Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa

1,015 views

Published on

Koulutus Otavan opistolla, 3.5.2018, Harto Pönkä, Innowise

Published in: Education
  • Be the first to comment

  • Be the first to like this

2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa

  1. 1. 2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa Harto Pönkä 3.5.2018
  2. 2. Profilointi ja oppimisanalytiikka
  3. 3. 4 artikla 4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Profilointi
  4. 4. Milloin opetuksessa tehdään profilointia? • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
  5. 5. Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf Oppijoiden tuloksia kuvaavat pisteet, %-luvut ja kuvaajat kertovat edistymisestä, mutta niissä ei tehdä automaattisia päätelmiä, joten kyse ei ole profiloinnista. Oppimisanalytiikkaa kyllä, profilointia ei
  6. 6. Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf Tehtävien pisterajoihin tai suorituksiin perustuvat merkit eivät ole profilointia, vaan tulosten esittämistä havainnollisesti suhteessa tavoitteisiin. Oppimisanalytiikkaa kyllä, profilointia ei
  7. 7. Edistynytkään oppimisanalytiikka ei aina ole profilointia Oppimisanalytiikka, jossa ei tehdä yksittäisiin oppijoihin kohdistuvia päätelmiä, ei ole profilointia. Datasta voidaan tunnistaa esimerkiksi oppimiseen liittyviä yleisiä malleja, syy-seuraussuhteita, ongelmakohtia ja erilaisia oppijoiden ryhmiä. Samalla tulee huolehtia oppijoiden tietosuojasta. Henkilötiedot voidaan poistaa (anonymisoida) tai peittää (pseudonymisoida) ja tekijöillä tulee olla vaitiolovelvollisuus.
  8. 8. Anonymisointi = tunnistetietojen poisto, ei henkilötietoa Pseudonymisointi = esim. numerot nimien sijasta, on henkilötietoa
  9. 9. Korrelaatio r=0,67 (p<0,001) Lähde: Pönkä, 2013, Luovan ongelmanratkaisun ja innovaatioiden analyysia Innolukiosta, https://harto.wordpress.com/2013/04/16/luovan-ongelmanratkaisun-ja-innovaatioiden-analyysia-innolukiosta/ Oppimisanalytiikkaa kyllä, profilointia ei Yhteenvedot, tilastot, kuvaajat ja tilastolliset analyysit eivät ole profilointia, vaikka niitä voitaisiin käyttää apuna ennustemallien rakentamisessa.
  10. 10. Oppimisanalytiikkaa ja tiedonlouhintaa kyllä, profilointia ei Oppimisesta kertyvän datan käyttö tiedonlouhintaan ei ole profilointia, kun sen tarkoituksena on kehittää yleisesti opetusta, eikä tehdä päätelmiä yksittäisistä oppijoista. Kuva: Äyrämö, 2006, Knowledge Mining Using Robust Clustering (väitösk.), Jyväskylän yliopisto, https://pdfs.semanticscholar.org/8374/0f3c02800468e939c3e887a8061eb336b729.pdf
  11. 11. Kun analysoidaan tai ennakoidaan automaattisesti yksilön ominaisuuksia, kyse on profiloinnista Oppimisanalytiika, jonka tavoitteena on tuottaa yksilöä koskevia automaattisia päätelmiä tai ehdotuksia oppijalle tai ohjaajalle, on GDPR:n tarkoittamaa profilointia. Oleellista ei ole, voitaisiinko dataa käyttää näin, vaan tilanne, jossa näin tehdään. Tyypillisesti kyse on oppijan luokitteluun perustuvista ehdotuksista, oppijan toimintaan perustuvista ennusteista tai oppijaa koskevien todennäköisyyksien esittämisestä.
  12. 12. Oppimisanalytiikkaa kyllä, profilointia kyllä Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf ViLLE-oppimisympäristö pyrkii tunnistamaan oppijoiden tuen tarpeen käyttämällä avuksi tietoa, miten tulokset ennustavat menestymistä MAKEKO-testissä.
  13. 13. Oikeusperusteet oppimisanalytiikassa Oppijoiden tiedot ja toiminta Kun ei analysoida automaattisesti oppijan ominaisuuksia Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Tiedonlouhinta, tilastot ja analyysit Kun analyysin tulokset eivät kohdistu yksittäisiin oppijoihin Oppijan ominaisuuksien autom. profilointi Yksilön ominaisuuksien analysointi, luokittelu ja näihin perustuvat toiminnot Rekisterinpitäjän oikeutettu etu voi riittää Suostumus tai sopimus
  14. 14. 1. Oppimisanalytiikka, joka liittyy rekisterinpitäjän henkilötietojen käsittelyn tarkoitukseen, esimerkiksi opetuksen järjestämiseen ja sen kehittämiseen (pattern-finding) – Tietosuoja-asetuksen lupa käyttää henkilötietoja tilastointiin tai tutkimukseen voi riittää – Oikeutetussa edussa voidaan huomioida se, että opetuksen järjestäjä voi analyysin avulla kehittää opetusta ja palveluitaan opiskelijoille (asiakkaille) sekä tuottaa yleistä hyötyä. – Analyysin tulee olla sellaista, mihin rekisteröidyt voivat kohtuudella odottaa tietoja käytettävän. – Tämän tyyppisellä analyysilla voidaan löytää esimerkiksi koulutukseen liittyviä yleisiä trendejä ja kehitystarpeita sekä oppijoihin ja oppimiseen liittyviä yleisiä malleja, mekanismeja ja luokittelua – Rekisterinpitäjän tulee huolehtia riittävistä suojakeinoista kuten rekisteröityjen anonymisoinnista tai pseudonymisoinnista sekä analyysejä tekevän henkilöstön vaitiolovelvollisuudesta. 2. Oppimisanalytiikka, jonka tarkoitus on profiloinnin avulla tarjota esimerkiksi yksilöllistä ohjausta, ehdotuksia ja tehtäviä (pattern-matching) – Profilointiin ja automaattisiin päätöksiin/valintoihin tarvitaan suostumus tai sopimus – Suostumus kannattaa pyytää vasta silloin, kun profilointi halutaan ottaa käyttöön. – Oleellista rekisteröidyltä saatujen suostumusten (opt-in) ja kieltojen (opt-out) hallinta ja voimassaolo. – Suostumuksen antoon ei saa painostaa. Oppijalla tulee olla aito valinnanvapaus esimerkiksi valita perinteinen opetus automaattisesti räätälöidyn ohjauksen sijasta. – Jos profilointi aiheuttaa rekisteröityjen tiedoille korkean riskin, tee tietosuojan vaikutustenarviointi. Oppimisanalytiikan tietosuojakehikko Lähde: Andrew Cormack, 2016, Data Protection Framework for Learning Analytics, http://epress.lib.uts.edu.au/journals/index.php/JLA/article/view/4554
  15. 15. GDPR ja markkinointi
  16. 16. Suoramarkkinointi ja tietosuoja • Perinteinen suoramarkkinointi – Postitse tai puhelimitse – Saa tehdä, jos vastaanottaja ei ole kieltänyt – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Sähköinen suoramarkkinointi – Sähköpostiviestit, tekstiviestit, ääniviestit, kuvaviestit – Yksityishenkilöiltä tarvitaan suostumus etukäteen – Yrityksiltä ja niiden edustajilta ei tarvita suostumusta – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Ulkoistettu suoramarkkinointi – Esimerkiksi postitus- ja puhelinmyyntipalvelut – Henkilötietoja annetaan toiselle yritykselle markkinoinnin tekoa varten, joten tarvitaan sopimus henkilötietojen käsittelystä – Toimeksiantaja on vastuussa markkinoinnista Lähde: Suomen yrittäjät, 2018, Yrittäjän tietosuojaopas, https://www.yrittajat.fi/yrittajan-abc/yritystoiminnan-abc/yrittajan- tietosuojaopas/suoramarkkinointi-570917
  17. 17. • Suostumus (opt-in) – Sähköinen suoramarkkinointi (sähköposti, tekstiviesti ym.) – Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä. – Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos • markkinoinnissa käytetään automaattista profilointia • tietoja luovutetaan muille tahoille (esim. Facebook tai Google) • Rekisterinpitäjän oikeutettu etu – Perinteinen suoramarkkinointi (puhelimitse ja postitse) – Asiakassuhteeseen liittyvä viestintä: voit tiedottaa opiskelijoille opiskeluun liittyvistä asioista ja esimerkiksi tulevista kursseista, jotka liittyvät heidän koulutukseensa. – B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman etukäteissuostumusta. – Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus! • Mieti opiskelijan näkökulmasta, milloin kyse on suoramarkkinoinnista, ja erota se selvästi opiskeluun liittyvästä viestinnästä. • Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä ja mistä tietosuojaseloste on luettavissa. • Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat. Koulutusten markkinointi
  18. 18. Markkinointijärjestelmät ja profilointi Facebookiin viedyt asiakastiedostot Nimi, sähköposti, puhelinnumero, syntymäaika, kaupunki, laitetunniste ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Googleen viedyt asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Esimerkiksi sähköpostimarkkinointi manuaalisesti valituille kohderyhmille Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
  19. 19. Vinkki: Jos et halua saada profiiliisi kohdennettua markkinointia Facebookissa, voit estää sen helposti. Ohjeet: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi- kayton-muilta-yrityksilta/
  20. 20. • Kolmannen osapuolen eväste (cookie) on laitteelle tallennettava tiedosto, jonka avulla käyttäjää voidaan seurata netissä muiden palvelujen toimesta. • Esimerkkejä: – Google Analyticsin kävijäseurantakoodi – Googlen AdWordsin sivustotagi / uudelleenmarkkinointipikseli – Facebookin tykkäysnappula tai kirjautumistoiminto – Facebook-mainonnan pikseli – Chat-palvelujen evästeet • Laki (tietoyhteiskuntakaari 205 §) vaatii, että evästeistä kerrotaan käyttäjille. Jos evästeitä käytetään vain sivuston toimintoihin, niistä ei tarvitse kertoa. • Esimerkiksi näin: • Suomessa on tulkittu, että käyttäjän suostumukseksi riittää se, että evästeet on sallittu nettiselaimen asetuksissa. • GDPR ei puutu evästeisiin, mutta sitä koskeva asetus on odotettavissa myöhemmin (nk. sähköisen viestinnän tietosuoja-asetus, ePrivacy). Kolmansien osapuolten evästeet Sivustolla käytetään evästeitä kävijäseurantaan ja markkinointiin. Evästekäytäntö Hyväksy Lähde: Viestintävirasto, 2017, Evästeet, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet/palveluidenturvallinenkaytto/evasteet.html
  21. 21. Osoitusvelvollisuus ja tietojärjestelmät
  22. 22. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  23. 23. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista suojatoimista määräytyvät riskiperusteisesti • Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin • Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. – Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. • Riski voi olla korkeampi, kun – käsitellään heikossa asemassa olevien tietoja (esim. lapset) – käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti – käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi • Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla). Riskiperusteinen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  24. 24. • Henkilötietojen tietoturvaloukkauksella tarkoitetaan tilannetta, jossa henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai tietoihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. • Tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. – Ilmoitus pitää tehdä ilman aiheetonta viivytystä. – Ilmoituksen voi jättää tekemättä jossain tilanteissa: esimerkiksi jos vuotaneet tiedot on salattu vahvasti, tietojen väärinkäyttö on estetty tai jos ei voida selvittää, keitä vuoto on koskenut. • Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu, jos siitä voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. • Henkilötietojen käsittelijän on tehtävä ilmoitus rekisterinpitäjälle ilman aiheetonta viivytystä. • Rekisterinpitäjän on dokumentoitava henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto, 2017, Henkilötietojen tietoturvaloukkaukset, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
  25. 25. • Tietoturvarikkomuksen tyyppi – Esimerkiksi henkilötietojen vuoto ulkopuoliselle aiheuttaa suuremman riskin kuin tietojen häviäminen järjestelmän vian vuoksi. • Henkilötietojen luonne, arkaluonteisuus ja määrä – Arkaluontoisiin tietoihin ja eri tietotyyppien yhdistelmiin liittyy suurempi riski • Tunnistamisen helppous – Tunnistettavuus lisää riskiä. Salaus tai pseudonymisointi vähentää riskiä. • Rekisteröidyn ominaisuudet – Heikossa asemassa oleviin rekisteröityihin kuten lapsiin kohdistuu suurempi riski • Rekisterinpitäjän ominaisuudet – Esimerkiksi potilastietojen rekisterinpitäjään kohdistuu suurempi riski • Tietovuodon seurauksien vakavuus – Seuraukset voivat olla vakavia esimerkiksi silloin, kun siitä voi seurata identiteettivarkaus, petos, psyykkistä ahdistusta, nöyryytystä tai maineen menetys. – Riski on suurempi, jos henkilötiedot ovat päätyneet rikolliselle. Tietoturvaloukkauksen riskien arviointi Lähde: Tietosuojavaltuutetun toimisto, 2017, Henkilötietojen tietoturvaloukkaukset, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
  26. 26. Tietojärjestelmien GDPR-valmius?
  27. 27. Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
  28. 28. Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
  29. 29. Pilvipalveluissa vastuu jakaantuu Tiedot asiakkaasta Laskutustiedot Tiedot käytettävistä palveluista ja niiden käytöstä Asiakkaan vastuulla olevien muiden käyttäjien palveluun tallentamat tiedot Mahdolliset muut palvelun tuottamiseen liittyvät tahot ja niiden tiedot Asiakas on rekisterinpitäjä Muut käyttäjät ovat rekisterinpitäjiä mahdollisesti luomiinsa rekistereihin Palveluntarjoaja on henkilötietojen käsittelijä Palveluntarjoaja on rekisterinpitäjä Lisäksi voi olla muita henkilötietojen käsittelijöitä Mahdolliset muut rekisterinpitäjät ja henkilötietojen käsittelijät sekä valvovat viranomaistahot Asiakkaan palveluun tallentamat tiedot ASIAKAS& KÄYTTÄJÄT PALVELUNTARJOAJA
  30. 30. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  31. 31. Somepalvelujen tietosuoja opetuksessa
  32. 32. Somepalvelut opetuksessa?
  33. 33. Miten somepalveluita opetukseen? • Monia somepalveluita voi käyttää ilman oppijoiden rekisteröitymistä tai henkilötietojen antamista • Kaupalliset somepalvelut, jotka edellyttävät käyttöehtojen hyväksyntää: – Alaikäiset huoltajan suostumuksella – Täysi-ikäiset omalla vastuullaan • Omassa hallinnassa olevat somepalvelut – Koulu/kunta voi hankkia osto-/sopimuspalveluita – Koulu/kunta voi asentaa ja ylläpitää omia somepalveluita – Tällöin koulu/kunta on rekisterinpitäjä ja voi monesti määrätä myös käyttösäännöistä.
  34. 34. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  35. 35. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Somepalvelujen ikärajat Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon.
  36. 36. • Sopimuksen tekeminen kuten verkkopalvelun käyttöehtojen hyväksyminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuuden) riippumatta palvelun ikärajasta. • Vähintään 16-vuotiaat voivat antaa itse luvan henkilötietojensa käsittelyyn (saattaa muuttua 13- tai 15-v.) • Alaikäisten oppilaiden tuotosten julkaisuun verkossa täytyy olla hänen oma lupansa sekä huoltajan lupa. Alaikäiset oppilaat
  37. 37. Huoltajan lupa? Lähde: Tampereen TVT-portaali, http://tvt.tampereenseutu.fi/@Bin/732920/Sosiaalisen+media n+opetusk%C3%A4yt%C3%B6n+kaavio.pdf (4.4.2018)  Mikäli tunnuksen luomisessa on hyväksyttävä palvelun käyttöehdot  Mikäli palvelussa julkaistaan teoksia opiskelijaryhmän ulkopuolisille
  38. 38. Mitä asioita yksityisyydestä ja tietosuojasta netissä on tarpeen ohjeistaa tai opettaa opiskelijoille?
  39. 39. Lähde: Some ja nuoret 2016, http://www.ebrand.fi/somejanuoret2016/5-harkinta-sosiaalisessa-mediassa/ (13-29-v.) Nuorten mielipide
  40. 40. • Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa käytetään oppimisen välineenä ja miten se tehdään turvallisesti • On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan ja mille tahoille henkilötietoja on turvallista luovuttaa – Somepalveluihin rekisteröitymisessä – Chat- ja pikaviestikeskusteluissa • Neuvoja netin turvalliseen käyttöön (huomioi ikätaso) – Älä kerro omia tai toisten henkilötietoja – Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt. – Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille. – Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi. – Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle. – Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä. – On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista. – Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa. – Mieti, millaisen kuvan annat itsestäsi • Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus • Yhteistyö ja avoimuus huoltajien kanssa tärkeää. Turvallisesti netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  41. 41. Lähde: Mediataitokoulu, http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti- sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi (viitattu 14.12.2016)
  42. 42. • Oppilaita opastetaan käyttäjätunnusten ja salasanojen tekemisessä sekä yksityisyyden suojaamisessa. • Noudatetaan some-palvelujen käyttöehtoja ja ikärajoja. • Huolehditaan, että oppijoilla on riittävät tiedot tekijänoikeuksista. • Korostetaan hyvää käytöstä, yhteisöllisten toimintatapojen omaksumista ja toisen kunnioittamista. • Häiriökäyttäytymistä ja kiusaamista ei hyväksytä. • Some-palvelujen opetuskäytölle tehdään malli, joka mahdollistaa oppilaiden osaamisen ja taitojen kehittymisen turvallisessa ympäristössä. • Luottamuksellista tietoa ei viedä some-palveluihin. • Tunnetaan henkilötietoja ja henkilötietorekisterien ylläpitoa koskevat määräykset. Somen turvallinen ja eettinen käyttö Lähde: https://www.oph.fi/saadokset_ja_ohjeet/ohjeita_koulutuksen_jarjestamiseen/lukiokoulutuksen_ jarjestaminen/sosiaalisen_median_opetuskayton_suositukset, 30.3.2012
  43. 43. • Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat rekisteröityvät niihin – Nimen, koulun ja luokan kertominen somessa – Käyttäjätunnuksen muodostamistapa – Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite) – Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä – Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita kavereiksi vapaa-ajan somepalveluissa • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava • Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta • Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin Opettajan tunnus ja työprofiili
  44. 44. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä oppilas-, opettaja- tai ohjaajatunnusta ei pitäisi tehdä. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin esimerkiksi oppilaita ei tarvitse ottaa kavereiksi. • Facebookin käyttöehdot: https://www.facebook.com/legal/ terms/update
  45. 45. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
  46. 46. Kommentit ja kysymykset
  47. 47. • Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta ja kehitystarpeista • Arviointi sisältää esimerkiksi: – Mitä henkilötietoja organisaation hallussa on – Miten tietosuojaperiaatteet on otettu huomioon – Toimintaan liittyvät henkilötietovirrat – Henkilötietojen käsittelyn oikeusperusteet – Miten tietoturvasta on huolehdittu – Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu • Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t ietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos. pdf • Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen sisällöstä, sillä se on viime kädessä vastuussa Henkilötietojen nykytilan arviointi Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  48. 48. https://mm.tt/1086137801?t=EaIWm6QLmI
  49. 49. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

×