Koulutus Jyväskylän yliopistolla 24.5.2018, Harto Pönkä, Innowise

1. EU:n yleinen
tietosuoja-asetus
oppilaitosten ja
opettajien
näkökulmasta
Harto Pönkä
24.5.2018
Kuva: Pixabay

2. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Yksityisyyden suoja on perusoikeus.

3. • Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä henkilötietorekistereihin
• Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen käsittelyn tulisi
olla asetuksen mukaista.
• Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka
ovat rekisterinpitäjiä tai henkilötietojen käsittelijöitä
• Asetuksessa henkilötiedot on määritelty vastaavasti kuin
henkilötietolaissa
• Uutta nykyiseen henkilötietolakiin verrattuna:
– Aiempaa yksityiskohtaisempi, mm. uusia oikeuksia rekisteröidyille
– Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla
– Tietosuojavastaava, pakollinen julkisissa organisaatioissa
– Pakollinen tietomurroista ilmoittaminen
– Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa)
– Yhden luukun periaate monessa EU-maassa toimiville rekisterinpitäjille
EU:n yleinen tietosuoja-asetus (GDPR)
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

4. Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Suojaustoimenpiteet suhteutetaan
riskiarvioon tietoturvauhista.

5. 4 artikla
Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen
henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään
luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti
tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen
taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen,
psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Mitä henkilötiedot ovat?

6. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Huom: IP-osoite ei yksinään mahdollista tunnistamista, jolloin se ei ole henkilötieto.

7. Arkaluontoiset henkilötiedot
Erityisiä henkilötietoryhmiä koskeva käsittely on pääasiassa
kielletty ilman nimenomaista suostumusta.
• rotu tai etninen alkuperä
• poliittiset mielipiteet
• uskonnollinen tai filosofinen vakaumus
• ammattiliiton jäsenyys
• terveyttä koskevat tiedot
• seksuaalinen suuntautuminen tai käyttäytyminen
• geneettiset ja biometriset tiedot henkilön tunnistamista
varten
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1

8. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

9. • Henkilötiedoilla tulee olla laillinen lähde ja oikeusperuste
käsittelylle – tietojen saantitavasta riippumatta.
• Varminta on pyytää henkilötiedot suoraan rekisteröidyiltä.
– Lomakkeilla, sopimuksilla, suullisesti, puhelimessa…
• Yritysten yhteyshenkilöiden tietoja voi kerätä esimerkiksi
verkkosivustoilta (B2B-markkinointi on hyväksyttävä
rekisterinpitäjän oikeutettu etu).
• Monet tahot tarjoavat tietoja mm. hakupalvelujen ja
ohjelmistorajapintojen kautta (esim. Facebook ja Twitter).
– Tarkista, millä ehdoin tietoja saa käyttää ja säilyttää.
• Henkilötietoja voi myös ostaa. Väestörekisterikeskus, Trafi
ja monet yritykset myyvät niitä.
Henkilötietojen kerääminen

10. Kerää vain
käyttötarkoitukseen
liittyviä tietoja
siihen sopivassa
laajuudessa.
Kerää vain tietoja, joita
rekisteröity voi
tietosuojaselosteen
perusteella kohtuudella
odottaa.
Jokaista tietoa ei tarvitse
mainita selosteessa erikseen
– sopiva tarkkuus riittää.
Kerro selosteessa, kuinka
kauaa tietoja säilytetään.

11. 4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri ja rekisterinpitäjä
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

13. Selosteet ja oikeusperusteet

14. • Rekisterinpitäjän tulee tehdä rekisteriseloste eli seloste käsittelytoimista
• Rekisteri voi olla myös usean yhteisrekisterinpitäjän yhteinen
• Selosteessa tulee kertoa seuraavat asiat (henkilötietolaki):
– Rekisterinpitäjän ja tämän edustajan nimi ja yhteystiedot
– Henkilötietojen käsittelyn tarkoitukset
– Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista
– Mille tahoille tietoja luovutetaan ja siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle
– Kuvaus rekisterin suojauksen periaatteista
– Rekisterissä mainitaan yleensä laatimispäivä ja viimeisimmän muutoksen päivämäärä
• Tietosuoja-asetuksen uusia vaatimuksia ovat lisäksi:
– Mahdollinen tietosuojavastaava ja tämän yhteystiedot
– Henkilötietojen käsittelyn oikeusperuste
– Henkilötietojen säilytysaika tai sen määräytymisen kriteerit
– Henkilötietojen luovutuksen vastaanottajat ja siirrot EU:n ulkopuolelle
– Kuvaus teknisistä ja organisatorisista turvatoimista
• Kun rekisteriselosteeseen liitetään kuvaus rekisteröidyn oikeuksista,
muodostuu tietosuojaseloste, jolla rekisterinpitäjä voi täyttää
informointivelvollisuuden rekisteröidyille.
Rekisteriseloste ja tietosuojaseloste
Lähteet: Henkilötietolaki ja GDPR

15. Henkilötietolaista GDPR:ään:
Rekisteriseloste  seloste
käsittelytoimista
Tietosuojaseloste  rekisteröidyn
informointi
Tosin rekisteriseloste on käypä tapa tehdä seloste
käsittelytoimista ja tietosuojaseloste käy rekisteröidyn
informointiin, jos niissä huomioidaan GDPR:n vaatimukset.

16. • Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste)
– Seloste henkilötietojen käsittelystä organisaation omaan käyttöön, ei tarvitse julkaista
– Yksi seloste riittää kunhan se sisältää kaikki rekisteröityjen ryhmät/rekisterit
– Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä
– Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot
• Henkilötietojen käsittelijän seloste käsittelytoimista
– Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin
• Informointi rekisteröidyille (vrt. tietosuojaseloste)
– Mitä tietoja, mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne.
– Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot
kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa.
– Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi:
• Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
• Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia.
– Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä
voidaan informoida myös puheella. Tiedot on annettava maksutta.
GDPR:n mukaiset selosteet ja informointi
Lähde: Tietosuojavaltuutetun toimisto, 2018,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/selostekasittelytoimista.html ja
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/informointikaytannot.html

17. • Yksityisen henkilön yksityiseen tarkoitukseen tekemä rekisteri kuten
kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta
– Henkilötietolakia ei sovelleta lainkaan
• Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai
kirjallisen ilmaisun tarkoituksia varten ei tarvitse tehdä
rekisteriselostetta
– Voimassa vain muutamat henkilötietolain kohdat
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu
yksinään muodostavan henkilörekisteriä
– Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista
– Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja
Poikkeuksia
Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja
Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-
julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen

18. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Kerro tässä tarkoituksen lisäksi oikeusperuste:
- Henkilön suostumus
- Sopimus, jossa rekisteröity osapuolena
- Laki
- Julkisen tehtävän hoitaminen
- Rekisterinpitäjän oikeutettu etu
(esim. asiakassuhde, työsuhde, jäsenyys)

19. Kuvakaappaus Oulun kaupungin opetustoimen rekisteriselosteesta: https://www.ouka.fi/c/document_library/get_file?uuid=d04cc48d-
822c-4118-b11d-10b63dbbd1ea&groupId=64277 (29.11.2017)

20. • Henkilötietojen käsittely voi perustua:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Rekisterinpitäjän lakisääteiseen velvoitteeseen
– Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
– Julkisen tehtävän hoitamiseen tai yleiseen etuun
– Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde
tai työsuhde)
• Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn
nimenomaisella suostumuksella ja tietyissä poikkeustapauksissa.
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu

21. • Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen
olemassaolo
• Tietosuoja-asetuksen mukaan alle 16-vuotiaalta
tarvitaan huoltajan suostumus henkilötietojen
käsittelylle.
– Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta
– Suomessa ei ole vielä päätöstä ikärajasta, lakiesityksessä 13 v.
Suostumuksen antaminen
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

22. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Huomaa, että Tietosuojavaltuutetun
toimiston tietosuojaselosteen pohjassa ei
ole huomioitu EU:n yleisen tietosuoja-
asetuksen vaatimuksia!

23. Kuvakaappaus Espoon kaupungin Google G Suite for Education –palvelun tietosuojaselosteesta:
http://www.espoo.fi/download/noname/%7BD288C16C-71F6-40EE-9A16-34F6864CC620%7D/86398 (29.11.2017)

24. Kuvakaappaus: Googlen tietosuojakäytäntö, https://policies.google.com/privacy/update?hl=fi (14.5.2018)

25. Kuvakaappaus: Facebookin tietokäytäntö, https://www.facebook.com/about/privacy/ (14.5.2018)

26. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
• Oikeus tietojen oikaisemiseen
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi
• Oikeus käsittelyn rajoittamiseen mm. oikeusturvan vuoksi
tai jos rekisteröity kiistää tietojen oikeellisuuden
• Oikeus siirtää tiedot järjestelmästä toiseen, kun
oikeusperusteena on suostumus tai sopimus
• Vastustamisoikeus (kielto-oikeus), esim. suoramarkkinointi
• Oikeus kieltäytyä automatisoiduista päätöksistä ja
profiloinnista
Rekisteröidyn oikeudet
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

27. Koulutoimessa
muodostuvia
rekistereitä
Lähde: OPH, 2013, Julkisuus ja tietosuoja
opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja
_tietosuoja_opetustoimessa.pdf
Huomaa, että GDPR ohjaa
käsittelemään rekisteröityjä
ryhminä ja niihin liittyvinä tietoina,
ei erillisinä rekistereinä kuten tässä.

28. • Opiskelijat / asiakkaat
• Hakijat
• Huoltajat
• Opettajat ja muu henkilökunta
• Vierailijat, kulunvalvonta, kameravalvonta
• Kyselyaineistot
• Tapahtumien osallistujat
• Kilpailujen ja arvontojen osallistujat
• Yhteystyökumppaneiden edustajat
• Markkinointirekisterissä olevat
– Aiemmat opiskelijat / asiakkaat
– Yhteyttä ottaneet ja muut liidit esim. messuilla yhteystietonsa antaneet
Rekistereitä ja rekisteröityjen ryhmiä

29. Rekisterinpitäjä  tarkoitukset  tiedot
Tarkoitukset ja
keinot
Rekisteriin
kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot
Rekisterinpitäjän tulee
käsitellä vain tarkoituksiin
tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo)
Oikeus-
peruste

30. Mihin ja miten tietoja saa käyttää?

31. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

32. Mitä tulee huomioida henkilötietojen
käsittelyssä koulussa?

33. • Henkilötietoja ei saa käyttää vastoin niiden alkuperäistä
tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa.
• Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä
henkilötietoja, jotka liittyvät hänen työtehtäviinsä.
• Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta,
koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
• Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä.
• Henkilötietoja ei julkaista tai luovuteta ilman rekisteröidyn
informointia (rekisteriseloste) tai suostumusta.
• Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim.
valvotaan tiloja ja laitteita sekä lukitaan ovet.
• Tietojärjestelmissä käytetään henkilökohtaisia
käyttäjätunnuksia sekä huolehditaan käyttöoikeuksista ja
seurannasta (lokit).
Henkilötietojen käsittelyn perusteita

34. Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset

35. - Voiko yhteistä Excel-taulukkoa pitää missään verkkopalvelussa,
esim. oppilaitoksen omassa 0ffice 365:n OneDrivessa?
- Voiko Excel-tiedostoja lähettää toisille sähköpostilla?
- Myös Googlen lomakekyselyt luovat helposti vastaavan Excelin.
Kysymys: henkilötiedot pilvipalveluissa
• Lähtökohtaisesti on pidettävä huolta, että henkilötietorekisterin tietoihin on
pääsy vain niillä työntekijöillä, joiden työtehtäviin se kuuluu.
• Periaatteessa estettä Microsoftin ja Googlen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä. Tämä kannattaa ohjeistaa
organisaatiossa tarkemmin.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työhön liittyvien henkilötietojen
käsittelyssä.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
rekisteri- ja tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan
antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan
käytetään.

36. Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.

37. 4 artikla
4) ’profiloinnilla’ mitä tahansa henkilötietojen
automaattista käsittelyä, jossa henkilötietoja
käyttämällä arvioidaan luonnollisen henkilön tiettyjä
henkilökohtaisia ominaisuuksia, erityisesti
analysoidaan tai ennakoidaan piirteitä, jotka
liittyvät kyseisen luonnollisen henkilön
työsuoritukseen, taloudelliseen tilanteeseen,
terveyteen, henkilökohtaisiin mieltymyksiin,
kiinnostuksen kohteisiin, luotettavuuteen,
käyttäytymiseen, sijaintiin tai liikkeisiin,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
GDPR:n tarkoittama profilointi
Profilointiin tarvitaan suostumus tai sopimus!

38. Oikeusperusteet oppimisanalytiikassa
Oppijoiden tiedot
ja toiminta
Kun ei analysoida automaattisesti
oppijan ominaisuuksia
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät ja
oppimisalustat
Tiedonlouhinta,
tilastot ja analyysit
Kun analyysin tulokset eivät kohdistu
yksittäisiin oppijoihin
Oppijan ominaisuuksien
autom. profilointi
Yksilön ominaisuuksien analysointi,
luokittelu ja näihin perustuvat toiminnot
Rekisterinpitäjän oikeutettu etu voi riittää Suostumus tai sopimus

39. Esimerkkejä opetuksen tilanteista

40. • Henkilötietorekisterin tietojen julkaisu netissä tai somepalveluissa tarkoittaa
henkilötietojen sähköistä luovuttamista – älä tee ilman suostumusta!
• Henkilötietoja (nimi, arvosanat jne.) ja oppilasta koskevia päätöksiä voidaan
julkaista netissä vain oppilaan tai alaikäisen oppilaan huoltajan suostumuksella
– Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen.
Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen.
• Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun
tarvitaan myös asianomaisen lupa
• Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä.
– Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus
– Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä
– Henkilötunnusta ei pidä julkaista netissä
– Samannimisistä hakijoista voidaan ilmoittaa syntymäaika
Oppilaiden tietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

41. Lähetä suojatussa sähköpostissa tai vastaavassa:
• Arkaluontoisia henkilötietoja
• Lain mukaan salassapidettäviä tietoja ja asiakirjoja
– Terveyteen ja sosiaalihuoltoon liittyvät tiedot
– Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot
– Henkilökohtaisten ominaisuuksien sanalliset arvioinnit
– Tiedot psykologisesta testistä ja soveltuvuuskokeesta
sekä niiden tuloksista
– Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten
elinoloista ja taloudellisesta asemasta
Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Valintatulokset, koearvosanat
• Henkilötunnus, jos rekisteröity on hyväksynyt tämän
• Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa
Henkilötietojen lähetys sähköpostilla
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

42. Huoltajien toimesta:
• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta
koulu ei ole vastuussa.
Koulun toimesta:
• Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla
vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen
he suostuvat
• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi
antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää
hankkimaan yhteystiedot julkisesta lähteestä.
• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan
suostumusta. Salassapito tulee merkitä oppilasrekisteriin.
Yhteystietojen jakaminen koteihin
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

43. Lisätietoa: Tietosuojavaltuutetun päätös 1222/41/2013,
http://www.tietosuoja.fi/fi/index/ratkaisut/virkamiestenkuvaaminenjahenkilotietojenjulkaiseminenvideotallenteenmuodossasosiaalisess
amediassa.html ja Marko Forss, 17.10.2016, http://markofobbaforss.puheenvuoro.uusisuomi.fi/224559-saako-opettajaa-kuvata
Opetuksen videokuvaaminen

44. Ulkopuoliset henkilötietojen käsittelijät

45. Osallistujalistojen jako ulkopuoliselle?

46. Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Seloste käsittelytoimista ja
rekisteröidyn informointi
(13 ja 30 artiklat)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen

48. • Vastaanottajalla tarkoitetaan tahoa, jolle henkilötietoja luovutetaan.
– Luonnollinen henkilö, yritys, yhdistys, viranomainen, virasto tms.
– Yhteisrekisterinpitäjät ja henkilötietojen käsittelijät
– Kuvaa rekisteriselosteessa esim. vastaanottajien tyyppi (esim. mitä käsittelytoimia
tekee), toimiala, sektori sekä sijainti.
• Vastaanottajalla tulee olla oikeusperuste henkilötietojen käsittelylle.
• Lakeihin perustuvaa tietojen luovutusta viranomaisille (esim. tilastot ja
selvitykset) ei tarvitse kuvata rekisteriselosteessa.
• Kerro selosteessa, jos tietoja siirretään EU:n ulkopuolelle tai
kansainväliselle järjestölle. Selosteessa tulee kertoa, mihin tietosuoja-
asetuksen kohtaan siirto perustuu:
– EU-komission hyväksymät maat (artikla 45)
– Tietosuojaa koskevat vakiolausekkeet, käytännesäännöt ja sertifikaatit (artikla 46)
– Yritystä koskevat sitovat säännöt (artikla 47)
– Erityistilanteet, kuten rekisteröidyn suostumus tai sopimus (artikla 49)
Henkilötietojen luovuttaminen
Lähde: Tietosuojavaltuutetun toimisto, 2018,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/selostekasittelytoimista.html

49. • Koskee tilannetta, jossa:
– henkilötietoja käsitellään automaattisesti
– kyse on henkilötiedoista, jotka rekisteröity on itse toimittanut
– käsittelyperusteena on suostumus tai sopimus
– tietojen siirto ei vaikuta haitallisesti kolmansiin osapuoliin.
• Oikeus saada tiedot yleisesti käytetyssä tiedostomuodossa
tiedoista ja toimialasta riippuen (esim. CSV).
• Oikeus siirtää tiedot suoraan rekisterinpitäjältä toiselle, jos se on
teknisesti mahdollista.
• Ei koske tietoja, jotka rekisterinpitäjä on itse luonut tai koostanut.
• Rekisterinpitäjän tulee varmistaa henkilöllisyys tarvittaessa.
• Vastaus pyyntöön kuukauden sisällä, tarvittaessa 2 kk lisäaikaa.
• Tietoja vastaanottavaa rekisterinpitäjää koskee normaalit GDPR:n
vaatimukset (oikeusperuste, tietojen minimointi jne.).
Tietojen siirto järjestelmästä toiseen
Lisätietoa: Tietosuojavaltuutetun toimisto, 2018,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietojensiirto.html

50. Rekisterinpitäjän velvollisuuksia

51. • Mitä henkilötietoja organisaatiolla on hallussa ja miten niitä kerätään?
• Mihin tarkoituksiin henkilötietoja käytetään ja millä oikeusperusteilla?
• Käsitelläänkö jotain henkilötietoja suostumuksen perusteella?
– Voidaanko suostumusten olemassaolo osoittaa?
– Voidaanko suostumuksia pyytää uudestaan GDPR:n vaatimusten mukaisesti?
– Jos ei, käykö jokin muu oikeusperuste henkilötietojen käsittelyyn kuin suostumus?
• Onko henkilötietojen käsittely GDPR:n mukaista, kohtuullista ja
läpinäkyvää?
• Huolehdi 25.5.2018 mennessä:
– Oikeusperusteet oltava selvillä eri henkilötietojen käsittelylle
– Seloste käsittelytoimista
– Rekisteröityjen informointi
– Poista sellaiset henkilötiedot, joiden käsittelylle ei ole enää perusteita
Henkilötietojen nykytilan arviointi
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

52. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista
suojatoimista määräytyvät riskiperusteisesti
• Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet
on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin
• Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti
aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja.
– Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen,
taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.
• Riski voi olla korkeampi, kun
– käsitellään heikossa asemassa olevien tietoja (esim. lapset)
– käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti
– käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi
• Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva
vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää
riskiä (35 artikla).
Riskiperusteinen lähestymistapa
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

53. Henkilötietojen käsittelyn riskienhallinta
Henkilötietojen
käsittelyn nykytilan
arviointi
Henkilötietojen
käsittelyn
oikeusperusteet
Tasapainotesti, jos
käsittelyn perusteena
on oikeutettu etu
Vaikutustenarviointi,
jos henkilötietojen
käsittelyyn voi
kohdistua korkea riski
Tietosuojan
varmistavat tekniset
ja organisatoriset
suojatoimet
Rekisterinpitäjän
seloste
käsittelytoimista
Rekisteröityjen
informointi
Sopimukset ja ohjeet
henkilötietojen
käsittelijöille
Seuranta ja kehitys

54. Tietosuoja-asetuksen keskeisiä työkaluja
Työkalu ja linkit ohjeisiin Miksi ja milloin
Henkilötietojen käsittelyn nykytilan arviointi
• https://opitietosuojaa.fi/index.php/fi/extrat/blogi/109-nait-teet-
tietosuojan-nykytila-analyysin
Esimerkiksi tietotilinpäätös
• http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2012/
04/mikaontietotilinpaatos.html
Henkilötietojen käsittelyn nykytilanteen arviointi ja kehitystarpeiden
tunnistaminen.
Tehtävä tietosuoja-asetukseen valmistautuessa ja jatkossa
toiminnan seuraamiseksi ja kehittämiseksi.
Rekisterinpitäjän oikeutetun edun tasapainotesti
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterin
pitajalle/rekisterinpitajanoikeutettuetu.html
Tasapainotesti on tarpeen sen arvioimiseksi, käykö rekisterinpitäjän
oikeutettu etu henkilötietojen käsittelyn oikeusperusteeksi.
Henkilötietojen käsittelyn vaikutustenarviointi
• http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitar
ekisterinpitajalle/vaikutustenarviointi.html
Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn
todennäköisesti kohdistuu korkea riski.
Rekisteriseloste (seloste käsittelytoimista)
• http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekiste
rinpitajalle/selostekasittelytoimista.html
Rekisterinpitäjän tai henkilötietojen käsittelijän organisaation
sisäiseen käyttöön. Olennainen väline toteuttaa GDPR:n
osoitusvelvollisuus. Pakollinen yli 250 hengen organisaatioissa.
Tietosuojaseloste (rekisteröityjen informointi)
• http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekiste
rinpitajalle/informointikaytannot.html
• http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t
ietosuojavaltuutetuntoimisto/oppaat/4dCR8ypl9/Informointivelv
oitteen_edellyttamat_tiedot.pdf
Toteuttaa rekisterinpitäjän informointivelvollisuuden
rekisteröidyille. Oltava saatavilla tai osoitettava muutoin.
Sopimus henkilötietojen käsittelystä
• https://sopimustieto.fi/sopimus/5aPxRa-
sopimus_henkilotietojen_kasittelysta_ns_gdpr_sopimus
Kun henkilötietoja annetaan organisaation ulkopuoliselle
henkilötietojen käsittelijälle käsiteltäväksi rekisterinpitäjän lukuun.
Esim. osallistujalistojen anto ulkopuoliselle kouluttajalle tai tietojen
tallennus pilvipalveluun.

55. Vähintään 2 riskiä  vaikutustenarviointi
Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Täsmennyksiä ja esimerkkejä
1. Arviointi tai pisteytys Esim. käyttäytymis- tai
markkinointiprofiilien koostaminen.
2. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia
merkittäviä vaikutuksia *
Esim. henkilökohtaisten ominaisuuksien
laajamittainen automaattinen profilointi,
jota voitaisiin käyttää esim. syrjintään.
3. Järjestelmällinen valvonta * Esim. julkisten ja avointen tilojen
kameravalvonta.
4. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot * Esim. erityiset henkilötietoryhmät ja
rikosrekisteritiedot. Myös esim.
taloustiedot ja yksityiset päiväkirjat.
5. Tietojen laajamittainen käsittely Huomattavan suuri määrä tai osuus
väestöstä, pitkäkestoisuus.
6. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen Kun tietoja yhdistellään rekisteröityjen
kohtuullisia odotuksia laajemmin.
7. Heikossa asemassa olevia rekisteröityjä koskevat tiedot Esim. lapset ja työntekijät. Riippuvuus
rekisterinpitäjästä.
8. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö
tai soveltaminen *
Uusiin ratkaisuihin voi liittyä riskejä, joita
ei havaita helposti.
9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta Esim. pankin arvio luottokelpoisuudesta.
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf

56. Vaikutustenarviointi opetuksessa
• Oppilas-/opiskelijarekisteriin kohdistuu yleensä vähintään kaksi riskialtista
käsittelytoimea, esimerkiksi:
– Arviointi tai pisteytys (testit, sanalliset arvioinnit)
– Arkaluontoiset tiedot ja erityisen henkilökohtaiset tiedot (esim. etninen alkuperä,
maahanmuuttajastatus, pedagogisen tuen tarve jne.)
– Heikossa asemassa olevia rekisteröityjä koskevat tiedot (lapset, tukea tarvitsevat)
– Automaattinen päätöksenteko (esim. henkilökohtaisten ominaisuuksien profilointi)
• Tämä tarkoittaa, että vaikutustenarviointi vaaditaan opetuksessa
todennäköisesti hyvin monessa tapauksessa
• Huomioi vaikutustenarvioinnissa mm. oppilashallinnon, opetuksen ja
oppilashuollon henkilötietojen käsittely ja yhteys muihin lakeihin
– Opetuksen järjestäjillä on yleensä laista tuleva salassapito- ja vaitiolovelvollisuus (esim.
perusopetuslaki 40 §)
– Erota pedagogiset tiedot oppilashuollon tiedoista. Oppilashuollon luottamuksellisuudesta
säädetään erikseen oppilas- ja opiskelijahuoltolaissa.

57. Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja
käsittelyn tarkoituksista
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä
4. Suunnitellut
toimenpiteet riskeihin
puuttumiseksi sekä sen
osoittamiseksi, että
tietosuoja-asetusta on
noudatettu.
(GDPR:n 35 artiklan 7 kohta ja
johdanto-osan 84 ja 90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf

58. Hallinto ja
toimintakulttuuri
•Tietosuoja ja sen
läpinäkyvyys on
keskeinen osa
toimintaperiaatteita
•Tietoturvapolitiikka ja
sen käytännöt on
määritelty
•Seloste käsittelytoimista
ja informointi
rekisteröidyille tehty
•Rekisteröityjen
pyyntöihin on
varauduttu
Henkilöstön
toimintamallit
•Henkilöstön roolit ja
vastuut on määritelty
•Salassapitovelvollisuus
•Koulutukset ja uusien
työntekijöiden
perehdytys
•Työsuhteiden
päättymiselle on
toimintamalli
•Tietoturvaloukkausten
raportointiin on
toimintamalli
Henkilötietojen käyttö
ja hallinta
•Henkilötietojen
käsittelylle on selvät
ohjeistukset
•Suostumukset ja kiellot
huomioitu toiminnassa
•Tietosuoja on huomioitu
mm. netin, sähköpostin
ja somen käyttöohjeissa
•Rekisteröidyt voivat
hallita itse tietojaan
•Tietojen tuhoaminen
tehdään turvallisesti
Tilojen valvonta
•Tiloihin pääsy on
valvottua ja avaimista
pidetään kirjaa
•Ulkopuolisten pääsy
henkilöstön työpisteisiin
on estetty
•Mahdollisesta
kameravalvonnasta on
rekisteri ja siitä
ilmoitetaan
•Tarvittaessa tilojen
turvaluokitukset
Rekisteröityjen
tunnistaminen
•Rekisteröidyt
tunnistetaan, kun tietoja
kerätään
•Rekisteröidyt
tunnistetaan, kun he
käyttävät oikeuksiaan
•Asiointi tapahtuu
ennalta nimettyjen
henkilöiden kanssa
Käyttäjätunnukset ja
oikeudet
•Henkilökohtaiset
käyttäjätunnukset
•Roolien mukaiset
käyttöoikeudet ja niiden
tarkistaminen
työtehtävien
muuttuessa
•Salasanoille ja
vastaaville on
laatuvaatimukset
•Järjestelmien
oletussalasanat on
vaihdettu
Ulkopuoliset toimijat
•Ulkopuolisista
toimijoista pidetään
kirjaa
•Sopimus ja ohjeet
henkilötietojen
käsittelystä
•Ulkopuolisten
palveluntarjoajien
vastuut on määritelty
•Ulkopuoliset toimijat
tuntevat
rekisterinpitäjän
toimintamallit ja ohjeet
Laitteet ja
tallennusvälineet
•Tietokoneista ja
mobiililaitteista
pidetään kirjaa
•Tietoturva- ja muut
päivitykset kunnossa
•Virustorjunnasta ja
palomuureista on
huolehdittu
•Siirrettävien
tallennusvälineiden
(muistitikut, ym.) ja
henkilökohtaisten
laitteiden käytöstä on
tehty ohjeistus
Palvelimet ja
verkkoyhteydet
•Palvelintiloissa on
pääsynvalvonta
•Langattomien verkkojen
liikenne on salattu
•Erilliset vierasverkot
•Palvelimien
ohjelmistopäivitykset
kunnossa
•Palvelimien
varmuuskopiointi on
kunnossa
•Palvelinohjelmistojen
lokitiedot on suojattu
Pilvipalvelut
•Pilvipalvelujen käyttö
henkilötietojen
käsittelyssä on
ohjeistettu
•Informointi ja
suostumukset kunnossa
•Sopimuksissa on
määritelty palvelutaso ja
palveluntarjoajan
vastuut
•Palveluntarjoajat ovat
sitoutuneet
noudattamaan GDPR:n
vaatimuksia
Tekniset ja organisatoriset suojatoimet

59. • Organisaatiossa olevat rekisterit ja niiden rekisteri- ja
tietosuojaselosteet
• Rekisteröityjen tärkeimmät oikeudet
• Henkilötietojen turvallinen säilytys, tietoturva
• Eri työtehtäviin sisältyvä henkilötietojen käsittely
• Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet
• Henkilötietojen käsittelyn seuranta ja valvonta (merkinnät
käsittelytoimista, tietojärjestelmin lokit)
• Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen
toimintamalli
• Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee
ulkopuolinen taho
• Salassapito
• Ongelmista ja tietovuodoista ilmoittaminen
• Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava
Mitä asioita kannattaa ohjeistaa?

60. Osoitusvelvollisuus ja vastuu

61. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan.
• Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen
dokumentointia.
• Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen
käsittelystä.
• Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava
valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi
tietosuojavirasto).
• Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi
sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus.
• Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim.
ylläpitäjien lokitiedoilla.
• Myös tietosuojaloukkaukset dokumentoidaan.
• Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla
tai käytännesäännöillä
Osoitusvelvollisuus
Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

62. Tietojärjestelmien GDPR-valmius?

63. • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle
• Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on
henkilötietojen
– vahingossa tapahtuva tai lainvastainen tuhoaminen
– häviäminen
– muuttaminen
– luvaton luovuttaminen tai
– pääsy tietoihin
• Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin
kuluessa siitä, kun loukkaus on havaittu
• Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei
todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen
tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

64. • Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen
käsittelyä organisaatiossa
• Tietosuojavastaava on nimitettävä, kun
– rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet)
– ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä
seurantaa, tai
– henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin
kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen
vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin.
• Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla
yhteinen tietosuojavastaava.
• Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja.
• Tietosuojavastaavan yhteystiedot julkistetaan ja ilmoitetaan
valvontaviranomaiselle.
• Tietosuojavastaavalla on vahva asema: riippumaton tehtävässään, raportoi
suoraan johdolle, ei saa irtisanoa tehtäviensä hoidon takia.
Tietosuojavastaava
Lisätietoa: Tietosuoja-asetuksen 4 jakso,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1

65. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

66. • Älä julkaise tai luovuta henkilötietoja ilman suostumusta
– GDPR:n ikäraja suostumuksen antoon on 16 v. (lakiehdotuksessa 13 v.)
• Oppilasryhmän kesken nimien julkaisu on ok
• Oppilasryhmän kesken voidaan jakaa yhteystietoja opetukseen liittyen
– Esimerkiksi sähköpostiosoitteet, puhelinnumerot, somepalvelujen käyttäjätunnukset
• Opettaja ei ole vastuussa, jos oppilaat jakavat keskenään henkilötietoja
• Huolehdi henkilötietojen oikeasta käsittelystä ja tarvittavista
suostumuksista, kun käytetään kaupallisia verkko- ja somepalveluita
– Informoi oppilaita ja huoltajia: mitä, mihin tarkoitukseen, kenelle
• Muista salassapito- ja vaitiolovelvollisuudet
– Oppilaan ja hänen perheensä yksityiselämän ja taloudellisen tilanteen tiedot
– Oppilashuoltoon ja tukeen liittyvät tiedot ja asiakirjat, esim. opetuksesta
vapauttaminen, oppilashuoltokertomus, pedagoginen selvitys, HOJKS
– Koesuoritukset, todistukset ja muut asiakirjat, jotka sisältävät sanallista arviointia
– Terveystiedot, terveydenhuollon ja kuntoutuksen palvelut
– Sosiaalihuollon asiakkuus, etuudet ja tukitoimet
• Kokeiden, tenttien, kurssien ja todistusten arvosanat ovat julkisia
– Nettiin vain suostumuksella tai ilman tunnistetietoja, esim. opiskelijanumerolla
Opettajan vastuu oppilaiden tietosuojasta

67. Kuvakaappaus: @japi999 Twitterissä 24.5.2018: https://twitter.com/japi999/status/999512321025339392

68. Somepalvelujen tietosuoja opetuksessa

69. Organisaatioiden käyttöön
tehdyissä pilvipalveluissa
organisaatio on yleensä
rekisterinpitäjä käyttäjilleen ja
palvelun ylläpitäjä
henkilötietojen käsittelijä.
Kuva: Pixabay

70. Somepalvelut opetuksessa?

71. Pitääkö Facebook-ryhmästä tehdä rekisteriseloste?
Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)

72. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus

73. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut

74. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger)
• YouTube: 13 vuotta (osa videoista 18 v.)
• Facebook: 13 vuotta
• WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018)
• Instagram: 13 vuotta
• Snapchat: 13 vuotta
• Twitter: 13 vuotta
• Steam: 13 vuotta
• Pinterest: 13 vuotta
• Twitch: 13 vuotta
• Ask.fm: 13 vuotta
• Kik Messenger: 13 vuotta (suositus 17 v.)
• WordPress.org: 13 vuotta
• We heart it: 13 vuotta
• Pokémon Go: 13 vuotta
Somepalvelujen ikärajat
Lisäksi alaikäinen
tarvitsee huoltajan
luvan sopimuksen
tekoon.

75. • Sopimuksen tekeminen vaatii lain mukaan 18
vuoden ikää (oikeustoimikelpoisuus). Alaikäiset
tarvitsevat huoltajan luvan sopimuksen tekoon.
• Huoltaja voi hyväksyä käyttöehdot ja antaa
somepalvelun lapsen käyttöön ikärajan sitä
estämättä, mikäli käyttöehdoissa ei kielletä
palvelun antamista toisen käyttöön.
• Jos 13 vuoden GDPR-ikäraja toteutuu, 13-17-
vuotiaat voivat antaa suostumuksen
henkilötietojen käsittelyyn. He voivat myös
hyväksyä ikätasoon nähden tavanomaisia ja
merkitykseltään vähäisiä käyttöehtoja.
Ikä ja käyttöehtojen hyväksyntä

76. WhatsAppin käyttö alle
16-vuotiaiden opetuksessa
• WhatsAppin käyttöehtojen tarkoittama ”käyttäjä”
on se, joka rekisteröi tunnuksen ja hyväksyy
käyttöehdot. Jos huoltaja hyväksyy käyttöehdot,
hän on sopimuksen osapuoli.
• Huoltaja saa antaa hallitsemansa WhatsApp-
tunnuksen lapsen käyttöön ikärajan sitä estämättä.
Käyttöehdoissa ei tätä kielletä.
• Lapsen kännykän käyttö perustuu muutenkin
huoltajan tekemiin sopimuksiin ja palveluihin, jotka
tämä on antanut lapsen käytettäväksi (esim.
puhelinliittymä ja Google-tunnus).
• Lapsen kännykän käyttö tapahtuu huoltajan luvalla,
valvonnassa ja vastuulla.
• Lapsen kännykän ja sen sovellusten opetuskäyttöön
tarvitaan huoltajan lupa.
• Luvan antaminen on vapaaehtoista: sitä ei voida
edellyttää eikä siihen pidä painostaa.
• Perusteet käyttää WhatsAppia opetuksessa on hyvä
käydä läpi opettajien, huoltajien ja lasten kanssa.
Lue lisää blogistani:
https://harto.wordpress.com/2018/05/18/whatsappin-
ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/

77. WhatsApp
vahva salaus automaattisesti
Facebook Messenger
salaus pitää kytkeä päälle
Skype
salattu, mutta viestejä on
periaatteessa mahdollista seurata
Pikaviestit ja ryhmäkeskustelut

78. Huoltajan lupa?
Lähde: Tampereen TVT-portaali,
http://tvt.tampereenseutu.fi/@Bin/732920/Sosiaalisen+media
n+opetusk%C3%A4yt%C3%B6n+kaavio.pdf (4.4.2018)
 Mikäli tunnuksen luomisessa on
hyväksyttävä palvelun käyttöehdot
 Mikäli palvelussa julkaistaan teoksia
opiskelijaryhmän ulkopuolisille

79. Mitä asioita yksityisyydestä ja tietosuojasta netissä on
tarpeen ohjeistaa tai opettaa opiskelijoille?

80. Lähde: Some ja nuoret 2016, http://www.ebrand.fi/somejanuoret2016/5-harkinta-sosiaalisessa-mediassa/ (13-29-v.)
Nuorten mielipide

81. • Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa
käytetään oppimisen välineenä ja miten se tehdään turvallisesti
• Koulun tehtävänä on kertoa oppilaille ja heidän vanhemmilleen internetin
luonteesta ja sen turvallisesta käytöstä
• On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan
ja mille tahoille henkilötietoja on turvallista luovuttaa
– Somepalveluihin rekisteröitymisessä
– Chat- ja pikaviestikeskusteluissa
• Neuvoja netin turvalliseen käyttöön (huomioi ikätaso)
– Älä kerro omia tai toisten henkilötietoja
– Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt.
– Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille.
– Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi.
– Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle.
– Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä.
– On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista.
– Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa.
– Mieti, millaisen kuvan annat itsestäsi
• Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus
• Yhteistyö kotien kanssa tärkeää. Alaikäisten vanhemmilta tarvittavat luvat.
Turvallisesti netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

82. Lähde: Mediataitokoulu, http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti-
sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi (viitattu 14.12.2016)

83. • Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja
ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat
rekisteröityvät niihin
– Nimen, koulun ja luokan kertominen somessa
– Käyttäjätunnuksen muodostamistapa
– Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite)
– Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä
– Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita
kavereiksi vapaa-ajan somepalveluissa
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava
• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella
on mahdollista käyttää useita muidenkin tahojen ylläpitämiä
somepalveluilta
• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia
työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä
työtehtävän hoitamiselle
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin
Opettajan tunnus ja työprofiili

84. • Facebookin käyttöehdot
kieltävät kahden eri
käyttäjätunnuksen luomisen.
• Erillistä oppilas-, opettaja- tai
ohjaajatunnusta ei pitäisi tehdä.
• Facebook-ryhmissä ja -sivuilla
voi toimia henkilökohtaisella
tunnuksella, jolloin esimerkiksi
oppilaita ei tarvitse ottaa
kavereiksi.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/
terms/update

85. Vinkki: OKM:ltä on tulossa uusi tietosuojaopas
http://minedu.fi/tietosuojaopas

86. Yksittäisen käyttäjän tietoturva

87. Yksittäiset käyttäjät
Lähde: Viestintävirasto, Tietoturvan vuosi 2017,
https://www.viestintavirasto.fi/attachments/cert/tietoturvakatsaukset/Tietoturvan-vuosi-2017.pdf

88. Älä koskaan avaa epäilyttävää liitetiedostoa tai linkkiä.

89. Facebook Messengerin virusviestit
Lähde: Iltalehti, 8.8.2017, http://www.iltalehti.fi/digi/201708082200311839_du.shtml
1. Viestillä houkutellaan käyttäjä avaamaan linkki.
2. Linkki johtaa huijaussivulle, jossa käyttäjää pyydetään asentamaan selaimen
”lisätoiminto” (todellisuudessa virus) katsoakseen videon.
3. Lisäki käyttäjän Facebook-tunnuksella lähetetään huijausviesti kaikille hänen
kontakteilleen.

90. Lähde: Yle, 27.11.2016,
http://www.hs.fi/talous/art-
2000004884140.html
Huijauslinkki
voi asentaa
viruksen ja
pahimmillaan
salata tiedostosi

91. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla.
Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/

92. Lähde: http://yle.fi/aihe/artikkeli/2016/04/06/iphone-eurolla-aikuisten-oikeastiko (osallistuminen tarkoitti 59 euron kk-maksua)

93. Vinkki: Jos et halua saada profiiliisi kohdennettua
markkinointia Facebookissa, voit estää sen helposti.
Ohjeet: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-
kayton-muilta-yrityksilta/

94. Lähde: https://www.viestintavirasto.fi/attachments/cert/certtiedostot/Nain_meita_huijataan.pdf

95. Salasanat ja kirjautuminen

96. Lähde: Tom Evans, Maailman suurimmat tietomurrot,
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

97. 1. Lemmikin nimi
2. Merkittävät päivämäärät kuten hääpäivä
3. Lähisukulaisen syntymäpäivä
4. Lapsen nimi
5. Muun sukulaisen nimi
6. Syntymäpaikka
7. Suosikkiloma
8. Suosikkijalkapallojoukkueeseen liittyvä sana
9. Puolison nimi
10. Sana "password"
Helposti arvattavia salasanoja
Lähde: Talouselämä,1.8.2013, http://www.talouselama.fi/uutiset/nain-helppoa-on-salasanan-arvaaminen-katso-10-yleisinta-3442375

98. TÄMÄN
TIETOKONEEN
SALASANA:
DA@97ds!aEwLö

99. • Suositus vähintään 8,
mielellään 15 merkkiä
• Ei ole yksittäinen sana. Lause
tai lorun pätkä ovat hyviä.
• Sisältää:
– Isoja ja pieniä kirjaimia
– Numeroita
– Erikoismerkkejä
• Ei ole arvattavissa
• Ei ole käytössä muualla
Hyvä salasana tai salalause
Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html

100. • Säilytä käyttäjätunnukset ja salasanat erillään
• Tunnukset voit tallentaa esimerkiksi kännykkään,
Google Driveen, OneNoteen tai Evernoteen
• Kertakäyttöisistä salasanalistoista ei kannata ottaa
kuvia tai tallentaa niitä pilvipalveluihin
• Salasanojen hallintaohjelmat: riittää, kun
muistat yhden pääsalasanan:
– LastPass: https://www.lastpass.com/
– F-Secure KEY: https://www.f-
secure.com/fi_FI/web/home_fi/key
– KeePass: http://keepass.info/
Salasanojen säilyttäminen
Lähde: Talouselämä,1.8.2013, http://www.talouselama.fi/uutiset/nain-helppoa-on-salasanan-arvaaminen-katso-10-yleisinta-3442375

101. Googlen kaksivaiheinen tunnistautuminen
1. Kirjaudu Google-tunnuksellasi
ja mene osoitteeseen:
https://myaccount.google.com/
2. Valitse ”Googleen kirjautuminen”
Kuvakaappaus ja lisätietoa:
https://www.google.com/landing/2step/
3. Ota käyttöön ”2-vaiheinen vahvistus”

102. Facebookin kirjautumisen asetukset
Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)

103. Jos käyttäjätunnuksesi on
murrettu tai vuotanut,
vaihda heti salasanasi!
Kuva: Patryk Grądys @ Unsplash

104. Laitteen ja nettiyhteyden turvallisuus

105. Onko tietokoneesi turvallinen?
Pakollinen
kirjautuminen
Virusten ja haitta-
ohjelmien torjunta
Ajanmukainen
www-selain
Palomuuri
Varmuuskopiot Verkkoasetukset
Kuva: Alkuperäinen IBM PC 5150, Wikimedia Commons, https://commons.wikimedia.org/wiki/File:IBM_PC_5150.jpg (CC-BY-SA)

106. 1. Hyökkääjät etsivät haavoittuvia
verkkopalveluita, joita voidaan
käyttää esim. mainostamiseen tai
virusten ja haittaohjelmien
levittämiseen.
2. Saastunut palvelu etsii palvelun
käyttäjien käyttöjärjestelmän,
selaimen ja sen liitännäisten
tietoturva-aukkoja, joiden kautta
voidaan asentaa viruksia ja
haittaohjelma.
Saastuneet verkkopalvelut
Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015,
https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf

107. Kuvat: Google Chromen tietosuojailmoitus, 2017, https://www.google.fi/chrome/browser/privacy/whitepaper.html

108. Selaimen yksityinen tila
Firefox
Internet Explorer
Chrome
Yksityisessä tilassa nettiselain ei
tallenna laitteen muistiin:
• Sivuhistoriaa
• Lomaketietoja
• Evästeitä (engl. cookie)
• Www-sivustojen tiedostoja
välimuistiin
Verkkopalvelut ja verkkoyhteyden
tarjoaja näkevät toimintasi normaalisti.

109. Langattoman verkon turvallisuus
Lähde: Viestintävirasto, 2011,
https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkaisut/ohjeidentulkintojensuositustenjaselvitystenasiakirjat/ohje22011langatt
omienverkkojentietoturvasta.html

110. • VPN = virtual private network (suom. virtuaalinen erillisverkko)
• Organisaatioissa VPN-yhteyksiä käytetään liittämään useita suljettuja
verkkoja internetin välityksellä näennäisesti yhdeksi verkoksi.
• Nykyään monet yritykset tarjoavat yksityisille käyttäjille VPN-yhteyksiä
nettiselailun turvaamiseksi.
• Tavallisesti VPN-yhteydellä kaikki nettiliikenne kulkee salattuna
palveluntarjoajan palvelimen kautta.
– Netin käyttö on turvallista jopa avoimissa WLAN-verkoissa.
– Vain VPN-palveluntarjoaja pystyy seuraamaan nettiliikenteen sisältöä.
– Samaa VPN-palvelua voi käyttää yleensä tietokoneella, tabletilla ja kännykällä
– VPN estää oikean IP-osoitteesi näkymisen verkkopalveluille ja sen avulla voidaan kiertää
myös palvelujen maakohtaisia rajoituksia (laillisesti)
• VPN-palveluita:
– F-Secure Freedome, https://www.f-secure.com/en/web/home_global/freedome
– Opera-nettiselain suojaa www-selailun VPN:llä, http://www.opera.com/fi
– Ilmaisia VPN-ohjelmia tietokoneelle: http://www.download.fi/verkko/vpn/
– Kännyköiden sovelluskaupoissa on lukuisia ilmaisia VPN-ohjelmia, mm. Opera VPN
VPN-yhteys suojaa netinkäyttöä

111. • Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä
• Asenna sovelluksia vain virallisista sovelluskaupoista
• IPhonet ja iPadit ovat Android-laitteita turvallisempia.
– App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn.
– Androidille tehdään enemmän haittaohjelmia ja viruksia
• Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille
– varovaisuus ja maalaisjärki riittävät pitkälle.
• Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä
enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin
lainkaan.
Mobiililaitteiden tietoturva

112. Keskustelu
&
kysymykset

113. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!