Successfully reported this slideshow.
Your SlideShare is downloading. ×

Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 32 Ad
Advertisement

More Related Content

More from Harto Pönkä (20)

Recently uploaded (14)

Advertisement

Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta

  1. 1. Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta 10.11.2022 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  2. 2. Sosiaalisen median käyttö työssä ▪ Somepalvelujen käyttö työssä ei ole juuri kasvanut vuoden 2017 jälkeen, vaan laskenut. ▪ Yrityksissä käytetään laajasti pilvipalveluja kuten tiedostonjakoa ja toimisto-ohjelmia. Lähteet: TEM, Työolobarometri 2021 ennakkotiedot, https://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/163948/TEM_2022_23.pdf Suomen virallinen tilasto (SVT), Tietotekniikan käyttö yrityksissä, 2021, https://www.stat.fi/til/icte/2021/icte_2021_2021-12-03_kat_003_fi.html 2 Pilvipalvelujen käyttö yrityksissä
  3. 3. Somekanavien tietosuojan koordinointi 1. Selvittäkää, mitä somepalveluita käytetään ja mihin tarkoituksiin? 2. Mihin asiakasrekistereihin somepalvelut liittyvät? 3. Onko somepalvelut huomioitu tietosuojaselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa, https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020) 3
  4. 4. Tietosuojan huomiointi sosiaalisen median profiileissa Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020) 4 ▪ Kerro someprofiilissa siitä vastaava organisaatio eli rekisterinpitäjä ▪ Jos mahdollista, linkitä tietosuojaseloste ▪ Voivatko asiakkaat ottaa yhteyttä esim. yksityisviestillä? ▪ Mitä muita (turvallisempia) tapoja asiakkailla on yhteydenottoon?
  5. 5. Henkilötietojen käsittely somepalveluissa 5 ▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen? ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Henkilötietoja ei saa julkaista tai luovuttaa ilman suostumusta tai lakiperustetta. ▪ Muista informointi, jos somea käytetään yhteydenpitoon tai tietojenkeruuseen. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Tarvittaessa ohjataan muihin asiointikanaviin. ▪ Miten rekisteröity tunnistetaan somessa? ▪ Suostumusten ja pyyntöjen dokumentointi. ▪ Jälkihoito: henkilötietojen ja viestien poisto.
  6. 6. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä ▪ Asiakkaat ▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja. ▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu. ▪ Työntekijät ▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot. ▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta, esim. tarve olla tavoitettavissa. ▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa. ▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. ▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio) 6
  7. 7. Rekisteriä saa käyttää vain sen käyttötarkoituksiin! 7 ▪ Vaikka tiedot olisivat julkisuuslain perusteella julkisia, niitä saa käyttää vain työtehtäviin liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
  8. 8. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 8 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  9. 9. Metan keräämät tiedot ei-käyttäjistä ▪ ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.” ▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan. ▪ Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 9
  10. 10. TikTokin ongelmia ▪ Sisältö on voimakkaasti algoritmin ohjaamaa ▪ Epäasiallista sisältöä, vahingollisia haasteita, kiusaamista, häirintää ▪ Kerää dataa käyttäjistä monilla tavoilla ▪ Linkit aukeavat sovelluksen omaan selaimeen, joka seuraa jokaista näppäimen painallusta myös muilla sivustoilla ▪ Työntekijöiden on kerrottu lukevan käyttäjien henkilötietoja ▪ Kerrottu aikoneen seurata joidenkin käyttäjien sijainteja epäselviin tarkoituksiin ▪ Kiinalaistaustainen yritys, henkilötietoja voi päätyä Kiinaan ▪ Useat tahot ovat kieltäneet TikTokin asentamisen työpuhelimeen 10 Kuva: myriammira @Freepik (Free license)
  11. 11. Organisaatioiden sisäisesti käyttämät viestintäsovellukset Lähde: North Patrol, Digitaaliset työympäristöt 2022 -selvitys, https://intranet-ostajanopas.fi/2022/08/22/suomalaisten-organisaatioiden-digityon-valineet-2022/ (N=64 vastaajaorganisaatiota) 11
  12. 12. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida. → Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor
  13. 13. Kysymys: sijaisryhmä WhatsAppissa 13 ▪ WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin. ▪ Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota, sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön. ▪ WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA). ▪ Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella. ▪ Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa vaikutustenarviointi. ▪ Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista. ▪ Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset WhatsAppin käyttöön. ▪ Tarvittaessa oma rekisteri ja tietosuojaseloste. Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa • Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
  14. 14. 14 Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022) Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
  15. 15. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 15
  16. 16. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 16
  17. 17. Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan ▪ Minkälaista tietoa työvälineessä halutaan käsitellä? ▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen vai sisäiseen työskentelyyn? ▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin? ▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä? ▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia? ▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä? ▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille? ▪ Luovuttaako työväline tietoja kolmansille osapuolille? ▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on? Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 17
  18. 18. Analyytikasta ja evästeistä 18
  19. 19. Yhdellä sivulla voi olla lukuisia http-pyyntöjä eri datankerääjille Esimerkki: Suomiurheilu.com-sivuston request map –kuva, 7.4.2022, tämä kaikki ladataan ennen suostumuksen antoa evästeille. 19
  20. 20. Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne? Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663 20
  21. 21. Evästeitä 21 Kuvitteellinen esimerkki
  22. 22. Kolmannen osapuolen evästeet: esimerkkinä Google Analytics 2. Selain lähettää Googlelle: selaimen tiedot + sivun tiedot + Googlen evästeet Kuva: Harto Pönkä, 7.4.2022 22 Sivulle ladataan Google Tag Managerin skripti 1 Sivulle ladataan Google Analyticsin skripti 2 Google seuraa kävijän toimintaa sivustolla ja rikastaa sillä tästä kerättyä profiilia 3 Oy-yritys-ab.com 4. Google palauttaa selaimelle kävijäseurantaskriptin ja uudet evästeet 3. Google tunnistaa käyttäjän* ja kerää tiedot 1 *) Käyttäjän ei tarvitse olla kirjautuneena, jos Googlen eväste on jo laitteella. 1. Käyttäjä avaa yrityksen verkkosivun 2 3 5. Kaikki talteen <!-- Global site tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id=UA- 1234567-8"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-1234567-8'); </script>
  23. 23. YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä ▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta ▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com 23 <iframe width="560" height="315" src="https://www.youtube.com/embed/fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> <iframe width="560" height="315" src=" https://www.youtube-nocookie.com/embed/ fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
  24. 24. Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille 24 Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille, https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf ▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita ▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt” ▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet ▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa ▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet ▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot) ▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus ▪ Analytiikkaan liittyvät evästeet ▪ Chat-palvelujen evästeet ▪ Sosiaalisen median alustoihin liittyvät evästeet ▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet ▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
  25. 25. Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi 25 ▪ Evästeiden suostumuksessa voidaan käyttää monitasoista rekisteröidyn informointia ▪ 1. taso: evästebanneri/-ilmoitus ▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms. ▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä: ▪ Rekisterinpitäjä ▪ Henkilötietojen käsittelytarkoitukset ▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä ▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut informoinnin tiedot ▪ Lisätietoa informoinnista TSV:n sivulta: https://tietosuoja.fi/rekisteroidyn-informointi Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
  26. 26. Evästeistä kerrottavat tiedot 26 Lähde: Traficom, 2021, Evästeet, https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet ▪ Kerro kaikkien evästeiden käytöstä: välttämättömistä ja ei-välttämättömistä ▪ Evästeet ovat pieniä laitteelle tallennettavia tekstitiedostoja… ▪ Kerro suostumuksen yhteydessä ei-välttämättömistä: ▪ Evästeiden ja muiden tekniikoiden käytöstä selkeästi ▪ Evästeiden ja muiden tekniikoiden käyttötarkoitus ja voimassaoloaika ▪ Millä kolmansilla osapuolilla on oikeus käsitellä evästetietoja ▪ Mikään laki tai asetus ei vaadi monimutkaisia evästevalintoja
  27. 27. Evästebanneri ei saa estää sivuston käyttöä Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf 27
  28. 28. Selvät kyllä- ja ei-vaihtoehdot EI NÄIN: Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021) 28
  29. 29. Älä yritä saada suostumusta ns. pimeillä suunnittelumalleilla (dark patterns) Kuvakaappaus: Yle Areena, https://areena.yle.fi/tv (15.11.2021) Lähde: EDPB Guidelines 3/2022, https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-32022-dark-patterns-social-media_en 29 1. Ylikuormittaminen = käyttäjät kohtaavat ison määrän pyyntöjä, tietoja, vaihtoehtoja tai mahdollisuuksia. 2. Ohittaminen = käyttäjät eivät ajattele kaikkia tai osaa tietosuojanäkökohdista. 3. Sekoittaminen = vedotaan käyttäjän tunteisiin tai harhautetaan visuaalisesti. 4. Estäminen = käyttäjien tiedonsaantia tai tietojen hallintaa estetään tekemällä toiminnoista vaikeita. 5. Oikullinen = käyttöliittymän rakenne on epäjohdonmukainen ja epäselvä, minkä vuoksi käyttäjän on vaikea navigoida ja ymmärtää toimintojen tarkoituksia. 6. Pimeyteen jättäminen = käyttöliittymä on suunniteltu piilottamaan tiedot tai jättämään käyttäjät epävarmoiksi.
  30. 30. Ranskan valvontaviranomaisen päätös Google Analyticsistä 10.2.2022 30 ▪ Euroopan tietosuojaviranomaisten päätöksen mukaan Google Analytics -palvelun käyttö rikkoi GDPR:ää. ▪ Googlen suojatoimet henkilötietojen siirroille Google Analyticsin kautta eivät ole riittäviä, eivätkä estä Yhdysvaltojen tiedustelupalvelun pääsyä tietoihin. ▪ Google Analyticsin käyttö aiheuttaa tämän vuoksi riskin verkkosivuston käyttäjille, joiden tietoja kerätään ja siirretään Yhdysvaltoihin. ▪ Ranskan valvontaviranomainen (CNIL) on määrännyt ranskalaisen verkkosivuston saattamaan henkilötietojen käsittelynsä tietosuoja-asetuksen mukaiseksi ja tarvittaessa lopettamaan Google Analyticsin käytön. ▪ Taustalla on EU-tuomioistuimen heinäkuussa 2020 antama Schrems II -päätös, jossa se katsoi, että siirrettävillä henkilötiedoilla on riski päätyä Yhdysvaltojen tiedustelupalvelun käsiin, ellei tiedonsiirtoja suojata asianmukaisesti. Lähde: TSV, 11.2.2022, https://tietosuoja.fi/-/euroopan-tietosuojaviranomaiset-ovat-todenneet-google-analyticsin-kayton-verkkosivuilla-tietosuojalainsaadannon-vastaiseksi Kuva: Jack-in-the-box.jpg, Wikimedia Commons, public domain, https://commons.wikimedia.org/wiki/File:Jack-in-the-box.jpg
  31. 31. Vaihtoehtoja Google Analyticsille GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google Analyticsille, jotka eivät käytä seurantatietoja muihin tarkoituksiin. ▪ Matomo Analytics, https://matomo.org/ ▪ Open Web Analytics, http://www.openwebanalytics.com/ ▪ GoAccess, https://goaccess.io/ ▪ Countly, https://count.ly/ ▪ Fathom Analytics, https://usefathom.com/ Lisätietoa esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/ 31
  32. 32. 32 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

×