Jälkilisäys 24.10.2017: Keskustelin erittäin tietosuoja-kokeneen juristikaverini kanssa. Hän oli sitä mieltä, että ajatukseni (kirjoitus alla) ei ole kestävällä pohjalla (juridisen tulkinnan kannalta). Arvostan kaverin kommenttia, mutta pidän kirjoitukseni kuitenkin ennallaan. Blogin tarkoitus on herättää keskustelua, tai ainakin ajattelua. Mielestäni ”kaikki jalostaminen/analytiikka on profilointia” -tulkinta vesittää lainsäädännön kokonaishengen koskien ”aitoa profilointia”, joka merkittävästi vaikuttaa henkilön asemaan.
Mikäli et jaksa näin raskassoutuista mietintää, niin vilkaise kirjoituksen osa 2/2 (12/2017), joka on hieman kevyempi ja ratkaisulähtöisempi 😉
Mutta alla siis pohdintaa termistä ”profilointi” ja kuinka sitä käsitellään GDPR -teksteissä (julkaistu 21.10.2017).
Olen yli 15 vuoden ajan pohtinut, ja myös käytännössä tehnyt, analytiikkaan liittyvän toiminnan määrittämistä suhteessa tietosuojalainsäädännön viitekehykseen. Tämän kirjoituksen pontimena on EU WP29-ryhmän julkaisema ohjeistus (guidelines), jossa tarkennetaan myös profilointiin liittyvää tulkintaa (10/2017).
Profiili, segmentti, luokittelu, ryhmittely, …
Segmentoinnin tai profiloinnin teoreettinen semantiikka ei ole koskaan ollut erityisen kiinnostavaa – pääasia on ollut, että organisaatiossa tiedetään mitä ollaan tekemässä ja tekemisellä on yhteisesti tunnetut termit.
Asiakasymmärryksessä puhutaan ns. SingleCustomerView-näkymästä, jossa asiakassuhteen laatua kuvataan kaikella olennaisella tiedolla (datalla) ja data-analytiikan tuottamilla datajalosteilla.
Henkilötietojen jalosteet ovat henkilötietoja,
mutta onko kaikki jalostettu tieto ”profilointia”,
siten kuten GDPR asian määrittää?
Uuden EU-tasoisen tietosuojasäännöstön mukaan ”profiloinnista” tulee juridinen termi, johon liittyy merkittäviä velvotteita. GDPR nostaa semantiikkakeskustelun merkitystä, sillä turhan tiukoilla tulkinnoilla on merkittäviä kustannusvaikutuksia.
Samalla se tarkoittaa myös sitä, että asia ei ole enää pelkästään organisaation (analytiikkaosaston ja markkinoinnin) sisäinen kommunikaatiohaaste. Mielenkiintoista keskustelua profiloinnin olemuksesta päästään käymään nyt myös juristien kanssa ja asia pitää pystyä myös kuvaamaan asiakkaille.
GDPR artikla 4 (kohta 4) antaa profiloinnille seuraavan määritelmän:
’profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements.
Mikä tässä on hankalaa?
Määrityksen avainsanoja ovat: ”evaluate” ja ”predict”.
Määritelmän mukaan profilointi on siis aina ”arviointia” tai ”ennustamista”. Suuri osa analytiikasta/datan jalostamisesta ei kuitenkaan ole ”arviointia” tai ”ennustamista”, joten tämän tulkinnan avulla suuri osa data-analytiikasta voidaan rajata ”profiloinnin” ulkopuolelle.
Esimerkiksi asiakassuhteen TILA:n (uusi/nykyinen/passiivi/ex) määritys ei perustu arviointiin tai ennustamiseen. Asiakassuhteen TILA määritellään faktisen tiedon perusteella (milloin ostanut/asioinut 1. kerran tai viimeksi).
Kyseessä ei siis olisi profiili(?).
Selkeää – vai onko sittenkään? Ongelma on, että juridisesti ei ole toista termiä profiloinnin rinnalle. Tällaisia olisivat vaikkapa ”luokitus” tai ”ryhmitys”. Faktapohjainen jaloste on jalostettua henkilötietoa, mutta erityyppistä kuin arviointiin tai ennustamiseen perustuvat ”profiilit”.
Ohjeistusta tulkintaan kaivataan – ja sellaista saatiin(?).
Lokakuussa 2017 julkaistiin siis ensimmäinen versio ohjeistuksesta (guidelines), jossa tarkennetaan myös profilointiin liittyvää tulkintaa. Myönnän heti, että kertaakaan en ole selventävää dokumenttia pystynyt kokonaan läpi lukemaan – sikäli poukkoilevaa kerronta on. En ihmettele tätä, sillä monimutkaisen asian miettiminen omalla äidinkielellä (itsekseenkin) on haastavaa … saati sitten monikansallisen ryhmän voimin.
Mutta itse termin ”profilointi” määritys ei ole kovin paljoa selkiytynyt – päinvastoin.
Määritelmää tarkentavan kuvailun lopuksi on melko sekoittavia lause: ”Broadly speaking, profiling means gathering information about an individual (or group of individuals) and analysing their characteristics characteristics or behaviour patterns in order to place them into a certain category or group, and/or to make predictions or assessments …”. Lause yrittää selittää alkuperäistä artiklan määritystä, mutta samalla määrittää asian eri tavalla.
Mitä tarkoittaa ”analysing” suhteessa ”evaluate”?
Tällaista filosofista pohdintaa voisi, tilastotieteilijöiden kesken,
harjoittaa helpostikin pitkän illan verran.
Ohjeistuksen (guideline) esimerkit ovat hyviä ja ”selkeää profilointia”: ”pankkien luottopäätökset” tai ”vakuutusyhtiö hinnoitteluperusteet”. Mielestäni on hyvä, että tällaiselle, henkilön juridiseen asemaan vaikuttavalle, analytiikalle tulee kansainvälisiä pelisääntöjä, jotka peräänkuuluttavat avoimuutta.
Mutta. Analytiikkatyössä syntyy kymmeniä tai jopa satoja ”datajalosteita” ja niitä kaikkia ei kannata tulkita olevan profilointia. Kaipaisin esimerkkejä yksinkertaisemmasta analytiikasta siten, että selkeästi todettaisiin, ettei kaikki jalostaminen ole ”profilointia”. Tämä näkökulma puuttuu, joten ehkä se jää sitten organisaatioiden määritettäväksi – ja ehkä ennakkotapausten koeteltavaksi.
Anyhow.
Peruslinja on kuitenkin loppujen lopuksi selkeä: henkilön asemaan merkittävästi vaikuttavan jalostetun tiedon (profiili) tuottamisen logiikka on kuvattava ja henkilöllä on tietynlaisia oikeuksia prosessointiin / prosessiin. Eli avoimuutta lisää data-analytiikkaan. Tämä vaatii panostusta toiminnan dokumentointiin. Aiemmin näitä asioita pyydettiin otsikolla: ”suunnittelu- ja huolellisuusvelvoitteen”.
Data-analytiikan semantiikka on työtä, jossa käytännön tekeminen tulkitaan suhteessa GDPR:n kirjaan ja henkeen. Väärillä linjauksilla voi olla merkittäviä kustannusvaikutuksia ja tämän ohjeistusdokumentin lukeminen vahvistaa sen, että tietosuojatyö on tiimityötä: data-analyytikot, lakiasiantuntijat ja liiketoiminnan prosessiomistajat tulee saada puhumaan samaa kieltä tällä yksityiskohtatasolla.
Linjauksilla voi olla merkittäviä kustannusvaikutuksia.
Työ on tehtävä loogisesti ja avoimen tarkastelun kestävällä tavalla.
Arvotiedolla on yli 15 vuoden kokemus analytiikkaan liittyvän toiminnan määrittämisestä suhteessa tietosuojalainsäädännön viitekehykseen. Katso lisää kokemuksistani ja ajatuksistani systemaattisen tietosuojatoiminnan tekemiseen.
Ota yhteyttä, jos tunnistat teeman kiinnostavaksi. Autan mielelläni.
Marko Kivelä
Arvotieto Oy
ps. lue kirjoituksen osa 2/2, joka on hieman kevyempi ja ratkaisulähtöisempi 😉
pps. Artiklan 4(4) lause ”…personal aspects relating to a natural person” on mielenkiintoinen. Lähtökohtaisesti organisaatioiden ei tarvitse olla kiinnostuneita asiakassuhteen takana olevan ihmisen henkilökohtaisten ominaisuuksien arvioimisesta. Organisaatiot ovat kiinnostuneita asiakassuhteen [controller <=> data subject] ominasisuuksien analysoinnista – toki tähän, olennaisestikin, liittyy asiakassuhteeseen liittyvä henkilö, mutta ainakin omassa tekemisessäni aina ollut peukalosääntö: ”analytiikkaa ei pidä viedä kallonkutistuksen suuntaan tai edes henkilöanalytiikkaan”.