GDPR, DPA, DPIA, LIA, CCPA, CMP, TCF, GVL…

Osa digimarkkinoijista tuntuu vielä parantelevan tietosuoja-asetuksen (GDPR) voimaantuloon valmistautumiseen liittyviä haavoja, kun pitäisi jo opetella kasa uusia kirjainyhdistelmiä. DPA:n, DPIA:n, LIA:n lisäksi puhutaan mm. CCPA:sta, CMP:stä, TCF:stä ja GVL:stä. Samalla pitää hahmottaa, mitä apulaistietosuojavaltuutetun evästesuostumusta koskeva ratkaisu tai Privacy Shieldin kumoaminen käytännössä tarkoittaa.

Evästesuostumus

Apulaistietosuojavaltuutetun ratkaisu siitä, että verkkosivuston julkaisijan tulee pyytää evästeisiin GDPR:n mukainen vapaaehtoinen suostumus, on tullut lainvoimaiseksi. Ratkaisun mukaan selainasetuksin annettu suostumus ei täytä GDPR:n vaatimuksia mm. sen vuoksi, että suostumuksesta kieltäytyminen ja suostumuksen peruuttaminen eivät ole yhtä helppoja kuin suostumuksen antaminen. Ratkaisu käytännössä edellyttää, että käyttäjältä saadaan suostumus evästeisiin ennen niiden asettamista. Yleiseurooppalaisista ratkaisuista ja viranomaisohjeista voidaan myös vetää yhteen, että käyttäjää tulee informoida evästeiden käyttötarkoituksista ja niitä asettavista kumppaneista mahdollisimman läpinäkyvästi. Ratkaisun kohteena olevalle yritykselle annettiin määräaika 1.9.2020 korjata käytäntöjään.

TCF ja CMP

Suostumustenhallintamekanismien käyttöönottoon on ajanut edellä mainitun ratkaisun lisäksi se, että IAB Europen Transparency & Consent Frameworkin (TCF) 2.0 -version siirtymäkausi on päättynyt 15.8.2020. Erityisesti mediasivustot ovat ottaneet käyttöön ns. consent management platformeja (CMP), joiden avulla käyttäjää informoidaan evästeiden käytöstä ja pyydetään suostumus tietojen tallentamiseen käyttäjän päätelaitteelle ja näiden tietojen käyttöön yksilöityihin käyttötarkoituksiin.

TCF:n mahdollistamin tavoin osa toimijoista vetoaa evästeillä kerättyjen tietojen hyödyntämisessä oikeutettuun etuun. Suostumuksen ja oikeutetun edun ero käytännössä se, että suostumus annetaan (käyttäjä laittaa rastin ruutuun tai siirtää togglen on -asentoon) ja oikeutettua etua vastustetaan (käyttäjä ottaa rastin ruudusta pois tai siirtää togglen off -asentoon). Jos sivusto myy digitaalista mainontaa ja/tai hyödyntää dataa ohjelmallisen mainonnan ekosysteemissä, on TCF:n mukaisesti välitetty suostumusta koskeva tieto (consent string) kieli, jota ko. ekosysteemissä toimivat tahot voivat lukea.

TCF koskee ennen kaikkea mediasivustoja ja adtech-palveluntarjojia. Useat kaupalliset CMP-palveluntarjoajat tarjoavat myös TCF:ää yksinkertaisempaa evästesuostumusta, joka voi olla ratkaisu monen tavanomaisen verkkosivuston tarpeisiin.

Ammattijargonista kohti yhteistä kieltä

Kun tietosuoja-asiantuntijat heittävät puheessaan LIA:a, DPIA:a, DPA:a, LIA:a ja CIPP:ä on kyse omaa ammatti-identiteettiä vahvistavasta jargonista, joka kuitenkin helposti rajaa rivityöntekijän ulkopuolelle ja tekee tietosuojan toteuttamisesta vain tietyn rajatun ammattikunnan työtä. Samalla tavoin digimarkkinoija saattaa puhua DSP:stä, SSP:stä, DMP:stä, CDP:stä, CMP:stä ja TCF:stä, ja tulee termejä ja käytäntöjä avaamatta rajanneeksi ulos sen henkilön, jonka pitäisi neuvotella sopimus tai laatia tietosuojainformaatio.

Tietosuoja ei ole koskaan ollut vain juristien asia, vaan verkkokäyttäytymisdataa hyödyntävä digitaalinen mainonta ja markkinointi on erinomainen esimerkki siitä, että eri alojen asiantuntijoiden tulee tehdä yhteistyötä ja löytää yhteinen kieli. Juristin tai tietosuoja-asiantuntijan tulee ymmärtää käytännöt, digimarkkinoijan tulee viestiä liiketoiminnan tarpeista ja digimainonnan toimintalogiikoista sekä teknologian avulla tulee huolehtia siitä, homma toimii myös konepellin alla. Lain, liiketoiminnan ja teknologian tukena ovat prosessit, joilla varmistetaan, että kaikki nivoutuu yhteen ja kyse on jatkuvasta kehitystyöstä, ei projektista. Avoimuus ja selkeä viestintä ovat ensimmäisiä askeleita eri asiantuntijaryhmien osallistamiseen, ja siihen, ettei tietosuoja jää pelkäksi paperiharjoitukseksi.

Folks x Quru

Jotta voisimme mahdollistaa sen, että asiakas saa kattavaa palvelua yhdestä pisteestä, Folks on yhdistänyt voimansa digitaalisen markkinoinnin ja analytiikan ammattilaisista koostuvan tiimin, Qurun, kanssa. Yhdessä voimme tarjota asiakkaillemme kattavan, erityisesti nettisivujen tietosuojaan liittyvän palvelun, jossa auditoidaan asiakkaan verkkosivujen tietosuojakäytännöt, selvitetään sivuston evästeet ja skriptit, tehdään toimenpidesuositukset sekä avustetaan suositusten toteuttamisessa, kuten CMP:n implementoinnissa tai verkkosivun tietosuojaselosteen laatimisessa. Qurun missiona on auttaa asiakkaita hyödyntämään dataa liiketoiminnan ytimessä, kun taas Folksin missiona on käyttää lakia tämän mahdollistamiseen.

Jos tuntuu siltä, että evästeisiin ja verkkosivuihin liittyvässä tietosuojatekemisessä olisi vielä petrattavaa, ota yhteyttä Annaan +358 40 164 8626, anna.paimela@legalfolks.fi.

Lue myös Qurun toimitusjohtajan Mira Mäkirannan blogi: "Keksit haltuun: Lainmukaisen evästehallinnan kolme tärkeää askelta".

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Ratkaisuja Suomesta

Apulaistietosuojavaltuutettu antoi heinäkuussa yhteensä 14 ratkaisua, joissa käsiteltiin pääasiallisesti sähköistä suoramarkkinointia ja siihen liittyviä rekisteröidyn oikeuksia.

Sähköinen suoramarkkinointi ja rekisteröidyn suostumus

Ratkaisuissa tuotiin muun muassa esille, että suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen etukäteisen suostumuksensa. Suostumuksella tarkoitetaan yleisen tietosuoja-asetuksen (GDPR) mukaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Tietojen käsittelyn perustuessa suostumukseen, on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Rekisteröidyllä on milloin tahansa oikeus peruuttaa antamansa suostumus. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä oikeudesta. Suostumuksen peruuttamisen on oltava rekisteröidylle yhtä helppoa kuin sen antaminen.

Ratkaisuissa todettiin, että suostumuksen vaatimus sinällään seuraa sähköisen viestinnän palveluista annetussa laista (viestintäpalvelulaki), jota tulee kuitenkin lukea yhdessä GDPR:n kanssa. Viestintäpalvelulaissa ei säädetä suostumuksen edellytyksistä, vaan suostumuksen edellytyksistä säädetään GDPR:ssä. Koska tällöin on kyse henkilötietojen käsittelyyn liittyvän suostumuksen GDPR:n mukaisista edellytyksistä, oli tietosuojavaltuutettu sähköistä suoramarkkinointia koskevissa tapauksissa toimivaltainen käyttämään sille GDPR:ssä määriteltyjä toimivaltuuksia.

Ratkaisuissa tuotiin myös esille, että suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Lähtökohta on kuitenkin se, että mikäli työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@yritys.fi, on sähköpostiosoitetta pidettävä luonnollisen henkilön osoitteena, ja henkilöltä on tällöin saatava etukäteinen suostumus suoramarkkinointiin. Apulaistietosuojavaltuutettu katsoikin, että rekisterinpitäjän tulee ennen suoramarkkinoinnin kohdistamista yhteisössä toimivalle luonnolliselle henkilölle selvittää kyseisen henkilön asema yhteisössä ja arvioida, liittyvätkö suoramarkkinointiviestissä markkinoidut hyödykkeet ja palvelut olennaisesti henkilön työtehtäviin. Pelkästään se seikka, että henkilö työskentelee yrityksessä, joka kuuluu rekisterinpitäjän asiakassegmenttiin, ja että tämän yrityksen työntekijän työsuhdepuhelimen puhelinnumero on yrityksen käytössä, ei tarkoita luonnollisella henkilöllä työntekijänä olevan asemavaltuus vastaanottaa suoramarkkinointia.

Sakon määrääminen

Edellä mainituista 14 ratkaisusta 11 koski saman rekisterinpitäjän toimintaa liittyen sähköiseen suoramarkkinointiin ja rekisteröidyn oikeuksien toteuttamiseen. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio arvioi kyseistä rekisterinpitäjää koskevassa päätöksessään tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi 7.000 euron suuruisen sakon määräämisen.

Rekisterinpitäjän rikkomukset kohdistuivat GDPR:n perusperiaatteisiin, suostumuksen edellytysten puuttumiseen sekä rekisteröidyn mukaisten oikeuksien toteuttamatta jättämiseen ja laiminlyöntiin. Apulaistietosuojavaltuutetun kyseistä rekisterinpitäjää koskevista ratkaisuista ilmenee, että rekisterinpitäjä oli laiminlyönyt sähköiseen suoramarkkinointiin vaadittavan suostumuksen edellytykset ainakin 11 henkilön osalta. Lisäksi rekisterinpitäjä oli samalla laiminlyönyt ja jättänyt toteuttamatta 10 rekisteröidyn osalta yhden tai useamman GDPR:n mukaisen oikeuden. Rekisterinpitäjän aiheuttama GDPR:n säännösten rikkominen ei ollut hetkellistä tai tapahtunut inhimillisen virheen johdosta sillä rikkomuksia tapahtui toistuvasti useamman kuukauden ajan. Rekisteröidyt olivat olleet yhteydessä rekisterinpitäjään ja tuoneet tämän tietoon sen, ettei se ollut toteuttanut heidän oikeuksiaan. Rekisterinpitäjä oli kuitenkin rekisteröityjen yhteydenotoista huolimatta jatkanut toimintaansa ennallaan useamman kuukauden ajan, mikä osoitti sen, että rekisterinpitäjä oli tahallisesti laiminlyönyt rekisteröidyn oikeuksien toteutumisen.

Seuraamuskollegio katsoi, että rekisterinpitäjä oli pyrkinyt hyötymään GDPR:n ja viestintäpalvelulain rikkomisesta, mikä puolsi sakon määräämistä. Lisäksi otettiin huomioon sakon määrää ankaroittavana seikkana rekisterinpitäjän yhteistyöhaluttomuus tietosuojavaltuutetun toimiston kanssa. Sakon määrää lieventävänä tekijänä huomioitiin vuorostaan se, ettei rekisteröidyille ollut aiheutunut rikkomuksista taloudellista tai muuta aineellista vahinkoa.

Osakasluettelon tietojen luovuttaminen - henkilötietojen käsittelijä vai rekisterinpitäjä?

Yhdessä heinäkuussa annetussa ratkaisussa yritys oli vuorostaan katsonut osakasluetteloista saatujen henkilötietojen luovuttamisen suoramarkkinointiin olleen mahdollista. Suoramarkkinointiin luovutettavia tietoja olivat olleet nimi, osoite tai kotipaikka, syntymäaika, kansalaisuus, omistustiedot, odotusluettelomäärät, sekä odotusluettelolla olon syy ja tiedot mahdollisista yhteisomistajista. Kyseessä oleva yritys katsoi toimineensa henkilötietojen käsittelijänä yhtiön tai osuuskunnan lukuun, ja rekisteröidyn informointivelvollisuus suoramarkkinoinnista oli tällöin yhtiöllä tai osuuskunnalla. Apulaistietosuojavaltuutettu katsoi kuitenkin, että yritys oli toiminut rekisterinpitäjänä ja antoi tälle GDPR:n mukaisen huomautuksen sekä määräyksen saattaa käsittelytoimet GDPR:n mukaisiksi.

Apulaistietosuojavaltuutettu totesi, että henkilötietojen käsittelyn tarkoitukset voi määritellä vain rekisterinpitäjä, mutta keinojen osalta rajanveto ei ole yhtä selkeä, koska niiden osalta rekisterinpitäjän on mahdollista valtuuttaa henkilötietojen käsittelijä tekemään päätöksiä siitä, miten henkilötietoja käsitellään, kun kyse on teknisistä ja organisatorisista seikoista. Jos käsittelijä kuitenkin päättää oma-aloitteisesti laventaa käsittelyn keinoja, se ei silloin toimi rekisterinpitäjältä saadun valtuutuksen oikeuttamana. Yrityksen tapauksessa ei ollut kyse teknisten ja organisatoristen seikkojen alle menevistä toimenpiteistä, vaan yritys oli tehnyt sellaisia henkilötietojen käsittelyä koskevia päätöksiä, joiden tekeminen kuului rekisterinpitäjälle. Täten yritys oli muuttunut tuon käsittelyn osalta rekisterinpitäjäksi ja sen olisi pitänyt siitä hetkestä lähtien ryhtyä toteuttamaan GDPR:ssä rekisterinpitäjälle säädettyjä velvollisuuksia.

Ratkaisussa tuotiin myös esille, että tietojen luovutuksesta ei voi päättää henkilötietojen käsittelijä, vaan sen tulee käsitellä henkilötietoja rekisterinpitäjän antaman ohjeistuksen mukaisesti. Rekisterinpitäjän ohjeistuksen ulkopuolella toimiminen johtaa roolin muuttumiseen henkilötietojen käsittelijästä rekisterinpitäjäksi ja samalla useiden GDPR:n artiklojen rikkomiseen.

Ratkaisuja muualta Euroopasta

Italian tietosuojaviranomainen määräsi rekisterinpitäjälle 16,7 miljoonan euron suuruisen sakon satoihin rekisteröityihin tekstiviestien, sähköpostin, puhelinsoittojen ja automaattisten puheluiden avulla kohdistetusta laittomasta suoramarkkinoinnista ilman rekisteröityjen antamaa suostumusta. Rekisteröity ei myöskään pystynyt käyttämään oikeuttaan peruuttaa antamansa suostumus ja vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksissa, koska rekisterinpitäjän tietosuojaselosteessa olleet yhteystiedot olivat olleet puutteellisia. Rekisteröityjen tiedot julkaistiin myös julkisissa puhelinluetteloissa heidän vastustuksestaan huolimatta. Lisäksi useat rekisterinpitäjän jakamat sovellukset oli toteutettu siten, että joka kerta, kun rekisteröity käytti sovellusta, hänen tuli antaa antaa suostumuksensa eri käsittelytoimiin, ja annettu suostumus oli mahdollista peruuttaa vasta 24 tunnin kuluttua sen antamisesta.

Alankomaiden tietosuojaviranomainen määräsi rekisterinpitäjälle 830.000 euron suuruisen sakon, koska se oli vaatinut maksua rekisteröidyltä, kun tämä pyysi sähköistä pääsyä henkilötietoihinsa. Rekisterinpitäjä tarjosi rekisteröidylle postitse ilmaisen pääsyn tietoihin vain kerran vuodessa. GDPR:n mukaan rekisterinpitäjän on tarjottava rekisteröidylle mahdollisuus käyttää henkilötietojaan sähköisessä muodossa, kun hänen tietojaan käsitellään sähköisesti. Lähtökohtaisesti pääsy henkilötietoihin tulisi toteuttaa ilmaiseksi. Mikäli pyyntöjen katsottaisiin kuitenkin olevan toistuvia, voisi maksun vaatiminen olla perusteltua. Tällaiset tilanteet tulisi arvioida tapauskohtaisesti. Tietosuojaviranomainen katsoi tässä tapauksessa, että maksun vaatiminen rekisteröidyltä ei ollut perusteltua.

Belgian tietosuojaviranomainen määräsi Googlen belgialaiselle tytäryhtiölle 600.000 euron suuruisen sakon rekisteröidyn hakemuksen hylkäämisestä. Rekisteröity oli pyytänyt häntä koskevien vanhentuneiden artikkeleiden poistamista, koska hän katsoi niiden vahingoittavan hänen mainettaan. Belgian tietosuojaviranomainen totesi, että perusteettomiin häirintää koskeviin valituksiin liittyvillä artikkeleilla voi olla vakavia seurauksia rekisteröidylle ja hänellä oli täten oikeus saada artikkelit poistetuksi. Tämä oikeus on myös poliittisissa viroissa toimivilla henkilöillä, vaikka he eivät yleensä julkisen asemansa takia nauti vastaavaa yksityisyyden suojaa kuin muut yksityiset henkilöt. Sakosta 500.000 euroa määrättiin rekisteröidyn hakemuksen hylkäämisestä ja 100.000 euroa avoimuusperiaatteen rikkomisesta, koska Google ei ollut riittävästi perustellut hakemuksen hylkäämistä.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Kuten aiemmassa kirjoituksessamme toimme esiin, Euroopan unionin tuomioistuin antoi heinäkuussa ratkaisun Schrems II -tapauksessa, jossa se kumosi Euroopan komission päätöksen Euroopan unionin ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä. Ratkaisu tarkoittaa, että henkilötietojen siirtäminen EU:sta Yhdysvaltoihin Privacy Shield -järjestelmän perusteella on laitonta.

Tuomioistuimen mukaan henkilötietojen siirto EU:n ulkopuolelle komission mallisopimuslausekkeiden (standard contractual clauses, ”SCC”) on yhä sallittua. Tuomioistuin kuitenkin painotti, että tiedon siirtoa harkitsevien organisaatioiden tulee myös mallisopimuslausekkeiden käyttöä suunnitellessaan arvioida, voidaanko riittävän tietosuojan taso taata, tarvittaessa esimerkiksi ylimääräisiä teknisiä, organisatorisia tai sopimuksellisia suojakeinoja käyttämällä. Mallisopimuslausekkeiden käyttöönotto ei siis saa olla vain rasti ruutuun -tyyppinen harjoitus, vaan yritysten tulee tehdä tapauskohtainen arviointi. Tässä arvioinnissa on otettava huomioon mm. tietojen siirtäjän ja siirron vastaanottajan väliset sopimusmääräykset sekä vastaanottajan sijaintimaan oikeusjärjestelmään liittyvät merkitykselliset tekijät. Jos henkilöt eivät saa edukseen sellaista tietosuojan tasoa, joka pääosiltaan vastaa tasoa, joka taataan EU:ssa tietosuojalainsäädännöllä, myös mallisopimuslausekkeiden nojalla tapahtuvat tiedonsiirrot voidaan keskeyttää tai kieltää.

Merkittävässä ratkaisussa on pureksittavaa niin tietosuojaviranomaisille kuin globaalissa maailmassa toimiville yrityksille. Eri maiden tietosuojaviranomaiset ovat ottaneet ratkaisuun erilaisia näkökulmia: berliiniläinen tietosuojaviranomainen suosittaa käyttämään eurooppalaisia palveluntarjoajia eli lokalisoimaan datan, kun taas brittiläinen tietosuojaviranomainen ottaa aikalisän tutkiakseen, mitä ratkaisu käytännössä tarkoittaa. Suomen tietosuojaviranomainen on viitannut Euroopan tietosuojaneuvoston julkaisemiin vastauksiin usein kysyttyihin kysymyksiin.

Vaikka ratkaisun analysointi on vielä osittain kesken, on suositeltavaa, että jokainen organisaatio tekee seuraavia toimenpiteitä:

1. Kartoittaa, missä määrin dataa siirretään EU/ETA-alueen ulkopuolelle. Tässä kartoituksessa erinomaisena apuna toimivat asianmukaisesti laaditut selosteet käsittelytoimista. Jos selosteet ovat vielä laatimatta, eikä organisaatio ole dokumentoinut, kuka dataa käsittelee ja missä, kannattaa viimeistään nyt ottaa tämä harjoitus työn alle. Työssä voi hyödyntää esimerkiksi tietosuojavaltuutetun mallipohjia.

2. Ottaa yhteyttä kumppaneihin, joiden kanssa on sovittu tietojen siirrosta Yhdysvaltoihin. Jos siirto on perustunut Privacy Shieldiin, kysy minkälaisia toimenpiteitä kumppani tekee Schrems II -ratkaisun johdosta. Ilmoituksia korvaavista tiedonsiirtomekanismeista on jo saatu: esimerkiksi Google ilmoitti ottavansa käyttöön mallisopimuslausekkeet tietyissä palveluissa, joiden ehdoissa on viitattu Privacy Shieldiin.

3. Neuvotella muutoksista sopimukseen ja ottaa käyttöön korvaava tiedonsiirtomekanismi, tai jos tämä ei ole mahdollista, päättää Privacy Shieldiin nojaava yhteistyö. Mallisopimuslausekkeiden ohella voidaan käyttää myös muita mekanismeja. Näitä ovat mm. yritystä sitovat säännöt (binding corporate rules ”BCR”) tai rekisteröidyn nimenomainen suostumus, joskin näiden käyttöala on verrattain pieni.

4. Päivittää dokumentaatio, kuten tietosuojaselosteet ja selosteet käsittelytoimista varmistaa, että niissä on kuvattu tiedonsiirtomekanismit asianmukaisesti.

5. Arvioida kriittisesti muitakin henkilötietojen siirtoja EU/ETA-alueen ulkopuolelle ottaen huomioon mm. lainsäädännön ja viranomaisten tiedonsaantioikeudet valtiossa, jossa siirronsaaja toimii, siirrettävien tiedon luonteen (esim. arkaluonteinen vs. pseudonymisoitu/salattu data) sekä siirronsaajan toimialan (reguloitu tai muutoin todennäköisemmin viranomaisvalvonnan kohteeksi joutuva toimiala).

Lisäksi on suositeltavaa seurata tarkentuvia viranomaisohjeistuksia. Näitä jäämme myös Folksilla odottamaan kuumeisesti, sillä ei voida olettaa, että monellakaan yrityksellä olisi resursseja tai käytännön mahdollisuuksia analysoida tiedon vastaanottajavaltion oikeusjärjestelmää tai implementoida oma-aloitteisesti ylimääräisiä suojakeinoja. Nähtäväksi myös jää, mikä vaikutus ylimääräisillä suojakeinoilla, kuten tiedon salaamisella rekisteröidyn yksityisyydensuojan kannalta todellisuudessa on, ja toisaalta missä laajuudessa yritykset lähtevät lokalisoimaan henkilötietoja useiden yllä mainittujen epävarmuustekijöiden vuoksi.

Lisätietoja asiasta antaa:

Anna Paimela

Osakas

anna.paimela@legalfolks.fi

+358 40 1648626

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.