Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta

2,674 views

Published on

Koulutus Koordinaatin/Nuorille suunnatun verkkotyön foorumin tilaisuudessa Oulussa 5.9.2018, Harto Pönkä, Innowise

Published in: Education
  • Be the first to comment

  • Be the first to like this

EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta

  1. 1. EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta Harto Pönkä 5.9.2018 Kuva: Pixabay
  2. 2. Yksityisyyden suoja on perusoikeus Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. PeL 10 § Henkilötietojen luvaton käsittely sekä yksityisyyttä loukkaavan tiedon levittäminen voivat olla rikoksia. Kuva: Edvard Isto, 1899 , Hyökkäys
  3. 3. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Huom: IP-osoite ei yksinään mahdollista tunnistamista, jolloin se ei ole henkilötieto.
  4. 4. Arkaluontoiset henkilötiedot Erityisiä henkilötietoryhmiä koskeva käsittely on pääasiassa kielletty ilman nimenomaista suostumusta. • rotu tai etninen alkuperä • poliittiset mielipiteet • uskonnollinen tai filosofinen vakaumus • ammattiliiton jäsenyys • terveyttä koskevat tiedot • seksuaalinen suuntautuminen tai käyttäytyminen • geneettiset ja biometriset tiedot henkilön tunnistamista varten Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
  5. 5. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
  6. 6. Arkaluontoisia tietoja saa käsitellä, jos… • rekisteröity on antanut nimenomaisen suostumuksensa eikä mikään laki sitä estä • käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla • käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on estynyt antamasta suostumustaan • käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai vastaavan toiminnan yhteydessä ja käsittely koskee niiden jäseniä • käsittely koskee henkilötietoja, jotka rekisteröity on saattanut julkisiksi • käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi • käsittely on tarpeen tärkeää yleistä etua koskevasta syystä lain nojalla; • käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten lain perusteella • käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi jne. lain perusteella • käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten lain nojalla Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
  7. 7. Kerää vain käyttötarkoitukseen liittyviä tietoja siihen sopivassa laajuudessa. Kerää vain tietoja, joita rekisteröity voi tietosuojaselosteen perusteella kohtuudella odottaa. Jokaista tietoa ei tarvitse mainita selosteessa erikseen – sopiva tarkkuus riittää. Kerro selosteessa, kuinka kauaa tietoja säilytetään.
  8. 8. 4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri ja rekisterinpitäjä 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
  9. 9. • Yksityisen henkilön yksityiseen tarkoitukseen tekemä rekisteri kuten kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta – Henkilötietolakia ei sovelleta lainkaan • Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei tarvitse tehdä rekisteriselostetta – Voimassa vain muutamat henkilötietolain kohdat • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu yksinään muodostavan henkilörekisteriä – Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista – Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja Poikkeuksia Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja- julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
  10. 10. Oikeusperusteet, selosteet ja informointi
  11. 11. • Henkilötietojen käsittely voi perustua: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Rekisterinpitäjän lakisääteiseen velvoitteeseen – Elintärkeiden etujen suojaamiseen (esim. hätätilanne) – Julkisen tehtävän hoitamiseen tai yleiseen etuun – Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn nimenomaisella suostumuksella ja tietyissä poikkeustapauksissa. • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Henkilötietojen käsittelyn oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
  12. 12. 10 § Etsivä nuorisotyö Etsivän nuorisotyön tehtävänä on tavoittaa tuen tarpeessa oleva nuori ja auttaa häntä sellaisten palvelujen ja muun tuen piiriin, joilla edistetään hänen kasvuaan, itsenäistymistään, osallisuuttaan yhteiskuntaan ja muuta elämänhallintaansa sekä pääsyään koulutukseen ja työmarkkinoille. Etsivä nuorisotyö perustuu nuoren vapaaehtoisuuteen ja nuoren kanssa tehtävään yhteistyöhön. Lähde: Nuorisolaki, https://www.finlex.fi/fi/laki/alkup/2016/20161285
  13. 13. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • Tietosuoja-asetuksen mukaan alle 16-vuotiaalta tarvitaan huoltajan suostumus henkilötietojen käsittelylle. – Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta – Suomessa ei ole vielä päätöstä ikärajasta, lakiesityksessä 13 v. Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  14. 14. Henkilötietolaista GDPR:ään: Rekisteriseloste  seloste käsittelytoimista Tietosuojaseloste  rekisteröidyn informointi Tosin rekisteriseloste on käypä tapa tehdä seloste käsittelytoimista ja tietosuojaseloste käy rekisteröidyn informointiin, jos niissä huomioidaan GDPR:n vaatimukset.
  15. 15. • Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste) – Seloste henkilötietojen käsittelystä on organisaation omaan käyttöön – Ei tarvitse julkaista, mutta saa jos haluaa  – Yksi seloste riittää kunhan se sisältää kaikki henkilötietojen käsittelyn tarkoitukset ja niihin liittyvät rekisteröityjen ryhmät/rekisterit – Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä – Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot • Henkilötietojen käsittelijän seloste käsittelytoimista – Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin GDPR:n selosteet Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista
  16. 16. Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista Rekisterinpitäjän seloste käsittelytoimista • Yli 250 työntekijän organisaatio  seloste on pakollinen • Alle 250 työntekijän organisaatio  seloste on tehtävä, jos henkilötietojen käsittely ei ole satunnaista, toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja • Selosteen ei ole pakko olla taulukko – kyseessä on Tietosuojavaltuutetun malli
  17. 17. Rekisteri- ja tietosuojaselosteen malli Katso GDPR:n mukainen rekisteri- ja tietosuojaselosteen malli: http://www.innowise.fi/fi/gdprn-mukainen- rekisteri-ja-tietosuojaselosteen-malli/
  18. 18. • Informointi rekisteröidyille (vrt. tietosuojaseloste) – Mitä tietoja, mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne. • Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ – Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. – Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: • Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. • Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. – Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. Tiedot on annettava maksutta. – Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille – Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista Rekisteröityjen informointi Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
  19. 19. Lähde: Ohje henkilötietojen käsittelystä etsivässä nuorisotyössä, OKM ja Tietosuojavaltuutetun toimisto, 2017, https://minedu.fi/documents/1410845/4345832/Etsiv%C3%A4+nuorisoty%C3%B6+henkil%C3%B6tieto-ohje+2017/8d473029-1661-4ccd-9481- d210ec85ad98/Etsiv%C3%A4+nuorisoty%C3%B6+henkil%C3%B6tieto-ohje+2017.pdf
  20. 20. Kuvakaappaus: Googlen tietosuojakäytäntö, https://policies.google.com/privacy/update?hl=fi (14.5.2018)
  21. 21. Kuvakaappaus: Facebookin tietokäytäntö, https://www.facebook.com/about/privacy/ (14.5.2018)
  22. 22. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä (informointivelvollisuus) • Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus) • Oikeus tietojen oikaisemiseen • Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi • Oikeus käsittelyn rajoittamiseen mm. oikeusturvan vuoksi tai jos rekisteröity kiistää tietojen oikeellisuuden • Oikeus siirtää tiedot järjestelmästä toiseen, kun oikeusperusteena on suostumus tai sopimus • Vastustamisoikeus (kielto-oikeus), esim. suoramarkkinointi • Oikeus kieltäytyä automatisoiduista päätöksistä ja profiloinnista Rekisteröidyn oikeudet Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  23. 23. • Rekisterinpitäjän täytyy poistaa henkilötiedot näissä tapauksissa: – Rekisterinpitäjä ei enää tarvitse tietoja alkuperäiseen tarkoitukseen. – Rekisteröity peruuttaa antamansa suostumuksen, eikä tietojen käsittelylle ole muuta laillista perustetta. – Rekisteröity vastustaa tietojen käsittelyä, joka on perustunut yleiseen etuun tai rekisterinpitäjän oikeutettuun etuun, eikä käsittelylle ole muuta perustetta. – Rekisteröity vastustaa tietojen käsittelyä suoramarkkinointiin. – Tietoja on käsitelty lainvastaisesti. – Tiedot on poistettava lainsäädännön perusteella. – Tiedot on kerätty huoltajan suostumuksen perusteella tietoyhteiskunnan palvelujen tarjoamisen yhteydessä (esim. verkkokaupat ja sosiaalinen media). • Rekisterinpitäjän ei kuitenkaan ole pakko poistaa henkilötietoja, jos ne ovat perustellusti tarpeellisia seuraavia tarkoituksia varten: – sananvapaus ja tiedon välittäminen – lain noudattaminen – rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen – yleinen etu – esimerkiksi arkistointi, tutkimus tai tilastointi – oikeusvaateen laatiminen, esittäminen tai puolustaminen. Oikeus tulla unohdetuksi Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/kun-haluat-poistaa-tietosi
  24. 24. Mihin ja miten tietoja saa käyttää?
  25. 25. - Jos etsivään nuorisotyöhön ilmoitetaan nuoren henkilötiedot (nimi, puh.nro) esimerkiksi whatsappilla tai snäpissä tai vaikka ihan sähköpostissakin, niin vastuu on lähettäjällä, eikö? Henkilötietojen saanti nuorisotyössä • Etsivä nuorisotyö aloitetaan ensisijaisesti perustuen nuoren itsensä antamiin tietoihin ja hänen omaan arvioonsa tuen tarpeesta. • GDPR ei estä yksityishenkilöä antamasta toisen henkilön (nuoren/huoltajan) tietoja nuorisotyöntekijälle, jos ko. tietojen käyttö on perusteltua nuorisotyössä. • Nuorisolain (11 §) mukaan tietojen luovuttamisen edellytyksenä etsivää nuorisotyötä varten on nuoren suostumus. Salassapitosäännösten estämättä… – 1) opetuksen järjestäjän on luovutettava tiedot perusopetuksen päättäneestä nuoresta, joka ei ole sijoittunut perusopetuksen jälkeisiin opintoihin; – 2) koulutuksen järjestäjän on luovutettava tiedot nuoresta, joka keskeyttää opinnot ammatillisessa koulutuksessa tai lukiokoulutuksessa; – 3) puolustusvoimien ja siviilipalveluskeskuksen on luovutettava tiedot nuoresta, joka vapautetaan varusmies- tai siviilipalveluksesta palveluskelpoisuuden puuttumisen takia tai joka keskeyttää palveluksen. • Nuorten kanssa toimivat yhdistykset ja muut yhteisöt voivat nuoren tai alaikäisen huoltajan suostumuksella ilmoittaa nuoren tiedot nuorisotyölle. • Nuorille ja huoltajille tulee etukäteen kertoa, että nuorten tietoja voidaan ilman suostumusta luovuttaa etsivälle nuorisotyölle. Lähde: Nuorisolaki, https://www.finlex.fi/fi/laki/alkup/2016/20161285
  26. 26. - Mistä tietää, mikä on olennaista tietoa kerätä ja mikä ei? - Mitä voi kertoa ennen suostumuksen saamista nuoresta organisaatioiden välillä? Henkilötietojen käsittely nuorisotyössä • Henkilötietojen käsittelystä vastaa rekisterinpitäjänä kunta. • Nuorisolain (12 §) mukaan etsivässä nuorisotyössä voidaan yhdistää tehtävässä saadut tiedot tai muutoin käsitellä niitä tuen tarpeessa olevien nuorten yksilöimiseksi ja etsivän nuorisotyön tehtävien hoitamiseksi. • Nuoresta tallennetaan yhteys- ja yksilöintitietojen ilmoittaja, päätetyt jatkotoimenpiteet, nuoresta annetut tiedot ja kenelle tietoja on luovutettu. • Nuorta koskevia tietoja saadaan luovuttaa edelleen toiselle viranomaiselle nuoren sekä alaikäisen huoltajan suostumuksella. Alaikäinen nuori voi kehitystään vastaavasti päättää itseään koskevien tietojen luovuttamisesta. • Etsivän nuorisotyön tehtäviä hoitava ei saa ilman nuoren ja alaikäisen huoltajan suostumusta ilmaista sivullisille, mitä hän saa tietää nuoren henkilökohtaisista oloista, terveydentilasta, etuuksista, tukitoimista tai taloudellisesta asemasta. • Ilman suostumusta ei siten saa paljastaa muille tahoille nuoren henkilöllisyyttä. Lähde: Nuorisolaki, https://www.finlex.fi/fi/laki/alkup/2016/20161285
  27. 27. Rekisterinpitäjä  tarkoitukset  tiedot Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjän tulee käsitellä vain tarkoituksiin tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo) Oikeus- peruste
  28. 28. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  29. 29. - Onko paperinen kansio lukkokaapissa hyvä vaihtoehto vai onko esimerkiksi pilvipalvelu turvallisempi? - Vanhat ilmoittautumistiedot arkistoissa, mitä niille pitää tehdä? Henkilötietojen säilytys nuorisotyössä • Nuorisotyöntekijöille annetaan tarvittavat käyttöoikeudet tietojärjestelmiin. • Paperille tallennetut asiakirjat pidetään lukituissa kaapeissa. • Yksilöä koskevat tiedot on hävitettävä heti, kun ne eivät enää ole välttämättömiä häntä koskevan tehtävän hoitamiseksi. • Joskus nuoren tavoittaminen voi edellyttää useita yhteydenottoja ja nuorella voi olla tarvetta useille erilaisille palveluille. Nuoren tiedot on hävitettävä heti, kun nuori on kiinnittynyt hänen tarvitsemiinsa palveluihin. • Jos nuori ilmoittaa, ettei hän halua tulla autetuksi, tiedot on hävitettävä sen jälkeen, kun nuoren palvelun tarve on arvioitu. • Tiedot on hävitettävä viimeistään, kun nuori täyttää 29 vuotta. • Kunta voi säilyttää pidempään tietoja, joista ei voi tunnistaa yksittäistä henkilöä esimerkiksi tilastointia ja toiminnan kehittämistä varten. Lähde: Ohje henkilötietojen käsittelystä etsivässä nuorisotyössä, OKM ja Tietosuojavaltuutetun toimisto, 2017, https://minedu.fi/documents/1410845/4345832/Etsiv%C3%A4+nuorisoty%C3%B6+henkil%C3%B6tieto-ohje+2017/8d473029-1661-4ccd-9481- d210ec85ad98/Etsiv%C3%A4+nuorisoty%C3%B6+henkil%C3%B6tieto-ohje+2017.pdf
  30. 30. • Henkilötietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa. • Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä henkilötietoja, jotka liittyvät hänen työtehtäviinsä. • Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. • Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä. • Henkilötietoja ei julkaista tai luovuteta ilman rekisteröidyn informointia (tietosuojaseloste) tai suostumusta. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim. valvotaan tiloja ja laitteita sekä lukitaan ovet. • Tietojärjestelmissä käytetään henkilökohtaisia käyttäjätunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). Henkilötietojen käsittelyn perusteita
  31. 31. Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
  32. 32. - Voiko yhteistä Excel-taulukkoa pitää missään verkkopalvelussa, esim. organisaation 0ffice 365:n OneDrivessa? - Voiko Excel-tiedostoja lähettää toisille sähköpostilla? - Myös Googlen lomakekyselyt luovat helposti vastaavan Excelin. Kysymys: henkilötiedot pilvipalveluissa • Lähtökohtaisesti on pidettävä huolta, että henkilötietorekisterin tietoihin on pääsy vain niillä työntekijöillä, joiden työtehtäviin se kuuluu. • Periaatteessa estettä Microsoftin ja Googlen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. Tämä kannattaa ohjeistaa tarkemmin. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työhön liittyvien henkilötietojen käsittelyssä. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on se huomioitava käsittelytoimiin liittyvä seloste ja informointi, joka linkitetään lomakkeelle. • Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. Lähde: Nuorisolaki, https://www.finlex.fi/fi/laki/alkup/2016/20161285
  33. 33. Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
  34. 34. Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Valintatulokset, koearvosanat • Henkilötunnus, jos rekisteröity on hyväksynyt tämän • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai vastaavassa: • Arkaluontoisia henkilötietoja • Lain mukaan salassapidettäviä tietoja ja asiakirjoja – Terveyteen ja sosiaalihuoltoon liittyvät tiedot – Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot – Henkilökohtaisten ominaisuuksien sanalliset arvioinnit – Tiedot psykologisesta testistä ja soveltuvuuskokeesta sekä niiden tuloksista – Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten elinoloista ja taloudellisesta asemasta Henkilötietojen lähetys sähköpostilla Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  35. 35. Somepalvelujen tietosuoja
  36. 36. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? Voiko palvelua käyttää nimettömästi? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietoja luovuttaa muille tai käyttää mainontaan? • Mitä oikeuksia palvelu saa sisältöihin kuten teksteihin ja valokuviin? Voidaanko niitä käyttää muualla? • Mihin voi olla yhteydessä, jos ilmenee ongelmia? • Miten palvelun käytön voi lopettaa? Mitä tehdyille sisällöille ja muille kerätyille tiedoille tehdään silloin? Palvelun käyttöehdot = sopimus
  37. 37. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä alaikäisten kanssa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield -järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Yhdysvaltalaisia palveluita voidaan käyttää myös huoltajien luvalla, jos osallistujat ovat alle 16-vuotiaita, tai mikäli niiden käyttö ei edellytä henkilötietojen antamista. Yhdysvaltalaiset verkkopalvelut
  38. 38. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Somepalvelujen ikärajat Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon.
  39. 39. WhatsAppin käyttö alle 16-vuotiaiden nuorisotyössä • WhatsAppin käyttöehtojen tarkoittama ”käyttäjä” on se, joka rekisteröi tunnuksen ja hyväksyy käyttöehdot. Jos huoltaja hyväksyy käyttöehdot, hän on sopimuksen osapuoli. • Huoltaja saa antaa hallitsemansa WhatsApp- tunnuksen lapsen käyttöön ikärajan sitä estämättä. Käyttöehdoissa ei tätä kielletä. • Lapsen kännykän käyttö perustuu muutenkin huoltajan tekemiin sopimuksiin ja palveluihin, jotka tämä on antanut lapsen käytettäväksi (esim. puhelinliittymä ja Google-tunnus). • Lapsen kännykän käyttö tapahtuu huoltajan luvalla, valvonnassa ja vastuulla. • Jos halutaan varmuus, että lapsella on lupa käyttää WhatsAppia, tarvitaan huoltajan suostumus. • Jos lapsen WA-/puhelinnumero on saatu Nuorisolain 11 §:n mukaisesti toiselta organisaatiolta, voidaan WhatsAppia käyttää yhteydenpitoon nuoren kanssa. Lue lisää blogistani: https://harto.wordpress.com/2018/05/18/whatsappin- ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
  40. 40. • Sopimuksen tekeminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuus). Alaikäiset tarvitsevat huoltajan luvan sopimuksen tekoon. • Huoltaja voi hyväksyä käyttöehdot ja antaa somepalvelun lapsen käyttöön ikärajan sitä estämättä, mikäli käyttöehdoissa ei kielletä palvelun antamista toisen käyttöön. • Jos 13 vuoden GDPR-ikäraja toteutuu, 13-17-vuotiaat voivat antaa suostumuksen henkilötietojen käsittelyyn (tällä hetkellä 16-v.). He voivat myös hyväksyä ikätasoon nähden tavanomaisia ja merkitykseltään vähäisiä käyttöehtoja. Ikä ja käyttöehtojen hyväksyntä
  41. 41. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
  42. 42. GDPR vs. viestintäsalaisuus? • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä • On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
  43. 43. Pitääkö Facebook-ryhmästä tehdä rekisteriseloste? Kuvakaappaus: https://www.facebook.com/groups/etsivat/ (4.9.2018)
  44. 44. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä nuorisotyöntekijätunnusta ei saisi tehdä. • Henkilökohtaisen tunnuksen käyttö työtehtäviin voi perustua vain vapaaehtoisuuteen. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin nuoria ei tarvitse ottaa kavereiksi. • Facebookin käyttöehdot: https://www.facebook.com/legal/ terms/update
  45. 45. Henkilötietojen suojaaminen
  46. 46. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  47. 47. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  48. 48. Tietosuojaa koskeva vaikutustenarviointi Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu. (GDPR:n 35 artiklan 7 kohta ja johdanto-osan 84 ja 90 kappale) Lähde: Tietosuojatyöryhmä, 2017, http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa _koskevasta_vaikutustenarvioinnista.pdf
  49. 49. Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
  50. 50. • Organisaatiossa olevat rekisterit ja niiden rekisteri- ja tietosuojaselosteet • Rekisteröityjen tärkeimmät oikeudet • Henkilötietojen turvallinen säilytys, tietoturva • Eri työtehtäviin sisältyvä henkilötietojen käsittely • Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet • Henkilötietojen käsittelyn seuranta ja valvonta (merkinnät käsittelytoimista, tietojärjestelmin lokit) • Saako omia laitteita ja sometunnuksia käyttää työssä ja jos niin miten • Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen toimintamalli • Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee ulkopuolinen taho • Salassapito • Ongelmista ja tietovuodoista ilmoittaminen • Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava Mitä asioita kannattaa ohjeistaa?
  51. 51. • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle • Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on henkilötietojen – vahingossa tapahtuva tai lainvastainen tuhoaminen – häviäminen – muuttaminen – luvaton luovuttaminen tai – pääsy tietoihin • Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu • Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  52. 52. Ulkopuoliset henkilötietojen käsittelijät
  53. 53. Osallistujatietojen jako ulkopuoliselle?
  54. 54. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Seloste käsittelytoimista ja rekisteröidyn informointi (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
  55. 55. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää. Yksityisyyden suoja on perusoikeus.
  56. 56. Keskustelu & kysymykset
  57. 57. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

×