Suomalainen on sadoissa henkilörekistereissä

Terveyskeskukset, poliisi, Schengen-tietojärjestelmä, bonuskorttiohjelmat, asiakas- ja tilaajarekisterit, älypuhelimet, sosiaalinen media, netti- ja puhelinoperaattorit, luottokorttifirmat, kirjastot, julkinen liikenne, pankit, yhdistykset, oppilaitokset.

Pöytä peittyy papereihin ja kirjekuoriin. Olen tilannut henkilötietojani nähtäväksi erilaisista rekistereistä. Niitä on loputtomasti, ja tilaaminen tuntuu työläältä.

Poliisin tietoja varten täytyy käydä poliisiasemalla täyttämässä lomake. Bonuskortin tarkastuspyyntöä jonotetaan asiakaspalvelupisteessä. Väestörekisterin voi sentään tarkistaa pankkitunnuksilla.

Vaikka rajoitan tietojen tilaamisen Suomeen, en ehdi käydä läpi kuin pienen osan rekistereistä. Tietävätkö ihmiset, mihin kaikkialle heidän tietojaan tallennetaan? Moniko tietää oikeudesta tarkistaa itseään koskevat rekisteritiedot?

Elämä rekisterissä

Kun odottava äiti käy neuvolassa, hänet noteerataan terveyskeskuksessa. Elämä päättyy siihen, kun perukirja toimitetaan verottajalle.

Syntymän ja kuoleman väliin mahtuu satoja henkilötietorekistereitä. Tarkkaa lukua ei kukaan tiedä, mutta oikea vastaus liikkuu sadoissa, kertoo tietosuojavaltuutettu Reijo Aarnio.

Viranomaisten ei Aarnion mukaan oikeastaan kuulukaan tietää, kuinka monta rekisteriä Suomessa on. Suomen tietosuojakäytäntöön kuuluu byrokratian välttäminen.

– Joissain EU-maissa siitä on tullut lähes tietosuojaveron kaltainen juttu, että aina kun perustaa rekisterin, siitä täytyy ilmoittaa viranomaisilla, jotka perivät siitä maksun, Aarnio sanoo.

Henkilötietojen kerääminen on ilmiönä niin tekninen ja moninainen, että kokonaisuutta on vaikea hahmottaa. Siitä voi olla varma, että muutoksia on tapahtunut.

Netti räjäytti seurannan määrän

Suurimmat tietosuojan muutokset liittyvät netin käytön lisääntymiseen. Arjessa tämä näkyy esimerkiksi häirinnän digitalisoitumisena, kertoo Aarnio, joka on Ahti Saarenpään kanssa lanseerannut digitaalisen väkivallan käsitteen.

Koulukiusaamisesta ainakin neljäsosa tapahtuu verkossa. Parisuhdeväkivaltakin ulottuu verkkoon. Puolisosta laitetaan härskejä ilmoituksia treffipalstoille, salasanoja urkitaan keyloggereilla ja sosiaalista mediaa vakoillaan. Ihmiset perustavat spontaaneja minirekistereitä toisistaan.

Uutta ovat myös geenitietoja sisältävät rekisterit. Yhdysvalloissa toimii palveluita, jotka tekevät geenikartoituksen sylkinäytteestä. Suomessakin on ihmisiä, jotka lähettävät lastensa geenitiedot amerikkalaisten yritysten tutkittavaksi ja rekisteröitäväksi. Geenipankit toki eroavat tavallisemmista rekistereistä siinä, että niihin päätyy vain varta vasten pyytämällä.

Sen sijaan sosiaalisen median palvelut keräävät tietoja pyytämättä ja yllätyksenä. Niin kaluttu aihe kuin se onkin, sitä on vaikea rajata pois: jokainen haastateltava nostaa Facebookin esimerkiksi tietorekistereiden uhkakuvista.

Facebookista löytyy minusta 25 megatavun tietopaketti. Se sisältää kaikki ikinä saamani ja lähettämäni viestit, jokaisen käymäni keskustelun, kaikki tapahtumat joihin olen osallistunut, poistetut kaverini ja yhteystietoni, kaikki sisäänkirjautumiset ja IP-osoitteet selaimineen ja evästeineen vuosien varrelta.

Eikä Facebook edes suostu luovuttamaan kaikkia keräämiään tietoja. Olen itse hyväksynyt seurannan klikkaamalla käyttöehdot luetuiksi.

Profilointi yleistyy

Turun yliopistossa väitöskirjaa yksityisyydensuojasta tekevä Niklas Vainio arvelee, että ihmiset hyväksyvät netissä laajankin tiedonkeruun, koska se on niin arkista eikä massiivisia väärinkäytöksiä ole ilmennyt.

Vaikka palvelut toisinaan vuotavat miljoonien käyttäjiensä tietoja, ne koetaan niin käteviksi, ettei joukkopakoja ole toistaiseksi syntynyt.

– Asian voi tietysti esittää niin, että kun rekisteröidyn Facebookiin, teen vaihtokaupan: minä saan palvelun ja Facebook saa tietoni. Missä määrin ihmiset kuitenkaan pystyvät etukäteen hahmottamaan sen laajuuden, missä tietoja kerätään ja käytetään, Vainio pohtii.

Vainion mukaan tiedonkeruun yleistymisestä seuraa uhkaavaa profilointia eli tietojen yhdistelyä.

– Ihmisistä alkaa rakentua digitaalisia kopioita. Se kaventaa meidän kaikkien itsemääräämisoikeutta siitä, mitkä tiedot meistä ovat vain omassa tiedossamme.

– Jokainen voi laittaa Facebookiin mitä huvittaa, mutta kun tiedot systemaattisesti kerätään kasaan, niin se on aivan eri asia kuin ne yksittäiset tiedot.

Yleensä ajatellaan, että henkilötiedot ovat rekisterin pitäjän ja rekisteröidyn välinen asia. Lakikin lähtee siitä. Profilointi murtaa tämän suhteen.

Yhdistelyä on vaikea estää

Tutkija Antti Oulasvirta Max Planck -instituutista on samaa mieltä Vainion kanssa: ihmiset hyväksyvät tietojen keräämisen, koska näkevät palvelun käytön tärkeämmäksi kuin mahdollisen pitkän tähtäimen haitan. Tai sitten palvelun käyttöehtojen lukeminen tai asetusten muuttaminen koetaan yksinkertaisesti liian hankalaksi.

Epäillään, että esimerkiksi Facebook on tehnyt yksityisyysasetuksista tahallaan hankalakäyttöisiä pystyäkseen keräämään tietoja tehokkaammin.

Oulasvirta tutkii Saksassa, mitä kaikkea yksilöstä on mahdollista päätellä yhdistelemällä arkikäyttäytymistä kuvaavaa dataa esimerkiksi sosiaalisesta mediasta ja älypuhelimen sensoreista. Yhdistely on pelottavan voimakas keino luoda uutta tietoa, tutkija kertoo.

– Monia syvällisesti henkilökohtaisia asioita voidaan ennustaa kohtuullisesti, esimerkiksi henkilön seksuaalinen ja uskonnollinen suuntautuminen, ostoskäyttäytyminen ja jopa persoonallisuuspiirteet.

– Uhka yhdistelemisessä on sen arvaamattomuus ja hallitsemattomuus yksityisyyden ja tietosuojan näkökulmasta. Jo nyt on vaikeaa tietää, mitä tietoja täsmälleen kerätään ja mitä tiedoille tapahtuu.

Laiton rekisteröinti helpottunut

Netti ja teknologia ovat helpottaneet profiloinnin lisäksi laittomien henkilörekistereiden kokoamista. Niitä voidaan käyttää ihmisten vahingoittamiseen tai hiljentämiseen.

Viime vuonna poliisi ja tietosuojavaltuutettu selvittivät väitteitä VR:n laittomasta henkilörekisteristä, johon olisi tallennettu satojen ihmisten tietoja ja kuvia. Helsingin rikospoliisi ei löytänyt viitteitä rikoksista.

Helmikuussa paljastui, että Jyväskylän kirjastopuukotuksesta epäilty oli yhdistellyt omaan rekisteriinsä muun muassa vasemmistolaisiksi ja juutalaisiksi luokittelemiensa ihmisten tietoja.

Pahimpana esimerkkinä rekisterien ongelmakäytöstä mainitaan usein toisen maailmansodan Hollanti. Maassa oli tarkka väestörekisteri, jonka avulla natsien oli helppo löytää juutalaiset keskitysleireille kuljetettaviksi.

Laki ja tarkastusoikeus

Henkilötietolaki §26: Jokaisella on oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu. Rekisterinpitäjän on ilmoitettava rekisteröidylle rekisterin tietolähteet sekä mihin rekisterin tietoja käytetään ja luovutetaan.

Tietojen tarkastaminen on maksutonta, jos se tapahtuu korkeintaan kerran vuodessa.

Henkilötietolaki §27: Tarkastusoikeutta ei ole, jos tiedon antaminen saattaisi vahingoittaa valtion turvallisuutta tai yleistä järjestystä tai haita rikosten selvittämistä. Oikeutta ei myöskään ole, jos tiedon antamisesta voi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille.