2. Tämän koulutuksen aiheita
2
Tausta: etätyö
koronakeväänä 2020
Henkilötietojen käsittely
etätyöhön liittyvissä
sovelluksissa ja
verkkopalveluissa
Tietosuojan ja GDPR:n
ydinkohdat etätyön
kannalta
Tietosuojan huomiointi
etäyhteyksissä ja etätyöhön
liittyvissä laitteissa
Sähköinen viestintä ja
viestintäsalaisuus suhteessa
GDPR:ään
Tietosuojarikkomuksiin
reagointi
3. Yleensä etätyö on tehokasta ja turvallista
Vuonna 2018 tehdyssä kyselyssä mahdollisuus etätöihin oli 39%:illa.
Tavallisimmin etätöitä tehtiin kotona (89%).
Lähde: DNA, Digitaaliset elämäntavat –tutkimus, 14.5.2018 (N=1018, 15-74-v.),
https://www.sttinfo.fi/data/attachments/00926/ab682199-7989-475f-885f-7c708c4ec7ca.pdf
3
4. Suomalaisten työssä
käyttämät digisovellukset
Lähde: Tilastokeskus, 2018, Digiajan työelämä,
http://www.stat.fi/tup/julkaisut/tiedostot/julkaisuluettelo/ytym_1977-2018_2019_21473_net.pdf (vastaajina palkansaajat)
4
”90 % vastaajista käytti
työssään jotain
digitaalista välinettä.”
5. Suomessa etätöihin siirtyi koronaviruksen takia useampi kuin muissa EU-maissa
Lähde: Eurofound, 2020, Work, teleworking and COVID-19,
https://www.eurofound.europa.eu/data/covid-19/working-teleworking
5
6. ”300 000 ihmistä aikoo jäädä etätöihin koronan jälkeenkin”
Lähde: Yle, 5.4.2020, Taloustutkimuksen kysely huhtikuun alussa 2020,
https://yle.fi/uutiset/3-11291865
6
7. Etätyön aiheuttamia haasteita koronakeväänä 2020
Lähde: IF, 24.4.2020, YouGovin kysely 8.4.-12.4.2020 (N=1036 aikuista), https://www.sttinfo.fi/tiedote/suomalaisten-etatyokokemukset-korona-aikana-ovat-paaosin-myonteisia-tyo-ja-
vapaa-aika-kietoutuvat-tiiviisti-yhteen?publisherId=69817318&releaseId=69879664
7
”Etätöitä hoidetaan tälläkin hetkellä esimerkiksi keittiönpöydän äärestä, sohvan nurkasta,
parvekkeelta tai vaikkapa pyykkivuorien keskeltä kodinhoitohuoneesta.”
Haaste Vastaajista
Työn ja vapaa-ajan erottaminen 37 %
Puutteellinen työergonomia 32 %
Työyhteisön tapaaminen ja tuen puute 32 %
Ahtaaksi käyvä koti
- käytössä erillinen tila etätyöhön
- etätyötilassa myös muuta käyttöä
22 %
37 %
63 %
Tekniset haasteet 20 %
Uudet viestintätavat 19 %
8. Etätyö tuo käyttöön uusia sovelluksia
Lähde: Lakimiesliitto, 20.04.2020, kysely 2.–13.4.2020, (N=797 liiton jäsentä),
https://www.lakimiesliitto.fi/uutiset/lakimiesliiton-kysely-koronaepidemia-on-muuttanut-juristien-tyota-ja-lisannyt-tyomarkkina-asemaan-liittyvaa-epavarmuutta/
8
9. Tietoturva vaarantuu etätöissä
9
Lähde: Tessian, 2020,
https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa)
”Kyberturvayhtiö Tessianin tutkimuksen mukaan
52 prosenttia kotona työskentelevistä sanoo
syystä tai toisesta kiertävänsä yrityksen
tietoturvan käytäntöjä.”
Syitä:
▪ Etätyössä käytetään eri laitteita kuin
työpaikalla (50 %)
▪ Etätyössä ei koeta olevan IT-osaston
valvonnassa (48 %)
▪ Työhön tulee häiriöitä mm. perheenjäsenten
vuoksi (47 %)
▪ Työhön liittyvä aikataulupaine (39 %)
10. Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen. Siitä on
kyse, jos ihminen voidaan
tunnistaa tiedoista.
Tietoturvalla suojataan kaikenlaisia
tietoja ja järjestelmiä ulkopuolisten
urkinnalta ja muulta vahingonteolta.
11. “Perustuslain 10 §:
Jokaisen yksityiselämä, kunnia ja kotirauha
on turvattu. Henkilötietojen suojasta
säädetään tarkemmin lailla.
Kirjeen, puhelun ja muun luottamuksellisen
viestin salaisuus on loukkaamaton.
11
Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
13. Mikä on EU:n yleinen tietosuoja-asetus?
1. Suojaa ihmisten perusoikeuksia ja -vapauksia,
erityisesti henkilötietoja
2. Suojaa henkilötietojen vapaata liikkuvuutta ja
yhdenmukaista sääntelyä EU:n sisällä
3. Sovelletaan osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä henkilörekistereihin.
13
14. Mitä yleisen tietosuoja-asetuksen
vaatimukset eivät koske?
▪ Yksinomaan manuaalisesti
käsiteltäviä henkilötietoja, jotka eivät
muodosta rekisteriä
▪ Henkilötietojen käsittelyä, jota
yksityishenkilöt tekevät yksinomaan
henkilökohtaisessa tai kotitalouttaan
koskevassa toiminnassa
▪ Henkilötietojen käsittelyä
journalistisen, akateemisen,
taiteellisen tai kirjalliseen ilmaisun
tarkoituksia varten (ei sovelleta
useimpia GDPR:n vaatimuksia)
14
16. Henkilötiedot =
tunnistetiedot + muut henkilöön
liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen joko rekisterinpitäjän
tai jonkun muun tahon toimesta.
Esimerkiksi verkkoyhteyden yksilöivä
IP-osoite voi mahdollistaa henkilön tunnistamisen,
joten siihen on syytä suhtautua henkilötietona.
17. Henkilötunnus
Henkilötunnusta saa käsitellä:
▪ Rekisteröidyn suostumuksella
▪ Jos käsittelystä säädetään laissa
▪ Laissa säädetyn tehtävän suorittamiseksi
▪ Rekisteröidyn tai rekisterinpitäjän
oikeuksien ja velvollisuuksien
toteuttamiseksi, esim. työsuhteessa
▪ Historiallista tai tieteellistä tutkimusta tai
tilastointia varten
Henkilötunnusta ei tule merkitä
tarpeettomasti asiakirjoihin.
Henkilötunnusta ei ole tarkoitettu
henkilöllisyyden varmistamiseen.
17
Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet
010150-113X
18. Arkaluontoiset henkilötiedot
Arkaluontoisten eli erityisten
henkilötietoryhmien käsittely on
pääasiassa kielletty ilman henkilön
suostumusta tai laista tulevaa perustetta.
▪ rotu tai etninen alkuperä
▪ poliittiset mielipiteet
▪ uskonnollinen tai filosofinen vakaumus
▪ ammattiliiton jäsenyys
▪ terveyttä koskevat tiedot
▪ seksuaalinen suuntautuminen tai
käyttäytyminen
▪ geneettiset ja biometriset tunnistetiedot
18
23. Oikeus saada läpinäkyvää tietoa
henkilötietojen käsittelystä
23
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja ´sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
26. Selaimen yksityinen tila ei suojaa verkkoyhteyttä
Microsoft EdgeGoogle Chrome
Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin:
• Sivuhistoriaa
• Lomaketietoja ja kirjautumisia
• Evästeitä (cookies)
• Www-sivustojen tiedostoja välimuistiin
Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät kuitenkin toimintasi normaalisti.
Mozilla Firefox
26
28. VPN-yhteys salaa nettiliikenteen
▪ VPN = virtual private network (suom. virtuaalinen erillisverkko)
▪ VPN-yhteydellä nettiliikenne kulkee salattuna palveluntarjoajan palvelimen kautta.
▪ Vain VPN-palveluntarjoaja pystyy seuraamaan nettiliikenteen sisältöä.
▪ Samaa VPN-palvelua voi käyttää yleensä tietokoneella, tabletilla ja kännykällä.
▪ VPN estää oikean IP-osoitteen ja sijainnin näkymisen verkkopalveluille.
▪ Käytä työasioissa vain organisaation VPN-yhteyttä ja hyväksyttyjä sovelluksia.
▪ Muita VPN-palveluita:
▪ F-Secure Freedome, https://www.f-secure.com/en/web/home_global/freedome
▪ Vertailu VPN-palveluista:
https://proprivacy.com/vpn/comparison/best-vpn-services
▪ Opera-nettiselain suojaa www-selailun VPN:llä, http://www.opera.com/fi
28
29. ”Nämä haavoittuvuudet antavat hakkereiden
katkaista helposti viestinnän vpn-palveluntarjoajan
sekä käyttäjän välillä, jolloin hakkerit näkevät kaiken,
mitä käyttäjä tekee.
--
85 prosenttia ilmaisista vpn-ohjelmistoista halusi
käyttäjältä tarpeettoman paljon tietoa, kuten pääsyn
lukea, muokata tai poistaa puhelimessa olevaa dataa,
urkkia käyttäjän tai tämän ystävien puhelinnumerot
sekä saada selville kännykän sijainnin”
Suositut ilmaiset VPN-sovellukset sisälsivät haavoittuvuuksia
Lähde: Tivi, 27.2.2020,
https://www.tivi.fi/uutiset/nama-10-vaarallista-android-sovellusta-tulisi-poistaa-heti/d730cffb-50bd-4753-897b-0bf77236822a
29
30. Etäyhteyssovellukset
▪ Etäyhteyssovelluksella voi käyttää
esimerkiksi työpaikan tietokonetta muualta.
▪ Etäyhteyssovellusten tietoturva on yleensä
hyvä: salattu yhteys ja vahva salasana.
▪ Jos mahdollista, käytä kaksivaiheista
kirjautumista ja VPN-yhteyttä.
▪ Älä jätä etäyhteyttä valvomatta ja pidä
kirjautumistunnukset suojassa.
▪ Käytä työasioissa vain organisaation
hyväksymiä etäyhteyssovelluksia.
▪ VPN vai etäyhteyssovellus?
https://proprivacy.com/vpn/guides/vpn-
vs-remote-desktop-comparison
30
Esimerkki: LogMeIn-sovelluksen toimintaperiaate
31. Työnantajan laitteet ja ohjelmat
31
▪ Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
▪ Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
▪ Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
▪ Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
▪ Työpuhelimeen ei tulisi tallentaa
henkilökohtaisen elämän tietoja.
▪ Työpuhelut hoidetaan niin, että sivulliset eivät
kuule niitä.
32. Kännyköiden tietosuoja
• Käytä työpuhelinta työasioissa aina, kun mahdollista.
• Päivittämätön laite tai sovellus on tietoturvariski!
• Käytä aina PIN-koodia, salasanaa, sormenjälkeä tms.
• IPhonet ovat yleensä Android-laitteita turvallisempia.
• App Storen sovellustarjontaa valvotaan
tarkemmin kuin Google Playn.
• Asenna sovelluksia vain virallisista sovelluskaupoista
• Tarkista sovelluksen tekijä huijauksen varalta.
• Lue muiden kokemuksia sovelluksesta.
• Tarkista sovellusten pyytämät käyttöoikeudet.
• Käytä vain turvallisiksi tietämiäsi WLAN-verkkoja.
• Käytä laitteen paikantamista sen häviämisen varalta.
• Käytä sovelluksissa kaksivaiheista kirjautumista, jos
sellainen on tarjolla.
• Jos säilytät työhön liittyviä tiedostoja kännykässä,
salaa tallennustila/muistikortti.
• Tyhjennä vanha kännykkä.
33. Kysymys: työntekijöiden paikannus
33
Työntekijöiden paikantaminen on teknistä valvontaa. Se on mahdollista, jos työnantajalla on
siihen asiallinen peruste ja tarve, ja se käsitellään YT-menettelyssä.
Perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen sekä resurssien
(kuten ajoneuvojen) kohdentaminen oikeaan paikkaan.
Tarve tulee arvioida työntekijäkohtaisesti ja siihen tulee saada suostumus.
Työntekijän tulee voida kytkeä paikannus pois päältä varsinkin silloin, jos laitetta voi käyttää
työajan ulkopuolella (esim. työsuhdepuhelin).
Paikannustietoja ei lähtökohtaisesti pidä käyttää työajan seurannassa.
Paikannuksen käyttö työajan valvontaan ja seurantaan voi olla mahdollista, jos työtä
tehdään enimmäkseen muualla kuin työnantajan tiloissa eikä valvontaan ole muita keinoja.
Työnantajan tulee tällöin etukäteen määritellä työajan seuranta paikantamisen
käyttötarkoitukseksi.
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa uusi versio)
• Saako työnantaja paikantaa työntekijöitään?
• Saako paikannuksen tietoja käyttää työajan valvonnassa?
35. Ohjeita henkilötietojen käsittelyyn
35
▪ Tietoja ei saa käyttää mihin tahansa.
▪ Työntekijä saa käsitellä vain hänen
työtehtäviinsä liittyviä henkilötietoja.
▪ Henkilötietoja ei näytetä tai kerrota sivullisille.
▪ Henkilötietoja ei julkaista tai luovuteta ilman
suostumusta tai laista tulevaa perustetta.
▪ Tietojen säilytyksessä noudatetaan fyysistä
tietoturvaa: valvotaan tiloja ja laitteita.
▪ Tietojärjestelmissä käytetään henkilökohtaisia
tunnuksia sekä huolehditaan käyttöoikeuksista
ja seurannasta (lokit).
▪ Työnantaja huolehtii henkilötietojen käsittelyn
ohjeistuksesta, koulutuksesta ja
vaitiolovelvollisuudesta työntekijöille.
36. Tietosuojalaki 35 §: vaitiolovelvollisuus
36
Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut
tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista,
taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti
ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen
hyödyksi tai toisen vahingoksi
37. Salassa pidettävät asiakirjat etätyössä
▪ Vie salassa pidettävää paperiaineistoa kotiin vain, kun välttämätöntä.
▪ Säilytä salassa pidettäviä papereita/tietoja lukitussa tilassa, kaapissa tai muussa tilassa.
▪ Älä jätä salassa pidettävää paperiaineistoa tai henkilötietoja muiden nähtäville tai
saataville.
▪ Palauta salassa pidettävät paperit työpaikalle heti, kun niiden säilyttäminen
etätyöpisteessä ei ole enää välttämätöntä.
▪ Vältä salassa pidettävien tai luottamuksellisten tietojen tulostamista tai tallentamista
työpaikan ulkopuolella säilytettäville tietovälineille.
▪ Huolehdi tulosteiden ja tietojen asianmukaisesta käsittelystä sekä tarvittaessa
hävittämisestä.
Lähteen mm. OpiTietosuojaa.fi, 2020,
https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf
37
39. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä
▪ Työntekijät
▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot.
▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta, esim. tarve olla tavoitettavissa.
▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa.
▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta.
Voidaan sanoa, että henkilö ei ole paikalla.
▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai
irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä.
▪ Asiakkaat
▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja.
▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio)
39
40. Kysymys: henkilötiedot pilvipalveluissa
40
Periaatteessa esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen
käytölle henkilötietojen käsittelyssä ei ole estettä, sillä:
Palveluntarjoajat ovat palvelusopimusten mukaan henkilötietojen käsittelijöitä.
Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän
ja EU-komission mallisopimuslausekkeiden perusteella.
Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty
työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää
lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.
Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista
Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä?
41. Tietosuoja viestinnässä
41
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset
sähköpostilaatikot
ja tietoturva kunnossa
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Omat laitteet ja somepalvelujen käyttö
työnantajan ohjeistuksen mukaan.
43. Tietosuoja etäkokouksissa
43
Käytä vain organisaation sallimia sovelluksia
Toimita kutsu henkilökohtaisesti osallistujille
Informoi osallistujia henkilötietojen käsittelystä
Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä
Varmista huoneessa olijoiden henkilöllisyys
Varmista esittäjien osaaminen etukäteen
Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet
Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen
Lopuksi: päätä kokous, tyhjennä tai sulje huone
Suojaa tallenne ja huolehdi sen tietosuojasta
44. Zoom-etäkokouspalvelun tietosuoja
• Zoomin tietosuojaa on kritisoitu runsaasti – aiheesta.
• Zoomista on kaksi versiota: ilmaisversio sekä organisaatioille
tarkoitettu versio. Jälkimmäinen on turvallisempi.
• Zoomin vanha iPhone-versio lähetti Facebookille tietoja. Sovellus
kannattaa päivittää.
• Zoomin salaus ei suojaa palveluntarjoajan valvonnalta.
• Kokouksen ylläpitäjän käytössä on ollut toiminto, jolla voi ”vakoilla”,
ovatko osallistujat katsomassa lähetystä.
• Zoombombing-ilmiö: osallistujat ovat voineet häiriköidä.
• Zoom julkaisi huhtikuussa päivityksen, jossa ylläpitäjä voi:
• Lukita huoneen, jolloin siihen ei voi liittyä
• Aktivoida odotushuoneen, jolloin ylläpitäjä hyväksyy osallistujat
• Poistaa osallistujia
• Estää osallistujia jakamasta ruutua, keskustelemasta chatissa,
vaihtamasta nimeä
• Verkossa kaupitellaan Zoom-käyttäjien tietoja. Kyse on tunnuksista,
jotka on saatu selville kokeilemalla muista palveluista vuotaneita
tunnuksia ja salasanoja. Lisää aiheesta Zoomin blogissa:
https://blog.zoom.us/wordpress/2020/04/08/zoom-
product-updates-new-security-toolbar-icon-for-hosts-
meeting-id-hidden/
45. Erota oma ja ulkopuolinen rekisteri
45
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkko- tai
somepalvelu
(jonka kanssa ei ole
sopimusta henkilötietojen
käsittelystä)
Henkilötietoja ei saa luovuttaa toiselle
rekisterinpitäjälle, jos siitä ei ole kerrottu alun
perin rekisteröidylle tai saatu siihen
suostumusta.
Jos henkilötietoja kerätään
organisaation rekisteriin verkko- tai
somepalvelun kautta, tulee siihen olla
oikeusperuste sekä huolehtia
informointivelvollisuudesta.
46. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
46
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
47. WhatsApp työhön liittyvässä viestinnässä
• WhatsAppin kuluttajaversion käyttöehdot sallivat ainoastaan palvelun
henkilökohtaisen käytön.
• Henkilökohtainen käyttö tarkoittaa, että käyttäjätunnus on sen
rekisteröineen käyttäjän käytössä.
• Käyttöehdot eivät kiellä WhatsAppin käyttöä henkilökohtaiseen
työhön liittyvään viestintään.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, ja
mitä silloin tulee huomioida.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. mainittava tietosuojaselosteessa tai
pyydettävät suostumukset asiakkaiden kanssa viestintään.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai luvattomaan yhteystietojen keräämiseen.
• Yritys-/organisaatioprofiilin luominen on mahdollista WhatsApp
Business -sovelluksessa.
• Automatisoitua viestintää ja chatbotteja varten on WhatsApp
Business API -rajapinta.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
49. Kysymys: uusien viestintävälineiden vaikutustenarviointi
49
Viestintävälineissä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää
tietojen päätyminen sivullisille.
GDPR:n 32 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa
toimenpiteet, jotka vastaavat henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä. Ne siis
vastaavat käyttöön valittujen viestintävälineiden turvallisuudesta.
Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien syitä
ja pyritään löytämään ratkaisuja niihin.
Vaikutustenarviointi tulee tehdä erityisesti mm. silloin, kun otetaan käyttöön uutta teknologiaa.
Tietosuoja tulee huomioida normaalisti myös poikkeustilanteessa kuten pandemian aikana.
Toimenpiteet ja ratkaisut on syytä dokumentoida (osoitusvelvollisuus).
Esimerkiksi monet kunnat käyttävät Microsoft Teams -sovellusta potilaiden etävastaanottoon.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja https://tietosuoja.fi/koronavirus
• Miten uudet viestintävälineet tulisi arvioida tietosuojan kannalta?
• Vaikuttaako koronapandemian poikkeustilanne tietosuojavaatimuksiin?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (esim. terveys) käsittelyssä?
50. Tietoturvaloukkaus
50
Tietoturvaloukkauksella tarkoitetaan
henkilötietojen…
▪ vahingossa tapahtuvaa tai lainvastaista
tuhoamista
▪ häviämistä
▪ muuttamista
▪ luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tietoturvaloukkauksesta
tietosuojaviranomaiselle ja rekisteröidylle, jos
siitä aiheutuu korkea riski.
51. Esimerkkejä tietosuojaloukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
51
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun varmuuskopion
henkilötietoja sisältävästä arkistosta USB-muistitikulle.
Muistitikku varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun
tehdyn verkkohyökkäyksen seurauksena henkilöiden
henkilötietoja varastetaan.
Kyllä, jos henkilöille
todennäköisesti aiheutuu
seurauksia.
Kyllä, jos henkilöille
todennäköisesti
aiheutuvien seurausten
vakavuus on suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu
havaitsee virheen koodissa, jolla hallitaan
käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat
nähdä toistensa tietoja palvelussa.
Kyllä, kun rekisterinpitäjät
ovat saaneet tiedon
henkilötietojen
käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli tuhat
vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.
52. Vinkit
1. Etätyö on uusi normaali, joten sitä varten kannattaa
kehittää tietosuojakäytäntöjä ja tehdä ohjeet.
2. Varmista, että etätyöhön on käytettävissä turvalliset
työhön tarkoitetut välineet ja verkkoyhteys.
3. Minimointiperiaate suojaa: kerätään, tallennetaan ja
käytetään vain työtehtävissä tarvittavia tietoja.
52