Postin käyttämä palvelu ilmoittaa keräävänsä käyttäjältä vuoden tilitiedot ja viittaa poliittiseen profilointiin – Postin mukaan kyseessä viestintämoka

Asia tuli laajempaan julkisuuteen, kun MTV Uutistenkin käyttämä tietoturva-asiantuntija Petteri Järvinen julkaisi Twitterissä tiedon siitä, että OmaPosti-palvelu käyttää nykyään norjalaista Neonomics-maksupalvelua.

Sen käyttäjä sai ilmoituksen, että palvelun sallitaan kerätä käyttäjästä huomattavat tiedot ja pidättää oikeus käyttää niitä neljännesvuoden ajan. Järvinen kertoo saaneensa aiheesta useamman huolestuneen kysymyksen liittyen henkilötietojen turvaamiseen. Posti Group on Suomen valtion kokonaan omistama yhtiö.

Palvelua käyttäessä tulevan ilmoituksen mukaan esimerkiksi henkilön tarkat tilitiedot kerättäisiin viimeisen 12 kuukauden ajalta 90 päivän ajaksi. Tietosuojaselosteessaan Neonomics kertoo, että se kerää henkilöistä esimerkiksi "erityisiä henkilötietoryhmiä, kuten esimerkiksi poliittiset mieltymykset, jos olet suorittanut maksuja poliittiselle puolueelle". Tämä on herättänyt kansalaisissa ihmetystä myös Järvisen aloittamassa keskustelussa.

Posti vastasi Twitterissä Järviselle kertoen, että Neonomics käsittelee vain palvelun toimittamisen kannalta välttämättömiä tietoja, ja suostumuksen tietojen käyttöön voi myös perua jo ennen 90 päivän päättymistä olemalla palveluun yhteydessä.

Asiantuntija ihmetteli tilannetta

MTV Uutisille Järvinen kuvailee tilannetta ärsyttäväksi.

– Posti ei ole tavallinen verkkokauppa tai yksityinen toiminta, mutta menee valitsemaan palvelun, jolla on kohtuuttomat ehdot, Järvinen lataa.

Hän ihmettelee sitä, minkälaisten kustannussäästöjen tai muiden syiden vuoksi palvelu on valittu. Hän epäilee jopa, ovatko palvelun ilmoitetut ehdot laittomia ja henkilötietojen käsittelyä koskevan sääntelyn vastaisia. Hän itse luonnehtii ehtoja ”poikkeuksellisen röyhkeiksi”.

– Jos tehdään verkkokauppamaksua omalta tililtä ilman luottoa, miksi varataan oikeus tarkastella vuosi taaksepäin maksutapahtumia, ja lisäksi viitataan profilointiin? Onhan se täysin käsittämätöntä, eihän sellaista saisi olla.

Hänestä Posti on omassa viestinnässään piiloutunut Neonomicsin taakse, vaikka Järvisestä sen olisi itse pitänyt vaatia palvelulta henkilötietojen käsittelyä sääntelevän GDPR:n hengen mukaista toimintaa.

Järvinen arvioi, että Neonomics pystyy käyttämään ilmoitettuja kerättäviä henkilötietoja esimerkiksi kuluttajien profilointiin, erilaisten palveluiden luontiin ja mainosten kohdentamiseen.

– Tämä vaikuttaa valtavalta bisnekseltä, Järvinen tiivistää.

– Siinä haisee raha.

Samalla Järvinen tuo esille, että mitä useammassa paikassa ihmisten henkilötietoja on, sitä suurempi riski on siihen, että ne vuotavat jonnekin, minne niitä ei ole tarkoitettu. Siksi palvelulle tarpeettoman laajojen tietojen kerääminen välttämätöntä pidemmäksi ajaksi on ongelmallista. Hän kertoo myös olevansa huolissaan siitä, että tällaiset sekavat palvelut vaikeuttavat verkkohuijausten tunnistamista.

Posti: Kyse epäonnistumisesta viestinnässä

Postin liiketoimintajohtaja Salla Ketola kertoo MTV Uutisille, että asiassa on kyse epäonnistumisesta viestinnässä. Hän vakuuttaa, ettei sen enempää Posti kuin Neonomics kerää asiakkaista ylimääräistä tietoa tai säilytä sitä tarpeettoman pitkään.

– Neonomics käyttää niitä tietoja, joita laskun maksamiseen tarvitaan, hän toteaa.

Ketola kertoo, että laskun maksamiseen kerätään vain siinä tarvittavia maksajan nimen, tilitietojen ja laskusumman kaltaisia järkeenkäyviä tietoja. Näihin tietoihin ei kuulu esimerkiksi yksityiskohtaiset tiedot viimeisen vuoden tilitapahtumista.

No miksi näin sitten asiakkaille viestitään? Ketola kertoo, että viestinnässä on tässä useampi osapuoli. Toisaalta Posti vastaa siitä, että sen viestintä esimerkiksi OmaPostissa on kunnossa. Samalla Neonomics vastaa omalta osaltaan viestinnästä. Näiden lisäksi kuitenkin myös pankit antavat asiassa omat viestinsä, ja Ketola katsoo ongelman syntyneen osaltaan juuri tässä yhteistyössä.

– Pankeilla saattaa olla standardiviesti EU:n maksupalveludirektiivi PSD2:een liittyen. Silti välttämättä palveluntarjoaja, kuten tässä tapauksessa Neonomics, ei käytäkään tietoja niin laajasti kuin pankki asiakasviestissään ilmoittaa, Ketola kuvailee.

Käytännössä ongelma liittyy siihen, että viesti antaa ymmärtää palvelun keräävän laajemmat tiedot, joita voitaisiin käyttää jossain toisessa palvelussa, vaikka tosiasiassa kuluttajalta kerättäisiin vain niukat maksun vaatimat tiedot.

”Ylimääräistä tietoa ei ole hillottu mihinkään”

Ketola painottaa Postin ottavan asian vakavasti, koska asiakkaille ei saa syntyä tällaisia huolia tai kysymyksiä pankkitietoihin liittyviin vakaviin asioihin liittyen. Hän kuitenkin painottaa, että riskiä tietojen väärinkäytöstä ei ole.

– Ei ole mitään syytä olla huolissaan, eikä mitään ylimääräistä tietoa kuluttajista ole hillottu mihinkään, Ketola vakuuttaa.

Hän pahoittelee, että viestinnästä saatava kuva on toinen.

– Asiakkaille syntynyt käsitys on hyvin erilainen ja ristiriitainenkin. Ymmärrämme syntyneen huolen, hän sanoo.

– Viestintä tässä ei ole ollut kauhean onnistunutta meidän, Neonomicsin ja pankkien yhteistyössä. Kyllä kuluttaja voi meiltä odottaa parempaa.

Hän myös kertoo, että Posti keskusteli iltapäivällä Neonomicsin kanssa asiasta. Tarkoitus on yhdessä käydä läpi ja parantaa pankkitililtä maksamiseen liittyviä käytäntöjä, muun muassa valtuutuksen laajuutta ja kestoa sekä maksamiseen liittyvä asiakasviestintää.