Tietosuoja Osa 1: Käyttäjän tunnistaminen

Veikkauksen rahapelimonopoli on herättänyt viime aikoina laajaa keskustelua suomalaisessa yhteiskunnassa. Meidän mielenkiintomme tähän keskusteluun on tietenkin tunnistamisen kulma. Veikkaus on rahapelihaittojen ehkäisyssä ottanut käyttöön tunnistautuvan pelaamisen tavoitteen, jolla se pyrkii rakentamaan turvallisempaa ja vastuullisempaa peliympäristöä. Tammikuusta 2021 alkaen mm. rahapeliautomaatilla on vaadittu käyttäjän tunnistamista pelaamisen edellytyksenä. Pakollinen tunnistautuminen laajenee jatkossa kaikkeen pelaamiseen.

Rahapelien käyttötapauksessa tunnistautumalla käyttäjä ilmaisee muun muassa, onko hänellä pelikielto. Tunnistautuminen auttaa myös pelien ikärajavalvonnassa. Käytännössä tunnistautumisessa on siis tarkoitus selvittää, onko käyttäjällä käyttövaltuus rahapeliin.

Veikkaus perustelee tunnistautumisella myös muita etuja. Se mahdollistaa Veikkauksen mukaan uudenlaisten pelaamisen hallinnan välineiden käyttöönoton, kuten maksimitappiorajojen valvonnan. Veikkaus siis tunnistautumisen ja pelaamisen yhteydessä kerää paitsi henkilötietoa, myös volyymitietoa ja metatietoa pelaamisesta.

Pelaajan tunnistamisesta on keskusteltu suhteellisen vähän verraten muihin rahapelaamisen lieveilmiöihin. Ankarasti tarkastellen Veikkaus on unohtanut eurooppalaisen tietosuoja-asetuksen tietojen minimointiperiaatteen. Minimointiperiaate tarkoittaa, että käyttäjästä voi kerätä vain sellaisen joukon tietoa, joka on perusteltua ja tarpeellista.

Onko käyttäjän identifiointi, eli käyttäjän henkilöllisyyden selvittäminen tarpeen silloin, kun hän markettimatkalla haluaa käyttää muutaman euron rahapeliin? Raha-automaattipelin pelaamisen kannalta ei ole merkitystä sillä KUKA käyttäjä on, vaan sillä, onko hänellä KÄYTTÖVALTUUS.

Käyttäjän tunnistaminen identifioimatta on teknisesti mahdollista. Rahapeliautomaatit ovat monipuolisia laitteita sisältäen suorituskykyisen tietokoneen ja kyvykkään näyttöruudun. Niihin on mahdollista toteuttaa moderneja tunnistusmenetelmiä. Jo perinteeksi muodostunut SAML2-tunnistuskehikko ja myös uudempi OpenID Connect mahdollistavat käyttäjän tunnistamisen siten, että tunnistukseen tukeutuva palvelu (rahapeliautomaatti) saa käyttäjästä vain identifioimattoman tunnisteen ja käyttövaltuustiedon ilman, että palvelulle luovutetaan tieto käyttäjän henkilöllisyydestä.

Nyt Veikkauksen on siis mahdollista keräämiensä tietojen avulla selvittää, missä maantieteellisessä sijainnissa käyttäjä pelaa, koska ja kuinka paljon. Jos noudatettaisiin tietosuoja-asetuksen minimointiperiaatetta, näitä tietoja ei kerättäisi.

Otimme Veikkauksen tapauksen esiin konkreettisena esimerkkinä, kun aihe on ollut laajassa keskustelussa. On silti todettava, että minimointiperiaate unohtuu yleisesti muiltakin.

Veikkauksen tapauksessa minimointiperiaatteen vähäinen sivuuttaminen ei ole niin keskeinen ongelma, kuin se olisi keskeisemmän toiminnon yhteydessä. Erityisen merkitykselliseksi periaate muuttuu, kun on puhe kansalaisen subjektiivisesta oikeudesta, kuten liikkumisen vapaudesta.

Yhteiskunnallista keskustelua on käyty myös henkilöliikenteen päästöjen vähentämisestä ruuhkamaksu eräänä keinona. On esitetty, että ajoneuvoihin lisättäisiin seurantalaite, jolla kerättäisiin tietoa, kuinka paljon ja missä autolla on liikuttu. Seurantalaitteen avulla alueiden hintasegmentointiin perustuvaa veronluonteista kilometrimaksua voitaisiin periä henkilöliikenteestä. Liikenteen verottamisen periaatteiden on muututtava, kun liikenne sähköistyy ja polttoaineen myynnin yhteydessä kerättävän veron merkitys vähenee.

Liikenteen km-maksuun tarkoitettu seurantalaite rikkoisi niin ikään tietosuoja-asetuksen minimointiperiaatetta. Ruuhkamaksujen perimiseen on muita, tietosuojaa paremmin huomioon ottavia malleja, jossa tienkäyttäjän yksityisyys pystyttäisiin paremmin turvaamaan.Vanha suomalainen henkilötietolaki jo edellytti henkilötietojen käsittelyn suunnittelemista ennen käsittelyyn ryhtymistä ja niin edellyttää myös myös uusi tietosuoja-asetus. Niinpä tietosuojaperiaatteet on pidettävä mielessä jo suunnitteluvaiheessa ja sellainen toteutus on hylättävä jo suunnitteluvaiheessa, joka ei vastaa tietosuojaperiaatteita.