyttäjän “taloudellinen stressitaso”.

Washington post

Washington Postin toimittajan saama raportti palvelusta.

Washington Postin toimittaja kokeili palvelua ja sai huomata, että palvelun mielestä tärkeätä tietää hänestä olivat muun muassa miten usein hän oli twiitannut “laina” tai “raskaus” tai vaikkapa “murhaaja”.

Palvelua tarjotaan vuokranantajille ja ilmeisesti yhtiö on myös kehittämässä vastaavaa palvelua työnantajille. Vaikka kyseessä on englantilainen yritys, se tarjoaa tällä hetkellä palveluja vain yhdysvaltalaisille asiakkaille. Tämä ei tarkoita sitä, että yhtiöön ei sovellettaisi EU:n tietosuojasääntöjä, mutta kirjoitan tästä myöhemmin.

Palvelun tavoitteena on sen perustajan mukaan lisätä vuokranantajien turvaa. Tällaisen analyysin perusteella pystytään ilmeisesti hyvinkin päättelemään, miten iso riski esimerkiksi on, että vuokrat jäävät maksamatta. Ehkäpä jopa erittäin matalan riskin vuokralainen voisi saada alennusta tällä perusteella?. Vuokranantajien lisäksi palvelun hyödyntämisestä olisivat varmasti kiinnostuneet monet taloudellista riskiä arvioivat toimijat, kuten pankit ja vakuutuslaitokset.

Suostumus ja tietojen käsittely

Olisiko tämä mahdollista ja laillista Suomessa?

Tietosuojan näkökulmasta tilanne on mielenkiintoinen. Henkilöstä kerätään runsas määrä tietoa, joka joissain tapauksissa sisältää myös varsin epäedullista tietoa esimerkiksi entisistä kumppaneista tai työpaikoista. Tietoa, jota ei ole alun perin tarkoitettu tällaiseen käyttöön, kun se on postattu someen. Kokonaisuutena voitaisiin todeta, että kaikki kerätään ja hyödynnetään.

On mielenkiintoinen ajatus, että some-tilin perusteella henkilöstä saadaan “alaston” ja “totuudenmukainen” kuva. On hyvin todennäköistä, että olet somessa aivan erilainen kuin lainaa tai vuokra-asuntoa hakiessasi. Siihen on olemassa hyvät syyt, mutta todennäköisesti suurin syy ei kuitenkaan ole vuokranantajan huijaaminen. Totta kai jokainen haluaa antaa itsestään mahdollisimman positiivisen kuvan henkilölle, joka tekee taloudellisia päätöksiä sinusta.

Mutta käyttäjähän antaa suostumuksensa tietojen käsittelylle, joten ongelmaa ei ole, vai onko? No ei se näin helppoa ole! Ensinnäkin näen jo sen ongelmallisena, että vuokrasopimuksen tai työsopimuksen, miten ison, hienon ja tärkeän tahansa, edellytyksenä olisi koko sosiaalisen median sisällön paljastaminen. Siinä ammutaan todellakin tykillä kärpästä!

Esimerkiksi Suomessa henkilötietolaki edellyttää, että tietojen käsittelyllä tulee olla selkeä suhde käyttötarkoitukseen. Lisäksi tietoja saa kerätä vain siinä laajuudessa, kun se on palvelun toteuttamisen kannalta olennaista. On aivan selvää, että kaikkien tietojen kerääminen ei ole olennaista palvelun toteuttamiseksi. Lisäksi palvelu näyttää prosessoivan tietoja, jotka ovat suoraan sanottuna syrjiviä, esimerkiksi jotain merkitystä näyttäisi olevan sanalla “raskaus”.

Lisäksi merkittävä ongelma kyseisessä palvelussa on se, että se ei ilmeisesti rajoita tietojen käsittelyä henkilöön itseensä. Eli palvelu ilmeisesti analysoi ja käsittelee myös kaikkien käyttäjän kanssa yhteydessä olevien henkilöiden viestejä ja tietoja. Sinänsä tämäkään ei pitäisi olla olennaista lopputuloksen kannalta ja käsiteltävän tiedon laajuus on aivan liian suurta. Todennäköisesti vuokralaisen ystävät ja tuttavat eivät edes tiedä, että heidän tietonsa joutuu käsittelyn kohteeksi.

Eivätkä ongelmat lopu tähän: eipä unohdeta käyttäjän oikeutta tulla unohdetuksi eli vaatia, että sellaisia tietoja ei käsitellä, jotka eivät enää pidä paikkaansa. Kyseinen palvelu käsittelee kaikki tiedot, myös ne, jotka eivät ole enää millään tavalla relevantteja. Henkilö on voinut esimerkiksi etsiä tietoja “lainoista” ystäviltään aiemminkin tai voinut osallistua keskusteluun, jossa joku ystävistä on saanut huonoa kohtelua lainayhtiöltä. Olisiko tällainen tieto olennaista vuokrasopimuksen kannalta? Mielestäni ei mitenkään.

Suurempi ongelma olisi vielä työlainsäädäntö: Suomesssa tietoja työnhakijasta saa kerätä vain työntekijältä itseltään. Vaikka työntekijä antaisikin tietoja itsestään antamalla luvan katsoa sosiaalisen median profilejaan, jopa automaattisesti, työnantajan tulisi silti keskittyä vain siihen tietoon, mikä on työtehtävän hoitamisen kannalta olennaista, ei siis aivan kaikkeen. Ja esimekriksi juuri “raskauden” etsiminen tiedoista ei olisi mitenkään laillista.

Näyttäisi siltä, että yritys ei ole ottanut vakavasti ainakaan vielä tietosuojaan liittyviä kysymyksiä. Sen käyttöehdot kun eivät sano yhtään mitään palvelusta itsestään, vaan ainoastaan verkkosivujen tietojen käsittelystä. Tästäkin huolimatta kysymys on palvelutyypistä, joka tulee varmasti tulevaisuudessa yleistymään: ihmisten tietoja käytetään tavalla, joihin niitä ei alun perin ole tarkoitettu. Kuinka paljon, jos ollenkaan tämä on mahdollista, on täysi mysteeri.

Selvää on kuitenkin, että tietosuojalainsäädäntö ei anna palveluntarjoajalle täyttä vapautta tehdä henkilön tiedoilla mitä tahansa, vaikka käyttäjä on antanut “täyden” suostumuksensa.

Kolme yhtiötä sai sakot Safe Harborin noudattamisesta Saksassa

Hampurin osavaltion tietosuojaviranomainen (Hamburgischen Datenschutzbeauftragten) on määrännyt sakkoja kolmelle Hampurissa pääpaikkaa pitävälle kansainväliselle yritykselle, koska nämä eivät olleet suojanneet riittävästi tietojen siirtoa Yhdysvaltoihin.

EU:n tuomioistuin totesi viime vuoden lokakuussa, että ns. Safe harbor -järjestelmän mukaisesti tehdyt henkilötietojen siirrot Yhdysvaltoihin eivät täytä EU:n tietosuojadirektiivin vaatimuksia riittävästä tietojen suojasta. Lue tarkemmin aiheesta täältä ja täältä.

Hampurin osavaltion tietosuojaviranomainen määräsi Adoben, Punican ja Unileverin maksamaan sakkoja, koska ne eivät olleet riittävän nopeasti siirtyneet käyttämään vaihtoehtoisia keinoja, kuten komission hyväksymiä vakiolausekkeita tietojen siirrossa Yhdysvaltoihin. Viranomaisen mielestä yrityksillä oli ollut puoli vuotta aikaa reagoida tilanteeseen. Paikallinen tietosuojaviranomainen oli tutkinut 35 Hampurissa kotipaikkaa pitävän yrityksen tietojen siirtoa.

Sakot eivät olleet kokonaisuudessaan mitenkään mittavat: Adobe joutuu maksamaan 8000 euroa, Punica 9000 euroa ja Unilever 11.000 euroa. Kysymys on ensimmäisestä Euroopan aluella tehdystä päätöksestä, jossa tietosuojaviranomainen määrää sakkoja ns. Schrems-tuomion jälkeen. On vain ajan kysymys, milloin muiden osavaltioiden tai valtioiden viranomaiset seruaavat perässä jos Privacy Shieldiä ei saada kunnolla käyntiin.

On sinänsä haastavaa ajatella, että yritykset voisivat täydellisesti reagoida puolen vuoden kuluessa kyseiseen tuomioistuimen ratkaisuun, erityisesti koska EU ja Yhdysvallat on neuvotellut myös Safe Harborin korvaavasta Privacy Shieldistä. Privacy Shield on ollut roimassa vastatuulessa viime aikoina, eikä sen pitävyydestä EU:n tietosuojaperiaatteiden valossa, ole kovinkaan vahvoja takeita.

Englanninkielinen artikkeli aiheesta

VAHTI:n toimintasuosituksia tietosuojan uudistukseen valmistautumiseen

Valtionvarainministeriön asettama valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) julkaisi eilen torstaina raportin jossa annetaan “pähkinänkuoressa” (raportti on 38 pdf-sivua pitkä) kuvaus tulevasta tilanteesta sekä varsin hyviä suosituksia siitä, miten organisaatioiden tulisi valmistautua uuden EU:n tietosuoja-asetuksen tuomiin muutoksiin.

Vaikka VAHTI-raportti on periaatteessa suunnattu julkisen hallinnon organisaatioille, siinä on runsaasti hyvää ohjeistusta, joka sellaisenaan koskee myös yksityisiä yrityksiä.

Kahlasin läpi nopeasti raportin ja varsinkin raportin kuudennessa osassa annetaan mielenkiintoisia ja järkeviä suosituksia toimenpiteistä:

  1. Johdon osallistuminen ja tarvittavien resurssien varaaminen
    Tietosuoja on saatava organisaation johdon agendalle, se ei saa enää olla pelkästään “IT-ihmisten” tai jonkun muun osaston näpertelyä. Tietosuoja tulisi olla osa jokapäiväistä toimintaa tietosuojasääntelyn vaatimalla tavalla
  2. Nykytila-analyysi: Ensiksi tulisi muodostaa näkemys organisaation tämänhetkisestä tilanteesta. Tehtävä arviointi tulisi osittaa esimerkiksi organisaation toimintojen mukaisesti. Perustarkoituksena on tunnistaa puutteet ja kehityskohteet sekä suunnitella toimenpiteet, joilla nykytilaa voidaan parantaa ja huolehtia tietosuojan toteutumisesta osana jokapäiväistä toimintaa.
    • Henkilötieto- ja sopimusinventaario:  Inventoidaan käsiteltävät henkilötiedot ja tunnistetaan missä ja kenen toimesta (mukaan lukien alihankkijat jne) henkilötietoja käsitellään.
    • Riskiarvio Onko tietoturvan toteutus riittävällä tasolla henkilötietojen koko elinkaaren ajan. Riskiarvioon tulee sisällyttää myös meneillään olevien tietojärjestelmähankkeiden uudelleen arviointi.
    • Tietosuojavastuut Tuleeko organisaation nimittää tietosuojavastaava? Onko tietosuojavastuut jakautuneet useaan eri yksikköön? Kenellä on kokonaisvastuu?
    • Johdon raportointi Nimettävän tietosuojavastaavan tai muun tietosuojaorganisaation jäsenen vastuulle on hyvä osoittaa sekä johdon säännöllinen raportointi että vuosiraportin laatiminen
    • Henkilöstön koulutukset, ohjeet ja viestintä
      Koko henkilöstön tietosuojaosaaminen on avainasemassa toteutuksessa. Tämä edellyttää koulutusta, ohjeistusta sekä selkeää viestintää aiheesta
    • Käynnissä olevat hankkeet On virhe ajatella, että asetuksen vaikutus ei koske tämänhetkisiä hankkeita. Asetus ja sitä tukeva kansallinen lainsäädäntö tulee voimaan kahden vuoden kuluttua ja vaikuttaa lähiaikoina käyttöön otettaviin järjestelmiin ja hankkeisiin
    • Tietoturva Tietoturvan osuutta uudessa lainsäädännössä ei voi ylikorostaa. Organisaatioilla on laaja vastuu huolehtia riittävästä tietoturvasta erityisesti suhteeessa käsiteltävien tietojen luonteeseen nähden.
  3. Tietosuojan kehittämisprojektit: VAHTI-raportti selkeästi tuo esille sen, että kaikki yllämainitut vaatimukset ja toimenpiteet vaativat varsin suurta suunnanmuutosta. Tämän vuoksi työhön on ryhdyttävä mahdollisimman pian, mieluiten omana hankkeenaan.
  4. Asetuksen seuranta: Vaikka asetusteksti on nyt saatavilla, Suomessa lainsäädäntö tulee vielä muotoutumaan seuraavan kahden vuoden aikana. Lisäksi kansallista liikkumavaraa on asetuksessa jonkin verran, esimerkiksi lasten oikeuksien osalta. Siksi on tärkeää seurata lainsäädäntöä vielä kehityshankkeiden aikanakin

 

Lähteet:

  1. tietosuojauutiset.fi
  2. Vahti-tiedote

Älä turhaan kilpailuta

Entäpä, jos viranomainen tarjouskilpailussa perustelisi kilpailijaltasi ostamista sillä, että se oli ”tarkoituksenmukaista” tai oli ”äärimmäinen kiire” tai että kilpailija on ”ainoa toimittaja, jolla on riittävä tuntemus kyseiseen järjestelmään”?

Kaikki nämä perustelut ovat julkisten IT-hankintojen ostoperusteluja vuodelta 2015. Kyseessä on suorahankintailmoituksista poimitut perustelut sille, että viranomainen ei järjestänyt lain vaatimaa kaikille avointa tarjouskilpailua.

Suorahankinnassa viranomainen tekee ostopäätöksen ilman hankintalain mukaista kilpailutusta. Tarjouskilpailua ei avatakaan kaikille tarjoajille vaan pyyntö lähetetään vain valituille kandidaateille. Joskus sitä ei lähetetä ollenkaan. Hankintayksiköllä on velvollisuus tehdä nämäkin hankinnat hankintalain periaatteita noudattaen eli tasapuolisesti ja syrjimättömästi.

Rangaistus laittomasta suorahankinnasta on ankara: sopimus voidaan kokonaan määrätä tehottomaksi tai määrätä päättymään tietyn ajan kuluttua. Väärin hankkineelle voidaan määrätä myös rahallisia sanktioita. Riski on suuri myös siksi, että suorahankintaa koskeva valitus menestyy erittäin hyvin markkinaoikeudessa eli hankinta kaatuu herkästi.

Kävin hiljattain läpi noin 80 julkisia IT-hankintoja koskevia suorahankintailmoituksia vuodelta 2015. Nämä ovat ilmoituksia siitä, että hankintayksikkö ostaa kynnysarvon (valtiolla 135000 euroa ja muilla 209000 euroa) ylittävää palvelua ilman kilpailutusta. Ilmoituksen tekemällä hankinta päästään tekemään nopeammin, koska lain mukainen kuuden kuukauden valitusaika putoaa kahteen viikkoon.

Viime vuoden suorahankintojen yhteisarvo oli lähes 60 miljoonaa euroa.

Suorahankinta loukkaa muiden tarjoajien oikeutta osallistua tarjouskilpailuun. Kyseessä on poikkeus, jota voi soveltaa vain rajatusti. Tietyissä tilanteissa tosin IT-järjestelmiä ja ohjelmistoja hankittaessa suorahankinta on mahdollinen. Esimerkiksi jos teknisesti ei ole muuta vaihtoehtoa kuin ostaa järjestelmän tai ohjelmiston lisäosa edelliseltä toimittajalta.

Markkinaoikeus ei ole kuitenkaan sallinut lisähankintoja läheskään aina. Hankintalaki edellyttää ostajalta suunnitelmallisuutta ja pyrkimystä avoimen kilpailun sallimiseen mahdollisimman laajasti. Jatkokehitystä ei joka kerta tarvitse ostaa edelliseltä toimittajalta, jos alkuperäinen hankinta on tehty fiksusti. Ja hyvin todennäköisesti pääsee paremmalla ja halvemmalla, jos työn kilpailuttaa.

Hankintayksikkö ei saisi maalata itseään nurkkaan, pakottautua ostamaan tietyltä toimittajalta. Mielestäni tämä on ristiriidassa hankintalain periaatteiden kanssa. Hankintalaki ei kiellä ”tyhmiä” hankintoja kuin vain räikeissä tapauksissa. Markkinaoikeus on oikeuskäytännössään edellyttänyt hankintayksikön toimivan suunnitelmallisesti ja ottavan huomioon myös tulevien lisäosien kilpailutuksen hyvissä ajoin.

Kärjistettynä voitaisiin sanoa, että normaaleista IT-hankinnoista 99,9 prosenttia on kilpailutettava ja suorahankinta tulee kysymykseen siinä 0,01 prosentin tilanteessa.

Aineistosta käy ilmi, että aika moni suorahankinta perustellaan ontuvasti. Syyksi saatetaan antaa esimerkiksi että muualta hankkiminen aiheuttaisi “ylitsepääsemättömän suuria teknisiä riskejä”. Tai että kyseessä on “merkittävä yhteisten toimintatapojen kehittäminen ja teknisen kokonaisuuden

yhteensopivuuden lisääminen tulevina vuosina”. Myös “äärimmäistä kiirettä” on käytetty perusteena tilanteessa, jossa järjestelmän tuki on loppunut vuonna 2014 (ilmoitus on tehty lokakuussa 2015) ja että koko liiketoiminta perustuu järjestelmän käyttöön.

Joukossa on myös kunnon outouksia, kuten esimerkiksi että tietyn suuren, yhdysvaltalaisen ohjelmistotalon suorahankintailmoitukset ovat lähestulkoon samanlaisia monella eri asiakkaalla.

Edellä mainituista perusteista oikeastaan yksikään ei mielestäni täytä lähimainkaan hankintalain vähimmäisvaatimuksia. Suorahankinnan voi tehdä vain, kun ei oikein muuta vaihtoehtoa ole, ei silloin kun se olisi kaikkein mukavin ja helpoin vaihtoehto.

 

Kirjoitus on julkaistu aiemmin Tietoviikko-lehdessä.