Monissa Yhdysvalloissa sijaitsevien yhtiöiden tarjoamissa verkkopalveluissa on erikoinen ehto. Sen mukaan käyttäjä vakuuttaa, että hänellä on oikeus tehdä käyttäehtojen tarkoittama sitoumus jos hän rekisteröityy käyttämään palvelua organisaation edustajana.
Viimeksi tällainen tapaus löytyi Kickapps-palvelun ehdoista:
"IF YOU ARE ENTERING INTO THIS AGREEMENT ON BEHALF OF A COMPANY OR OTHER LEGAL ENTITY, YOU REPRESENT THAT YOU HAVE THE AUTHORITY TO BIND SUCH ENTITY TO THIS AGREEMENT, IN WHICH CASE THE TERMS "YOU" OR "YOUR" SHALL REFER TO SUCH ENTITY."
Tämä muotoilu eroaa hieman ensimmäisestä tapauksesta, johon kiinnitin huomiota. Ningin käyttöehdot sisältävät seuraavan ehdon:
"If you are using or creating a Social Network on the Ning Platform as a representative of a company or legal entity, (i) you represent that you have the authority to enter into this Agreement on behalf of that company or entity, and (ii) you agree that the terms "you" and "your" in this Agreement refers to your company or legal entity."
Näiden palveluiden opetuskäytön osalta on olennaista, tulkitaanko oppilaitos, kaupunki tai muu oikeushenkilö käyttäjän edustamaksi organisaatioksi pelkästään sillä perusteella, että käyttäjällä on organisaation sähköpostiosoite muotoa käyttäjä@kaupunginnimi.fi tai käyttäjä@oppilaitos.fi. On kummallista ajatella, että käyttäjien "edustamaa" organisaatiota sitoisi laajalti moinen sopimus.
Kysyin ohjelmistoalaa tuntevalta OTT Ville Oksaselta miten hän näkee tällaiset ehdot. Villen veikkaus oli, että asiassa on jonkun juristin mielestä ollut jokin mahdollinen riski ja ehto on lisätty jonkin palveluntarjoajan ehtoihin. Tämän jälkeen ehtoa on sellaisenaan lähdetty kopioimaan toisten yritysten käyttöehtoihin. Teoriaa tukee se, että kun kysyin asiaa Ningin asiakaspalvelusta, sain ympäripyöreän vastauksen, joka ei vastannut kysymykseen lainkaan.
Siteerasin kysymykseeni yllä olevan kohdan ehdoista ja kysyin, että miten Ning erottaa yritystä tai oikeushenkilöä edustavat käyttäjät yksityisistä ihmisistä kun ainoa mahdollinen tieto erotteluun on sähköpostiosoite. Kysyin lisäksi, että mitä varten tällainen kohta on ehdoissa.
Saamani vastaus:
As previously mentioned, we don't make distinctions between members, but anyone who signs up for a Ning ID represents and warrants that they have read and agreed to our Terms of Service. As such, a member of Ning who creates a social network for his company represents that he has the authority to do so.
To clarify the point, our Terms of Service also require that Network Creators and members of social networks have all of the rights necessary in the content they upload or publish, including license, copyright and trademark rights. Although Ning is not involved in the decisions relating to content uploaded or published by Network Creators or members, everyone represents that they have the rights to the content they upload to Ning.
Muuten hyvä, mutta ei vastaa lainkaan siihen kysymykseen, miksi ehdoissa puhutaan yrityksistä tai oikeushenkilöistä. Oikeudellista vastuuta ei oikein voi sysätä verkoston luoneelle käyttäjälle - etenkään jos tämä voi olla alaikäinen. Toisten käyttäjien toimista vastuun sälyttäminen ei onnistu senkään vertaa. Ilmeisesti on tosiaan niin, että yritykset eivät itsekään tiedä miksi ehto on käyttöehdoissa.
Käyttöehtojen kommervenkkeja on käsitelty myös Opettaja-lehden artikkelissa.
Kumpaakaan yritystä, Ningiä tai Kickappsia ei löydy Safe Harbor-allekirjoittajien joukosta. Tämä tarkoittaa sitä, että yrityksiä ei sido EU:n tietosuoja- ja yksilösuojakäytännöt vaan yritykset noudattavat vain Yhdysvaltain lainsäädäntöä, joka ei takaa mitään suojaa muilla kuin omille kansalaisille. Tämä tosin on uusien, yhden idean palveluyritysten tapauksessa enemmänkin sääntö kuin poikkeus.
Minua arveluttaa isojen henkilöön sidottujen tietomäärien luovuttaminen yrityksille jotka voivat tehdä niillä mitä vaan. Missä viipyvät ne suomalaiset tai EU-alueella toimivat yritykset, jotka toteuttaisivat vastaavia innovatiivisia, käyttäjiä palvelevia ja houkuttelevia palveluita?
Näytetään tekstit, joissa on tunniste käyttöehdot. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste käyttöehdot. Näytä kaikki tekstit
torstai 4. maaliskuuta 2010
maanantai 15. kesäkuuta 2009
Verkkopalveluiden ehtojen sudenkuopista
Pidin alkuvuodesta AVO-hankkeen online-seminaarissa esityksen siitä, minkälaisia ongelmia erilaisten Internet-palveluiden opetuskäyttöön liittyy. Kiinnitin lähinnä huomioni siihen, mitä seurauksia on sillä tosiseikalla, että suurin osa käyttäjistä ei lue lainkaan käyttöehtoja vaan klik-klik, tuosta vain hyväksyvät ehdot lukematta. Aikaisemmin, esimerkiksi asennettaessa vaikka freeware-ohjelmaa omalle koneelle tällä ei ollutkaan niin merkitystä. Sosiaalisten Internet-palveluiden myötä tilanne kuitenkin muuttuu olennaisesti: jonkin palvelun houkuttelevin ominaisuus on sen käyttäjät ja heidän tuottamansa sisältö. Kysymyksen "liittyäkö vai ei?" vastaus riippuu pitkälti siitä, kuka palvelua suosittelee.
Alkuperäinen esitys on saatavana PDF-muotoisena.
Seuraavassa sisältö auki kirjoitettuna:
Internet on pullollaan hienoja ja hyödyllisiä palveluita, joita otetaan käyttöön. Internetin globaali luonne hävyttää sen tosiasian, että palvelut tuotetaan fyysisesti jossain ja niitä käytetään jossain toisaalla, usein pitkänkin matkan päässä toisistaan. Sekä käyttäjä että tuottaja toimivat kuitenkin jonkin valtion lainsäädännön alla.
Kun palveluiden käyttö leviää suusta suuhun-suosituksin, palvelusta syntyy luotettava kuva. Luottamus ei kuitenkaan kohdistu tarkkaan ottaen palveluun vaan suosittelijaan. Käytännössä luottamus rakentuu jotenkin näin: "Kyllä se on varmaan OK kun tuokin sitä käyttää." On kuitenkin selvää, että tällainen ajatus ei vapauta käyttäjää niistä velvoitteista jotka hän hyväksyy sopimuksen tehdessään vaikka ei lukisi sitä.
Jos oppilaitos tai yritys vie tietoja EU:n ulkopuolelle, sen tulisi vähintäänkin tietää mihin maahan niitä ollaan viemässä ja tallentamassa. Tätä ei moni ole varmaan tullut ajatelleeksi. Erilaisia palveluita käyttävän opettajan kannalta arkisempi tapaus on se, voiko organisaatio velvoittaa työntekijänsä tai opiskelijansa antamaan luvan tietojen vientiin jotta opiskelu tai työnteko on mahdollista? Monella maahanmuuttajalla on taustansa vuoksi syy tuntea tervettä epäluuloa tiettyjen maiden harjoittamaa tiedustelutoimintaa kohtaan. On kummallinen ajatus, että poliittisesti aktiivisen muslimisuvun vesan täytyisi rekisteröityä Yhdysvalloissa sijaitseviin palveluihin osallistuakseen oppimiseen täysipainoisesti.
Henkilötietolain 22§ säätää asiasta näin:
Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso.
Tietosuojan tason riittävyys on arvioitava ottaen huomioon tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet.
Vaikka toisen ihmisen houkutteleminen jonkin palvelun käyttämiseksi ei tietenkään ole henkilötietojen viemistä, opettajan tai muussa vastaavassa auktoriteettiasemassa olevan tulisi mielestäni olla tietoinen ja pohtia asiaa.
Ongelman ydin on sangen hirtehinen: samalla kun ohitetaan ohituskaistalla oppilaitoksen tietohallinto, joka ei millään pysty tarjoamaan sellaista palvelutasoa, mitä Internet-nimisessä karkkikaupassa on, jätetään samalla tekemättä tietohallinnolle kuuluvat työt tietoturvaan ja henkilösuojaan liittyen. Voihan näin tietysti toimia, mutta silloin on kyllä valmistauduttava ottamaan vastaan kritiikkiä toiminnastaan. Se etäinen ja hidas tietohallintokin kun tekee kuitenkin sekin jotain - muun muassa huolehtii käyttäjien tietosuojasta.
Kun meillä on jo tilanne, jossa palveluita käytetään laajalti, kenen pitäisi lukea käyttäjäsopimukset suurennuslasilla? Onko se yksittäisen opettajan, koulutoimen vai kenties peräti Opetushallituksen tai Opetusministeriön tehtävä? Selvää on, että tätä työtä ei tällä hetkellä kukaan tee järjestelmällisesti.
Sillä välin kun tällaista kattavaa tietoa odotellaan kannattaa ottaa huomioon seuraavat asiat:
Yhdysvalloissa ei ole kattavaa tietosuojalainsäädäntöä vaan tietosuoja-asiat ovat hajallaan eri laeissa. EU:ssa sen sijaan on tietosuojan kannalta koherentimpi ja kattavampi lainsäädäntö.
Internet-palveluiden käyttäjien kannalta on yksi erittäin olennainen ero: USA:ssa ei ole lainsäädäntöä, joka sääntelisi sitä, miten muiden kuin USA:n kansalaisten henkilö- ja muita tietoja saa käsitellä. Vuoden 1974 sinänsä tiukka Privacy Act ei koske kuin omia kansalaisia. Tämä on ollut pitkään kiistan aihe EU:n ja USA:n välillä. Mikään ei estä yhdysvaltalaista palveluntarjoajaa myymästä tietojasi edelleen tai yhdistämästä niitä johonkin toiseen tietuejoukkoon, jotta saadaan selville esimerkiksi se, mitä sinulle kannattaa mainostaa. Vakavampiakin käyttötapoja varmaan moni keksii.
Facebookin liiketoimintamalli perustuu pitkälti siihen, että käyttäjille kohdennetaan mainontaa. Kohdentaminen edellyttää data mining -tekniikoiden käyttöä. Käyttäjän kannalta on epämiellyttävää, että näin kerättyä tietoa voidaan lain estämättä yhdistää muista lähteistä saatuihin tietoihin ja käyttää hyväksi.
Yhteisöpalvelu Ningin käyttöehdot sisältävät erikoisen yksityiskohdan. Käyttäjätunnuksen tekeminen työsähköpostiosoitteella tarkoittaa, että Ningin mukaan syntyy sopimus edustamasi organisaation tai yhtiön ja Ningin välille. Näin ollen jos tulee jotain ongelmia, kiistaosapuolina ovat Ning ja työnantajasi tai edustamasi organisaatio. Kävin Ningiä ylläpitävän yrityksen PR-osaston kanssa sähköpostikirjeenvaihtoa asiasta. Ystävällinen asiakaspalvelija ei ymmärtänyt mitä omituista tässä on:
Tekijänoikeudet ovat myös harkitsemisen arvoinen yksityiskohta. Monen verkkopalvelun käyttöehdoissa on maininta siitä, että palveluntarjoajalla on oikeus käyttää käyttäjän luomaa sisältöä esimerkiksi palvelun markkinoimiseen. Osassa jopa tekijänoikeudet siirtyvät palveluntarjoajalle yhtäläisin oikeuksin kuin tekijällä. Tämä jää monesti huomaamatta.
Esimerkki: työryhmä tekee oppimateriaalia. Kustantaja kiinnostuu materiaalista ja olisi kiinnostunut sen julkaisemisesta. Vaan mitenkäs myyt kun oikeudet ovat myös palveluntarjoajalla?
Joissain verkkopalveluissa, esimerkiksi Facebookissa, SecondLifessa ja Ningissä on mahdollista rakentaa erilaisia sovelluksia palveluntarjoajan ohjelmistoalustalle. Nämä ovat suoritettavaa ohjelmakoodia. Palikoita voi tarjota palveluntarjoajan lisäksi myös kolmannet osapuolet.
Huomioitavaa: palveluntarjoaja sanoutuu käyttöehdoissaan irti kaikesta 3. osapuolen sovellusten aiheuttamasta. Nyt jo on esimerkkejä Facebook-madoista. Käyttäjien olisi syytä ymmärtää, mitä suoritettavan ohjelmakoodin ajamisen salliminen koneessa tarkoittaa.
Monien palveluntarjoajien käyttöehdoissa on erittäin kummallinen periaate: ehtojen muutoksista ei ilmoiteta käyttäjälle lainkaan vaan tämän edellytetään käyvän säännöllisin väliajoin lukemassa käyttöehdot sen varalta, että niitä on päivitetty. Tällaisia ovat esimerkiksi Wikispaces ja Facebook. Oletan, että käytäntö on mahdollinen USA:ssa. EU:n alueella tällainen käytäntö ei ymmärtääkseni ole luvallinen.
Palveluiden ja sovellusten siirtyessä yhä enemmän Internet-pohjaisiksi, niin sanotusti ”pilveen”, käyttäjien ja tietohallinnonkin valistamisesta tulee aiempaa tärkeämpää. Tietosuoja-asiat on otettava huomioon vaikka palveluita kuinka kivasti pulpahtelisi maailman ääristä.
Haastavinta on popularisoida aidot tietoturva- ja tietosuojaongelmat siten, että käyttäjät ymmärtävät asian ja ohjeistuksen noudattaminen muuttuu mielekkääksi ja sen hyödyt ymmärretään sen sijaan, että aina vain naristaan.
Lyhyt Survival list näiden asioiden kanssa painiville:
Alkuperäinen esitys on saatavana PDF-muotoisena.
Seuraavassa sisältö auki kirjoitettuna:
Internet on pullollaan hienoja ja hyödyllisiä palveluita, joita otetaan käyttöön. Internetin globaali luonne hävyttää sen tosiasian, että palvelut tuotetaan fyysisesti jossain ja niitä käytetään jossain toisaalla, usein pitkänkin matkan päässä toisistaan. Sekä käyttäjä että tuottaja toimivat kuitenkin jonkin valtion lainsäädännön alla.
Kun palveluiden käyttö leviää suusta suuhun-suosituksin, palvelusta syntyy luotettava kuva. Luottamus ei kuitenkaan kohdistu tarkkaan ottaen palveluun vaan suosittelijaan. Käytännössä luottamus rakentuu jotenkin näin: "Kyllä se on varmaan OK kun tuokin sitä käyttää." On kuitenkin selvää, että tällainen ajatus ei vapauta käyttäjää niistä velvoitteista jotka hän hyväksyy sopimuksen tehdessään vaikka ei lukisi sitä.
Jos oppilaitos tai yritys vie tietoja EU:n ulkopuolelle, sen tulisi vähintäänkin tietää mihin maahan niitä ollaan viemässä ja tallentamassa. Tätä ei moni ole varmaan tullut ajatelleeksi. Erilaisia palveluita käyttävän opettajan kannalta arkisempi tapaus on se, voiko organisaatio velvoittaa työntekijänsä tai opiskelijansa antamaan luvan tietojen vientiin jotta opiskelu tai työnteko on mahdollista? Monella maahanmuuttajalla on taustansa vuoksi syy tuntea tervettä epäluuloa tiettyjen maiden harjoittamaa tiedustelutoimintaa kohtaan. On kummallinen ajatus, että poliittisesti aktiivisen muslimisuvun vesan täytyisi rekisteröityä Yhdysvalloissa sijaitseviin palveluihin osallistuakseen oppimiseen täysipainoisesti.
Henkilötietolain 22§ säätää asiasta näin:
Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso.
Tietosuojan tason riittävyys on arvioitava ottaen huomioon tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet.
Vaikka toisen ihmisen houkutteleminen jonkin palvelun käyttämiseksi ei tietenkään ole henkilötietojen viemistä, opettajan tai muussa vastaavassa auktoriteettiasemassa olevan tulisi mielestäni olla tietoinen ja pohtia asiaa.
Ongelman ydin on sangen hirtehinen: samalla kun ohitetaan ohituskaistalla oppilaitoksen tietohallinto, joka ei millään pysty tarjoamaan sellaista palvelutasoa, mitä Internet-nimisessä karkkikaupassa on, jätetään samalla tekemättä tietohallinnolle kuuluvat työt tietoturvaan ja henkilösuojaan liittyen. Voihan näin tietysti toimia, mutta silloin on kyllä valmistauduttava ottamaan vastaan kritiikkiä toiminnastaan. Se etäinen ja hidas tietohallintokin kun tekee kuitenkin sekin jotain - muun muassa huolehtii käyttäjien tietosuojasta.
Kun meillä on jo tilanne, jossa palveluita käytetään laajalti, kenen pitäisi lukea käyttäjäsopimukset suurennuslasilla? Onko se yksittäisen opettajan, koulutoimen vai kenties peräti Opetushallituksen tai Opetusministeriön tehtävä? Selvää on, että tätä työtä ei tällä hetkellä kukaan tee järjestelmällisesti.
Sillä välin kun tällaista kattavaa tietoa odotellaan kannattaa ottaa huomioon seuraavat asiat:
Yhdysvalloissa ei ole kattavaa tietosuojalainsäädäntöä vaan tietosuoja-asiat ovat hajallaan eri laeissa. EU:ssa sen sijaan on tietosuojan kannalta koherentimpi ja kattavampi lainsäädäntö.
Internet-palveluiden käyttäjien kannalta on yksi erittäin olennainen ero: USA:ssa ei ole lainsäädäntöä, joka sääntelisi sitä, miten muiden kuin USA:n kansalaisten henkilö- ja muita tietoja saa käsitellä. Vuoden 1974 sinänsä tiukka Privacy Act ei koske kuin omia kansalaisia. Tämä on ollut pitkään kiistan aihe EU:n ja USA:n välillä. Mikään ei estä yhdysvaltalaista palveluntarjoajaa myymästä tietojasi edelleen tai yhdistämästä niitä johonkin toiseen tietuejoukkoon, jotta saadaan selville esimerkiksi se, mitä sinulle kannattaa mainostaa. Vakavampiakin käyttötapoja varmaan moni keksii.
Facebookin liiketoimintamalli perustuu pitkälti siihen, että käyttäjille kohdennetaan mainontaa. Kohdentaminen edellyttää data mining -tekniikoiden käyttöä. Käyttäjän kannalta on epämiellyttävää, että näin kerättyä tietoa voidaan lain estämättä yhdistää muista lähteistä saatuihin tietoihin ja käyttää hyväksi.
Yhteisöpalvelu Ningin käyttöehdot sisältävät erikoisen yksityiskohdan. Käyttäjätunnuksen tekeminen työsähköpostiosoitteella tarkoittaa, että Ningin mukaan syntyy sopimus edustamasi organisaation tai yhtiön ja Ningin välille. Näin ollen jos tulee jotain ongelmia, kiistaosapuolina ovat Ning ja työnantajasi tai edustamasi organisaatio. Kävin Ningiä ylläpitävän yrityksen PR-osaston kanssa sähköpostikirjeenvaihtoa asiasta. Ystävällinen asiakaspalvelija ei ymmärtänyt mitä omituista tässä on:
You represent that you are fully able and competent to enter into the
terms, conditions, obligations, representations and warranties set forth
in these Terms of Service. If you are using or creating a Social Network
on the Ning Platform as a representative of a company or legal entity,
(i) you represent that you have the authority to enter into this
Agreement on behalf of that company or entity, and (ii) you agree that
the terms "*you*" and "*your*" in this Agreement refers to your company
or legal entity.
Tekijänoikeudet ovat myös harkitsemisen arvoinen yksityiskohta. Monen verkkopalvelun käyttöehdoissa on maininta siitä, että palveluntarjoajalla on oikeus käyttää käyttäjän luomaa sisältöä esimerkiksi palvelun markkinoimiseen. Osassa jopa tekijänoikeudet siirtyvät palveluntarjoajalle yhtäläisin oikeuksin kuin tekijällä. Tämä jää monesti huomaamatta.
Esimerkki: työryhmä tekee oppimateriaalia. Kustantaja kiinnostuu materiaalista ja olisi kiinnostunut sen julkaisemisesta. Vaan mitenkäs myyt kun oikeudet ovat myös palveluntarjoajalla?
Joissain verkkopalveluissa, esimerkiksi Facebookissa, SecondLifessa ja Ningissä on mahdollista rakentaa erilaisia sovelluksia palveluntarjoajan ohjelmistoalustalle. Nämä ovat suoritettavaa ohjelmakoodia. Palikoita voi tarjota palveluntarjoajan lisäksi myös kolmannet osapuolet.
Huomioitavaa: palveluntarjoaja sanoutuu käyttöehdoissaan irti kaikesta 3. osapuolen sovellusten aiheuttamasta. Nyt jo on esimerkkejä Facebook-madoista. Käyttäjien olisi syytä ymmärtää, mitä suoritettavan ohjelmakoodin ajamisen salliminen koneessa tarkoittaa.
Monien palveluntarjoajien käyttöehdoissa on erittäin kummallinen periaate: ehtojen muutoksista ei ilmoiteta käyttäjälle lainkaan vaan tämän edellytetään käyvän säännöllisin väliajoin lukemassa käyttöehdot sen varalta, että niitä on päivitetty. Tällaisia ovat esimerkiksi Wikispaces ja Facebook. Oletan, että käytäntö on mahdollinen USA:ssa. EU:n alueella tällainen käytäntö ei ymmärtääkseni ole luvallinen.
Palveluiden ja sovellusten siirtyessä yhä enemmän Internet-pohjaisiksi, niin sanotusti ”pilveen”, käyttäjien ja tietohallinnonkin valistamisesta tulee aiempaa tärkeämpää. Tietosuoja-asiat on otettava huomioon vaikka palveluita kuinka kivasti pulpahtelisi maailman ääristä.
Haastavinta on popularisoida aidot tietoturva- ja tietosuojaongelmat siten, että käyttäjät ymmärtävät asian ja ohjeistuksen noudattaminen muuttuu mielekkääksi ja sen hyödyt ymmärretään sen sijaan, että aina vain naristaan.
Lyhyt Survival list näiden asioiden kanssa painiville:
- Omalla palvelimella ajettava palvelu on aina paras. Silloin ei tarvitse tehdä sopimuksia muiden kanssa.
- Suosi EU-alueella tuotettavia palveluita, koska lainsäädäntö on harmonisoitu EU:ssa. Ei tule ongelmia.
- Lue käyttöehdot läpi. Jos ne ovat käsittämättömät, luetuta jollain asiantuntijalla.Konsultoi organisaatiosi tietohallintoa epäselvissä kysymyksissä.
Tilaa:
Blogitekstit (Atom)
Tekstit
