Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sosiaalinen media tietosuojan näkökulmasta

Koulutus FCG:lle 24.3.2021, Harto Pönkä, Innowise

  • Be the first to comment

  • Be the first to like this

Sosiaalinen media tietosuojan näkökulmasta

  1. 1. Sosiaalinen media tietosuojan näkökulmasta 24.3.2021 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  2. 2. Tämän koulutuksen aiheita 2 Taustaa Someaspan tietosuoja Sisäiset viestintä-, some- ja pilvipalvelut Henkilötietojen siirto Yhdysvaltoihin Huomioitavaa somemarkkinoinnissa
  3. 3. Taustaa: somen käyttö ja etätyöt
  4. 4. Suosituimmat somepalvelut Suomessa syksyllä 2020 Lähde: AudienceProject, 17.9.2020, Insights 2020: Apps & social media usage, https://www.audienceproject.com/wp-content/uploads/AudienceProject_Study_App_and_Social_Media_Usage_2020_pdf.pdf (n. 2000 vastaajaa Suomessa, 15-75-vuotiaat) 4
  5. 5. Kuntien käyttämät somepalvelut Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa) 5
  6. 6. Tietoturva vaarantuu etätöissä 6 Lähde: Tessian, 2020, https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa) ”Kyberturvayhtiö Tessianin tutkimuksen mukaan 52 prosenttia kotona työskentelevistä sanoo syystä tai toisesta kiertävänsä yrityksen tietoturvan käytäntöjä.” Syitä: ▪ Etätyössä käytetään eri laitteita kuin työpaikalla (50 %) ▪ Etätyössä ei koeta olevan IT-osaston valvonnassa (48 %) ▪ Työhön tulee häiriöitä mm. perheenjäsenten vuoksi (47 %) ▪ Työhön liittyvä aikataulupaine (39 %)
  7. 7. Someaspan tietosuoja 7
  8. 8. Somekanavien tietosuojan koordinointi 1. Selvittäkää, mitä somepalveluita käytetään ja mihin tarkoituksiin? 2. Mihin asiakasrekistereihin somepalvelut liittyvät? 3. Onko somepalvelut huomioitu tietosuojaselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa, https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020) 8
  9. 9. Tietosuojan huomiointi sosiaalisen median profiileissa Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020) 9  Kerro someprofiilissa siitä vastaava organisaatio eli rekisterinpitäjä  Jos mahdollista, linkitä tietosuojaseloste  Voivatko asiakkaat ottaa yhteyttä esim. yksityisviestillä?  Mitä muita (turvallisempia) tapoja asiakkailla on yhteydenottoon?
  10. 10. Facebook-sivun ylläpitäjän asema  Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.  Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä.  Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018.  Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta): https://www.facebook.com/legal/terms/page_controller_addendum#  Käytännön toimenpiteet:  Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio.  Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.  Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 10
  11. 11. Henkilötietojen käsittely somepalveluissa 11 ▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen? ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Henkilötietoja ei saa julkaista tai luovuttaa ilman suostumusta tai lakiperustetta. ▪ Muista informointi, jos somea käytetään yhteydenpitoon tai tietojenkeruuseen. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Tarvittaessa ohjataan muihin asiointikanaviin. ▪ Miten rekisteröity tunnistetaan somessa? ▪ Suostumusten ja pyyntöjen dokumentointi. ▪ Jälkihoito: henkilötietojen ja viestien poisto.
  12. 12. Erota oma ja ulkopuolinen rekisteri 12 Rekisteriin kerätyt henkilötiedot (organisaatio rekisterinpitäjänä) Ulkopuolinen verkkopalvelu (toinen rekisterinpitäjä tai henkilötietojen käsittelijä) Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle tai verkkopalvelulle vain, jos 1) on sopimus henkilötietojen käsittelystä 2) tai luovutukseen on saatu rekisteröidyn suostumus. Ulkopuolista verkkopalvelua voidaan käyttää viestintään rekisteröityjen kanssa myös silloin, kun aloite tulee rekisteröidyltä. Tätä voidaan pitää suostumuksena ko. palvelun käyttöön. Jos henkilötietoja kerätään ulkopuolisen palvelun kautta, siihen tulee olla oikeusperuste. Samalla pitää hoitaa informointivelvollisuus.
  13. 13. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 13 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  14. 14. Google on netin isoin datankerääjä Kuva: DuckDuckGo, 15.3.2021, https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw 14
  15. 15. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 15
  16. 16. Vähiten kolmansille osapuolille tietoja jakavat sovellukset Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 16
  17. 17. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä ▪ Asiakkaat ▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja. ▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu. ▪ Työntekijät ▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot. ▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta, esim. tarve olla tavoitettavissa. ▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa. ▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. ▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio) 17
  18. 18. Rekisteriä saa käyttää vain sen käyttötarkoituksiin! 18  Vaikka tiedot olisivat julkisuuslain perusteella julkisia, niitä saa käyttää vain työtehtäviin liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
  19. 19. Muista salassapito julkisessa someviestinnässä 19 Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017  Vaikka rekisteröity itse kertoisi henkilötietoja julkisesti, täytyy organisaation ottaa huomioon tietosuoja- ja salassapitomääräykset.
  20. 20. Sisäiset viestintä-, some- ja pilvipalvelut 20
  21. 21. Organisaatioiden sisäisesti käyttämät viestintä-, some- ja pilvipalvelut Lähde: North Patrol, Intranet ja digitaalinen työympäristö 2020 -selvitys, https://www.slideshare.net/NorthPatrol/intranet-ja-digitaalinen-tyymprist-2020-selvityksen-tulokset/16 (N=111 vastaajaorganisaatiota, yli puolet kunnallisia tai julkisia organisaatioita) 21 Microsoft Teams Etäkokous ja työtilat 85 % Microsoft O365 SharePoint Työtilat/intranet 52 % Yammer Keskustelu ja tiedonjako 52 % WhatsApp Keskustelu ja tiedonjako 37 % Confluence Wikialusta 23 % Zoom Etäkokous 22 % Slack Keskustelu ja tiedonjako 21 % Trello Projektinhallinta 20 % Moodle Verkkokoulutus, tiedonjako 19 % Google Drive Tiedostojen pilvitallennus 16 % M-Files Tiedostojen pilvitallennus 15 % Facebookin suljetut ryhmät Keskustelu ja tiedonjako 14 %
  22. 22. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa 22  Käytä vain organisaation sallimia sovelluksia.  Toimita kutsu henkilökohtaisesti osallistujille.  Informoi osallistujia henkilötietojen käsittelystä.  Varmista huoneessa olijoiden henkilöllisyys.  Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä.  Varmista esittäjien osaaminen etukäteen.  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat.  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen.  Lopuksi: päätä kokous, tyhjennä tai sulje huone.  Suojaa tallenne ja huolehdi sen tietosuojasta.
  23. 23. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.  Tunnus on aina sen rekisteröineen henkilön, ei organisaation.  Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida.  Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor
  24. 24. Kysymys: sijaisryhmä WhatsAppissa 24  WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.  Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota, sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.  WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).  Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.  Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa vaikutustenarviointi.  Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.  Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset WhatsAppin käyttöön.  Tarvittaessa oma rekisteri ja tietosuojaseloste. Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa • Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
  25. 25. Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan ▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä? ▪ Mitkä ovat työvälineen oletusasetukset ja ominaisuudet? ▪ Minkälaista tietoa työvälineessä halutaan käsitellä? ▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia? ▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille? ▪ Luovuttaako työväline tietoja kolmansille osapuolille? ▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen tai julkisiin tapahtumiin? ▪ Käytetäänkö työvälinettä organisaation sisäiseen työskentelyyn? ▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin? ▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä? ▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on? Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 25
  26. 26. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 26
  27. 27. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 27  Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.  Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.  Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.  Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.  Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.  Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä oppijoiden henkilötietojen käsittelyssä. • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  28. 28. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin ▪ Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns. Schrems II –päätös). ▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja tallennuksessa. ▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä henkilöiden tunnistetietoja, jolloin siirrettävät tiedot eivät ole enää henkilötietoja. ▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa! ▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella. ▪ Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi. Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf 28
  29. 29. Huomioitavaa somemarkkinoinnissa 29
  30. 30. “ Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat käyttää tietosuojaoikeuksiaan. Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman manipulointia. 30 Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019, https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
  31. 31. Monet organisaatiot vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalgoritmin avulla. Voit tarkistaa tietosi Facebookin asetusten Mainokset-kohdasta: https://www.facebook.com/d s/preferences/?entry_product =account_settings_menu&exp and_ad_settings=1 31
  32. 32. Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa… Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020) 32
  33. 33. 33 Facebookin asiakastiedostot Nimi, sähköposti, puhelinnumero, synt.aika, kaupunki, laitetunniste ym. Googlen asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Markkinointi manuaalisesti valituille kohderyhmille. Markkinoinnissa käytetään profilointia ja autom. päätöksiä  suostumus! Ei profilointia Twitterin räätälöidyt yleisöt Sähköposti, laitetunniste, Twitter-tunnus, Twitter-ID Datan kerääjät, hallinnoijat ja myyjät LinkedInin vastaavat yleisöt Nimi, sähköposti, laitetunniste, yritys, ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät
  34. 34. GDPR-muistilista somemainostajalle ▪ Rekisterinpitäjä on vastuussa, jos se luovuttaa henkilötietoja mainosalustalle. ▪ Mainostaja on aina vastuussa, vaikka mainonta annettaisiin toisen tahon tehtäväksi. ▪ Organisaatiolla pitää olla oikeusperuste, joka mahdollistaa tietojen käytön sähk. markkinoinnissa. ▪ Yksityishenkilöt: suostumus tai sopimus ▪ B2B-yhteyshenkilöt: oikeutettu etu ▪ Tietosuojaselosteessa tulee kertoa, mille tahoille henkilötietoja luovutetaan – ml. henkilötietojen käsittelijät kuten mainospalvelujen tuottajat. ▪ Profiloinnin käytöstä tulee kertoa rekisteröidyille. ▪ Kerro, miten mainosviesteiltä voi kieltäytyä. 34 Kuva ja lisätietoa: Facebookin GDPR-sivusto, https://www.facebook.com/business/gdpr Ks. myös Googlen tukimateriaalit mainostajille: https://support.google.com/google-ads/answer/9028179?hl=fi
  35. 35. 35 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

×