Foodora paljasti lähettiensä henkilötietoja − paikkatiedot vuotavat edelleen

Kuten tiedämme, foodora.fi-verkkopalvelun kautta on mahdollista tilata ruokaa ravintoloista kotiinkuljetettuna. Tilauksen toimittaa ravintolasta riippuen joko ravintola itse tai Foodoran ruokalähettikumppani. Kun verkkopalvelun käyttäjä on tehnyt tilauksensa, siirtyy hän tilauksen seurantasivulle, jossa esitetään tilauksen perustiedot, tila sekä arvioitu toimitusaika. Kun tilauksen toimittaa lähettikumppani, näytetään lisäksi lähetin sijainti kartalla silloin, kun tilauksen tehnyt käyttäjä on lähetin seuraava kohde.

Eräänä heinäkuisena iltana Foodorasta ruokaa tilatessani painoin uteliaisuudesta selaimen kehittäjätyökalujen HTTP-kyselytyökalun auki nähdäkseni, miten tämä tilatiedon päivittäminen selaimeen tapahtuu. Kävi ilmi, että tilauksen tiedot päivitetään tilausseurantasivulle ajoittain tehtävällä asynkronisella HTTP-kyselyllä, johon palvelin vastaa JSON:ia.

JSON-vastauksessa tietoja oli kuitenkin paljon enemmän kuin mitä tilasivulla itsessään näytetään.  Osa näistä tiedoista oli tylsiä ”teknisiä tietoja”, mutta joukossa oli myös sellaista, jota minun ei ruokatilauksen tekijänä pitäisi nähdä.

Jatka lukemista >>

Mitä tehdä toiselle tarkoitetulle sähköpostille?

Saan vä­lil­lä säh­kö­pos­tia, jo­ka ei ole tar­koi­tet­tu mi­nul­le. Mi­tä vies­teil­le saa ja pi­täi­si teh­dä? La­ki­kir­jas­ta apua ei ai­na­kaan löy­dy.

Kuva: RaHuL Rodriguez: Buenas noticias – email marketing. c ba 2.0

Saan joka päivä paljon sähköpostia kolmelle sähköpostitililleni: opiskelu- ja työsähköposteja jyu.fi-osoitteeseeni, mainoksia ja muita vähemmän tärkeitä viestejä GMailiin, ja kaiken muun omaan1 KServer-sähköpostiin. Näistä jälkimmäinen kerää kaikki kserver.dy.fi-, itq.fi– ja kingi89.fi-domaineille lähetetyt viestit @-merkkiä edeltävästä osasta2 riippumatta.

Catch-all -osoite on kätevä paristakin syystä. Ensinnäkin voin ”luoda” itselleni uusia, toimivia, sähköpostiosoitteita yksinkertaisesti keksimällä paikallisen osan päästäni. Tämän lisäksi vakioituihin rooliosoitteisiin (kuten abuse@… tai hostmaster@…) lähetetyt viestit napsuvat samaan, seuraamaani, postilaatikkoon.

Täysin vailla vaikeuksia ei tällainen kikkailu ole: yleensä suurin murhe on lisääntynyt roskaposti − tyhmempikin roskapostittaja osaa pommittaa satunnaisia osoitteita − mutta Googlen spämmifiltterien teho on mielestäni ollut riittävä, enkä siis itse ole toistaiseksi hukkunut Viagra-tarjouksiin.

Yksityisyydestä ja viestinnänsuojasta välittävänä ihmisenä minua vaivaa enemmänkin sähköpostiviestit, joita ei ole tarkoitettu minulle vaan jollekin aivan muulle. Tämä ongelma on itselleni kiusallinen ja todellinen: saan kuukausittain viestejä, joiden sisällöstä käy äkkiä ilmi, että viesti ei kuulu minulle. Tässä vaiheessa tietenkin lopetan viestin lukemisen.

Avattuani viestin vahinko − viestisalaisuuden rikkoutuminen − on jo kuitenkin tapahtunut, eikä kumoaminen onnistu Ctrl+Z:aa3 painamalla. Sitten seuraa moraalia ja oikeudentajua koetteleva ongelma: mitä tehdä viestille? Pitäisikö se poistaa? Vastata lähettäjälle ja kertoa tilanteesta? Uudelleenohjata tarkoitetulle vastaanottajalle? Soittaa poliisille tai palokunnalle? Vai olla tekemättä yhtään mitään ja jatkaa elämää kuin mitään ei olisi tapahtunut?

Oikeaa vastausta − jos sellaista onkaan − en tiedä, mutta lähtekäämme liikkeelle vaikkapa Suomen perustuslain kymmenennen pykälän toisesta momentista:

Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.

Rangaistus viestisalaisuuden loukkaamisesta löytyy puolestaan Rikoslaista (38 luku 3 §):

Joka oikeudettomasti
1) avaa toiselle osoitetun kirjeen tai muun suljetun
viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla
vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta
viestistä taikka
2) hankkii tiedon televerkossa välitettävänä olevan
puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan
televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai
vastaanottamisesta,
on tuomittava viestintäsalaisuuden loukkauksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Yritys on rangaistava.

Okei, ehkä itsensä ilmiantaminen poliisille olisikin the right thing to do, mutta vuoden vankilareissu kerran kuussa sopii aikatauluuni hieman huonosti. Toisaalta oikeudettomuuden ja toiselle osoittamisen osalta kriteerien täyttyminen on vähintäänkin kyseenalaista4. Sähköisen viestinnän tietosuojalaki (2 luku, 5 §, 1 mom.) sanoo lisäksi näin:

Se, joka on ottanut vastaan tai muutoin saanut tiedon
luottamuksellisesta viestistä tai tunnistamistiedosta, jota ei ole
hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta
ilmaista tai käyttää hyväksi viestin sisältöä, tunnistamistietoa tai
tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Edellä mainitun puolesta helpointa ja turvallisinta olisi jättää viesti tyystin huomiotta, mutta ainakin omasta mielestäni mitääntekemättömyys on ikävä vaihtoehto: tällöin tarkoitettu vastaanottaja ei saa koskaan viestiään, ja lähettäjä saattaa jäädä siihen luuloon, että mahdollisesti tärkeäkin viesti on tavoittanut kohteensa.

Tarkoitettu vastaanottaja olisi yleensä melko yksiselitteisesti määritettävissä, sillä noin yhdeksän viestiä kymmenestä on tarkoitettu erään organisaation5, jonka verkkotunnus muistuttaa omaani, jollekulle jäsenelle. On kuitenkin mahdollista, että arvaukseni osuu väärään, ja viesti päätyy jälleen väärään osoitteeseen. Riskien välttämiseksi tarkoitettua vastaanottajaa ei siis voi asiasta tiedottaa.

Viestin lähettäjä on varmuudella6 oikein, joten hänelle tieto viestin päätymisestä väärään osoitteeseen on toimitettavissa. Vai onko? Jos Sähköisen viestinnän tietosuojalakia tulkitaan kuin Piru Raamattua7, voidaan tulla siihen lopputulokseen, etten voi kertoa edes viestin lähettäjälle hänen virheestään ennen kuin saan hänen lupansa. Muna-vai-kana -ongelma on valmis.

Olen toistaiseksi toiminut tällaissa tilanteissa pienimmän pahan periaatteella: varsinaista viestiä mitenkään yksilöimättä olen ottanut yhteyttä lähettäjään seuraavanlaisella viestillä:

Vastaanotin sähköpostitse lähettämänne viestin, jota ette olleet
tarkoittaneet minulle, sillä olitte syöttäneet kyseiseen viestiin
vastaanottajan osoitetiedon virheellisesti. Virheenne johdosta tämä
yksityinen viestinne on päätynyt tietooni, ja sen luottamuksellisuus on
näin ollen vaarantunut.

Kehotan teitä ottamaan välittömästi yhteyttä tarkoittamaanne
vastaanottajaan, ja ilmoittamaan hänelle tästä ongelmasta.

Viestissä tarjoan myös mahdollisuuden pyytää yksilöintitietoja viestistä − sellaisten antaminenhan on lähettäjän luvalla sallittua − kirjallisen lomakkeen kautta. Jos lähettäjä ei kerro kaipaavansa tietoja, poistan viestin sähköpostilaatikostani8.

Toistaiseksi yksikään lähettäjä ei ole tarjoukseen tarttunut. Pelkään tämän tarkoittavan myös sitä, ettei mihinkään muihinkaan toimenpiteisiin, varsinkaan tarkoitetun vastaanottajan varoittamiseen tilanteesta, ole ryhdytty. Näen kuitenkin asian olevan pois omista käsistäni, ja nukun kyllä yöni hyvin.

Lain näkökulmasta on epäselvää, onko toimintani oikein. Pidän kuitenkin, kuten sanoin, tärkeämpänä ja moraalisesti oikeampana ongelmasta kertomista kuin lain pilkuntarkkaa seuraamista. Arkaluonteisen viestin luottamuksellisuutta en voi kuitenkaan millään teoin palauttaa9, vaikka viestin sisällön pidänkin visusti salassa − se on lupaus!


1) Oikeastaan tämäkin on Googlen tarjoamalla alustalla.
2) Viralliselta nimeltään local part, paikallinen osa.
3) Lausutaan ”kontroltset|aa”, jos päätteen muoto kummastuttaa.
4) En ole asianajaja, katso disclaimeri alta.
5) Kyseinen organisaatio jääköön nimettömäksi. Heille ongelma on yleisellä tasolla kyllä tehty äärimmäisen selväksi, mutta he eivät ole halunneet siihen reagoida mitenkään.
6) Okei, onhan tuokin väärennettävissä, mutta silloin saa lähettäjä kyllä puolestani kärsiä.
7) Ja näinhän Suomessa yleensä vähänkin Internetiä liippaavissa oikeudenkäynneissä juuri tehdään.
8) Viesti ei tietenkään lopullisesti katoa mihinkään ainakaan heti, mutta onpahan ainakin minun saavuttamattomissani.
9) Ainakaan ennen kuin täsmämuistintyhjennyspillerit keksitään.

Disclaimer: En ole juristi enkä muutenkaan lainoppinut, eikä näitä sepustuksia kannata ottaa oikeudellisina neuvoina. Toisin sanoen virheet ovat mahdollisia, ja lakia tulkitaan viime kädessä oikeudessa.

Muista rekisteriseloste

Käyt­tä­jä­tie­to­ja ke­rä­tes­sä täy­tyy ke­räyk­sen koh­teel­le re­kis­te­ri­se­los­teel­la ker­toa, mi­tä tie­to­ja hä­nes­tä ke­rä­tään ja mik­si. Si­ten esi­mer­kik­si ilmoit­tau­tu­mis­lo­mak­keen ne­tis­sä täyt­tä­vä tie­tää, ke­nen puo­leen hän voi kään­tyä.
Kuva: freeformkatia: Maja at my work. c bnd 2.0.

Erilaisten ilmoittautumis- ja rekisteröitymislomakkeiden tekeminen omille verkkosivuilleen on yleensä varsin helppoa ja nopeaa: julkaisujärjestelmistä löytyy usein lomaketyökaluja, ja Google Driven lomaketyökalulla tietojen keruu tapahtuu jopa ilman varsinaisia nettisivuja. Mutta tiesitkö, että kerättyjen tietojen käytöstä täytyy aina kertoa keräyksen kohteelle?

Kun tietoja tallennetaan, muodostuu niistä rekisteri, jonka rekisterinpitäjä on tietojen kerääjä. Henkilötietorekistereitä saa perustaa ilman lupia tai muutakaan byrokratiaa, mutta tietojen käsittelyn tulee tapahtua Henkilötietolain mukaan. Lailla turvataan rekisteriin kuuluvan henkilön yksityisyyttä ja muita oikeuksia edellyttämällä rekisterinpitäjältä tiettyjä tekoja.

Käyttäjällä pitää olla oikeus tutustua rekisterinpitäjän tietoihin ja antamiensa tietojensa käyttötapaan ennen niiden antamista. Tuollaista tiedonantoa kutsutaan rekisteriselosteeksi tai tietosuojaselosteeksi − jälkimmäisessä käyttäjälle tarjotaan myös tietoja oikeuksistaan rekisteröitynä, minkä takia suosittelen aina käyttämään sitä.

Tietosuojavaltuutetun verkkosivustolta voidaan ladata pohja tietosuojaselosteelle, jonka kenttiin täytetään tarvittavat tiedot, mutta ne voi antaa käyttäjälle myös muulla tapaa: pääasia on, että kaikki tarvittava informaatio on käyttäjän saatavilla sekä ennen tietojen syöttämistä että sen jälkeen. Yleensä on hyvä idea lisätä linkki rekisteriselosteeseen sivupohjan alatunnisteeseen.

Mitä helpompaa tietosuojaselostepohjan täyttäminen on, sitä paremmin henkilötietojen keräys on suunniteltu. Tietoja täytellessä kannattaa joka tapauksessa kysyä itseltään − tai joltakulta muulta − nämä:

  • Mitä varten tietoja kerätään? Onko kerääminen ylipäänsä tarpeen?  (kohdat 3 ja 4)
  • Mitä tietoja oikeasti tarvitaan? Saattaa tuntua siltä, että on parempi pyytää kävijältä mahdollisimman paljon tietoja ”varmuuden vuoksi”. Kannattaa kuitenkin muistaa, että lyhyempään lomakkeeseen vastataan mieluummin kuin pitkään. (kohta 5)
  • Mihin tiedot tallennetaan? Kuka niitä voi lukea tai muokata? Tietojen tallennusalusta pitäisi valita siten, että vain tietoihin pääsevät käsiksi vain ne, jotka niitä oikeasti tarvitsevat. Valitettavan usein näkee ilmoittautumislomakkeita, joiden vastauksia voi kuka tahansa rekisterinpitäjäorganisaation jäsen lukea. Pääsynvalvonnan lisäksi kannattaa koko rekisteri poistaa, kun sitä ei enää tarvita. Lisäksi syytä saattaa olla harkita tietojen salausta, varsinkin jos käyttäjiltä kerätään arkaluonteisia tietoja. (kohta 9)
  • Miten rekisteröidyn oikeudet toteutetaan, ja kuka vastaa niistä. Kuka tahansa − siis joku muukin kuin rekisteriin kuuluva − voi tarkistaa rekisteriin tallennetut tietonsa. Tarkistamisoikeuden käytön tulee olla ilmaista ainakin vuoden ensimmäisellä pyyntökerralla. Kuka tahansa voi myös pyytää tietojaan korjattavaksi tai kieltää niiden luovutuksen mm. markkinointitarkoituksiin, ja myös nuo oikeudet on suotava ilmaiseksi. Rekisteriasioista vastaavaksi tulisikin ilmoittaa henkilö, joka pystyy tietoja järjestelmästä vaivatta antamaan. (kohdat 2, 10-12)
  • Mistä muualta tietoja saadaan? Mihin tietoja luovutetaan? Jos tietoja kerätään myös muualta kuin käyttäjältä suoraan, on siitä erikseen kerrottava. Niinikään on kerrottava, jos tietoja annetaan rekisteristä eteenpäin. (kohdat 6-8)

Onks pakko jos ei haluu?

Rekisteriselosteen tekeminen ja sen julkaiseminen on välttämätöntä, kun henkilötietoja käsitellään. Rekisteröity voi viedä puutteellisesti tai virheellisesti toteutetun rekisterin käsittelyyn liittyvän asiansa Tietosuojavaltuutetulle. Vaikka käsittääkseni kovia sanktioita ei laiminlyönneistä seuraa, mahdollistaa Henkilötietolaki esimerkiksi uhkasakon asettamisen Tietosuojavaltuutetun ohjeen tehosteeksi.

Vaikeaa rekisteriselosteen tekeminen ei ole, ja Tietosuojavaltuutetun verkkosivustolla on varsin kattava ohjeistus rekisterinpitäjän avuksi. Mitään hyvää syytä olla kertomatta henkilötietojen käyttämisestä ei siis ole, ja ainakin minulle rekisteriselosteen puuttuminen kertoo sivuston leväperäisyydestä.