Keskiviikon Taloussanomat yllätti positiivisesti artikkelillaan suomalaisten kauppaketjujen bonuskorttien tiedonkeruusta ja kerättyjen tietojen paljastamista taustoista.

Viime aikoina vakavastikin otettavissa uutisvälineissä on ollut paljon hämmästelyä eri palveluiden ja toimijoiden tavoista kerätä asiakkaidensa tietoa, ja noiden uutisten informatiivisuus on ollut lähinnä kyseenalaista. Taloussanomissa asiaa lähestyttiin neutraalisti, ja esille tuotiin myös mahdollisuus tarkastaa omat tietonsa. Tämä unohtuu aika monesta henkilötietojen keruuta kauhistelevasta artikkelista.

Oma näkökulmani näihin kysymyksiin on yksinkertainen: sopimukseen perustuvissa suhteissa (kanta-asiakkuudet, bonuskortit, peli- ja muut viihdepalvelut, liittymät jne.) juuri se sopimus määrittää osapuolten oikeudet ja velvollisuudet. Esimerkiksi Angry Birdsin lataamalla sitoutuu tiettyihin käyttöehtoihin, joiden yhteydessä myös kuvataan käyttäjästä kerättävä tieto ja sen reunaehdot. Jos tekee sopimuksia ymmärtämättä mitä sopii, voi katsoa peiliin ja miettiä, mikä meni vikaan.

Mikäli sopimus on tullut tehtyä hätiköidysti tai on epäilys sopimuskumppanin keräämistä tiedoista, helpoin tapa selvittää asia on lähettää kumppanille henkilörekisteriin tallennettujen tietojen tarkastuspyyntö ja odottaa sen tuloksia. Jokainen suomalainen yritys on velvollinen noudattamaan henkilötietolakia – tai on ainakin pakotettavissa viranomaistoimin noudattamaan sitä – ja siten luovuttamaan tiedustelijalle häntä koskevat tiedot.

Tietosuojavaltuutetun toimisto on julkaissut oppaan tietojen tarkastamisesta ja siihen liittyvistä asioista. Se kannattaa lukea, jos asia kiinnostaa enemmän. Henkilötietolain 6 luku kuvaa tarkastuksen lakiteknisesti.

Lyhyt oppimäärä henkilötietojen tarkastuspyynnöstä menee näin:

• Tarkastuspyyntö on tehtävä kirjallisesti allekirjoitettuna tai vaihtoehtoisesti esitettävä henkilökohtaisesti rekisterinpitäjän luona.
• Tietosuojavaltuutetun sivulta löytyy valmis malli tarkastuspyynnön tekemiseksi, mutta sen voi tehdä myös vapaamuotoisesti. Rekisterinpitäjillä ei ole oikeutta edellyttää määrämuotoisen lomakkeen käyttöä.
• Tarkastuspyynnön yhteydessä on annettava riittävät tunniste- tai yksilöintitiedot (asiakasnumero, henkilötunnus, osoitetiedot jne.).
• Tarkastusoikeuden käyttäminen on maksutonta, jos edellisestä tietojen tarkastuksesta/saannista on yli vuosi aikaa.
• Rekisterinpitäjän on vastattava tarkastuspyyntöön kolmen kuukauden kuluessa.
• Rekisterinpitäjän on annettava tiedot kokonaisuudessaan ja ymmärrettävässä muodossa.
• Jos rekisterinpitäjä pimittää tietoja tai antaa harhaanjohtavia tietoja, voi tämä syyllistyä mm. rikoslaissa määriteltyyn henkilörekisteririkokseen.
• Jos rekisterinpitäjä ei vastaa tarkastuspyyntöön, ei anna tietoja tai vaikuttaa antavan puutteellisia tietoja, on mahdollista saattaa asia Tietosuojavaltuutetun käsiteltäväksi.
• Jos tarkastuksessa ilmenee virheellisiä tietoja, on rekisterinpitäjä velvollinen korjaamaan tiedot viivytyksettä.

Kokeilin itse pari vuotta sitten tarkastusoikeuden käyttöä lähettämällä 24 eri paikkaan tarkastuspyynnöt. Kaikki vastasivat, osa pienellä nikottelulla tosin. Lähes kaikissa rekistereissä esiintyi pieniä virheitä, mutta mitään mullistavaa ei tullut vastaan.

Eli kun seuraavan kerran tulee mieleen kauhistella henkilötietojen käsittelyä, kannattaa ihmettelyn sijaan toimia. Paperiarkki, kirjekuori ja postimerkki ovat kuitenkin verrattain halpoja välineitä oman mielenrauhan takaamiseksi.