”Blended approach” ja muita vinkkejä tietosuojavaatimusten huomioimiseen käyttöliittymissä

”Blended approach” ja muita vinkkejä tietosuojavaatimusten huomioimiseen käyttöliittymissä

Moni käyttöliittymäsuunnittelija tuskailee tällä hetkellä tietosuojakysymysten kanssa. EU:n tietosuoja-asetus edellyttää, että henkilötietojen kerääminen ja käyttö tulee toteuttaa mahdollisimman läpinäkyvästi. Tämä ”läpinäkyvyyden periaate” tarkoittaa asetuksen mukaan muun muassa sitä, että henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tiedot voidaan tarvittaessa ”havainnollistaa” (ks. johdanto-osan kohta 58). Asetus mainitsee jopa ”vakiomuotoiset kuvakkeet” yhtenä vaihtoehtona antaa yleiskuva henkilötietojen käsittelystä.

Miten nämä tietosuojavaatimukset voidaan ottaa huomioon käyttöliittymäsuunnittelussa?

Kun rekisteröityjen informointia aletaan miettiä käytännössä esimerkiksi mobiilisovellusten tai verkkopalveluiden suunnittelun yhteydessä, edellä mainittujen periaatteiden huomioiminen ei ole välttämättä helppoa. UK:n tietosuojaviranomainen (the Information Commissioner’s Office, ”ICO”) on äsken julkaisut soveltamisoppaan, josta voi hakea ainakin vinkkejä ja suunnitteluapua tällaisiin tilanteisiin. Vaikka opas (”Code”) on laadittu Brexitin kanssa kamppailevan UK:n kansallisen Data Protection Act 1998 -lain nojalla, siinä on otettu huomioon myös tietosuoja-asetuksesta tulevia vaatimuksia.

Oppaassa suositelluista ratkaisuista voi tietysti olla monta mieltä. Suositukset kuitenkin kuvaavat hyvin sitä, millä tavalla viranomaiset suhtautuvat erilaisiin käyttöliittymäratkaisuihin tietosuojavaatimusten toteuttamisessa.

Oppaan perusteella ainakin seuraavat  periaatteet ovat tärkeitä suunniteltaessa rekisteröityjen informoinnin toteuttamista tietosuoja-asetuksen mukaisesti.

”Blended approach” – yhdistele eri tekniikoita rohkeasti!

Yksi ICO:n ohjeistuksen keskeisiä periaatteita on ns. ”blended approach”-lähestymistavan noudattaminen annettaessa rekisteröidyille tietoja henkilötietojen käsittelystä. ICO:n mukaan ei ole välttämättä suositeltavaa laatia verkkosivustolle esimerkiksi vain yhtä laajaa ”privacy policy”-dokumenttia, vaan rekisterinpitäjien olisi syytä miettiä erilaisten tekniikoiden yhdistelmiä, joilla kattavat tiedot voidaan esittää rekisteröidyille. ICO mainitsee esimerkkeinä tällaisista tekniikoista muun muassa seuraavat tavat:

  • Käyttäjille esitettävät videot, joissa kuvataan suunniteltu tietojenkäsittely ja esimerkiksi tietojen luovutukset kolmansille osapuolille.
  • ”Just-in-time”-informointi eli käsittelyn tarkoituksen selostaminen käyttäjälle juuri silloin, kun käyttäjä syöttää vaadittavan tiedon esim. www-lomakkeen kenttään (”Mihin tarkoituksiin käytämme antamaasi puhelinnumeroa”).
  • ”Privacy dashboards” eli ”Minun tiedot”-tyyppiset tilinhallintakeinot, joissa käyttäjä voi helposti antaa ja peruuttaa suostumuksia sekä korjata ja ylläpitää omia tietojaan. Nämä edellä mainitut tekniikat eivät toki sovellu kaikkiin tilanteisiin, joten rekisterinpitäjä voi valita keinoista itselleen sopivimmat.

ICO:n ohje sisältää näistä kaikista tavoista yksinkertaisia esimerkkejä myös kuvallisina esityksinä. Ohessa linkki myös videoesimerkkiin  (ico.org.uk/PNvideo,  video käytännössä GoAnimate-verkkosivulla).

”Layered notices” – monitasoiset ilmoitukset

 ICO:n ohjeessa myös tunnustetaan se tosiasia, että usein esimerkiksi mobiilikäyttöliittymään ei ole järkevää mahduttaa kaikkea henkilötietojen käsittelyyn liittyvää informointia. ICO näin ollen suosittelee ns. ”monitasoisten ilmoitusten” käyttöä. Tämä ajatus ei ole uusi, sillä myös tietosuojaviranomaisten työryhmä (Working Party 29) on käsitellyt tätä tapaa omissa lausunnoissaan (ks. esim. Working Party WP 202/2013).

Näissä ”monitasoisissa ilmoituksissa” periaate on yksikertainen. Käyttäjälle ilmoitetaan tietojen käsittelyn pääkohdat lyhyesti ”päällimmäisessä ilmoituksessa”. Tämä ilmoitus sisältää esimerkiksi linkin tarkempaan lisätietodokumenttiin.

Rekisterinpitäjän näkökulmasta on olennaista miettiä, mitä tietoja on syytä sisällyttää ”päällimmäiseen ilmoitukseen”. ICO:n mainitsemana nyrkkisääntönä tästä ilmoituksesta tulisi ainakin käydä ilmi seuraavat seikat:

  • Kuka kerää tietoja (”who you are”)?
  • Mitä tietoja kerätään (”what information you are collecting”)?
  • Miksi nämä tiedot tarvitaan (”why you need it”)?

Muut tarvittavat tiedot ja niiden ”oma kerros” riippuu käsiteltävistä tiedoista ja niiden suunnitelluista käsittelytarkoituksista.

Käyttäjätestit 

Kolmas keskeinen ICO:n painottama kokonaisuus on käyttäjätestaus. Toisin sanoen ICO suosittaa ulottamaan käyttäjätestauksen myös tietosuojaselosteisiin ja henkilötietojen käsittelyä koskeviin käyttöliittymäratkaisuihin. Tällä tavalla rekisterinpitäjä saa hyödyllistä tietoa esimerkiksi siitä, mitkä ovat loppukäyttäjien omat odotukset henkilötietojen käsittelystä ja miten selosteissa esitetty tieto vastasi heidän huoliinsa.

Mikäli tällaisia käyttäjätestauksia tehdään, rekisteripitäjä pystyy käyttämään tekstituloksia myös tietosuoja-asetuksen mukaisen osoitusvelvollisuuden yhteydessä. Toisin sanoen rekisteripitäjä voi dokumentaation avulla osoittaa, miten se on pyrkinyt noudattamaan muun muassa asetuksen yleisiä henkilötietojen käsittelyä koskevia periaatteita.