SlideShare a Scribd company logo
1 of 42
Download to read offline
Kuva: Aman Pal @paman0744, Unsplash
Sosiaalinen media,
analytiikka ja evästeet
tietosuojan näkökulmasta
3.5.2023
Harto Pönkä
Innowise
Suosituimmat sosiaalisen median palvelut Suomessa 2022
Datalähde: DNA, Digitaaliset elämäntavat 2022 -tutkimus, https://corporate.dna.fi/tutkimukset-digitaaliset-elamantavat-22
(n=1000, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2021 (stat.fi), kuva: Harto Pönkä, 5.7.2022.
2
Some- ja nettipalvelujen tietojenkeruu
3
Google on
todennäköisesti
”räätälöinyt mainoksesi”
kymmenillä eri
datapisteillä.
Ikä, sukupuoli, perhetilanne, ammatti,
harrastukset, tuotteet, matkat,
kiinnostuksen kohteet jne.
Täällä voit tarkistaa tietosi ja asetukset:
https://myadcenter.google.com/
4
Jokainen klikkaus ja
kommentti sosiaalisen
median uutisvirrassa on
kuin vastaus
psykologisessa testissä
– osa profilointia.
5
Kuva: Pixabay
“
Eniten henkilötietoja kerääviä yrityksiä
Useimmin kerättyjä tietoja:
▪ Sähköpostiosoite
▪ Nimi
▪ Syntymäaika/ikä
▪ Sukupuoli
▪ Kielet
▪ Reaaliaikainen sijainti
▪ Kotiosoite
▪ Työtilanne
▪ Puhelinnumerot
▪ Puhelimen ja muiden laitteiden mallit
▪ Kiinnostuksenkohteet
▪ Pankkikortin tiedot
▪ Sosiaalinen profiili ja verkostot
▪ Kännykän kontaktilista
▪ Kännykän kuvagalleria
▪ Kasvojen, paikkojen ja tuotteiden
tunnistus kuvista
Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022,
https://clario.co/blog/which-company-uses-most-data/
6
TikTokin ongelmia
▪ Sisältö on voimakkaasti algoritmin ohjaamaa
▪ Epäasiallista sisältöä, vahingollisia haasteita,
kiusaamista, häirintää
▪ Kerää dataa käyttäjistä monilla tavoilla
▪ Linkit aukeavat sovelluksen omaan selaimeen,
joka seuraa jokaista näppäimen painallusta
myös muilla sivustoilla
▪ Työntekijöiden on kerrottu lukevan käyttäjien
henkilötietoja
▪ Kerrottu aikoneen seurata joidenkin käyttäjien
sijainteja epäselviin tarkoituksiin
▪ Kiinalaistaustainen yritys, henkilötietoja voi
päätyä Kiinaan
▪ Useat tahot ovat kieltäneet TikTokin
asentamisen työpuhelimeen
7
Kuva: myriammira @Freepik (Free license)
Tietosuojan huomiointi somepalveluissa
8
Henkilötietojen käsittely somepalveluissa
9
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
▪ Älä tallenna työhön liittyviä henkilötietoja
yksityisessä käytössä olevaan kännykkään.
▪ Tarvittaessa pyydä suostumukset
henkilötietojen käytölle ulkoisissa
somepalveluissa ja muista informointi.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Älä julkaise henkilötietoja somessa luvatta.
▪ Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.
Rekisteriä saa käyttää vain sen käyttötarkoituksiin
10
▪ Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Somekanavien tietosuojan
arviointi ja koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin rekistereihin somepalvelut
liittyvät ja mitkä ovat niiden
käsittelyperusteet?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon kanavina?
4. Onko tarvetta tehdä
vaikutustenarviointeja?
Kuvakaappaus: Helsingin kaupungin toimialojen sosiaalisen median pääkanavat,
https://www.hel.fi/fi/uutiset/helsingin-kaupunki-sosiaalisessa-mediassa/helsingin-kaupungin-toimialojen-
sosiaalisen-median-paakanavat (2.5.2023)
11
Käyttöehtojen arviointeja: ToS;DR
Kuvakaappaus: https://tosdr.org/en/service/219
12
Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
13
▪ Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
▪ Jos mahdollista, linkitä
tietosuojaseloste
▪ Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
▪ Ohjataanko asiakkaat käyttämään
muita turvallisempia kanavia
yhteydenottoon?
Facebook-sivujen ja -ryhmien ylläpitäjän asema
▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä.
▪ Huolehdi näistä:
▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos
organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen.
▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin
ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä.
Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum
14
Somepalvelut kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
15
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
Henkilötietojen vuotaminen sovellusten kautta
16
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Sovelluksille annettu
pääsy kännykän tietoihin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
Metan keräämät tiedot ei-käyttäjistä
▪ ”Kun käyttäjä käyttää yhteystietojen lataamista
ja myöntää meille pääsyn laitteensa
osoitekirjaan, käytämme ja lataamme
osoitekirjan nimet, puhelinnumerot ja
sähköpostiosoitteet päivittäin palvelimillemme,
mukaan lukien sekä Facebook-, Messenger- ja
Instagram-käyttäjät että muut yhteystiedot,
jotka eivät ole käyttäjiämme tai joilla ei ole tiliä
(eli muut kuin käyttäjät), Facebook kuvailee
toimintoa.”
▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt
tiedot USA:han, Argentiinaan, Israeliin, Uuteen-
Seelantiin, Sveitsiin ja mahdollisesti Kanadaan.
▪ Meta ei ole informoinut ei-käyttäjiä heidän
tietojensa käsittelystä
Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html
17
Monet yritykset vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalustan kautta.
Voit tarkistaa tietosi
Facebookin mainosasetusten
”Kohderyhmään perustuva
mainonta” -kohdasta:
https://www.facebook.com/a
dpreferences/ad_settings
18
Ei käy ilman sähköisen
suoramarkkinoinnin ja
profiloinnin suostumuksia!
“
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
19
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
Pikaviestisovellusten tietosuoja
20
Viestipalvelujen viikoittainen käyttö 2019-2022
▪ WhatsApp on yhä selvästi suosituin viestipalvelu. Nuorilla ykköspalvelu on Snapchat.
Datalähde: DNA, Digitaaliset elämäntavat -tutkimukset 2019, 2020, 2021 ja 2022, käyttö viikoittain, 16-74-vuotiaat, kuva: Harto Pönkä, 7.7.2022.
21
WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
→ Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
Mitä suostumuksia WhatsAppin käyttöön pitäisi pyytää?
▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen.
⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa.
→ Kerrotaan, miten sovellus käsittelee henkilötietoja.
→ Kerrotaan mahdollisista riskeistä.
▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta
Yhdysvaltoihin.
⬞ → Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin.
→ Kerrotaan mahdollisista riskeistä.
▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille.
⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille.
→ Kerrotaan mahdollisista riskeistä.
▪ Vaikka nämä suostumukset pyydettäisiin, on WhatsAppin käytön lainmukaisuus silti kyseenalainen.
▪ Tietojen poistopyyntöjen (esim. suostumuksen peruminen) toteuttaminen voi olla mahdotonta.
23
24
Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022)
Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
Signal työkäytössä
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Rekisteröidyiltä on syytä pyytää suostumus,
jos heille aiotaan viestiä Signalin kautta.
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen (yleisesti saatavilla olevien
viestintäpalvelujen välitystiedot).
25
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
Evästeet ja muut seurantatekniikat
26
Evästeitä
27
Kuvitteellinen esimerkki
Mitä on huomioitava evästeiden käytössä?
Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020,
https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/
28
• EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille
1) tulee kertoa evästeiden käytön tarkoituksesta,
2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä.
• Tietosuojavaltuutetun toimiston v. 2020 päätöksen mukaan ei-välttämättömille evästeille tarvitaan
GDPR:n mukainen suostumus.
• https://finlex.fi/fi/viranomaiset/tsv/2020/20200561
• Liikenne- ja viestintävirasto Traficom antoi uudet evästeohjeet palveluntarjoajille syyskuussa 2021.
• https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet
• Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet suostumuksesta ja läpinäkyvyydestä.
• https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille
29
Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille,
https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf
▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita
▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun
tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt”
▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet
▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa
▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet
▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot)
▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus
▪ Analytiikkaan liittyvät evästeet
▪ Chat-palvelujen evästeet
▪ Sosiaalisen median alustoihin liittyvät evästeet
▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet
▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi
30
▪ Evästeiden suostumuksessa voidaan käyttää monitasoista
rekisteröidyn informointia
▪ 1. taso: evästebanneri/-ilmoitus
▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms.
▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä:
▪ Rekisterinpitäjä
▪ Henkilötietojen käsittelytarkoitukset
▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn
eniten ja joka voi tulla yllätyksenä
▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa
muut informoinnin tiedot
▪ Lisätietoa informoinnista TSV:n sivulta:
https://tietosuoja.fi/rekisteroidyn-informointi
Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta,
https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
Evästebanneri ei saa estää sivuston käyttöä
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
31
Selvät kyllä- ja ei-vaihtoehdot
EI NÄIN:
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021)
32
Kolmannen osapuolen evästeet: esimerkkinä Google Analytics
2. Selain lähettää Googlelle:
selaimen tiedot + sivun tiedot + Googlen evästeet
33
Sivulle ladataan
Google Tag
Managerin skripti
1
Sivulle ladataan
Google
Analyticsin skripti
2
Google seuraa kävijän
toimintaa sivustolla
ja rikastaa sillä tästä
kerättyä profiilia
3
Oy-yritys-ab.com
4. Google palauttaa selaimelle
kävijäseurantaskriptin ja uudet evästeet
3. Google
tunnistaa
käyttäjän* ja
kerää tiedot
1
*) Käyttäjän ei tarvitse olla
kirjautuneena, jos Googlen
eväste on jo laitteella.
1. Käyttäjä
avaa yrityksen
verkkosivun
2
3
5. Kaikki talteen
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-
1234567-8"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-1234567-8');
</script>
Pyydä suostumus kaikille
ei-välttämättömille evästeille!
Ennakkotapaus: Google Analyticsin käyttö verkkosivujen kävijäseurantaan
34
▪ Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle.
▪ Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita.
▪ Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa.
▪ Päätöksessä viitataan EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin
siirretyillä henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla on pääsy niihin. Lisäksi
rekisteröidyillä ei ole Yhdysvalloissa käytössä riittäviä oikeussuojakeinoja.
▪ Päätös ei ottanut kantaa, voisiko henkilötietojen siirrossa Yhdysvaltoihin käyttää GDPR:n 49 artiklan
poikkeusta kuten rekisteröityjen nimenomaista suostumusta. Jos niin tehtäisiin, tulisi:
▪ A) pyytää erikseen suostumus kaikkiin eri käyttötarkoituksiin ja henkilötietojen siirtoon Yhdysvaltoihin.
▪ B) kertoa, miten eri tahot käyttävät henkilötietoja ja mitä riskejä siihen liittyy.
→ Johtopäätös: Käytännössä päätös tekee selväksi, että Google Analyticsia ei tulisi enää käyttää EU:ssa.
Lisätietoa: Innowise, 24.3.2023, Onko Google Analytics 4 -kävijäseuranta GDPR:n mukainen? Mitä GA:n tilalle?,
https://www.innowise.fi/fi/onko-google-analytics-4-kavijaseuranta-gdprn-mukainen/
• Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan
käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa.
• Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3)
tietojen siirtoon ETA-alueelta Yhdysvaltoihin.
Vaihtoehto Google Analyticsille: Matomo
GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google
Analyticsille, jotka eivät ole yhteydessä nettijättien mainosalustoihin.
▪ Matomo Analytics, https://matomo.org/
▪ Saatavissa hostattuna sekä omalle palvelimelle asennettavana  ilmainen
▪ Monipuoliset raportit ja ominaisuudet
▪ Mahdollistaa seurannan ilman evästeitä, jolloin suostumusta ei tarvita
▪ Evästeetön seuranta tunnistaa myös palaavat vierailijat 24 h:n aikana
▪ Käyttäjäkohtainen raakadata poistetaan automaattisesti raporttien
muodostamisen jälkeen
▪ IP-osoitteista voidaan poistaa 2 viimeistä tavua tai enemmän
Lisätietoa vaihtoehdoista esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/
35
Yleisiä korjauskohteita
36
YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä
▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja
markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta
▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com
37
<iframe width="560" height="315"
src="https://www.youtube.com/embed/fZ4KR7OHXF0"
title="YouTube video player" frameborder="0"
allow="accelerometer; autoplay; clipboard-write;
encrypted-media; gyroscope; picture-in-picture"
allowfullscreen></iframe>
<iframe width="560" height="315" src="
https://www.youtube-nocookie.com/embed/
fZ4KR7OHXF0" title="YouTube video player"
frameborder="0" allow="accelerometer; autoplay;
clipboard-write; encrypted-media; gyroscope;
picture-in-picture" allowfullscreen></iframe>
Voidaanko luottaa, ettei Google käytä reCaptchan tietoja profilointiin?
Täyttääkö evästeiden minimivaatimukset?
▪ Rekisterinpitäjä/käsittelijä: käy ilmi linkeistä
▪ Käyttötarkoitus: käy selvästi ilmi
▪ Seuraa käyttäjän toimintaa sivulla ja kerää tietoa
▪ Google on vakuuttanut, ettei se käytä reCaptchasta
kertyviä tietoja profilointiin, mutta voidaanko luottaa?
▪ Eväste luodaan vasta, kun klikkaa robottitarkistuksesta
▪ Näyttäisi sisältyvän Traficomin ohjeistuksessa
välttämättömiin evästeisiin, mutta osin epäselvä
▪ Suostumusta ei kysytä, mutta voitaisiinko klikkaus
tulkita sellaiseksi, jos katsotaan ei-välttämättömäksi?
Linkit:
▪ Tietosuoja: https://policies.google.com/privacy?hl=fi
▪ Ehdot: https://policies.google.com/terms?hl=fi
→ Saisi käyttää tietoja muuhunkin tarkoitukseen?!
38
Vaihtoehto Googlen reCaptchalle: hCaptcha
▪ Selkeä tietosuojan kuvaus ja henkilötietojen käsittelyn sopimus
▪ Ei kerää tunnistetietoja loppukäyttäjistä
▪ Tehty niin, että vaihto Googlen reCaptchasta on mahdollisimman helppoa
▪ Lisätietoa: https://www.hcaptcha.com/
39
Meta-pikseli
40
▪ Meta-pikseli on nettisivuille
liitettävä seurantakoodi, jolla
välitetään tietoa nettisivujen
vierailijoista Metan
mainosalustalle.
▪ Pikselin avulla voidaan tehdä
uudelleenmarkkinointia
sivujen vierailijoille tai luoda
mainokselle kohderyhmä,
joka muistuttaa sivuston
vierailijoita
▪ Meta-pikselin käyttö
nettisivuilla edellyttää
vierailijoiden suostumusta
Metan seurannalle ja
evästeiden käytölle
Meta-pikselin luonti Business Suitessa: Kaikki työkalut → Asetukset →
Yrityksen resurssit → Lisää → Pikselit → Meta-pikseli
Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne?
Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663
41
42
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!

More Related Content

What's hot

What's hot (20)

Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABC
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Sosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäSosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 

Similar to Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta

Sosiaalinen media yrityksen markkinoinnissa
Sosiaalinen media yrityksen markkinoinnissaSosiaalinen media yrityksen markkinoinnissa
Sosiaalinen media yrityksen markkinoinnissa
Harto Pönkä
 
Valikoidut kirjoitukset Oskari Lappalainen
Valikoidut kirjoitukset Oskari LappalainenValikoidut kirjoitukset Oskari Lappalainen
Valikoidut kirjoitukset Oskari Lappalainen
Oskari Lappalainen
 

Similar to Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta (20)

Tykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuojaTykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuoja
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Missa mun data 280120
Missa mun data 280120Missa mun data 280120
Missa mun data 280120
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdf
 
Vastuullisempaa-somea
Vastuullisempaa-someaVastuullisempaa-somea
Vastuullisempaa-somea
 
Sosiaalisen median analytiikka ja big data liiketoiminnan tukena
 Sosiaalisen median analytiikka ja big data liiketoiminnan tukena Sosiaalisen median analytiikka ja big data liiketoiminnan tukena
Sosiaalisen median analytiikka ja big data liiketoiminnan tukena
 
Organisaatio somessa - tasapainoilua luottamuksella
Organisaatio somessa - tasapainoilua luottamuksellaOrganisaatio somessa - tasapainoilua luottamuksella
Organisaatio somessa - tasapainoilua luottamuksella
 
Informaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminen
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
 
Yritys ja yrittäjä verkostoissa ja verkkoyhteisöissä
Yritys ja yrittäjä verkostoissa ja verkkoyhteisöissäYritys ja yrittäjä verkostoissa ja verkkoyhteisöissä
Yritys ja yrittäjä verkostoissa ja verkkoyhteisöissä
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22
 
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksilleSosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
 
Miksi sosiaalista mediaa? Liiketoiminta²-seminaari
Miksi sosiaalista mediaa? Liiketoiminta²-seminaariMiksi sosiaalista mediaa? Liiketoiminta²-seminaari
Miksi sosiaalista mediaa? Liiketoiminta²-seminaari
 
Sosiaalinen media yrityksen markkinoinnissa
Sosiaalinen media yrityksen markkinoinnissaSosiaalinen media yrityksen markkinoinnissa
Sosiaalinen media yrityksen markkinoinnissa
 
Valikoidut kirjoitukset Oskari Lappalainen
Valikoidut kirjoitukset Oskari LappalainenValikoidut kirjoitukset Oskari Lappalainen
Valikoidut kirjoitukset Oskari Lappalainen
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 

More from Harto Pönkä

More from Harto Pönkä (15)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 

Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta

  • 1. Kuva: Aman Pal @paman0744, Unsplash Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta 3.5.2023 Harto Pönkä Innowise
  • 2. Suosituimmat sosiaalisen median palvelut Suomessa 2022 Datalähde: DNA, Digitaaliset elämäntavat 2022 -tutkimus, https://corporate.dna.fi/tutkimukset-digitaaliset-elamantavat-22 (n=1000, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2021 (stat.fi), kuva: Harto Pönkä, 5.7.2022. 2
  • 3. Some- ja nettipalvelujen tietojenkeruu 3
  • 4. Google on todennäköisesti ”räätälöinyt mainoksesi” kymmenillä eri datapisteillä. Ikä, sukupuoli, perhetilanne, ammatti, harrastukset, tuotteet, matkat, kiinnostuksen kohteet jne. Täällä voit tarkistaa tietosi ja asetukset: https://myadcenter.google.com/ 4
  • 5. Jokainen klikkaus ja kommentti sosiaalisen median uutisvirrassa on kuin vastaus psykologisessa testissä – osa profilointia. 5 Kuva: Pixabay “
  • 6. Eniten henkilötietoja kerääviä yrityksiä Useimmin kerättyjä tietoja: ▪ Sähköpostiosoite ▪ Nimi ▪ Syntymäaika/ikä ▪ Sukupuoli ▪ Kielet ▪ Reaaliaikainen sijainti ▪ Kotiosoite ▪ Työtilanne ▪ Puhelinnumerot ▪ Puhelimen ja muiden laitteiden mallit ▪ Kiinnostuksenkohteet ▪ Pankkikortin tiedot ▪ Sosiaalinen profiili ja verkostot ▪ Kännykän kontaktilista ▪ Kännykän kuvagalleria ▪ Kasvojen, paikkojen ja tuotteiden tunnistus kuvista Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022, https://clario.co/blog/which-company-uses-most-data/ 6
  • 7. TikTokin ongelmia ▪ Sisältö on voimakkaasti algoritmin ohjaamaa ▪ Epäasiallista sisältöä, vahingollisia haasteita, kiusaamista, häirintää ▪ Kerää dataa käyttäjistä monilla tavoilla ▪ Linkit aukeavat sovelluksen omaan selaimeen, joka seuraa jokaista näppäimen painallusta myös muilla sivustoilla ▪ Työntekijöiden on kerrottu lukevan käyttäjien henkilötietoja ▪ Kerrottu aikoneen seurata joidenkin käyttäjien sijainteja epäselviin tarkoituksiin ▪ Kiinalaistaustainen yritys, henkilötietoja voi päätyä Kiinaan ▪ Useat tahot ovat kieltäneet TikTokin asentamisen työpuhelimeen 7 Kuva: myriammira @Freepik (Free license)
  • 9. Henkilötietojen käsittely somepalveluissa 9 ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Älä asenna työpuhelimeen sosiaalisen median sovelluksia ilman työnantajan lupaa. ▪ Älä tallenna työhön liittyviä henkilötietoja yksityisessä käytössä olevaan kännykkään. ▪ Tarvittaessa pyydä suostumukset henkilötietojen käytölle ulkoisissa somepalveluissa ja muista informointi. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Älä julkaise henkilötietoja somessa luvatta. ▪ Jälkihoito: henkilötietojen ja viestien poisto sovelluksista ja kännyköistä.
  • 10. Rekisteriä saa käyttää vain sen käyttötarkoituksiin 10 ▪ Vaikka tiedot olisivat julkisuuslain perusteella julkisia, niitä saa käyttää vain työtehtäviin liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
  • 11. Somekanavien tietosuojan arviointi ja koordinointi 1. Selvittäkää, mitä somepalveluita käytetään ja mihin tarkoituksiin? 2. Mihin rekistereihin somepalvelut liittyvät ja mitkä ovat niiden käsittelyperusteet? 3. Onko somepalvelut huomioitu tietosuojaselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? 4. Onko tarvetta tehdä vaikutustenarviointeja? Kuvakaappaus: Helsingin kaupungin toimialojen sosiaalisen median pääkanavat, https://www.hel.fi/fi/uutiset/helsingin-kaupunki-sosiaalisessa-mediassa/helsingin-kaupungin-toimialojen- sosiaalisen-median-paakanavat (2.5.2023) 11
  • 12. Käyttöehtojen arviointeja: ToS;DR Kuvakaappaus: https://tosdr.org/en/service/219 12
  • 13. Tietosuojan huomiointi sosiaalisen median profiileissa Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020) 13 ▪ Kerro someprofiilissa siitä vastaava organisaatio eli rekisterinpitäjä ▪ Jos mahdollista, linkitä tietosuojaseloste ▪ Voivatko asiakkaat ottaa yhteyttä esim. yksityisviestillä? ▪ Ohjataanko asiakkaat käyttämään muita turvallisempia kanavia yhteydenottoon?
  • 14. Facebook-sivujen ja -ryhmien ylläpitäjän asema ▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa. ▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. ▪ Huolehdi näistä: ▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. ▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. ▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 ▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen. ▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä. Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum 14
  • 15. Somepalvelut kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 15 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 16. Henkilötietojen vuotaminen sovellusten kautta 16 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Sovelluksille annettu pääsy kännykän tietoihin Henkilötietoja päätyy ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus
  • 17. Metan keräämät tiedot ei-käyttäjistä ▪ ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.” ▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan. ▪ Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 17
  • 18. Monet yritykset vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalustan kautta. Voit tarkistaa tietosi Facebookin mainosasetusten ”Kohderyhmään perustuva mainonta” -kohdasta: https://www.facebook.com/a dpreferences/ad_settings 18 Ei käy ilman sähköisen suoramarkkinoinnin ja profiloinnin suostumuksia!
  • 19. “ Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat käyttää tietosuojaoikeuksiaan. Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman manipulointia. 19 Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019, https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
  • 21. Viestipalvelujen viikoittainen käyttö 2019-2022 ▪ WhatsApp on yhä selvästi suosituin viestipalvelu. Nuorilla ykköspalvelu on Snapchat. Datalähde: DNA, Digitaaliset elämäntavat -tutkimukset 2019, 2020, 2021 ja 2022, käyttö viikoittain, 16-74-vuotiaat, kuva: Harto Pönkä, 7.7.2022. 21
  • 22. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida. → Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor
  • 23. Mitä suostumuksia WhatsAppin käyttöön pitäisi pyytää? ▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen. ⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa. → Kerrotaan, miten sovellus käsittelee henkilötietoja. → Kerrotaan mahdollisista riskeistä. ▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta Yhdysvaltoihin. ⬞ → Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin. → Kerrotaan mahdollisista riskeistä. ▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille. ⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille. → Kerrotaan mahdollisista riskeistä. ▪ Vaikka nämä suostumukset pyydettäisiin, on WhatsAppin käytön lainmukaisuus silti kyseenalainen. ▪ Tietojen poistopyyntöjen (esim. suostumuksen peruminen) toteuttaminen voi olla mahdotonta. 23
  • 24. 24 Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022) Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
  • 25. Signal työkäytössä ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen (yleisesti saatavilla olevien viestintäpalvelujen välitystiedot). 25 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
  • 26. Evästeet ja muut seurantatekniikat 26
  • 28. Mitä on huomioitava evästeiden käytössä? Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020, https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/ 28 • EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille 1) tulee kertoa evästeiden käytön tarkoituksesta, 2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä. • Tietosuojavaltuutetun toimiston v. 2020 päätöksen mukaan ei-välttämättömille evästeille tarvitaan GDPR:n mukainen suostumus. • https://finlex.fi/fi/viranomaiset/tsv/2020/20200561 • Liikenne- ja viestintävirasto Traficom antoi uudet evästeohjeet palveluntarjoajille syyskuussa 2021. • https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet • Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet suostumuksesta ja läpinäkyvyydestä. • https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
  • 29. Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille 29 Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille, https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf ▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita ▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt” ▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet ▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa ▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet ▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot) ▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus ▪ Analytiikkaan liittyvät evästeet ▪ Chat-palvelujen evästeet ▪ Sosiaalisen median alustoihin liittyvät evästeet ▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet ▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
  • 30. Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi 30 ▪ Evästeiden suostumuksessa voidaan käyttää monitasoista rekisteröidyn informointia ▪ 1. taso: evästebanneri/-ilmoitus ▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms. ▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä: ▪ Rekisterinpitäjä ▪ Henkilötietojen käsittelytarkoitukset ▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä ▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut informoinnin tiedot ▪ Lisätietoa informoinnista TSV:n sivulta: https://tietosuoja.fi/rekisteroidyn-informointi Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
  • 31. Evästebanneri ei saa estää sivuston käyttöä Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf 31
  • 32. Selvät kyllä- ja ei-vaihtoehdot EI NÄIN: Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021) 32
  • 33. Kolmannen osapuolen evästeet: esimerkkinä Google Analytics 2. Selain lähettää Googlelle: selaimen tiedot + sivun tiedot + Googlen evästeet 33 Sivulle ladataan Google Tag Managerin skripti 1 Sivulle ladataan Google Analyticsin skripti 2 Google seuraa kävijän toimintaa sivustolla ja rikastaa sillä tästä kerättyä profiilia 3 Oy-yritys-ab.com 4. Google palauttaa selaimelle kävijäseurantaskriptin ja uudet evästeet 3. Google tunnistaa käyttäjän* ja kerää tiedot 1 *) Käyttäjän ei tarvitse olla kirjautuneena, jos Googlen eväste on jo laitteella. 1. Käyttäjä avaa yrityksen verkkosivun 2 3 5. Kaikki talteen <!-- Global site tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id=UA- 1234567-8"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-1234567-8'); </script> Pyydä suostumus kaikille ei-välttämättömille evästeille!
  • 34. Ennakkotapaus: Google Analyticsin käyttö verkkosivujen kävijäseurantaan 34 ▪ Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle. ▪ Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita. ▪ Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa. ▪ Päätöksessä viitataan EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin siirretyillä henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla on pääsy niihin. Lisäksi rekisteröidyillä ei ole Yhdysvalloissa käytössä riittäviä oikeussuojakeinoja. ▪ Päätös ei ottanut kantaa, voisiko henkilötietojen siirrossa Yhdysvaltoihin käyttää GDPR:n 49 artiklan poikkeusta kuten rekisteröityjen nimenomaista suostumusta. Jos niin tehtäisiin, tulisi: ▪ A) pyytää erikseen suostumus kaikkiin eri käyttötarkoituksiin ja henkilötietojen siirtoon Yhdysvaltoihin. ▪ B) kertoa, miten eri tahot käyttävät henkilötietoja ja mitä riskejä siihen liittyy. → Johtopäätös: Käytännössä päätös tekee selväksi, että Google Analyticsia ei tulisi enää käyttää EU:ssa. Lisätietoa: Innowise, 24.3.2023, Onko Google Analytics 4 -kävijäseuranta GDPR:n mukainen? Mitä GA:n tilalle?, https://www.innowise.fi/fi/onko-google-analytics-4-kavijaseuranta-gdprn-mukainen/ • Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa. • Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3) tietojen siirtoon ETA-alueelta Yhdysvaltoihin.
  • 35. Vaihtoehto Google Analyticsille: Matomo GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google Analyticsille, jotka eivät ole yhteydessä nettijättien mainosalustoihin. ▪ Matomo Analytics, https://matomo.org/ ▪ Saatavissa hostattuna sekä omalle palvelimelle asennettavana  ilmainen ▪ Monipuoliset raportit ja ominaisuudet ▪ Mahdollistaa seurannan ilman evästeitä, jolloin suostumusta ei tarvita ▪ Evästeetön seuranta tunnistaa myös palaavat vierailijat 24 h:n aikana ▪ Käyttäjäkohtainen raakadata poistetaan automaattisesti raporttien muodostamisen jälkeen ▪ IP-osoitteista voidaan poistaa 2 viimeistä tavua tai enemmän Lisätietoa vaihtoehdoista esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/ 35
  • 37. YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä ▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta ▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com 37 <iframe width="560" height="315" src="https://www.youtube.com/embed/fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> <iframe width="560" height="315" src=" https://www.youtube-nocookie.com/embed/ fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
  • 38. Voidaanko luottaa, ettei Google käytä reCaptchan tietoja profilointiin? Täyttääkö evästeiden minimivaatimukset? ▪ Rekisterinpitäjä/käsittelijä: käy ilmi linkeistä ▪ Käyttötarkoitus: käy selvästi ilmi ▪ Seuraa käyttäjän toimintaa sivulla ja kerää tietoa ▪ Google on vakuuttanut, ettei se käytä reCaptchasta kertyviä tietoja profilointiin, mutta voidaanko luottaa? ▪ Eväste luodaan vasta, kun klikkaa robottitarkistuksesta ▪ Näyttäisi sisältyvän Traficomin ohjeistuksessa välttämättömiin evästeisiin, mutta osin epäselvä ▪ Suostumusta ei kysytä, mutta voitaisiinko klikkaus tulkita sellaiseksi, jos katsotaan ei-välttämättömäksi? Linkit: ▪ Tietosuoja: https://policies.google.com/privacy?hl=fi ▪ Ehdot: https://policies.google.com/terms?hl=fi → Saisi käyttää tietoja muuhunkin tarkoitukseen?! 38
  • 39. Vaihtoehto Googlen reCaptchalle: hCaptcha ▪ Selkeä tietosuojan kuvaus ja henkilötietojen käsittelyn sopimus ▪ Ei kerää tunnistetietoja loppukäyttäjistä ▪ Tehty niin, että vaihto Googlen reCaptchasta on mahdollisimman helppoa ▪ Lisätietoa: https://www.hcaptcha.com/ 39
  • 40. Meta-pikseli 40 ▪ Meta-pikseli on nettisivuille liitettävä seurantakoodi, jolla välitetään tietoa nettisivujen vierailijoista Metan mainosalustalle. ▪ Pikselin avulla voidaan tehdä uudelleenmarkkinointia sivujen vierailijoille tai luoda mainokselle kohderyhmä, joka muistuttaa sivuston vierailijoita ▪ Meta-pikselin käyttö nettisivuilla edellyttää vierailijoiden suostumusta Metan seurannalle ja evästeiden käytölle Meta-pikselin luonti Business Suitessa: Kaikki työkalut → Asetukset → Yrityksen resurssit → Lisää → Pikselit → Meta-pikseli
  • 41. Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne? Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663 41