Lausunto 2/2013 sovelluksista älylaitteissa

Transkriptio

1 TIETOSUOJATYÖRYHMÄ 00461/13/FI WP 202 Lausunto 2/2013 sovelluksista älylaitteissa Annettu 27. helmikuuta 2013 Tietosuojatyöryhmä on perustettu direktiivin 95/46/EY 29 artiklalla. Se on riippumaton EU:n neuvoa-antava elin, joka käsittelee tietosuojaan ja yksityisyyden suojaan liittyviä kysymyksiä. Sen tehtävät määritellään direktiivin 95/46/EY 30 artiklassa ja direktiivin 2002/58/EY 15 artiklassa. Työryhmän sihteeristön tehtävistä huolehtii Euroopan komission oikeusasioiden pääosaston linja C (perusoikeudet ja kansalaisuus), toimisto MO-59 02/013, B-1049 Bryssel, Belgia. Verkkosivusto:

2 Tiivistelmä Kaikille suosituille älylaitteille on saatavilla satojatuhansia erilaisia sovelluksia, joita voi ostaa lukuisista sovelluskaupoista. Selvitysten mukaan sovelluskauppoihin lisätään päivittäin yli uutta sovellusta. Älypuhelimen käyttäjä lataa keskimäärin 37 sovellusta laitteeseensa. Sovelluksia tarjotaan loppukäyttäjälle edullisesti tai ilmaiseksi, ja niiden käyttäjäkunta voi ulottua muutamista yksilöistä jopa useisiin miljooniin käyttäjiin. Sovellukset voivat kerätä laitteesta paljon tietoa (esim. käyttäjän laitteeseen tallentamaa tietoa ja eri tunnistimien keräämää tietoa muun muassa sijainnista), ja tietoja voidaan käsitellä, jotta loppukäyttäjälle voitaisiin tarjota uusia ja innovatiivisia palveluja. Näitä samoja tietolähteitä voidaan kuitenkin käsitellä edelleen, yleensä tulojen saamiseksi, tavalla, josta loppukäyttäjä ei välttämättä ole tietoinen tai jota hän ei ole hyväksynyt. Jos sovelluskehittäjät eivät ole tietoisia tietosuojavaatimuksista, ne voivat aiheuttaa merkittäviä riskejä älylaitteiden käyttäjien yksityiselämälle ja maineelle. Merkittävimmät loppukäyttäjille aiheutuvat tietosuojariskit ovat puutteellinen avoimuus ja tiedottaminen sovelluksen suorittamasta tietojenkäsittelystä sekä se, ettei loppukäyttäjältä pyydetä pätevää hyväksyntää ennen tietojenkäsittelyä. Heikot turvatoimet, selkeä tietojen maksimoinnin lisääntyminen ja henkilötietojen keräämisen perusteena olevien tarkoitusten venyttäminen vaarantavat osaltaan tietosuojan nykyisessä sovellusympäristössä. Tietosuojaa uhkaa lisäksi lukuisten toimijoiden välinen hajanaisuus sovelluskehittämisen alalla. Eri toimijoita ovat esimerkiksi sovellusten kehittäjät ja omistajat, sovelluskaupat, käyttöjärjestelmä- ja laitevalmistajat sekä muut kolmannet osapuolet, kuten analyytikot ja mainostajat, jotka voivat osallistua henkilötietojen keräämiseen älylaitteista ja tietojen käsittelyyn. Suurin osa tämän lausunnon päätelmistä ja suosituksista on tarkoitettu sovelluskehittäjille (jotka pääasiassa määräävät tavoista, joilla sovellus käsittelee tietoja ja joilla tiedot esitetään sovelluksessa), mutta sovelluskehittäjien on usein tehtävä yhteistyötä muiden sovellusekosysteemin toimijoiden kanssa täyttääkseen yksityisyyden suojaa ja tietosuojaa koskevat korkeat standardit. Tämä on erityisen tärkeää turvallisuuden kannalta, koska useiden toimijoiden ketju on vain yhtä vahva kuin sen heikoin lenkki. Suuri osa älypuhelimen sisältämistä tiedoista on henkilötietoja. Asiaan sovellettavan oikeudellisen kehyksen muodostavat tietosuojadirektiivi sekä sähköisen viestinnän tietosuojadirektiivin mobiililaitteiden suojaa koskevat säännökset, joiden mukaisesti tällaiset tiedot kuuluvat käyttäjien yksityiselämän alueeseen. Nämä säännöt koskevat kaikkia sovelluksia, joiden kohderyhmänä ovat sovellusten käyttäjät EU:n alueella, riippumatta sovelluskehittäjän tai sovelluskaupan sijainnista. Tässä tietosuojatyöryhmän lausunnossa selkeytetään oikeudellista kehystä, jota sovelletaan henkilötietojen käsittelyyn älylaitteiden sovellusten kehittämisen, jakelun ja käytön yhteydessä. Lausunnossa keskitytään suostumusta koskevaan vaatimukseen, tarkoituksen rajoittamista ja tietojen minimointia koskeviin periaatteisiin, riittävien turvatoimien tarpeellisuuteen, velvoitteeseen tarjota asianmukaista tietoa loppukäyttäjille, loppukäyttäjien oikeuksiin, tietojen kohtuullisiin säilyttämisaikoihin ja erityisesti lapsilta kerättyjen ja lapsia koskevien tietojen oikeudenmukaiseen käsittelyyn. 2

3 Sisällysluettelo 1. Johdanto Tietosuojariskit Tietosuojaperiaatteet Sovellettava lainsäädäntö Sovellusten käsittelemät henkilötiedot Tietojenkäsittelyyn osallistuvat toimijat Sovelluskehittäjät Käyttöjärjestelmä- ja laitevalmistajat Sovelluskaupat Kolmannet osapuolet Oikeudellinen peruste Ennen sovelluksen asentamista ja henkilötietojen käsittelyä annettava suostumus Sovelluksen käytön aikana tapahtuvan tietojenkäsittelyn oikeudelliset perusteet Tarkoituksen rajoittaminen ja tietojen minimointi Turvallisuus Tiedotus Ilmoitusvelvoite ja sisältövaatimukset Tiedotuksen muoto Rekisteröidyn oikeudet Säilyttämisajat Lapset Päätelmät ja suositukset

4 1. Johdanto Sovellukset ovat ohjelmistosovelluksia, jotka on usein suunniteltu tiettyä tehtävää varten ja tietyille älylaitteille, kuten älypuhelimille, tableteille tai internet-televisioille. Sovellukset jäsentävät tietoa tavalla, joka sopii laitteen erityisominaisuuksiin, ja usein ne ovat läheisessä vuorovaikutuksessa laitteiston ja laitteissa olevien käyttöjärjestelmien kanssa. Kaikille suosituille älylaitteille on saatavilla satojatuhansia erilaisia sovelluksia, joita voi ostaa lukuisista sovelluskaupoista. Sovelluksia on kehitetty moniin eri tarkoituksiin, kuten verkkosivujen selailuun, viestintään (sähköposti, puhelin, verkkoviestintä), viihdepalveluihin (pelit, elokuvat/videot ja musiikki), verkkoyhteisöpalveluihin, pankkipalveluihin ja paikkatietopalveluihin. Selvitysten mukaan sovelluskauppoihin lisätään päivittäin yli uutta sovellusta. 1 Älypuhelimen käyttäjä lataa keskimäärin 37 sovellusta laitteeseensa. 2 Sovelluksia tarjotaan loppukäyttäjälle edullisesti tai ilmaiseksi, ja niiden käyttäjäkunta voi ulottua muutamista yksilöistä jopa useisiin miljooniin käyttäjiin. Taustalla toimiva käyttöjärjestelmä sisältää myös ohjelmiston tai tietorakenteita, jotka mahdollistavat älylaitteen ydinpalvelut, kuten älypuhelimen osoitekirjan. Käyttöjärjestelmä on suunniteltu asettamaan nämä osat sovellusten saataville ohjelmointirajapintojen (application programming interface, API) kautta. API-rajapinnat sallivat pääsyn erilaisille tunnistimille, joita älylaitteissa voi olla. Tällaisia tunnistimia ovat muun muassa gyroskooppi, digitaalinen kompassi ja kiihtyvyystunnistin, jotka havaitsevat liikkeen nopeuden ja suunnan, etu- ja takakamerat, joilla voi kuvata videon tai ottaa valokuvia, sekä mikrofoni äänen tallentamista varten. Älylaitteisiin voi sisältyä myös etäisyystunnistimia. 3 Älylaitteet voivat ottaa yhteyden muihin laitteisiin useiden verkkoliittymien kautta, joita ovat esimerkiksi Wi-Fi, Bluetooth, NFC ja Ethernet. Lisäksi laitteen tarkka sijainti voidaan määrittää paikkatietopalvelujen kautta (kuten todetaan tietosuojatyöryhmän lausunnossa 13/2011 älykkäiden mobiililaitteiden paikkatietopalveluista 4 ). Näiden tunnistimien keräämien tietojen tyyppi, tarkkuus ja tiheys vaihtelevat laitteesta ja käyttöjärjestelmästä riippuen. API-rajapinnan avulla sovelluskehittäjät voivat kerätä jatkuvasti tietoa, käyttää ja laatia yhteystietoja, lähettää sähköpostiviestejä, tekstiviestejä tai viestejä verkkoyhteisöpalvelun kautta, lukea, muokata ja poistaa SD-kortin sisältöä, tallentaa ääntä, käyttää kameraa ja tallennettuja kuvia, lukea puhelimen tilan ja tunnistetiedot, muokata yleisiä Selvitys ConceivablyTech-sivustolla, 19. elokuuta 2012, saatavilla osoitteessa Tekstiä lainannut Kalifornian oikeusministeri Kamala D. Harris asiakirjassa Privacy on the go, Recommendations for the mobile ecosystem, tammikuu 2013, ABI Researchin maailmanlaajuinen arvio vuodelle 2012, Tunnistin havaitsee fyysisen kohteen läsnäolon ilman fyysistä kontaktia. Katso: Katso tietosuojatyöryhmän lausunto 13/2011 älykkäiden mobiililaitteiden paikkatietopalveluista, toukokuu 2011, 4

5 järjestelmäasetuksia ja estää puhelinta menemästä lepotilaan. API-rajapinnat tarjoavat myös itse laitteeseen liittyvää tietoa yhden tai useamman yksilöllisen tunnisteen kautta sekä tietoa muista asennetuista sovelluksista. Näitä tietolähteitä voidaan käsitellä edelleen, yleensä tulojen saamiseksi, tavalla, josta loppukäyttäjä ei välttämättä ole tietoinen tai jota hän ei ole hyväksynyt. Tämän lausunnon tavoitteena on selkeyttää oikeudellista kehystä, jota sovelletaan henkilötietojen käsittelyyn älylaitteiden sovellusten jakelun ja käytön yhteydessä, ja tarkastella tietojen jatkokäsittelyä, joka voidaan suorittaa sovelluksen ulkopuolella, esimerkiksi kerättyjen tietojen käyttöä profiilien ja kohderyhmien luomiseen. Lausunnossa analysoidaan keskeisiä tietosuojariskejä, tunnistetaan asiaa koskevat osapuolet ja korostetaan erilaisia oikeudellisia vastuukysymyksiä. Eri osapuolia ovat muiden muassa sovellusten kehittäjät ja omistajat, sovelluskaupat, käyttöjärjestelmä- ja laitevalmistajat sekä muut kolmannet osapuolet, kuten analyytikot ja mainostajat, jotka voivat osallistua henkilötietojen keräämiseen älylaitteista ja tietojenkäsittelyyn. Lausunnossa keskitytään suostumusta koskevaan vaatimukseen, tarkoituksen rajoittamista ja tietojen minimointia koskeviin periaatteisiin, riittävien turvatoimien tarpeellisuuteen, velvoitteeseen tarjota asianmukaista tietoa loppukäyttäjille, loppukäyttäjien oikeuksiin, tietojen kohtuullisiin säilyttämisaikoihin ja erityisesti lapsilta kerättyjen ja lapsia koskevien tietojen oikeudenmukaiseen käsittelyyn. Lausuntoa voidaan soveltaa monentyyppisiin älylaitteisiin, mutta siinä keskitytään erityisesti älykkäisiin mobiililaitteisiin saatavilla oleviin sovelluksiin. 2. Tietosuojariskit Sovellusten ja käyttöjärjestelmän välinen tiivis vuorovaikutus sallii sovelluksille pääsyn huomattavasti suurempaan tietomäärään kuin perinteinen verkkoselain. 5 Sovellukset voivat kerätä laitteesta paljon tietoa (paikkatietoja, käyttäjän laitteeseen tallentamaa tietoa ja eri tunnistimien keräämää tietoa) ja tietoa voidaan käsitellä, jotta loppukäyttäjälle voitaisiin tarjota uusia ja innovatiivisia palveluja. Tietosuojaa uhkaa merkittävästi lukuisten toimijoiden välinen hajanaisuus sovelluskehittämisen alalla. Yksittäinen tietoyksikkö voidaan reaaliajassa toimittaa laitteesta käsiteltäväksi toiselle puolelle maailmaa tai kopioida kolmansien osapuolten ketjusta toiseen. Osa tunnetuimmista sovelluksista on suurten teknologiayritysten kehittämiä, mutta monet muut ovat pienten aloittelevien yritysten suunnittelemia. Yksittäinen ohjelmoija, jolla on hyvä idea ja edes heikot ohjelmointitaidot, voi tavoittaa maailmanlaajuisen yleisön lyhyessä ajassa. Jos sovelluskehittäjät eivät ole tietoisia tietosuojavaatimuksista, ne voivat aiheuttaa merkittäviä riskejä älylaitteiden käyttäjien yksityiselämälle ja maineelle. Samanaikaisesti kolmansien osapuolten tarjoamat palvelut esimerkiksi mainonnan alalla kehittyvät nopeasti, ja jos sovelluskehittäjä integroi palvelut sovellukseen ilman tarvittavia turvatoimia, voi paljastua suuria määriä henkilötietoja. 5 Tosin verkkopelien kehittäjät pyrkivät sallimaan verkkoselaimillekin yhä laajemman pääsyn loppukäyttäjien laitteissa oleviin tunnistintietoihin. 5

6 Merkittävimmät loppukäyttäjille aiheutuvat tietosuojariskit ovat puutteellinen avoimuus ja tiedottaminen sovelluksen suorittamasta tietojenkäsittelystä sekä se, ettei loppukäyttäjältä pyydetä pätevää hyväksyntää ennen tietojenkäsittelyä. Heikot turvatoimet, selkeä tietojen maksimoinnin lisääntyminen ja henkilötietojen keräämisen perusteena olevien tarkoitusten venyttäminen vaarantavat osaltaan tietosuojan nykyisessä sovellusympäristössä. Muut kansainväliset sääntelyviranomaiset, esimerkiksi Yhdysvaltain kauppakomissio (FTC), Kanadan tietosuojavaltuutetun toimisto ja Kalifornian oikeusministeriö, ovat jo selvittäneet ja käsitelleet näitä riskejä. 6 Keskeisen tietosuojariskin muodostaa avoimuuden puute. Sovelluskehittäjät toimivat käyttöjärjestelmävalmistajien ja sovelluskauppojen tarjoamien toimintojen rajoissa, millä varmistetaan, että loppukäyttäjälle tarjotaan kattavasti tietoa oikeaan aikaan. Kaikki sovelluskehittäjät eivät kuitenkaan hyödynnä näitä toimintoja, sillä useissa sovelluksissa ei ole lainkaan tietosuojakäytäntöä tai ne eivät tiedota mahdollisille käyttäjille tarkoituksenmukaisella tavalla, millaisia henkilötietoja sovellus voi käsitellä ja mihin tarkoituksiin. Avoimuuden puute ei koske vain ilmaisia sovelluksia tai kokemattomien kehittäjien omistamia sovelluksia. Tuoreessa tutkimuksessa tutkittiin 150:tä suosituinta sovellusta, ja vain 61,3 prosenttia näistä sovelluksista sisälsi tietosuojakäytännön. 7 Avoimuuden puute liittyy läheisesti vapaaehtoisen ja tietoisen suostumuksen puutteeseen. Kun sovellus on ladattu, suostumus annetaan yleensä vain merkitsemällä rasti ruutuun, mikä osoittaa, että loppukäyttäjä hyväksyy ehdot ja edellytykset. Usein saatavilla ei ole kieltävää vaihtoehtoa. GSMA:n syyskuussa 2011 toteuttaman tutkimuksen mukaan 92 prosenttia sovellusten käyttäjistä haluaisi eritellyt valintamahdollisuudet. 8 Heikot turvatoimet voivat johtaa (arkaluonteisten) henkilötietojen luvattomaan käsittelyyn, jos esimerkiksi sovelluksen kehittäjää kohtaan tehdään henkilötietojen tietoturvaloukkaus tai sovellus itse vuotaa henkilötietoja Katso mm. FTC:n yksiköiden raportti Mobile Privacy Disclosures, Building Trust Through Transparency, helmikuu 2013, FTC:n yksiköiden raportti Mobile Apps for Kids: Current Privacy Disclosures are Disappointing, helmikuu 2012, ja seurantaraportti Mobile Apps for Kids: Disclosures Still Not Making the Grade, joulukuu 2012, Kanadan tietosuojavaltuutetun toimiston raportti Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps, lokakuu 2012, Kamala D. Harris (Kalifornian oikeusministeriö), raportti Privacy on the go, Recommendations for the mobile ecosystem, tammikuu 2013, FPF:n (Future of Privacy Forum) mobiilisovelluksia koskeva tutkimus, kesäkuu 2012, Käyttäjistä 89 prosenttia katsoo, että on tärkeää tietää, milloin sovellus jakaa heidän henkilötietojaan. Lisäksi käyttäjien on voitava kytkeä tämä ominaisuus päälle tai pois päältä. Lähde: User perspectives on mobile privacy, syyskuu 2011, 6

7 Toinen tietosuojariski liittyy tarkoituksen rajoittamista koskevan periaatteen (tietämättömyydestä johtuvaan tai tahalliseen) noudattamatta jättämiseen. Periaatteen mukaisesti henkilötietoja voidaan kerätä ja käsitellä vain erityisiä ja oikeutettuja tarkoituksia varten. Sovellusten keräämiä henkilötietoja voidaan levittää laajasti useille kolmansille osapuolille, ja tietojen käyttötarkoitus voi olla määrittämätön tai venytetty, kuten markkinatutkimus. Samalla tavoin myös tietojen minimoinnin periaatetta jätetään huolestuttavasti noudattamatta. Tuore tutkimus osoittaa, että useat sovellukset keräävät runsaasti tietoa älypuhelimista, vaikka tietojen kerääminen ei liity tarkoituksenmukaisella tavalla sovelluksen näkyvään toimintaan Tietosuojaperiaatteet 3.1 Sovellettava lainsäädäntö Asiaan sovellettava EU:n oikeudellinen kehys on tietosuojadirektiivi 95/46/EY. Sitä sovelletaan aina, kun sovellusten käyttöön älylaitteissa sisältyy yksilöiden henkilötietojen käsittelyä. Sovellettavan lainsäädännön määrittämiseksi on tärkeää ensin määritellä asiaan liittyvien eri toimijoiden rooli. Erityisesti mobiilisovellusten suorittamasta tietojenkäsittelystä vastaavan yhden tai useamman rekisterinpitäjän tunnistaminen on olennaisen tärkeää sovellettavan lainsäädännön kannalta. Rekisterinpitäjän toimipaikka määrää EU:n tietosuojalainsäädännön soveltamisen, vaikka se ei olekaan ainoa kriteeri. Tietosuojadirektiivin 4 artiklan 1 kohdan a alakohdan mukaisesti jäsenvaltion kansallista lainsäädäntöä sovelletaan kaikkeen henkilötietojen käsittelyyn, joka suoritetaan kyseisen jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa. Tietosuojadirektiivin 4 artiklan 1 kohdan c alakohdassa säädetään, että jäsenvaltion kansallista lainsäädäntöä sovelletaan myös silloin, kun rekisterinpitäjä ei ole sijoittautunut unionin alueelle mutta käyttää kyseisen jäsenvaltion alueella sijaitsevia välineitä. Koska laite on väline, jota käytetään käyttäjältä kerättyjen ja käyttäjää koskevien henkilötietojen käsittelyssä, kriteeri yleensä täyttyy. 10 Tämä on olennaista kuitenkin vain silloin, kun rekisterinpitäjä ei ole sijoittautunut EU:hun. Näin ollen aina, kun sovellusten kehittämiseen, jakeluun ja toimintaan osallistuvan toimijan katsotaan olevan rekisterinpitäjä, tämän toimijan vastuulla on joko yksin tai yhdessä muiden kanssa varmistaa, että kaikkia tietosuojadirektiivissä asetettuja vaatimuksia noudatetaan. Mobiilisovelluksia koskevien toimijoiden roolia selvitetään tarkemmin jäljempänä 3.3 kohdassa. Tietosuojadirektiivin lisäksi sähköisen viestinnän tietosuojadirektiivissä (2002/58/EY, sellaisena kuin se on muutettuna direktiivillä 2009/136/EY) asetetaan erityinen standardi maailmanlaajuisesti kaikille toimijoille, jotka haluavat tallentaa tai käyttää tietoa, joka on tallennettu Euroopan talousalueella (ETA) sijaitsevien käyttäjien laitteisiin Your Apps Are Watching You, Wall Street Journal, Tämä pätee siinä määrin, kuin sovellus luo henkilötietoja sisältävää tietoliikennettä rekisterinpitäjille. Kriteeri ei välttämättä täyty, jos tietoja käsitellään ainoastaan paikallisesti itse laitteessa. 7

8 Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdassa säädetään, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46/EY mukaisesti. Vaikka useat sähköisen viestinnän tietosuojadirektiivin säännöksistä koskevat vain yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajia unionissa, 5 artiklan 3 kohtaa sovelletaan kaikkiin yksiköihin, jotka asettavat tietoa älylaitteisiin tai käyttävät niissä olevaa tietoa. Säännöstä sovelletaan riippumatta yksikön luonteesta (julkinen tai yksityinen, yksittäinen ohjelmoija tai suuryritys, rekisterinpitäjä, henkilötietojen käsittelijä tai kolmas osapuoli). Direktiivin 5 artiklan 3 kohdan suostumusvaatimusta sovelletaan kaikkeen tietoon riippumatta tallennettavien tai käytettävien tietojen luonteesta. Soveltamisala ei rajoitu vain henkilötietoihin, vaan tieto voi olla kaikentyyppistä laitteeseen tallennettua tietoa. Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdassa tarkoitettua suostumusvaatimusta sovelletaan unionissa, eli kaikille Euroopan talousalueella asuville henkilöille tarjottaviin palveluihin. Palveluntarjoajan sijainti ei vaikuta soveltamiseen. Sovelluskehittäjien on tärkeää tietää, että molemmat direktiivit ovat pakottavia säädöksiä, sillä yksilön oikeudet ovat luovuttamattomia eikä niistä voida poiketa sopimuksella. Tämä tarkoittaa, että EU:n tietosuojalainsäädännön soveltamisalasta ei voida poiketa yksipuolisella ilmoituksella tai sopimuksella Sovellusten käsittelemät henkilötiedot Monentyyppiset älylaitteeseen tallennetut tai laitteen luomat tiedot ovat henkilötietoja. Sähköisen viestinnän tietosuojadirektiivin johdanto-osan 24 kappaleessa todetaan seuraavaa: Sähköisten viestintäverkkojen käyttäjien päätelaitteet ja tällaisille laitteille tallennetut tiedot kuuluvat käyttäjien yksityiselämän alueeseen, mikä edellyttää ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen mukaista suojaa. Tiedot ovat henkilötietoja, jos ne liittyvät yksilöön, joka on rekisterinpitäjän tai kolmannen osapuolen tunnistettavissa suoraan (esim. nimen perusteella) tai epäsuorasti. Tiedot voivat liittyä laitteen omistajaan tai mihin tahansa muuhun yksilöön, eli ne voivat olla esimerkiksi osoitekirjassa olevia ystävien yhteystietoja. 12 Tiedot voidaan kerätä ja käsitellä laitteessa tai ne voidaan siirtää käsiteltäväksi sovelluskehittäjien tai kolmansien osapuolten Esimerkiksi ilmoitus siitä, että sovelletaan vain ETA:n ulkopuolisen oikeudenkäyttöalueen lainsäädäntöä. i) Laite voi luoda tiedot automaattisesti käyttöjärjestelmän ja/tai laitteen valmistajan tai matkapuhelinpalvelujen tarjoajan ennalta määrittämien asetusten perusteella (esim. paikkatiedot, verkkoasetukset, IP-osoite), ii) käyttäjä voi luoda tiedot sovellusten kautta (yhteystiedot, muistiinpanot, valokuvat) tai iii) sovellukset voivat luoda tiedot (esim. selaushistoria). 8

9 infrastruktuuriin ulkoisen API-rajapinnan kautta reaaliajassa ilman, että loppukäyttäjä on tästä tietoinen. Seuraavat ovat esimerkkejä henkilötiedoista, joilla voi olla merkittävä vaikutus käyttäjien ja muiden henkilöiden yksityiselämään: sijainti yhteystiedot yksilölliset laite- ja käyttäjätunnisteet (kuten IMEI 13, IMSI 14, UDID 15 ja matkapuhelinnumero) rekisteröidyn henkilöllisyys puhelimen tunnistetiedot (puhelimen nimi 16 ) luottokortti- ja maksutiedot puheluhistoria, tekstiviestit ja pikaviestit selaushistoria sähköposti tietoyhteiskunnan palvelujen todennuksen tunnistetiedot (erityisesti yhteisöpalveluissa) kuvat ja videot biometriset tiedot (esim. kasvontunnistus ja sormenjälkitiedot). 3.3 Tietojenkäsittelyyn osallistuvat toimijat Sovellusten kehittämiseen, jakeluun ja toimintaan osallistuu useita eri toimijoita, ja kullakin toimijalla voi olla erilaiset tietosuojavastuut. Keskeisiä toimijoita voidaan tunnistaa neljä. Ne ovat i) sovelluskehittäjät (myös sovellusten omistajat) 17, ii) käyttöjärjestelmä- ja laitevalmistajat 18, iii) sovelluskaupat (sovellusten jakelijat) ja iv) muut henkilötietojen käsittelyyn osallistuvat toimijat. Joissain tapauksissa tietosuojavastuut jaetaan, erityisesti silloin, kun sama yksikkö osallistuu useaan vaiheeseen, esimerkiksi jos käyttöjärjestelmävalmistaja hallitsee myös sovelluskauppaa. Myös loppukäyttäjien on kannettava asianmukainen vastuunsa siinä määrin, kuin he luovat ja tallentavat henkilötietoja mobiililaitteillaan. Jos tietojenkäsittely suoritetaan pelkästään henkilökohtaisia tai kotitalouden tarkoituksia varten, tietosuojadirektiiviä ei sovelleta (3 artiklan 2 kohta). Tällöin käyttäjä on vapautettu muodollisista tietosuojavelvoitteista. Jos käyttäjät kuitenkin jakavat tietoa sovelluksen kautta, esimerkiksi asettamalla tietoja ennalta Kansainvälinen matkaviestimen laitetunnus (International Mobile Equipment Identity). Kansainvälinen matkaviestintilaajan tunnus (International Mobile Subscriber Identity). Yksilöllinen laitetunniste (Unique Device Identifier). Käyttäjät antavat puhelimelleen usein omaan nimeensä liittyvän nimen, kuten Matti Meikäläisen iphone. Tietosuojatyöryhmä käyttää sovelluskehittäjien yleistä käsitettä mutta korostaa, että käsite ei rajoitu sovellusten ohjelmoijiin tai teknisiin kehittäjiin vaan sisältää myös sovellusten omistajat eli yritykset ja organisaatiot, jotka teettävät sovellusten kehittämistyön ja määrittävät niiden käyttötarkoitukset. Toisinaan käyttöjärjestelmävalmistaja ja laitevalmistaja ovat päällekkäiset, kun taas toisinaan laitevalmistaja on eri yritys kuin käyttöjärjestelmän toimittaja. 9

10 määrittelemättömän henkilöryhmän saataville 19 verkkoyhteisösovelluksen kautta, tietojenkäsittely ylittää kotitalouksia koskevan vapautuksen ehdot Sovelluskehittäjät Sovelluskehittäjät luovat sovelluksia ja/tai tarjoavat niitä loppukäyttäjien saataville. Tähän ryhmään kuuluvat yksityisen ja julkisen sektorin organisaatiot, jotka ulkoistavat sovellusten kehittämisen, sekä yritykset ja henkilöt, jotka kehittävät ja hyödyntävät sovelluksia. Sovelluskehittäjät suunnittelevat ja/tai luovat älypuhelimissa toimivan ohjelmiston ja päättävät näin, missä määrin sovellus käyttää ja käsittelee erilaisia henkilötietoja laitteessa ja/tai etäresurssipalvelujen kautta (sovelluskehittäjien tai kolmansien osapuolten tietojenkäsittely-yksiköissä). Jos sovelluskehittäjä määrittää älylaitteissa olevien henkilötietojen käsittelyn tarkoitukset ja keinot, tämä on tietosuojadirektiivin 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä. Tällöin sovelluskehittäjän on noudatettava kaikkia tietosuojadirektiivin säännöksiä. Keskeiset säännökset selitetään tämän lausunnon kohdassa. Vaikka käyttäjään sovellettaisiin kotitalouksia koskevaa vapautusta, sovelluskehittäjä on silti vastuussa oleva rekisterinpitäjä, jos hän käsittelee tietoa omia tarkoituksiaan varten. Tämä on olennaista esimerkiksi silloin, kun sovellus vaatii pääsyä koko osoitekirjaan voidakseen toteuttaa palvelun (pikaviestit, puhelut, videopuhelut). Sovelluskehittäjän vastuut ovat huomattavasti vähäisemmät, jos mitään henkilötietoja ei käsitellä laitteen ulkopuolella ja/tai aseteta saataville laitteen ulkopuolelle tai jos sovelluskehittäjä on asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla varmistanut, että tiedot on tehty peruuttamattomasti anonyymeiksi ja kerätty vain itse laitteeseen, ennen kuin mitään tietoja lähetetään laitteesta. Joka tapauksessa sähköisen viestinnän tietosuojadirektiiviä sovelletaan myös silloin, kun sovelluskehittäjällä on pääsy laitteeseen tallennettuihin tietoihin. Sovelluskehittäjän on tällöin noudatettava direktiivin 5 artiklan 3 kohdan suostumusvaatimusta. Jos sovelluskehittäjä on ulkoistanut varsinaisen tietojenkäsittelyn osittain tai kokonaan kolmannelle osapuolelle ja kyseinen kolmas osapuoli toimii henkilötietojen käsittelijänä, sovelluskehittäjän on noudatettava kaikkia henkilötietojen käsittelijän käyttöön liittyviä velvoitteita. Tämä koskee myös tietotekniikan resurssipalvelujen käyttöä (esim. tietojen ulkoista säilytystä varten). 21 Jos sovelluskehittäjä sallii kolmansille osapuolille pääsyn käyttäjätietoihin (esimerkiksi mainosverkostolle pääsyn laitteen paikkatietoihin käyttötottumuksia seuraavaa mainontaa Katso Euroopan yhteisöjen tuomioistuimen asia C-101/01, rikosoikeudenkäynti vastaan Bodil Lindqvist, tuomio , ja asia C-73/07, Tietosuojavaltuutettu v. Satakunnan Markkinapörssi Oy ja Satamedia Oy, tuomio Katso tietosuojatyöryhmän lausunto 5/2009 internetin sosiaalisista verkkoyhteisöistä, kesäkuu 2009, Katso tietosuojatyöryhmän lausunto 5/2012 tietotekniikan resurssipalveluista, heinäkuu 2012, 10

11 varten), sovelluskehittäjän on käytettävä asianmukaisia mekanismeja noudattaakseen EU:n oikeudellisen kehyksen asiaa koskevia vaatimuksia. Jos kolmas osapuoli käyttää laitteeseen tallennettuja tietoja, sovelletaan sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdassa tarkoitettua velvoitetta hankkia tietoinen suostumus. Lisäksi jos kolmas osapuoli käsittelee henkilötietoja omia tarkoituksiaan varten, se voi toimia myös rekisterinpitäjänä yhdessä sovelluskehittäjän kanssa. Tällöin sen on varmistettava, että tarkoituksen rajoittamista koskevaa periaatetta sekä turvallisuusvelvoitteita 22 noudatetaan siltä osin, kuin se määrittää tietojenkäsittelyn tarkoitukset ja keinot. Koska sovelluskehittäjien ja kolmansien osapuolten välillä voi olla erityyppisiä järjestelyjä sekä kaupallisia että teknisiä, kunkin osapuolen vastuualue on määritettävä tapauskohtaisesti ottaen huomioon kyseessä olevan tietojenkäsittelyn erityisolosuhteet. Sovelluskehittäjä voi käyttää kolmannen osapuolen ohjelmistokirjastoja, joissa tarjotaan yleisiä toimintoja, esimerkiksi verkkopelialustoja. Sovelluskehittäjän on varmistettava, että käyttäjät ovat tietoisia kaikesta tietojenkäsittelystä, jota tällaiset kirjastot suorittavat, ja että tietojenkäsittelyssä noudatetaan EU:n lainsäädäntöä ja hankitaan myös tarvittaessa käyttäjän suostumus. Tältä osin sovelluskehittäjien on estettävä käyttäjältä piilossa olevien toimintojen käyttö Käyttöjärjestelmä- ja laitevalmistajat Käyttöjärjestelmä- ja laitevalmistajia olisi pidettävä myös rekisterinpitäjinä (ja tarvittaessa yhteisinä rekisterinpitäjinä) kaikkien niiden henkilötietojen osalta, joita ne käsittelevät omia tarkoituksiaan, esimerkiksi laitteen toimivuutta ja turvallisuutta, varten. Tähän sisältyvät käyttäjän luomat tiedot (esim. käyttäjätiedot rekisteröinnin yhteydessä), laitteen automaattisesti luomat tiedot (esim. jos laitteen toimintoihin sisältyy sen sijainnin kertova kotiinsoitto ) ja käyttöjärjestelmä- tai laitevalmistajan käsittelemät henkilötiedot, jotka ovat peräisin sovellusten asennuksesta tai käytöstä. Jos käyttöjärjestelmä- tai laitevalmistaja tarjoaa lisätoimintoja, kuten varmuuskopiointi- tai etäpaikannuspalveluja, sitä olisi pidettävä myös rekisterinpitäjänä niiden henkilötietojen osalta, joita käsitellään tätä tarkoitusta varten. Sovellusten, jotka edellyttävät paikkatietoja, on käytettävä käyttöjärjestelmän paikannuspalveluja. Jos sovellus käyttää paikkatietoja, käyttöjärjestelmä voi kerätä henkilötietoja, jotta se voi tarjota sovellukselle paikkatietoja, ja tietoja voidaan käyttää myös sen omien paikannuspalveluiden parantamiseen. Viimeksi mainitussa tarkoituksessa käyttöjärjestelmä on rekisterinpitäjä. Käyttöjärjestelmä- ja laitevalmistajat ovat lisäksi vastuussa ohjelmointirajapinnasta, jonka avulla sovellukset voivat käsitellä älylaitteessa olevia henkilötietoja. Sovelluskehittäjällä on pääsy niihin ominaisuuksiin ja toimintoihin, jotka käyttöjärjestelmä- ja laitevalmistajat asettavat saataville API-rajapinnan kautta. Käyttöjärjestelmä- ja laitevalmistajat määrittävät henkilötietojen käytön keinot (ja laajuuden), joten niiden on varmistettava, että sovelluskehittäjälle annetaan tarkasti määritelty pääsy vain niihin tietoihin, jotka ovat tarpeen 22 Katso tietosuojatyöryhmän lausunto 2/2010 käyttötottumuksia seuraavasta internetmainonnasta, kesäkuu 2010, ja tietosuojatyöryhmän lausunto 1/2010 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä, helmikuu 2010, 11

12 sovelluksen toiminnan kannalta. Käyttöjärjestelmä- ja laitevalmistajien olisi myös varmistettava, että tämä pääsy voidaan peruuttaa helposti ja tehokkaasti. Sisäänrakennetun yksityisyyden suojan käsite on tärkeä periaate, johon viitataan epäsuorasti jo tietosuojadirektiivissä 23 ja joka esiintyy yhdessä oletusarvoisen yksityisyyden suojan käsitteen kanssa selkeämmin sähköisen viestinnän tietosuojadirektiivissä 24. Tämän vuoksi laite- tai sovellusvalmistajien on alusta alkaen otettava tietosuoja huomioon suunnitelmissaan. Sisäänrakennettua yksityisyyden suojaa vaaditaan yksiselitteisesti televiestintälaitteiden suunnittelussa, kuten säädetään radio- ja telepäätelaitteista annetussa direktiivissä 25. Sen vuoksi käyttöjärjestelmä- ja laitevalmistajilla on yhdessä sovelluskauppojen kanssa tärkeä vastuu taata sovellusten käyttäjien henkilötietojen ja yksityisyyden suoja. Lisäksi niiden on varmistettava, että saatavilla on asianmukaisia mekanismeja, joiden avulla loppukäyttäjille voidaan tiedottaa ja opettaa, mitä sovellukset voivat tehdä ja mitä tietoja ne käyttävät. Niiden on tarjottava asianmukaiset asetukset, joiden avulla sovellusten käyttäjät voivat muuttaa käsittelyn parametreja Sovelluskaupat Kaikilla yleisimmillä älylaitetyypeillä on oma sovelluskauppansa, ja usein tietyllä käyttöjärjestelmällä on läheinen yhteys tiettyyn sovelluskauppaan. Sovelluskaupat käsittelevät yleisesti sovellusten ennakkomaksuja, ja ne voivat myös tukea sovellusten sisäisiä ostoja, mikä edellyttää nimen, osoitteen ja maksutiedot sisältävää käyttäjärekisteriä. Näitä (suoraan) tunnistettavia tietoja voidaan yhdistää ostoja ja käyttäytymistä koskeviin tietoihin sekä laitteesta saataviin tai laitteen luomiin tietoihin (kuten yksilöllisiin tunnisteisiin). Sovelluskaupat toimivat todennäköisesti tällaisten henkilötietojen käsittelyn osalta rekisterinpitäjinä, myös silloin, jos ne toimittavat tietoja takaisin sovelluskehittäjille. Jos sovelluskauppa käsittelee loppukäyttäjän sovellusten lataus- ja käyttöhistoriaa tai muita samankaltaisia palveluita aikaisemmin ladattujen sovellusten palauttamiseksi, sitä pidetään rekisterinpitäjänä myös tätä tarkoitusta varten käsiteltyjen henkilötietojen osalta. Sovelluskauppa tallentaa kirjautumistiedot sekä sovellusten ostohistorian. Lisäksi se pyytää käyttäjää antamaan luottokorttinsa numeron, joka tallennetaan käyttäjän tilille. Näiden toimintojen osalta sovelluskauppa on rekisterinpitäjä. Toisaalta verkkosivustot, joilta laitteeseen asennettava sovellus voidaan ladata ilman todennusta, eivät välttämättä käsittele henkilötietoja Katso johdanto-osan 46 kappale ja 17 artikla. Katso 14 artiklan 3 kohta. Radio- ja telepäätelaitteista ja niiden vaatimustenmukaisuuden vastavuoroisesta tunnustamisesta 9 päivänä maaliskuuta 1999 annettu direktiivi 1999/5/EY, EYVL L 91, , s. 10. Direktiivin 3 artiklan 3 kohdan c alakohdassa säädetään, että Euroopan komissio voi päättää, että loppukäyttäjille tarkoitettujen laitteiden on oltava siten rakennettuja, että niihin sisältyy turvalaitteita, jotka takaavat käyttäjän ja tilaajan henkilötietojen ja yksityisyyden suojan. Tietosuojatyöryhmä suhtautuu myönteisesti asiaa koskeviin suosituksiin, joita FTC on antanut sen yksiköiden raportissa Mobile Privacy Disclosures, johon viitattiin edellä alaviitteessä 6. Esimerkiksi raportin sivulla 15 todetaan, että järjestelmien tarjoajilla on ainutlaatuinen mahdollisuus paljastaa yhdenmukaisia tietoja sovelluksista, ja niitä kannustetaan tekemään niin. Työpajan kommenttien mukaisesti ne voisivat myös paljastaa näitä tietoja useissa eri vaiheissa. 12

13 Sovelluskaupoilla on merkittävä asema, koska ne tarjoavat sovelluskehittäjille keinon antaa riittävät tiedot sovelluksesta, mukaan lukien tiedot sellaisista tietoryhmistä, joita sovellus voi käsitellä, ja käsittelyn tarkoituksista. Sovelluskaupat voivat panna tiedostusta koskevat säännöt täytäntöön sovellusten julkaisuehdoissa (joko ennakko- tai jälkitarkastusten avulla). Sovelluskauppa voi yhteistyössä käyttöjärjestelmävalmistajan kanssa luoda puitteet, joiden avulla sovelluskehittäjät voivat antaa yhdenmukaisia ja tarkoituksenmukaisia ilmoituksia (kuten symboleja, jotka ilmaisevat tunnistimien keräämien tietojen tietynlaista käyttöä), jotka esitetään näkyvästi sovelluskaupan tuoteluettelossa Kolmannet osapuolet Sovellusten käytöstä saatavien tietojen käsittelyyn osallistuu useita kolmansia osapuolia. Esimerkiksi useat ilmaiset sovellukset rahoitetaan mainonnalla, joka voi olla muun muassa kontekstipohjaista tai henkilökohtaisesti kohdennettua mainontaa. Mainonta toteutetaan seurantatoimintojen, kuten evästeiden tai muiden laitetunnisteiden, avulla. Mainontaa voi olla sovellukseen sisältyvä mainospalkki tai sovelluksen ulkopuoliset mainokset, jotka toteutetaan muuttamalla selaimen asetuksia, sijoittamalla kuvakkeita mobiililaitteen työpöydälle tai järjestämällä sovelluksen sisältöä kohdennetusti (esim. tuetut hakutulokset). Sovelluksiin tarkoitettua mainontaa tarjoavat tavallisesti mainosverkostot ja vastaavat toimijat, jotka saattavat olla yhteydessä käyttöjärjestelmävalmistajaan tai sovelluskappaan tai jotka voivat olla sama yksikkö. Kuten tietosuojatyöryhmän lausunnossa 2/ todetaan, internetmainontaan kuuluu usein tietosuojadirektiivin 2 artiklassa tarkoitettua henkilötietojen käsittelyä, josta tietosuojatyöryhmä on esittänyt tulkintansa 28. Muita esimerkkejä kolmansista osapuolista ovat analyysi- ja viestintäpalvelujen tarjoajat. Analyysipalveluiden avulla sovelluskehittäjät saavat tietoa sovellustensa käytöstä, suosiosta ja käytettävyydestä. Viestintäpalvelujen tarjoajat 29 voivat osaltaan määrittää useiden laitteiden oletusasetuksia ja turvallisuuspäivityksiä, ja ne voivat käsitellä sovellusten käyttöä koskevaa tietoa. Niiden räätälöinnillä ( brändäys ) voi olla vaikutusta mahdollisiin teknisiin ja toiminnallisiin toimintoihin, joilla käyttäjä voi suojella henkilötietojaan. Sovelluskehittäjiin verrattuna kolmansilla osapuolilla voi olla kahdenlaisia rooleja. Ensimmäinen rooli on sovelluksen omistajan toimeksiantojen toteuttaminen, esimerkiksi sovellusta koskevien analyysien tarjoaminen. Jos toimijat tällöin toimivat yksinomaan sovelluskehittäjän puolesta eivätkä käsittele tietoja omia tarkoituksiaan varten ja/tai jaa tietoa muille kehittäjille, ne toimivat todennäköisesti henkilötietojen käsittelijöinä Tietosuojatyöryhmän lausunto 2/2010 käyttötottumuksia seuraavasta internetmainonnasta, kesäkuu 2010, Katso myös henkilötietojen käsitettä koskeva tulkinta tietosuojatyöryhmän lausunnossa 4/2007 henkilötietojen käsitteestä, kesäkuu 2007, Viestintäpalvelujen tarjoajiin sovelletaan myös alakohtaisia tietosuojavelvoitteita, jotka eivät kuulu tämän lausunnon piiriin. 13

14 Toinen rooli on tietojen kerääminen sovelluksista lisäpalvelujen tarjoamista varten: tarjotaan laajempia analyyseja (sovelluksen suosio, kohdennetut suositukset) tai estetään saman mainoksen näyttäminen uudelleen samalle käyttäjälle. Kun kolmannet osapuolet käsittelevät henkilötietoja omia tarkoituksiaan varten, ne toimivat rekisterinpitäjinä ja niiden on noudatettava kaikkia tietosuojadirektiivin sovellettavia säännöksiä. 30 Jos kyseessä on käyttötottumuksia seuraava mainonta, rekisterinpitäjän on saatava käyttäjältä pätevä suostumus henkilötietojen keräämistä ja käsittelyä varten, mikä sisältää esimerkiksi henkilötietojen analysoinnin ja yhdistelemisen sekä profiilien luomisen ja/tai käytön. Kuten tietosuojatyöryhmän lausunnossa 2/2010 käyttötottumuksia seuraavasta internetmainonnasta esitetään, tällainen suostumus hankitaan parhaiten käyttämällä etukäteisvahvistusta. Yritys tarjoaa sovellusten omistajille ja mainostajille tietoja käyttämällä sovelluskehittäjän sovellukseen upottamia seurantaohjelmia. Yrityksen seurantaohjelmia voidaan siten asentaa useisiin sovelluksiin ja laitteisiin. Osana palveluitaan se tarjoaa sovelluskehittäjille tietoa siitä, mitä muita sovelluksia käyttäjä käyttää, keräämällä yksilöllisiä tunnisteita. Yritys määrittää työkalujensa keinot (seurantaohjelmat) ja käyttötarkoitukset, ennen kuin se tarjoaa niitä sovelluskehittäjille, mainostajille ja muille, joten se toimii rekisterinpitäjänä. Jos kolmannet osapuolet käyttävät älylaitteessa olevaa tietoa tai tallentavat tietoa älylaitteeseen, niiden on noudatettava sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdan suostumusvaatimusta. Tässä yhteydessä on pantava merkille, että älylaitteet sallivat käyttäjien yleensä vain rajoitetusti asentaa ohjelmistoa, joka hallitsisi henkilötietojen käsittelyä, samalla tavalla kuin on yleisesti mahdollista verkkoympäristössä. HTTP-evästeiden vaihtoehtona kolmannet osapuolet käyttävät usein yksilöllisiä tunnisteita käyttäjien (tai käyttäjäryhmien) yksilöimiseksi ja kohdennettujen palvelujen, myös mainonnan, tarjoamiseksi. Koska käyttäjät eivät useinkaan voi poistaa tai muuttaa näitä tunnisteita (kuten IMEI, IMSI, MSISDN 31 ja käyttöjärjestelmän lisäämät erityiset yksilölliset laitetunnisteet), kyseisillä kolmansilla osapuolilla on mahdollisuus käsitellä huomattavia määriä henkilötietoja ilman loppukäyttäjän määräysvaltaa. 3.4 Oikeudellinen peruste Henkilötietojen käsittelyä varten tarvitaan oikeudellinen peruste, kuten tietosuojadirektiivin 7 artiklassa olevasta luettelosta käy ilmi. Direktiivin 7 artiklassa erotetaan tietojenkäsittelylle kuusi oikeudellista perustetta: rekisteröity on yksiselitteisesti antanut suostumuksensa, käsittely on tarpeen rekisteröidyn kanssa tehdyn sopimuksen täytäntöön panemiseksi, rekisteröidyn elintärkeän edun suojaamiseksi tai laillisen velvoitteen noudattamiseksi, käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi (julkisen viranomaisen toimesta) tai oikeutetun (liiketoimintaan liittyvän) intressin toteuttamiseksi Tietosuojatyöryhmän lausunto 2/2010 käyttötottumuksia seuraavasta internetmainonnasta, s Matkaviestintilaajan kansainvälinen ISDN-numero (Mobile Station Integrated Services Digital Network). 14

15 Tietojen tallentamisen ja älylaitteeseen tallennettujen tietojen käyttämisen osalta sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdassa (suostumusvaatimus, joka koskee tietojen lisäämistä laitteeseen ja tietojen noutamista laitteesta) asetetaan mahdollisille oikeudellisille perusteille yksityiskohtaisemmat rajoitukset Ennen sovelluksen asentamista ja henkilötietojen käsittelyä annettava suostumus Sovelluksissa pääasiallisesti käytettävä oikeudellinen peruste on suostumus. Sovelluksen asentamisen yhteydessä loppukäyttäjän laitteeseen asetetaan tietoa. Useat sovellukset käyttävät myös laitteeseen tallennettuja tietoja, osoitekirjan yhteystietoja, kuvia, videoita ja muita henkilökohtaisia asiakirjoja. Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdassa edellytetään kaikissa näissä tapauksissa, että ennen tietojen asettamista laitteeseen ja tietojen noutamista laitteesta on saatava käyttäjän suostumus, jonka tämä antaa saatuaan selkeät ja kattavat tiedot. On tärkeää erottaa toisistaan tietojen asettamiseen ja laitteessa olevien tietojen käyttämiseen tarvittava suostumus sekä oikeudelliseksi perusteeksi erityyppisten henkilötietojen käsittelyä varten tarvittava suostumus. Kumpaakin suostumusvaatimusta voidaan soveltaa samanaikaisesti, ja niillä on eri oikeusperusta. Kumpaankin suostumukseen sovelletaan kuitenkin ehtoja, joiden mukaisesti suostumuksen on oltava vapaaehtoinen, yksilöity ja tietoinen (tietosuojadirektiivin 2 artiklan h alakohdan määritelmän mukaisesti). Näin ollen kaksi erityyppistä suostumusta voidaan yhdistää käytännössä joko asennuksen aikana tai ennen kuin sovellus alkaa kerätä henkilötietoja laitteesta edellyttäen, että käyttäjä on yksiselitteisesti tietoinen siitä, mihin hän suostuu. Monet sovelluskaupat tarjoavat sovelluskehittäjille mahdollisuuden tiedottaa loppuasiakkaille sovelluksen perusominaisuuksista ennen asennusta ja vaativat käyttäjältä myönteisen toiminnon (eli asenna -painikkeen napsauttamisen), ennen kuin sovellus ladataan ja asennetaan. Vaikka tällainen toiminto voi joissain olosuhteissa täyttää 5 artiklan 3 kohdan suostumusvaatimuksen, sen yhteydessä ei todennäköisesti tarjota riittävästi tietoa, jotta se olisi pätevä suostumus henkilötietojen käsittelyä varten. Aihetta on käsitelty aikaisemmin tietosuojatyöryhmän lausunnossa 15/2011 suostumuksen määritelmästä. 32 Älylaitteiden yhteydessä vapaaehtoinen tarkoittaa, että käyttäjällä on oltava mahdollisuus hyväksyä tai kieltää henkilötietojensa käsittely. Jos sovellus edellyttää henkilötietojen käsittelyä, käyttäjän on voitava vapaasti joko hyväksyä tai kieltää se. Käyttäjälle ei pitäisi tarjota näyttöä, jossa asennuksen päättämiseksi on valittavana ainoastaan hyväksyn - vaihtoehto. On tarjottava myös peruuta -vaihtoehto tai muu tapa pysäyttää asennus. Tietoinen puolestaan tarkoittaa, että käyttäjällä on oltava käytettävissään tarvittavat tiedot, jotta hän voi muodostaa oikean arvion. 33 Monitulkintaisuuden välttämiseksi tiedot on asetettava saataville ennen kuin mitään henkilötietoja käsitellään. Tämä kattaa myös asennuksen aikana suoritettavan tietojenkäsittelyn esimerkiksi virheiden etsintää tai seurantaa Tietosuojatyöryhmän lausunto 15/2011 suostumuksen määritelmästä, heinäkuu 2011, Sama kuin edellä, s

16 varten. Annettavien tietojen sisältöä ja muotoilua on tarkasteltu lähemmin tämän lausunnon 3.7 kohdassa. Yksilöity tarkoittaa, että tahdonilmaisun on liityttävä tiettyjen tietojen käsittelyyn tai tietojenkäsittelyn tiettyyn osa-alueeseen. Näin ollen pelkkä asenna -painikkeen napsauttaminen ei ole pätevä suostumus henkilötietojen käsittelyä varten, koska suostumus ei voi olla yleisesti muotoiltu lupa. Joissain tapauksissa käyttäjät voivat antaa eritellyn suostumuksen, jolloin suostumus pyydetään erikseen jokaista tietoryhmää varten, jota sovellus aikoo käyttää. 34 Tällainen toimintatapa täyttää kaksi merkittävää oikeudellista vaatimusta: käyttäjälle annetaan riittävästi tietoa palvelun tärkeistä toiminnoista ja kutakin toimintoa varten pyydetään yksilöity suostumus. 35 Sovelluskehittäjien vaihtoehtoinen toimintatapa, jossa ne pyytävät käyttäjiä hyväksymään pitkiä ehtoja ja edellytyksiä ja/tai tietosuojakäytäntöjä, ei muodosta yksilöityä suostumusta. 36 Yksilöity liittyy myös mainostajien ja muiden kolmansien osapuolten harjoittamaan käyttäjien käyttötottumuksien seurantaan. Käyttöjärjestelmissä ja sovelluksissa tarjottavien oletusasetusten on oltava sellaiset, että niillä estetään kaikenlainen seuranta, jotta käyttäjät voivat antaa yksilöidyn suostumuksensa tällaiselle tietojenkäsittelylle. Kolmannet osapuolet eivät saa kiertää oletusasetuksia, kuten ne tällä hetkellä usein tekevät, kun selaimissa on käytössä seurannan estomekanismeja. Esimerkkejä yksilöidystä suostumuksesta Sovellus tarjoaa tietoa lähialueen ravintoloista. Asennusta varten sovelluskehittäjän on saatava käyttäjän suostumus. Sovelluskehittäjän on paikkatietoihin pääsemiseksi pyydettävä erikseen suostumusta esimerkiksi asennuksen aikana tai ennen kuin paikkatietoja käytetään. Yksilöity tarkoittaa, että suostumus on rajattava tiettyyn tarkoitukseen eli lähialueen ravintoloita koskevien tietojen antamiseen käyttäjälle. Laitteen paikkatietoja voidaan käyttää ainoastaan silloin, kun käyttäjä käyttää sovellusta tähän tarkoitukseen. Käyttäjän suostumus paikkatietojen käsittelyyn ei salli sovelluksen kerätä jatkuvasti paikkatietoja laitteesta. Tällainen jatkokäsittely vaatisi lisätietoja ja erillisen suostumuksen. Samalla tavoin viestintäsovelluksen pääsy yhteystietoihin edellyttää, että käyttäjän on voitava valita ne yhteystiedot, joihin käyttäjä haluaa saada yhteyden, eikä suostumus voi koskea koko osoitekirjaa (johon sisältyy yhteystietoja myös muilta kuin kyseisen palvelun käyttäjiltä, jotka eivät ole voineet antaa suostumustaan heihin liittyvien tietojen käsittelyä varten) Eritelty suostumus tarkoittaa sitä, että käyttäjät voivat tarkasti (yksilöidysti) määrätä, mitä sovelluksen tarjoamia henkilötietojen käsittelytoimintoja he haluavat aktivoida. Tällaisen eritellyn suostumuksen tarvetta kannatetaan nimenomaisesti myös FTC:n yksiköiden viimeisimmässä raportissa (edellä alaviite 6), s : Järjestelmien tarjoajien olisi tarkasteltava mahdollisuutta antaa oikea-aikaisia ilmoituksia ja hankkia suostumus sellaisen sisällön keräämiseen, jonka suuri osa kuluttajista katsoo olevan monella tapaa arkaluonteista, kuten valokuvat, yhteystiedot, kalenterimerkinnät tai ääni- tai videotallenteet. Sama kuin edellä, s : Yleinen suostumus, jossa ei tarkasti osoiteta sen käsittelyn tarkoitusta, johon rekisteröity suostuu, ei täytä tätä vaatimusta. Sen vuoksi käsittelyn tarkoitusta koskevaa tietoa ei pidä sisällyttää yleisiin säännöksiin vaan erilliseen suostumuslausekkeeseen. 16

17 On kuitenkin tärkeää panna merkille, että vaikka suostumus täyttäisi edellä kuvatut kolme vaatimusta, se ei anna lupaa epäasianmukaiseen tai laittomaan käsittelyyn. Jos tietojenkäsittelyn tarkoitus on liian laaja ja/tai kohtuuton, sovelluskehittäjällä ei käyttäjän antamasta suostumuksesta huolimatta ole pätevää oikeudellista perustetta ja kyseessä olisi todennäköisesti tietosuojadirektiivin rikkominen. Esimerkki liian laajasta ja laittomasta tietojenkäsittelystä Herätyskellosovellus tarjoaa valinnaisen toiminnon, jossa käyttäjä voi verbaalisella komennolla hiljentää kellon tai asettaa sen torkkutilaan. Tässä esimerkissä äänen tallentamista varten saatu suostumus rajoittuisi vain tilanteeseen, jossa kello soi. Kaikenlainen äänen seuranta tai tallentaminen silloin, kun kello ei soi, olisi todennäköisesti liian laajaa ja laitonta. Tapauksissa, joissa suostumuksen perusteella on asennettu sovelluksia laitteeseen automaattisesti (ennen kuin laite siirtyy loppukäyttäjän omistukseen) tai käyttöjärjestelmä käsittelee tietoja muulla tavalla, rekisterinpitäjän on huolellisesti tarkasteltava, onko annettu suostumus todella pätevä. Monissa tapauksissa voitaisiin käyttää erillistä suostumusmekanismia esimerkiksi sovelluksen ensimmäisellä käyttökerralla, jolloin rekisterinpitäjällä olisi riittävä mahdollisuus antaa kattavasti tietoja loppukäyttäjälle. Kun kyse on tietosuojadirektiivin 8 artiklan määritelmän mukaisista erityisistä tietoryhmistä, suostumuksen on oltava nimenomainen. Käyttäjille on lisäksi annettava mahdollisuus peruuttaa suostumuksensa yksinkertaisella ja tehokkaalla tavalla. Tätä käsitellään tarkemmin tämän lausunnon 3.8 kohdassa Sovelluksen käytön aikana tapahtuvan tietojenkäsittelyn oikeudelliset perusteet Kuten edellä on selitetty, suostumusta tarvitaan oikeudellisena perusteena, jotta sovelluskehittäjä voi laillisesti lukea ja/tai muokata tietoa ja siten käsitellä henkilötietoja. Seuraavassa vaiheessa eli sovelluksen käytön aikana sovelluskehittäjä voi turvautua muihin oikeudellisiin perusteisiin muuntyyppistä tietojenkäsittelyä varten edellyttäen, että tämä ei sisällä arkaluonteisten henkilötietojen käsittelyä. Tällaisia oikeudellisia perusteita voidaan tarvita rekisteröidyn kanssa tehdyn sopimuksen täytäntöön panemiseksi tai oikeutettujen (liiketoimintaan liittyvien) intressien toteuttamiseksi tietosuojadirektiivin 7 artiklan b ja f alakohdan mukaisesti. Oikeudelliset perusteet rajoittuvat tietyn käyttäjän muiden kuin arkaluonteisten henkilötietojen käsittelyyn, ja niihin voidaan turvautua ainoastaan siinä määrin, kuin kyseinen tietojenkäsittely on ehdottoman välttämätöntä tietyn palvelun toteuttamista varten, tai 7 artiklan f kohdan tapauksessa ainoastaan silloin, kun rekisteröidyn perusoikeudet ja -vapaudet eivät syrjäytä kyseisiä intressejä. Esimerkkejä sopimukseen perustuvasta oikeudellisesta perusteesta Käyttäjä antaa suostumuksensa mobiilipankkisovelluksen asennukseen. Jotta pankki voi toteuttaa maksupyynnön, sen ei tarvitse pyytää käyttäjältä erillistä suostumusta luovuttaakseen tämän nimen ja tilinumeron maksun vastaanottajalle. 17

18 Tämä tietojen luovuttaminen on ehdottoman välttämätöntä, jotta kyseisen käyttäjän kanssa tehty sopimus voidaan panna täytäntöön, joten pankilla on tietosuojadirektiivin 7 artiklan b kohdan mukainen oikeudellinen peruste. Samaa perustelua sovelletaan myös viestintäsovelluksiin. Kun ne luovuttavat olennaisia tietoja, kuten käyttäjänimen, sähköpostiosoitteen tai puhelinnumeron, toiselle henkilölle, johon käyttäjä haluaa saada yhteyden, tietojen luovuttaminen on selvästi välttämätöntä sopimuksen täytäntöön panemiseksi. 3.5 Tarkoituksen rajoittaminen ja tietojen minimointi Tietosuojadirektiivin perusperiaatteita ovat tarkoituksen rajoittaminen ja tietojen minimointi. Tarkoituksen rajoittamisen myötä käyttäjät voivat tehdä tietoisen valinnan siitä, että he uskovat henkilötietonsa tietyn toimijan haltuun, koska he saavat tietoa tietojen käyttötavoista ja he voivat luottaa rajalliseen tarkoituksen kuvaukseen ja siten ymmärtää, mitä tarkoituksia varten heidän tietojaan käytetään. Tietojenkäsittelyn tarkoitusten on siten oltava tarkasti määriteltyjä ja ymmärrettäviä keskivertokäyttäjälle, jolla ei ole oikeudellista tai teknistä asiantuntemusta. Samanaikaisesti tarkoituksen rajoittaminen edellyttää, että sovelluskehittäjillä on hyvä yleisnäkemys liiketoiminnastaan, ennen kuin ne alkavat kerätä käyttäjiltä henkilötietoja. Henkilötietoja voidaan käsitellä ainoastaan asianmukaisia ja laillisia tarkoituksia varten (tietosuojadirektiivin 6 artiklan 1 kohdan a alakohta), ja nämä tarkoitukset on määriteltävä ennen tietojenkäsittelyä. Tarkoituksen rajoittamisen periaatteeseen eivät kuulu keskeisten käsittelyehtojen äkilliset muutokset. Esimerkiksi sovelluksen alkuperäisenä tarkoituksena on ollut käyttäjien keskinäinen sähköpostiviestintä, mutta sovelluskehittäjä päättää muuttaa liiketoimintamalliaan ja yhdistää käyttäjien sähköpostiosoitteet toisen sovelluksen käyttäjien puhelinnumeroihin. Vastaavien rekisterinpitäjien tulisi tällöin lähestyä yksilöllisesti kaikkia käyttäjiä ja pyytää heiltä ennakkoon yksiselitteinen suostumus henkilötietojen käsittelyn uutta tarkoitusta varten. Tarkoituksen rajoittaminen liittyy läheisesti tietojen minimoinnin periaatteeseen. Jotta voidaan estää tarpeeton ja mahdollisesti laiton tietojenkäsittely, sovelluskehittäjien on huolellisesti tarkasteltava, mitkä tiedot ovat ehdottoman välttämättömiä halutun toiminnon toteuttamiseksi. Sovellukset voivat käyttää useita laitteen toimintoja, ja siten ne voivat tehdä erilaisia asioita, kuten lähettää piilotettuja tekstiviestejä sekä käyttää kuvia ja koko osoitekirjaa. Useat sovelluskaupat tukevat (puoli)automaattisia päivityksiä, joiden yhteydessä sovelluskehittäjä voi lisätä uusia ominaisuuksia ja asettaa ne saataville ilman loppukäyttäjän vaikutusvaltaa. Tietosuojatyöryhmä korostaa tässä vaiheessa, että kolmansien osapuolten, jotka käyttävät käyttäjätietoja sovellusten kautta, on noudatettava tarkoituksen rajoittamista ja tietojen minimointia koskevia periaatteita. Yksilöllisiä ja usein pysyviä laitetunnisteita ei pitäisi käyttää mainontaan ja/tai analysointiin perustuvaan tarkoitukseen, koska käyttäjät eivät pysty 18

19 peruuttamaan suostumustaan. Sovelluskehittäjien olisi estettävä tietojen käyttö muuhun kuin alkuperäiseen tarkoitukseen siten, että ne eivät muuta tietojenkäsittelyä sovelluksen versioiden välillä ilman, että loppukäyttäjät saavat asiasta asianmukaisen ilmoituksen ja mahdollisuuden peruuttaa joko tietojenkäsittely tai koko palvelu. Käyttäjille olisi myös tarjottava teknisesti mahdollisuus varmistaa tietojenkäsittelyn tarkoituksia koskevat ilmoitukset. Tämä voitaisiin tehdä antamalla käyttäjille tiedot siitä, paljonko kukin sovellus lähettää tietoliikennettä, joka liittyy käyttäjän aiheuttamaan liikenteeseen. Tiedotus ja käyttäjien määräysvalta ovat keskeisiä ominaisuuksia, joiden avulla varmistetaan tietojen minimointia ja tarkoituksen rajoittamista koskevien periaatteiden noudattaminen. Käyttöjärjestelmä- ja laitevalmistajilla sekä sovelluskaupoilla on API-rajapintojen kautta pääsy laitteen perustietoihin, joten ne voivat tämän avulla panna täytäntöön erityisiä sääntöjä ja tarjota loppukäyttäjille asianmukaista tietoa. Esimerkiksi käyttöjärjestelmä- ja laitevalmistajien olisi tarjottava API-rajapinta, jonka avulla voidaan eritellä erityyppiset tiedot ja varmistaa, että sovelluskehittäjät voivat pyytää pääsyä vain niihin tietoihin, jotka ovat ehdottoman välttämättömiä sovelluksen (laillisen) toimivuuden kannalta. Sovelluskehittäjän pyytämät tietoryhmät voidaan sitten selkeästi ilmoittaa sovelluskaupassa, jotta käyttäjä saa niistä tietoa ennen asennusta. Tältä osin laitteeseen tallennettujen tietojen käytön hallinta määräytyy erilaisten mekanismien avulla: a. Käyttöjärjestelmä- ja laitevalmistajat sekä sovelluskaupat määrittelevät säännöt, jotka koskevat sovellusten julkaisemista sovelluskaupassa. Sovelluskehittäjien on noudatettava näitä sääntöjä, tai muuten heidän sovelluksiaan ei välttämättä julkaista kaupan valikoimassa. 37 b. Käyttöjärjestelmien API-rajapinnat määrittelevät vakiomenetelmät, joiden avulla sovellukset voivat käyttää niiden saatavilla olevia puhelimeen tallennettuja tietoja. Ne vaikuttavat myös palvelimella olevien tietojen keräämiseen. c. Ennakkotarkastukset suoritetaan ennen sovelluksen asentamista. 38 d. Jälkitarkastukset suoritetaan sovelluksen asentamisen jälkeen. 3.6 Turvallisuus Tietosuojadirektiivin 17 artiklan mukaisesti rekisterinpitäjien ja henkilötietojen käsittelijöiden on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet käsittelemiensä henkilötietojen suojaamiseksi. Tämän johdosta kaikkien 3.3 kohdassa mainittujen toimijoiden on toteutettava toimenpiteet tehtävänsä ja vastuualueensa mukaisesti. Turvallisuusvelvoitteen noudattamisella on kaksitahoinen tavoite. Sillä laajennetaan käyttäjien omia tietojaan koskevaa määräysvaltaa ja vahvistetaan luottamusta yksiköihin, jotka tosiasiallisesti käsittelevät käyttäjien tietoja Niin sanotut murretut laitteet (jailbreaking) sallivat virallisten kauppojen ulkopuolisten sovellusten asentamisen. Android-laitteet sallivat myös muista lähteistä peräisin olevien sovellusten asentamisen. Jos sovelluksia on asennettu etukäteen. 19

20 Sovelluskehittäjien, sovelluskauppojen, käyttöjärjestelmä- ja laitevalmistajien sekä kolmansien osapuolten on rekisterinpitäjien turvallisuusvelvoitteiden noudattamiseksi otettava huomioon sisäänrakennetun ja oletusarvoisen yksityisyyden suojan periaatteet. Tämä edellyttää, että arvioidaan jatkuvasti sekä olemassa olevia että tulevia tietosuojariskejä ja toteutetaan ja arvioidaan tehokkaita riskien vähentämistoimenpiteitä, joihin sisältyy tietojen minimointi. Sovelluskehittäjät Käyttöjärjestelmä- ja laitevalmistajien sekä riippumattomien kolmansien osapuolten julkaisemien mobiilisovellusten turvallisuudesta on laadittu useita ohjeita, esimerkiksi Euroopan verkko- ja tietoturvaviraston (ENISA) ohjeet 39. Tässä lausunnossa ei tarkastella kaikkia parhaita turvakäytäntöjä sovelluskehittämisessä, mutta tietosuojatyöryhmä aikoo kuitenkin arvioida niitä käytäntöjä, joilla voi olla suuri vaikutus sovelluksen käyttäjien perusoikeuksiin. Ennen sovelluksen suunnittelua on tehtävä tärkeä päätös siitä, missä tietoja säilytetään. Joissain tapauksissa käyttäjätietoa säilytetään laitteessa, mutta sovelluskehittäjät voivat käyttää myös asiakas-palvelinarkkitehtuuria. Tämä tarkoittaa, että henkilötiedot siirretään tai kopioidaan palveluntarjoajan järjestelmiin. Tietojen säilyttäminen ja käsittely laitteessa antaa loppukäyttäjille parhaan mahdollisuuden hallita tietojaan, koska he voivat esimerkiksi poistaa tietoja, jos he peruuttavat suostumuksensa niiden käsittelyyn. Tietojen turvallinen säilyttäminen etäkohteessa voi kuitenkin helpottaa tietojen palauttamista, jos laite katoaa tai varastetaan. Myös näiden välimuodot ovat mahdollisia. Sovelluskehittäjien on määritettävä selkeät ohjelmiston kehittämistä ja jakelua koskevat käytännöt. Lisäksi käyttöjärjestelmä- ja laitevalmistajat voivat edistää sovellusten turvallista tietojenkäsittelyä, jota tarkastellaan jäljempänä tarkemmin. Sovelluskehittäjien ja sovelluskauppojen on myös suunniteltava ja toteutettava turvallisuutta edistävä ympäristö, jonka työkaluilla voidaan estää haitallisten sovellusten leviäminen ja helpottaa sovellusten asentamista ja poistamista. Sovelluksen suunnittelun aikana voidaan noudattaa hyviä käytäntöjä, joihin sisältyvät mahdollisimman lyhyet ja yksinkertaiset koodirivit sekä tarkastukset, joilla estetään tietojen tahaton siirto tai tietosuojan vaarantuminen. Lisäksi kaikki syötteet olisi validoitava, jotta estetään puskurin ylivuoto ja injektiohyökkäykset. Muita hyviä turvamekanismeja ovat muun muassa riittävät tietoturvapäivitysten hallintastrategiat sekä säännölliset ja riippumattomat järjestelmien turvallisuustarkastukset. Sovelluksen suunnittelukriteereihin olisi myös sisällyttävä oletusarvoinen pienimmän valtuuden periaate, jonka mukaisesti sovelluksilla on pääsy ainoastaan sellaisiin tietoihin, joita todella tarvitaan niiden toimintaan. Sovelluskehittäjien ja sovelluskauppojen olisi erilaisin varoituksin kannustettava käyttäjiä täydentämään hyviä suunnittelukäytäntöjä hyvillä käyttötavoilla, kuten päivittämään 39 Smartphone Secure Development Guidelines, ENISA, 20