Icon
Näkökohtia profiloinnista uudessa tietosuoja-asetuksessa Markkinaluvut

Näkökohtia profiloinnista uudessa tietosuoja-asetuksessa

01.03.2017 | Kesko

Mitä on profilointi?

Juridisena käsitteenä profilointi tarkoittaa EU:n yleisessä tietosuoja-asetuksessa olevan määritelmänsä mukaan
• mitä tahansa henkilötietojen automaattista käsittelyä,
• jossa henkilötietoja käyttämällä arvioidaan ihmisen tiettyjä henkilökohtaisia ominaisuuksia,
• erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

Profilointia voidaan tehdä eri tavoin. Henkilö voi itse ilmaista mistä on kiinnostunut (esim. haluan sähköistä suoramarkkinointia naisten kengistä). Profilointi voi pohjautua henkilön käyttäytymisen havainnoinnilla kerättävien tietojen arviointiin (esim. evästeiden avulla nettikäyttäytymisestä kerättävä tieto). Myös asiakkuudesta jo kerääntynyttä tietoa voidaan käyttää profiloinnin pohjana.

Profiloinnin avulla pyritään ennakoimaan juuri tämän henkilön käyttäytymistä. Profilointi perustuu aikaisemmin havaittujen syy-seuraussuhteiden yleistämiseen koskemaan muitakin samankaltaisia tapauksia. Henkilön tosiasiallisesta asiakkuudesta tai muuten havainnoidusta käyttäytymisestä kerätyn tiedon avulla pyritään siis ”arvaamaan” henkilön tulevaa käyttäytymistä ja tekemään erilaisia toimenpiteitä näiden arvausten pohjalta.

Profilointi määritelmänsä mukaisesti tapahtuu aina automaattisen tietojen käsittelyn avulla. Jos pankinjohtaja arvioi yleisen elämänkokemuksensa avulla, että samankaltaiset lainanhakijat ovat aikaisemmin hoitaneet velvoitteensa ja päättää nytkin antaa luottoa, ei kyse ole profiloinnista. Mutta jos pankinjohtaja käyttää apunaan tietokonetta ja algoritmia, muuttuu tilanne, silloin on kyse profiloinnista.

Internetin mainosbisneksessä hyödynnetään evästeitä ja muita tunnisteita, joiden avulla käyttäjän kiinnostuksen kohteet pyritään tunnistamaan ja niiden perusteella näyttämään kullekin mieluisaksi ja hyödylliseksi arvioitua mainontaa. Tämä arviointi perustuu henkilön profilointiin. Autosivuilla vieraileva Lissu on todennäköisesti kiinnostunut autoista, ruokareseptejä googlaileva Pekka on kiinnostunut ruoanlaitosta ja muotiblogia lukeva Jenna taas muotivaatteista. Heille siis todennäköisesti kannattaa kohdentaa markkinointia näistä aiheista.

Onko profilointi sallittua?

Profilointi on lähtökohtaisesti mahdollista ilman henkilön erillistä suostumusta.

Profilointia voidaan hyödyntää markkinoinnin kohdentamisen lisäksi muissakin yhteyksissä. Jos haet kulutusluottoa sohvakaupassa, käyttää rahoittaja profilointia arvioidessaan maksukykyäsi. Rahanpesun estämiseksi pankin tulee tuntea asiakkaansa ja havaita näiden poikkeavat toimet. Tätä tarkkailua voidaan tehdä profiloinnin avulla. Myös työnhakutilanteissa hakijaa voidaan profiloida ja tehdä suuresta hakijamäärästä esikarsintaa profilointialgoritmin avulla. Myös poliisi voi rikostutkinnassa hyödyntää profilointia rikoksen tekijän löytämiseksi.

Henkilöllä on kuitenkin oikeus asetuksessa mainituissa tilanteissa vastustaa profilointia eli käytännössä kieltää sen tekeminen erityiseen henkilökohtaiseen tilanteeseensa liittyvän syyn johdosta. Jos henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisteripitäjälle kuuluvan julkisen vallan käyttämiseksi voi henkilö vastustaa profilointia (esim. vero- tai rahanpesurikosten tutkimiseksi). Myös kun profilointi tapahtuu rekisteripitäjän tai kolmannen oikeutettujen etujen toteuttamisen yhteydessä (esim. kerättäessä rahaa hyväntekeväisyyteen, keräystoimien kohdentaminen) on henkilöllä oikeus vastustaa sitä.

Jos henkilö vastustaa em. syyn johdosta itsensä profilointia, ei henkilötietoja saa enää käsitellä tätä tarkoitusta varten, paitsi, jos rekisterinpitäjä voi osoittaa, että profilointiin on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeudet, tai jos profilointi on tarpeen oikeusvaateen tekemiseksi. Siis rikostutkintaa tai rahanpesun ehkäisyä varten tehtävää profilointia sen kohteena oleva henkilö ei voine estää.

Asetuksessa on erikseen suotu rekisteröidylle henkilölle eli tietojen kohteelle oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä suoramarkkinointia varten, mukaan lukien profilointi, silloin kun se liittyy tällaiseen suoramarkkinointiin. Tästä mahdollisuudesta on erikseen kerrottava kohdehenkilölle. Tietoyhteiskunnan palvelujen käyttämisen yhteydessä ts. verkkopalveluita käyttäessään henkilön tulee voida käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen. Vastustusmahdollisuus on siis rakennettava osaksi tällaisia palveluita (kieltolinkki).

Profilointi automaattisena päätöksentekona

Henkilöllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen tietojenkäsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Valitettavasti asetus tai sen johdanto-osa ei ota kantaa siihen mitä tarkoitetaan oikeusvaikutuksilla tai etenkin vastaavilla vaikutuksilla. Tämän tulkitseminen jäänee vastaisen oikeuskäytännön varaan. Näissä tapauksissa profilointia ei saa tehdä, ellei sille ole olemassa jotakin oikeuttavaa perustetta.

Profilointi saattaa siis sisältää automattista päätöksentekoa, jolla on vähäistä suurempia vaikutuksia henkilön asioihin. Jos esim. luottohakemus evätään tai työpaikka jää saamatta profiloinnin avulla tehtävän yleistävän oletuksen johdosta, sillä lienee asetuksessa tarkoitettuja oikeusvaikutuksia tai muita vastaavia vaikutuksia. Jos puhumme markkinoinnin kohdentamiseksi tehtävästä profiloinnista, jolla pyrimme löytämään mainonnalle oikean kohderyhmän, eivät vaikutukset liene yleensä kovin dramaattisia. Joku henkilö saattaa saada henkilökohtaisen tarjouksen, koska hänen on arvioitu olevan kiinnostunut tuotteesta ja vastaavasti jonkun toisen ei ole arvioitu olevan kiinnostunut ja hän ei silloin kuulu kohderyhmään. Kenelläkään ei yleensä ole subjektiivista oikeutta saada henkilökohtaisia tarjouksia, vaan myyjä voi päättää kenelle se tarjoaa palveluitaan valitsemillaan ehdoilla, kunhan se ei syyllisty syrjintään.

Myös taloudelliset vaikutukset, lähinnä taloudelliset menetykset, saatetaan katsoa oikeusvaikutuksia vastaaviksi vaikutuksiksi. Esimerkiksi, jos lainan korko profiloinnin johdosta on eri asiakkailla erilainen, syntyy näille taloudellisia vaikutuksia. Nämä voitaneen perustella asiakkaaseen liittyvän riskin hinnoittelulla eli tällaisella tuotteella ei ole yleistä ja kaikille yhteistä hintaa. Jos taas eri asiakkaille tarjotaan profiloinnin johdosta samaa julkisesti hinnoiteltua tuotetta henkilökohtaisesti erilaisella hinnalla, on punnittava voidaanko yksilöllistä hinnoittelua yleensä tehdä ja jos, niin millä edellytyksillä. Hintasyrjinnästä on kysymys silloin, kun myyjä perii eri ostajilta eri hintoja täysin samoissa olosuhteissa myydyistä samoista tuotteista ja palveluista. Syrjintä eli poissulkeminen laissa mainituilla syillä on kiellettyä, mutta jonkun asiakkaan positiivinen suosiminen kaupallisilla perusteilla ei liene kiellettyä. Halutessaan ylläpitää kannattavaa asiakassuhdetta, kauppias voi tarjota asiakkaalleen erityisiä hintaetuja kokonaisasiakkuuden perusteella.

Henkilöä koskevia automaattisia päätöksiä, mukaan lukien profilointi saa tehdä jos se on välttämätöntä henkilön ja profilointia käyttävän tahon välisen sopimuksen tekemistä tai täytäntöönpanoa varten (esim. luottohakemus); tai jos tämä on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi tai toiminta perustuu rekisteröidyn nimenomaiseen suostumukseen (esim. työnhaun yhteydessä tehtävät soveltuvuustestit).

Profilointiin liittyvät turvatoimet

Automaattiseen päätöksentekoon, mukaan lukien profilointi, on kuitenkin aina liitettävä suojatoimia, kuten esimerkiksi henkilötietojen käsittelystä ilmoittaminen niiden kohteelle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen ja päätöksentekoon, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Lasta ei saa profiloida.

Profilointia hyödyntävän tahon on huolehdittava, että profiloinnissa käytetään asianmukaisia menetelmiä ja erityisesti varmistettava että arvioinnissa käytetään pohjana oikeita tietoja. Ns. arkaluonteisia, erityisiin henkilöryhmiin liittyviä tietoja ei saa käyttää profiloinnin perusteena.

Seuraukset

Mikäli rekisteripitäjä rikkoo profilointiin liittyvää sääntelyä, voi sanktiona olla enimmillään hallinnollinen sakko, jonka määrä voi kohota 20.000.000 euroon tai 4 % yhtiön maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on korkeampi.

Kirjoittaja Kaija Kuusimaa on Kesko Oyj:n lakiosastolla työskentelevä juristi ja Privacy Officer, jonka työtehtäviin kuuluu tietosuojajuridiikka.

Tämä kirjoitus perustuu kirjoittajan tämänhetkiseen näkemykseen asetuksen tulkinnasta. Sitä ei ole tarkoitettu sitovaksi oikeudelliseksi ohjeeksi lukijoille. Vuonna 1995 säädetyn tietosuojadirektiivin 29 artiklan mukaan EU:n tietosuojaviranomaisista muodostettu työryhmä (WP29-työryhmä) antaa vielä vuoden 2017 aikana oman tulkintaohjeensa profilointia koskevasta sääntelystä.

Lue myös aiemmat kirjoitukset koskien uuttaa tietosuoja-asetusta:

Tietosuoja-asetuksen mukainen siirto-oikeus – mitä se tarkoittaa?
Quo vadis, evästesääntely?

22.09.2023

Digitaalisen audiomainonnan markkina kasvaa Suomessa: Estimaatti näyttää jopa 27% kasvua

IAB Finland on jälleen kerran estimoinut digitaalisen audiomainonnan markkinaa Suomessa. Vuonna 2022 digiaudion kokonaismarkkinan arvo on noin 7,1 miljoonaa euroa, mikä merkitsee 27% kasvua verrattuna vuoteen 2021. Digitaalisen audion markkina-arvio vuonna 2021 oli oli 5,6 miljoonaa euroa.

lue lisää

31.08.2023

Verkkomainonta koki pienen laskun vuoden 2023 toisella kvartaalilla

Suomen verkkomainonnan määrä saavutti lähes 174 miljoonaa euroa vuoden 2023 toisella kvartaalilla, mikä on noin puolen prosentin lasku edellisvuoteen verrattuna. Digitaalinen mainonta edustaa kuitenkin edelleen 54 % koko maan mediamainonnasta, osoittaen digimainonnan keskeisen roolin mainosmarkkinoilla.

lue lisää

23.05.2023

Verkkomainonta maltillisessa kasvussa

Verkkomainonnan määrä vuoden 2023 ensimmäisellä kvartaalilla oli lähes 168 miljoonaa euroa. Vuoden 2022 ensimmäiseen kvartaaliin verrattuna digimainonnan määrä kasvoi lähes 3 % ja kaikesta Suomen mediamainonnasta digitaalista on jo 55 %.

lue lisää

06.03.2023

Digitaalinen ulkomainonta 30 % kasvussa vuonna 2022

IAB Finlandin Digitaalisen ulkomainonnan työryhmän toteuttaman arvion mukaan digiulkomainonnan määrä Suomessa vuonna 2022 oli noin 46,5 miljoonaa euroa. Vuoteen 2021 verrattuna kasvua on hieman alle 30 % kun vastaavana aikana koko ulkomainonnan markkina kasvoi 21 %.

lue lisää
Highlight picture
Tilaa IAB Finlandin uutiskirje

 IAB Finlandin tietosuojaseloste

IAB Finlandin uutiskirjeen tilaamalla raivaat tiesi digitaalisen markkinoinnin ja mainonnan etulinjaan. Saat ensimmäisten asiantuntijoiden joukossa tiedon huippuammattilaisten laatimista ilmaisista oppaista, tärkeistä ja ajankohtaisista ohjeistuksista sekä IAB Finlandin arvostetuista koulutuksista ja tapahtumista. Lisäksi tarjoamme joka kuukausi rahanarvoisia lisäsisältöjä – asiantuntijalta toiselle. Tervetuloa digitiedon lähteelle!