Tietosuoja ja budjettisovellus: miksi paikallinen voittaa
Lyhyesti: Pankkiin kytketty budjettisovellus saa koko tilitapahtumahistoriasi, ja sama data kulkee myös tilitietopalvelun eli aggregaattorin läpi. Moni ilmainen sovellus rahoittaa toimintansa juuri tällä datalla. GDPR antaa sinulle vahvat oikeudet, mutta ne toimivat vasta jälkikäteen. Paikallinen, offline-toiminen sovellus, jonka data pysyy laitteella, on rakenteellisesti yksityisempi: mitä ei ole kerätty, sitä ei voi vuotaa eikä myydä.
Suomessa suhtaudutaan tietosuojaan vakavasti. Luotamme viranomaisiin, mutta emme mielellämme luovuta yksityiskohtia taloudestamme tuntemattomille yrityksille — varsinkaan sellaisille, joiden nimeä emme ole koskaan kuulleet. Silti juuri niin tapahtuu, kun yhdistät pankkitilisi budjettisovellukseen. Tässä jutussa käydään läpi, mitä pankkiin kytkeytyvät sovellukset todella keräävät, miksi "ilmainen" on usein harhaanjohtava hinta, mitä oikeuksia GDPR sinulle antaa ja miksi laitteella pysyvä data on lupauksiin nojaavaa pilvipalvelua vahvempi tietosuojaratkaisu. Tavoite ei ole pelotella vaan auttaa tekemään tietoinen valinta.
Mitä pankkiin kytketty budjettisovellus todella kerää
Kun painat sovelluksessa "yhdistä pankki" -painiketta, et yhdistä suoraan pankkiisi. Yhteys kulkee EU:n maksupalveludirektiivin (PSD2) mahdollistaman open banking -rajapinnan kautta, ja sitä hoitaa yleensä erillinen tilitietopalvelun tarjoaja — niin sanottu aggregaattori. Euroopassa yleisiä ovat esimerkiksi Tink (nykyään Visan omistuksessa), Nordigen (osa GoCardlessia) ja yhdysvaltalaistaustainen Plaid. Aggregaattori on näkymätön välikäsi pankkisi ja budjettisovelluksen välissä.
PSD2:n myötä pankin on avattava rajapinta, kun annat siihen luvan. Se on parannus vanhaan "anna pankkitunnukset kolmannelle" -malliin verrattuna, koska sovellus saa yleensä vain lukuoikeuden tilitapahtumiin eikä varsinaisia pankkitunnuksiasi. Mutta lukuoikeus koskee koko historiaa:
- Jokainen tilitapahtuma — päivämäärä, summa, kauppapaikka ja usein tapahtuman viesti tai viite.
- Toistuvat veloitukset — vuokra, lainanlyhennykset, vakuutukset, suoratoistotilaukset ja kuntosalimaksut.
- Saldot ja tilirakenne — kuinka paljon sinulla on, millä tileillä ja miten raha liikkuu niiden välillä.
Tilitapahtumat eivät ole neutraalia numerodataa. Niistä voi päätellä hämmästyttävän tarkasti asioita, joita et koskaan kertoisi vieraalle: apteekkiostoista terveystilanteen, säännöllisistä lahjoituksista poliittisen tai uskonnollisen suuntautumisen, baariveloituksista tai peliyhtiöiden maksuista mahdolliset riippuvuudet, ja äkilliset muutokset kertovat elämäntilanteen käänteistä — avioerosta, työttömyydestä, sairaudesta. Kun luovutat tapahtumahistorian, luovutat samalla tämän pääteltävissä olevan kuvan itsestäsi. Aggregaattorimallia on käsitelty tarkemmin jutussa miksi Penno ei lisää pankkiyhteyttä.
Miksi "ilmainen" sovellus myy dataa
Sovelluksen kehittäminen ja ylläpito maksaa. Jos sovellus on täysin ilmainen eikä siinä ole tilausmaksua eikä kertaostoa, raha tulee jostakin muualta. Hyvin yleinen malli on datan hyödyntäminen: kerätyt tilitapahtumat "anonymisoidaan" ja niitä myydään tai lisensoidaan eteenpäin datanvälittäjille, markkinatutkimusyhtiöille ja mainostajille. Kulutusdata on arvokasta, koska se kertoo, mihin ihmiset oikeasti käyttävät rahansa — ei sitä, mitä he sanovat kyselyssä.
Sana "anonymisoitu" kuulostaa rauhoittavalta, mutta se on ostodatan kohdalla petollinen. Useat tutkimukset ovat osoittaneet, että yksilö voidaan tunnistaa uudelleen näennäisesti nimettömästä tapahtumajoukosta jo muutaman tunnetun oston perusteella — esimerkiksi tietäen, missä kahvilassa kävit ja milloin. Todella anonyymiä kulutusdataa on käytännössä vaikea tuottaa, koska ostokäyttäytyminen itsessään on sormenjälki.
Yhdysvalloissa aihe on noussut oikeuteen asti: tilitietopalvelu Plaid sopi noin 98 miljoonaa ihmistä koskeneen ryhmäkanteen 58 miljoonalla dollarilla (lopullinen hyväksyntä heinäkuussa 2022). Kantajat väittivät, että Plaid keräsi ja luovutti enemmän taloustietoa kuin oli kertonut. Plaid kiisti syytökset. Tapaus on hyvä muistutus siitä, että datavirran mittakaava on valtava eivätkä käyttäjät useinkaan tiedä, kenelle heidän tietonsa päätyvät. Datanvälittäjien liiketoimintaa avataan tarkemmin jutussa miten budjettisovellukset myyvät taloustietojasi eteenpäin.
Olennaista on ymmärtää kannustin: jos et maksa tuotteesta, olet todennäköisemmin itse tuote. Maksullinen kertaostosovellus, jossa ei ole pankkiyhteyttä, poistaa tämän kannustimen kokonaan — kehittäjällä ei ole kerättyä dataa myytäväksi eikä tarvetta sellaiseen.
GDPR antaa sinulle oikeudet — mutta jälkikäteen
EU:n yleinen tietosuoja-asetus GDPR on maailman vahvimpia tietosuojalakeja, ja se koskee jokaista yritystä, joka käsittelee suomalaisten henkilötietoja. Se antaa sinulle konkreettisia oikeuksia:
- Tarkastusoikeus — sinulla on oikeus saada tietää, mitä tietoja sinusta on kerätty ja mihin niitä käytetään.
- Oikeus tulla unohdetuksi — voit vaatia, että tietosi poistetaan, kun niiden säilyttämiselle ei ole enää perustetta.
- Siirto-oikeus — voit pyytää tietosi koneluettavassa muodossa ja siirtää ne toiseen palveluun.
- Oikeus vastustaa käsittelyä — voit kieltää tietojesi käytön esimerkiksi suoramarkkinointiin.
Suomessa näiden oikeuksien toteutumista valvoo tietosuojavaltuutetun toimisto, jolle voi tehdä valituksen, jos yritys ei noudata sääntöjä. Tämä on aito ja arvokas turvaverkko, eikä sitä kannata vähätellä.
On kuitenkin syytä nähdä, mitä GDPR ei tee. Se on lähtökohtaisesti jälkikäteinen suoja. Oikeus tulla unohdetuksi toimii vasta, kun data on jo kerätty, tallennettu ja mahdollisesti luovutettu eteenpäin. Jos anonymisoitu tapahtumadatasi on jo myyty edelleen ja sekoitettu datanvälittäjän tietokantaan, poistopyynnön käytännön vaikutusta on vaikea todentaa. Oikeuksien käyttö vaatii myös sinulta aktiivisuutta: sinun on tiedettävä, kuka dataasi käsittelee, tehtävä pyynnöt ja tarvittaessa valitettava. Laki asettaa sakon uhan väärinkäytöksistä, mutta se ei voi purkaa jo tapahtunutta luovutusta. Vahvinkin oikeus on heikompi kuin tilanne, jossa dataa ei kerätty alun perinkään.
Miksi paikallinen ja offline on rakenteellisesti yksityisempi
Tässä on koko jutun ydin. Pilvipohjaisen budjettisovelluksen yksityisyys nojaa lupaukseen: yritys lupaa suojata palvelimensa, olla myymättä dataasi ja poistaa tiedot pyynnöstä. Sinun on luotettava, että se pitää lupauksensa — ja luottamus on aina haavoittuvainen tietomurroille, omistajanvaihdoksille, konkursseille, uusille käyttöehdoille ja liiketoiminnan suunnanmuutoksille.
Paikallinen, offline-toiminen sovellus ei nojaa lupaukseen vaan rakenteeseen. Kun kaikki tiedot säilyvät laitteesi paikallisessa tietokannassa eikä sovelluksella ole tiliä, palvelinta eikä pankkiyhteyttä, dataa ei yksinkertaisesti ole missään muualla. Mitä ei ole kerätty, sitä ei voi
- vuotaa tietomurrossa, koska palvelimella ei ole mitään vuodettavaa;
- myydä datanvälittäjälle, koska kehittäjällä ei ole pääsyä tietoihisi;
- luovuttaa kolmannelle osapuolelle tai viranomaiselle, koska kellään muulla ei ole kopiota.
Ratkaisevaa on, että väitteen voi todentaa. Pilvipalvelun tietosuojalupausta on ulkopuolisen mahdoton tarkistaa — et näe, mitä palvelimella tapahtuu. Offline-sovelluksen väitteen sen sijaan voi testata itse: laita puhelin lentokonetilaan ja käytä sovellusta. Jos se toimii täysin ilman verkkoa eikä koskaan pyydä tiliä tai kirjautumista, sillä ei yksinkertaisesti ole tapaa lähettää tietojasi minnekään. Yksityisyys, jonka voit itse tarkistaa, on eri asia kuin yksityisyys, johon sinua pyydetään uskomaan.
Näin Penno on rakennettu
Penno on suunniteltu tämän periaatteen varaan. Se on paikallinen ja offline-toiminen budjetti- ja menoseurantasovellus iPhonelle ja Androidille:
- Ei tiliä eikä rekisteröitymistä — sovellusta ei tarvitse avata sähköpostilla tai salasanalla, eikä sinusta kerätä sähköpostiosoitetta.
- Ei pankkiyhteyttä — Penno ei muodosta open banking -yhteyttä eikä käytä aggregaattoria. Kirjaat ostokset itse muutamalla napautuksella.
- Data pysyy laitteella — kaikki tallentuu paikalliseen SQLite-tietokantaan puhelimessasi. Mikään ei lähde laitteelta, ellet itse vie tietoja esimerkiksi varmuuskopiona.
- Kertaosto, ei tilausta — Penno Pro maksetaan kerran hintaan 14,99 €. Ei kuukausimaksua eikä liiketoimintamallia, joka nojaisi datasi myyntiin.
Manuaalinen kirjaaminen on tietoinen valinta, ei puute. Kun näpäytät oston itse, säilytät samalla kuvan siitä, mihin rahasi menevät — se tietoisuus, jonka automaattinen tuonti usein vie. Ja koska mitään ei tuoda pankista, mitään ei myöskään vuoda pankista. Jos haluat kokeilla pankkivapaata budjetointia käytännössä, lue budjetointi ilman pankkiyhteyttä.
Milloin pilvipohjainen sovellus sopii paremmin
Rehellisyyden nimissä: pankkiyhteys ei ole paha kaikille. Se on aidosti kätevä, jos sinulla on useita tilejä monessa pankissa, jos seuraat sijoituksia menojen rinnalla tai jos manuaalinen kirjaaminen tuntuu liian työläältä ylläpitää. Monet pilvipohjaiset sovellukset ovat hyvin tehtyjä tuotteita, ja miljoonat ihmiset ovat tehneet järkevän valinnan päättäessään, että automaatio on datan luovuttamisen arvoinen.
Paikallinen malli sopii sinulle parhaiten, jos arvostat yksityisyyttä enemmän kuin automaatiota, jos sinulla on vain pari tiliä, jos haluat kertaostoksen jatkuvan tilauksen sijaan tai jos aggregaattoriketju yksinkertaisesti tuntuu epämukavalta. Kyse ei ole yksityisyystakiintumasta vaan perustellusta valinnasta — ja on hyvä tietää, että vaihtoehto on olemassa. Manuaalisen ja automaattisen seurannan eroja voit puntaroida lisää jutussa siitä, miten budjetoida ilman pankkitiliä.
Tärkeintä on tehdä valinta tietoisesti: ymmärtäen, mikä data liikkuu minne, sen sijaan että olettaisi "App Storesta ladattu sovellus" tarkoittavan automaattisesti "yksityinen".
Budjetoi ilman että jaat pankkitietojasi
Penno säilyttää kaiken laitteellasi. Ei tiliä, ei pankkiyhteyttä, ei aggregaattoria. Taloustietosi eivät poistu puhelimestasi.
Hae Penno App Storesta →Usein kysytyt kysymykset
Mitä pankkiin kytketty budjettisovellus todella kerää minusta?
Kun yhdistät pankkitilisi budjettisovellukseen, se saa PSD2-pohjaisen open banking -yhteyden kautta koko tilitapahtumahistoriasi: jokaisen oston, kauppapaikan, toistuvan veloituksen ja saldon. Käytännössä yhteyttä ei hoida sovellus itse vaan tilitietopalvelun tarjoaja eli aggregaattori (esimerkiksi Tink, Nordigen/GoCardless tai Plaid). Sama data kulkee siis vähintään kahden yrityksen läpi: sovelluksen ja aggregaattorin. Tilitapahtumista voi päätellä hyvin tarkasti terveystietoja, poliittisia näkemyksiä, riippuvuuksia ja elämäntilanteen muutoksia.
Miksi ilmainen budjettisovellus voi olla huono tietosuojan kannalta?
Jos sovellus on ilmainen eikä siinä ole tilausmaksua tai kertaostoa, palvelun ylläpito rahoitetaan jotenkin muuten. Yleisin malli on datan hyödyntäminen: anonymisoitujen tai aggregoitujen tilitapahtumien myynti tai lisensointi datanvälittäjille ja markkinatutkimukseen. Tutkimusten mukaan yksilö voidaan usein tunnistaa uudelleen näennäisesti anonymisoidusta ostodatasta muutamalla tunnetulla ostoksella. Maksullinen kertaostosovellus, jolla ei ole pankkiyhteyttä, ei tarvitse tätä liiketoimintamallia.
Miten GDPR suojaa taloustietojani budjettisovelluksissa?
GDPR antaa sinulle oikeuden saada tietää, mitä sinusta on kerätty (tarkastusoikeus), oikeuden saada tietosi poistetuksi (oikeus tulla unohdetuksi), oikeuden siirtää tiedot ja oikeuden vastustaa käsittelyä. Suomessa valvova viranomainen on tietosuojavaltuutetun toimisto, jolle voit tehdä valituksen. Nämä oikeudet ovat vahvoja mutta jälkikäteisiä: ne toimivat vasta, kun data on jo kerätty ja luovutettu eteenpäin, ja niiden käyttö vaatii sinulta aktiivisuutta. Paikallinen sovellus, joka ei kerää dataa lainkaan, poistaa koko ongelman rakenteellisesti.
Onko paikallinen budjettisovellus oikeasti yksityisempi kuin pilvipalvelu?
Kyllä, ja ero on rakenteellinen eikä pelkkä lupaus. Pilvipalvelun yksityisyys nojaa siihen, että yritys pitää sanansa, suojaa palvelimensa eikä myy dataa — sinun on luotettava. Paikallinen offline-sovellus säilyttää kaiken laitteesi tietokannassa eikä lähetä mitään ulos ilman että sinä nimenomaisesti viet tiedot. Mitä ei ole kerätty, sitä ei voi vuotaa, myydä eikä luovuttaa viranomaiselle. Voit myös todentaa väitteen: lentokonetilassa toimiva sovellus, joka ei pyydä tiliä, ei voi lähettää dataasi minnekään.
Lue myös
Käytännön opas
Budjetointi ilman pankkiyhteyttäMiten pidät menoistasi kirjaa ilman että yhdistät yhtäkään tiliä — vaihe vaiheelta.
Tietosuoja
Miksi Penno ei lisää pankkiyhteyttäTietoinen suunnitteluvalinta: ei aggregaattoria, ei koottua tapahtumahistoriaa.
Tietosuoja
Miten budjettisovellukset myyvät taloustietojasiDatanvälittäjien kerros käyttämiesi sovellusten takana — kuka ostaa ja miksi.