Kuinka estät tiedonkeruuyrityksiä myymästä henkilötietojasi

Tietojen yksityisyyttä ja turvallisuutta koskeva keskustelu keskittyy usein siihen, mitä suuret teknologiayritykset, kuten Google, Facebook ym., tekevät käyttäjien tiedoilla. Vähemmän puhutaan yrityksistä, joiden koko liiketoimintamalli perustuu henkilötietojen keräämiseen ja niiden myyntiin voittoa vastaan. Näitä yrityksiä kutsutaan tiedonkeruuyrityksiksi. Mutta keitä ne ovat ja kuinka ne keräävät tietojasi? Mitä he tekevät tiedoilla ja kuinka voit poistaa tietosi?

Mitä tiedonkeruuyritykset ovat?

Tiedonkeruuyritykset myyjät sinua koskevia henkilötietoja. Ne keräävät tietoja useista lähteistä rakentaakseen yksityiskohtaisen kuvan siitä, kuka olet, minkä jälkeen ne myyvät tiedot. Tiedonkeruu on suurimittaista liiketoimintaa. On arvioitu, että alan arvo on 200 miljardia dollaria vuodessa ja että tiedonkeruuyrityksiä on jopa 4 000 kautta maailman. Tunnetuimpia tiedonkeruuyrityksiä ovat Experian, Equifax, Acxiom ja Epsilon.

Tiedonkeruualaa on kritisoitu läpinäkymättömäksi. Tiedonkerääjillä ei ole todellista halua olla yhteydessä ihmisiin, joiden tietoja he keräävät, analysoivat, jakavat ja joilla he tekevät voittoa.

Tiedonkeruuyrityksen merkitys

Termeillä "tiedonkeruuyritys" ja "datankeruuyritys" tarkoitetaan samaa asiaa. Tiedonkeruuyrityksillä ei ole suoraa suhdetta ihmisiin, joiden tietoja he keräävät. Useimmat ihmiset eivät siis edes ole tietoisia siitä, että heidän tietojaan kerätään. Kun henkilö klikkaa verkon yksityisyyskäytäntöjen ja ehtojen ja sääntöjen "Hyväksyn"-painiketta – joskus ajattelematta asiaa sen enempää – aina ei ole selvää, kuinka paljon tiedon hallintaa myönnetään ja mikä niin monien verkkosivujen kumulatiivinen vaikutus on.

Kuinka tiedonkeruuyritykset keräävät tietoja?

Tiedonkeruuyritykset saavat tietoja sinusta monin eri tavoin sekä verkossa että offline-tilassa. Yhdistelemällä tiedot he rakentavat kattavia kuluttajaprofiileja. Tiedonlähteitä ovat mm.:

• Verkkoselaushistoriasi. Aina, kun käytät hakukonetta, sosiaalisen median sovellusta tai muita sovelluksia, täytät verkkokyselyn, osallistut kilpailuun tai vierailet erilaisilla verkkosivuilla, jätät jälkeesi sähköisen jäljen. Tiedonkeruuyritykset käyttävät niitä hyväkseen rakentaakseen kuvan siitä, kuka olet. Verkkoseuranta on asennettu useimmille verkkosivuille ja se kerää tietoja toiminnastasi verkossa. Tiedonkeruuyritykset käyttävät verkon haravointia – pientä ohjelmaa tai ohjelmakoodia, joka poimii tietoja miltä tahansa verkkosivulta.
• Julkiset lähteet. Näihin sisältyvät syntymätodistukset, avioliittotodistukset, avioero-, äänestäjän rekisteröinti- ja oikeustapausten tiedot, konkurssi-, moottoriajoneuvojen ja väestönlaskennan tiedot.
• Kaupalliset lähteet. Ostohistoriasi – mitä ja milloin ostit, mihin hintaan ja käytitkö kuponkia tai jäsenkorttia.
• Suostumuksesi. Kun kirjaudut esim. liikkeen asiakasjäsenyysohjelmaan, olet ehkä huomaamattasi antanut suostumuksesi, että tietosi jaetaan (ellet lue pienellä kirjoitettua tekstiä).

Mitä tietoja tiedonkeruuyritykset keräävät?

Eri lähteitä käyttämällä tiedonkeruuyritykset yhdistelevät runsaasti sinua koskevia tietoja. Kerättyihin tietoihin lukeutuvat:

1. nimesi
2. osoite (nykyinen ja aiemmat osoitteet)
3. syntymäpäivä
4. sukupuoli
5. siviilisääty
6. perhetilanne, mukaan lukien onko sinulla lapsia, kuinka monta ja kuinka vanhoja he ovat
7. henkilötunnus
8. koulutustaso
9. omaisuus
10. ammatti
11. puhelinnumero
12. sähköpostiosoitteet
13. ostotottumukset, eli mitä ja milloin ostat ja kuinka paljon maksat
14. henkilökohtaiset kiinnostuksen kohteet ja harrastukset.

Yritykset saavat mahdollisesti tietoonsa myös tulotasosi, terveystietojasi, poliittiset näkemyksesi ja mahdolliset rikosrekisterit.

Tiedonkeruuyritykset kokoavat tiedot yhteen rakentaakseen käyttäjäsegmenttejä – kuten "uudet äidit", "fitness-harrastajat" jne. – jotka he myyvät muille yrityksille kaupallisiin tarkoituksiin. Jotkin luokitukset vaikuttavat harmittomilta, mutta ne ovat tunkeilevia ja mahdollisesti eettisesti arveluttavia kohdistuessaan lääketieteellisiin tai henkilökohtaisiin olosuhteisiin (kuten "HIV-potilaat").

Kerättyjen tietojen määrästä huolimatta tiedonkeruuyritykset eivät aina ymmärrä tietoja oikein. Saatat esimerkiksi ostaa vauvan vaatteita ystävälle tai perheenjäsenelle, jolloin tiedonkeruuyritys olettaa sinun olevan vanhempi, vaikka et sitä olisikaan. Saatat ostaa lääkkeitä vanhemmalle sukulaiselle, jolloin tiedonkeruuyritys tulkitsee sen osoituksena terveydentilastasi jne.

Kuinka tietojasi käytetään?

Tiedonkeruuyritykset myyvät tietojasi muille yrityksille moniin kaupallisiin tarkoituksiin. Niitä ovat esimerkiksi seuraavat:

• Markkinointi ja mainonta. Yritykset ostavat tietoja voidakseen mukauttaa markkinointiviestinsä, asiakastarjouksensa ja verkkomainonnan sinulle sopiviksi. Vaalikampanjoiden aikana poliittiset puolueet voivat käyttää tietoja kohdistaakseen poliittiset viestinsä sinulle.
• Riskien lieventäminen. Jotkut yritykset käyttävät tiedonkeruuyrityksiltä ostamiaan tietoja petosten torjumiseksi. He voivat esimerkiksi tarkistaa, että lainapapereissa olevat kuluttajan tiedot vastaavat tiedonkeruuyrityksen tarjoamia tietoja. Tai tietoja voidaan käyttää laskemaan sen todennäköisuus, saako asiakas lainan.
• Sairausvakuutus. Sairausvakuutusyhtiöt voivat käyttää terveyttäsi koskevia tietoja – esim. mitä lääkkeitä ostat ja mitä oireita tutkit verkossa – määrittääkseen, millä hinnalla vakuutus kannattaa sinulle myydä.
• Henkilöhakusivustot. Henkilöhakusivustoilla – kuten Spokeo, PeekYou, PeopleSmart, Pipl ym. – henkilöä voidaan etsiä nimen mukaan. Yleensä lisämaksua vastaan heistä on saatavilla lisätietoja, kuten osoite, puhelinnumero, sähköpostiosoite, syntymäpäivä jne. Näiden sivustojen tiedot ovat peräisin tiedonkeruuyrityksiltä ja niitä voidaan käyttää doksaukseen, käyttäjän manipulointiin tai henkilöllisyysvarkauteen.

Onko tiedonkeruu laillista?

Kuten aina, lait vaihtelevat hallintoalueittain ja lain määräykset eivät välttämättä ole selkeitä. Yleisesti ottaen, jos tiedonkeruuyritys käyttää julkisia tiedostoja tietojen hankkimiseen, sen toiminta on laillista, vaikkakin välillä harmaalla alueella.

EU:ssa yleinen tietosuoja-asetus (GDPR), joka on tietojen yksityisyyttä ja turvallisuutta koskeva laki, kattaa kaikki organisaatiot, jotka kohdistavat tai keräävät kuluttajatietoja Euroopan unionissa. Laissa sanotaan, että kuluttajien pitää selvästi antaa suostumuksensa, ennen kuin heidän tietojaan voidaan kerätä. GDPR myös antaa kuluttajille oikeuden pyytää organisaatioita poistamaan heistä tallennetut tiedot. Muissa maissa on vastaavia lakeja. Esim. Brasiliassa se on LGPD (Lei Geral de Proteção de Dados).

Yhdysvalloissa käytäntö on sirpaloituneempi, sillä maassa ei ole liittovaltiollista GDPR:ää vastaavaa lakia. Lait vaihtelevat osavaltioittain. Jotkut osavaltiot kiinnittävät enemmän huomiota tiedonkeruuseen kuin muut. Esimerkiksi Kalifornian Consumer Privacy Act mahdollistaa kuluttajien hankkia kopion tiedonkeräysyritysten heistä keräämistä tiedoista. Kuluttajat voivat vaatia tietojen poistoa ja poistaa tietonsa myytävien tietojen joukosta.

Usein suostumus, joka vaaditaan käyttäjätietojen keräämiseen, on haudattuna verkkosivun pienellä kirjoitettuun tekstiin. Yksityishenkilöille ei aina ole selvää, kuinka paljon tietojen hallintaoikeuksia he luovuttavat pois.

Esimerkkejä tiedonkeruuyritysten tietomurroista

Tiedonkeruun eettisten ja laillisten näkökulmien lisäksi tietomurtojen määrä on huolestuttavaa. Tiedonkeruuyritykset keräävät arkaluontoisia tietoja, joilla voi olla vakavat vaikutukset asianomaisille henkilöille, jos ne joutuvat vääriin käsiin.

Huomattavia tietomurtotapauksia olivat mm. seuraavat:

• Vuonna 2017 Equifax ilmoitti tietomurrosta, joka kosketti 147 miljoonan ihmisen henkilötietoja. Yritys tiedotti myöhemmin Yhdysvaltain kauppakomission ja 50 osavaltion kanssa tehdystä sopimuksesta, joka sisälsi 425 miljoonan dollarin avun vaarantuneiden henkilöiden kärsimyksen hyvittämiseksi.
• Vuonna 2015 murtauduttiin 15 miljoonaan T-Mobilelle kuuluvaan tietueeseen, joita säilytettiin Experianin palvelimilla.
• Vuonna 2011 Epsilon hakkeroitiin. Miljoonien sähköpostimarkkinointiluetteloissa olevien ihmisten nimet ja sähköpostiosoitteet altistuivat ja he joutuivat roskapostin sekä kohdennettujen tietojenkalasteluyritysten kohteeksi.
• Vuonna Acxiom hakkeroitiin ja yli 1,6 miljardia tietuetta (mukaan lukien nimet, osoitteet ja sähköpostiosoitteet) varastettiin ja myytiin roskapostien lähettäjille.

Miten voit suojautua tiedonkeruuyrityksiltä?

Pysyminen kokonaan poissa tiedonkeruuyritysten listoilta on vaikeaa. Voit silti jättäytyä pois tiedonkeruusta ottamalla yhteyttä yksittäisiin tiedonkeruusivustoihin ja pyytämällä heitä poistamaan tietosi. Se on aikaa vievä prosessi. Vaihtoehtoisesti voit maksaa tähän erikoistunutta yritystä tekemään sen puolestasi. Parempi tapa suojata yksityisyytesi verkossa on yrittää pysyä poissa tiedonkeruulistoilta alun alkaenkin.

Kuinka poistat itsesi tiedonkeruusivustoilta

Privacy Rights Clearinghousen kattava luettelo tiedonkeruuyrityksistä löytyy täältä. Se sisältää linkin niiden yksityisyyskäytäntöihin ja tarkat tiedot siitä, kuinka voit jättäytyä pois kunkin tiedonkeruuyrityksen listoilta. Pois jättäytyminen ei todennäköisesti onnistu yhdellä kertaa. Sinun pitää tehdä se toistumiseen, jotta se olisi tehokasta. Jos asut EU:ssa, tässä oppaassa kerrotaan, kuinka voit lähettää GDPR:n poistopyyntöjä. Siinä kerrotaan myös, kuinka voit poistaa itsesi tiedonkeruusivustoilta.

Yritys nimeltä Brand Yourself tarkistaa, onko tietojasi suurimpien tiedonkeruuyritysten tietokannoissa ja antaa sinulle raportin, joka kertoo, mistä tietojasi löytyy. Se on hyvä alkupiste, sillä tiedät, minkä tiedonkeruuyritysten listoilta tietosi tulee poistaa.

Poistaaksesi tietosi kyseisten sivustojen tietokannoista sinun pitää yleensä ottaa heihin yhteyttä sähköpostitse. Sitä varten kannattaa luoda uusi, poistettavissa oleva toissijainen sähköpostitili. Näin ensisijainen sähköpostitilisi pysyy turvassa ja suojaat sitä roskaposteilta.

Jos olet huolissasi siitä, kuinka yritys käsittelee henkilötietojasi, voit tehdä asiasta valituksen maasi asianomaiselle valtion viranomaiselle. Ne vaihtelevat maittain. Esimerkiksi Yhdysvalloissa kyseinen viranomainen on Federal Trade Commission ja Yhdistyneessä kuningaskunnassa Information Commissioner’s Office.

Maksa yksityisille yrityksille tietojesi pitämiseksi poissa tiedonkeruuyritysten saatavilta

Yritykset kuten PrivacyDuck ja DeleteMe ovat esimerkkejä yrityksistä, jotka auttavat pitämään tietosi yksityisinä. He kuitenkin veloittavat maksun palveluistaan.

Turvaa yksityisyytesi verkossa noudattamalla seuraavia ohjeita

1. Tutustu maasi tai osavaltiosi tietosuojan laillisiin puitteisiin tietääksesi, mitkä oikeutesi ovat.
2. Älä julkaise henkilökohtaisia tietoja sosiaalisessa mediassa. Syntymäpäivääsi käytetään usein tunnisteena tai turvakysymyksenä, joten älä ilmoita sitä julkisesti.
3. Harkitse sosiaalisen median tilien muuttamista yksityisiksi niin, että vain ystävät ja perhe voivat nähdä ne.
4. Älä osallistu verkkokyselyihin tai -arpajaisiin, sillä ne usein keräävät tietoja sinusta.
5. Älä lataa riskialttiita sovelluksia epäluotettavista lähteistä, ja poista tarpeettomat sovellukset, joita et käytä.
6. Pidä verkkotiliesi määrä minimissä. Säilytä vain tilit, joita todella käytät.
7. Älä avaa tuntemattomia sähköposteja.
8. Käytä jäljityksen rajoittamiseksi verkkoselainta, jossa on jäljityksen esto- ja mainosten esto -ohjelmisto.

Voit myös käyttää VPN:ää eli virtuaalista yksityisverkkoa lisätäksesi yksityisyyttäsi verkossa. Kun luot yhteyden internetiin VPN-yhteydellä, IP-osoitteesi pysyy salassa ja tietosi salataan. Kaspersky VPN Secure Connection estää hakkereita lukemasta tietojasi ja tarjoaa yksityisyyden verkossa.

Aiheeseen liittyvät artikkelit:

• Mitä robottipuhelut ovat ja kuinka lopetat ne?
• Yksityisyys etusijalla: kuinka suojaat yksityisyyttäsi verkossa?
• Turvallisimmat viestisovellukset
• Näin hakkerit loukkaavat yksityisyyttäsi verkossa