Bumbee Labsin kiistelty seurantapalvelu saa nyt peukut Ruotsin tietosuojaviranomaiselta. Se ei enää riko henkilötietolakia.
Västeråsin kunnan kanssa tehdyn yhteistyön jälkeen monet uutisoivat Bumbee Labsin mahdollisesti yksityisyyttä loukkaavasta palvelusta. Palvelun avulla kunta pystyi näkemään, miten väestö liikkui kaupungissa (joskaan ei yksilötasolla). Kesällä Ruotsin tietosuojaviranomainen päätti, että palvelu silloisessa muodossaan rikkoi henkilötietolakia (PUL).
“Olemme nyt tehneet ne muutokset, joita tietosuojaviranomainen halusi meidän tekevän, ja he ovat hyväksyneet meidät. Se on ensimmäinen laatuaan oleva päätös Euroopassa”, sanoo yhtiön perustaja ja hallituksen puheenjohtaja Staffan Liljestrand.
Se, mikä vanhassa versiossa oli vialla, on suhteellisen monimutkaista. Pohjimmiltaan kyse on siitä, pitäisikö niin sanottuja MAC-osoitteita pitää henkilötietoina vai ei.
MAC-osoite on jokaisen tietokoneen, puhelimen tai muun Wi-Fin kautta verkkoon liittyvän laitteen yksilöllinen tunniste. Sitä ei kuitenkaan voi yhdistää suoraan todelliseen henkilöön. Tämä on ainakin Bumbee Labsin näkemys. Tietosuojaviranomainen sen sijaan katsoo, että MAC-osoitteen pitäisi laskea henkilötiedoksi. Seurauksena on, että he arvioivat Bumbee Labsin palvelun aiemman version rikkovan henkilötietolakia.
Pidä kiinni, sillä nyt menee monimutkaiseksi. Tietosuojaviranomainen perustelee kesän päätöstään sillä, että MAC-osoite voidaan epäsuorasti yhdistää henkilöön. Näin olisi siinä tapauksessa, että se olisi rekisteröity yhdessä henkilötietojen kanssa muissa yhteyksissä, esimerkiksi matkapuhelinoperaattorin toimesta tai kirjauduttaessa Wi-Fi-verkkoon puhelimella.
Tietosuojaviranomaisen päätöksen jälkeen Bumbee Labs muutti palveluaan eikä enää tallenna MAC-osoitteita.
“Palvelumme toimii nyt suunnilleen kuten ne kaapelit, joita näkee joskus pääteillä ja jotka mittaavat anonyymisti, kuinka monta autoa ohittaa tietyn pisteen. Paitsi digitaalisesti, matkapuhelimilla ja kokonaisten kaupunkien laajuudella. Ainoa tieto, jonka tallennamme, on puhelinten sijainti. Kaikki henkilötiedot poistetaan peruuttamattomasti parin sekunnin sisällä. Annamme asiakkaillemme yksinkertaisesti mahdollisuuden nähdä, miten kaupungin kävijät liikkuvat ryhmänä”, sanoo Staffan Liljestrand.
Median huomio siitä, että palvelua voitaisiin käyttää yksilöiden seurantaan, on ollut huomattava. Mutta Staffan Liljestrand sanoo, että sekä yhtiö itse että sen asiakkaat ovat täysin kiinnostumattomia yksilöistä. Yhtiön on kuitenkin ollut vaikea kääntää tätä mielikuvaa, mikä on saanut jotkut asiakkaat suhtautumaan palveluun odottavasti.
“Jotkut asiakkaistamme päättivät odottaa tietosuojaviranomaisen päätöstä ennen kuin alkoivat käyttää palvelua. Tämä päätös tarkoittaa, että useammat tuntevat olonsa luottavaisiksi palvelua käyttäessään”, sanoo Staffan Liljestrand.