Mobiilisovellusten tietosuoja herätti huolia kansainvälisessä selvityksessä

Julkaistu 10.9.2014

Mobiilisovellusten suosio kasvaa jatkuvasti, ja yhä useammat niistä pyytävät pääsyä käyttäjänsä moniin henkilökohtaisiin tietoihin. Yleensä ne eivät kuitenkaan kerro käyttäjälle riittävällä tavalla näiden tietojen käsittelystä. Tietosuoja-asioiden kuvaaminen selkeällä ja käyttäjäystävällisellä tavalla edistäisi kuluttajien luottamusta ja sen myötä liiketoimintaa, toteavat kansainväliseen mobiilisovellusten valvontakampanjaan osallistuneet viranomaiset.

Myös Suomen tietosuojavaltuutetun toimisto osallistui toukokuussa 2014 Mobile Privacy Sweep -valvontakampanjaan, jonka organisoi Global Privacy Enforcement Network -verkosto (GPEN).

Kaikkiaan 26 tietosuojaviranomaista tarkasteli valvontakampanjan aikana yhteensä 1 211 Apple- ja Android-sovellusta. Joukossa oli sekä yksityisen että julkisen sektorin tarjoamia sovelluksia. Osa niistä oli maksullisia, osa maksuttomia. Palvelujen kirjo oli monipuolinen ja vaihteli aina peleistä hyvinvointiin ja uutispalveluista pankkitoimintaan.

Tietosuojaviranomaiset latasivat sovellukset ja käyttivät niitä. Huomion kohteena oli erityisesti, mitä henkilötietojen saamiseen liittyviä lupia sovellus pyytää, informoidaanko käyttäjää riittävällä tavalla tietojen käsittelystä sekä vaikuttaako tietojen kerääminen tarpeettoman laajalta.

Valvontakampanja osoitti kokonaisuudessaan mm. seuraavaa:

• Kolme neljäsosaa sovelluksista pyysi lupaa esim. käyttäjän sijaintitiedon, laitetunnisteen, tilien, kameran tai yhteystietojen käyttöön. Ottaen huomioon mm. näiden tietojen mahdollinen arkaluonteisuus, sovellusten pitäisi tarjota käyttäjälle nykyistä paremmin informaatiota tietojen käyttötarkoituksista.

• Noin kahdessa kolmasosassa tapauksista henkilötietojen käsittelyä koskevan tiedon löytäminen latausvaiheessa oli haasteellista. Tietoa ei joko ollut lainkaan saatavilla, siihen liittyvät linkit eivät toimineet tai tieto oli luonteeltaan liian yleisluonteista. Jossain tapauksissa käyttäjälle jäi myös epäselväksi, kuka sovelluksen tarjoaja ja henkilötietojen kerääjä ylipäänsä on.

• Noin kolmasosassa tapauksista käyttäjä koki, että sovellus pyysi tarpeettoman laajoja pääsy- tai käyttöoikeuksia ottaen huomioon sen toiminnalliset ominaisuudet.

• Lähes puolessa sovelluksista käyttökokemus ei ollut paras mahdollinen sen vuoksi, että henkilötietojen käsittelyä koskevaa informaatiota ei oltu räätälöity pienelle näytölle. Käyttäjä joutui lukemaan pientä tekstiä, selaamaan pitkiä sivuja ja klikkailemaan monia linkkejä. Käyttökokemusta voitaisiin helposti parantaa suosimalla esimerkiksi ponnahdusikkunoita tai tarjoamalla informaatiota käyttäjän kannalta muutoin helpommin ja oikea-aikaisemmin (esim. layered information ja just-in-time notifications).

• Käyttäjien mielestä vain 15 % sovelluksista kertoi henkilötietojen keräämisestä, käytöstä ja luovuttamisesta riittävän laajasti ja selkeästi. Tässä suhteessa parhaiten toteutetut sovellukset tarjosivat asiasta helposti ymmärrettävää, sopivan lyhyttä ja hyvin ajoitettua tietoa.

• Markkinoiden suosituimmat sovellukset menestyivät parhaiten myös tietosuojaa koskevissa asioissa. Tietosuojasta kertominen ei siis vaikuta negatiivisesti sovellusten laatimiseen, viranomaiset totesivat.

Suomi tarkasteli kaikkiaan kahtakymmentä julkisen ja yksityisen sektorin tarjoamaa sovellusta. Näiden osalta selvisi, että noin puolet ladatuista sovelluksista pyysi käyttöoikeuksia esim. sijaintitietoon, tekstiviesteihin, puhelulokiin, yhteystietoihin, valokuviin tai kalenteriin. Käyttöoikeuksien pyytäminen ei vaikuttanut liian laajalta suhteessa sovelluksen toiminnallisuuteen.

Informoinnin osalta Suomi teki samat havainnot, kuin muutkin osallistujamaat. Suomalaisten palveluntarjoajien tietosuojaselosteissa oli vain harvoin huomioitu sovellukset nimenomaisesti. Yleensä sovelluksen yhteyteen oli liitetty hyvin yleinen asiakasrekisteriä koskeva seloste, minkä perusteella ei syntynyt selkeää käsitystä nimenomaan sovellukseen kuuluvasta henkilötietojen käsittelystä. Informointia voitaisiin siis vielä täydentää ja selkeyttää nykyisestä sekä tarjota käyttäjäystävällisemmässä muodossa. Noin 10 % sovelluksista sisälsi selkeästi puutteellista tietoa henkilötietojen käsittelystä.

Lisätietoja asiasta:

Ylitarkastaja Hanna Lankinen, p. 0295 666 793

GPEN-verkoston www-sivusto