SlideShare a Scribd company logo

Tietosuoja etätyössä

Harto Pönkä
Harto Pönkä

Webakatemian järjestämä webinaari 12.6.2020, Harto Pönkä, Innowise

Law
1 of 53
Download to read offline
Tietosuoja etätyössä 12.6.2020 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
Tämän koulutuksen aiheita 2 Tausta: etätyö koronakeväänä 2020 Henkilötietojen käsittely etätyöhön liittyvissä sovelluksissa ja verkkopalveluissa Tietosuojan ja GDPR:n ydinkohdat etätyön kannalta Tietosuojan huomiointi etäyhteyksissä ja etätyöhön liittyvissä laitteissa Sähköinen viestintä ja viestintäsalaisuus suhteessa GDPR:ään Tietosuojarikkomuksiin reagointi
Yleensä etätyö on tehokasta ja turvallista  Vuonna 2018 tehdyssä kyselyssä mahdollisuus etätöihin oli 39%:illa.  Tavallisimmin etätöitä tehtiin kotona (89%). Lähde: DNA, Digitaaliset elämäntavat –tutkimus, 14.5.2018 (N=1018, 15-74-v.), https://www.sttinfo.fi/data/attachments/00926/ab682199-7989-475f-885f-7c708c4ec7ca.pdf 3
Suomalaisten työssä käyttämät digisovellukset Lähde: Tilastokeskus, 2018, Digiajan työelämä, http://www.stat.fi/tup/julkaisut/tiedostot/julkaisuluettelo/ytym_1977-2018_2019_21473_net.pdf (vastaajina palkansaajat) 4 ”90 % vastaajista käytti työssään jotain digitaalista välinettä.”
Suomessa etätöihin siirtyi koronaviruksen takia useampi kuin muissa EU-maissa Lähde: Eurofound, 2020, Work, teleworking and COVID-19, https://www.eurofound.europa.eu/data/covid-19/working-teleworking 5
”300 000 ihmistä aikoo jäädä etätöihin koronan jälkeenkin” Lähde: Yle, 5.4.2020, Taloustutkimuksen kysely huhtikuun alussa 2020, https://yle.fi/uutiset/3-11291865 6
Etätyön aiheuttamia haasteita koronakeväänä 2020 Lähde: IF, 24.4.2020, YouGovin kysely 8.4.-12.4.2020 (N=1036 aikuista), https://www.sttinfo.fi/tiedote/suomalaisten-etatyokokemukset-korona-aikana-ovat-paaosin-myonteisia-tyo-ja- vapaa-aika-kietoutuvat-tiiviisti-yhteen?publisherId=69817318&releaseId=69879664 7 ”Etätöitä hoidetaan tälläkin hetkellä esimerkiksi keittiönpöydän äärestä, sohvan nurkasta, parvekkeelta tai vaikkapa pyykkivuorien keskeltä kodinhoitohuoneesta.” Haaste Vastaajista Työn ja vapaa-ajan erottaminen 37 % Puutteellinen työergonomia 32 % Työyhteisön tapaaminen ja tuen puute 32 % Ahtaaksi käyvä koti - käytössä erillinen tila etätyöhön - etätyötilassa myös muuta käyttöä 22 % 37 % 63 % Tekniset haasteet 20 % Uudet viestintätavat 19 %
Etätyö tuo käyttöön uusia sovelluksia Lähde: Lakimiesliitto, 20.04.2020, kysely 2.–13.4.2020, (N=797 liiton jäsentä), https://www.lakimiesliitto.fi/uutiset/lakimiesliiton-kysely-koronaepidemia-on-muuttanut-juristien-tyota-ja-lisannyt-tyomarkkina-asemaan-liittyvaa-epavarmuutta/ 8
Tietoturva vaarantuu etätöissä 9 Lähde: Tessian, 2020, https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa) ”Kyberturvayhtiö Tessianin tutkimuksen mukaan 52 prosenttia kotona työskentelevistä sanoo syystä tai toisesta kiertävänsä yrityksen tietoturvan käytäntöjä.” Syitä: ▪ Etätyössä käytetään eri laitteita kuin työpaikalla (50 %) ▪ Etätyössä ei koeta olevan IT-osaston valvonnassa (48 %) ▪ Työhön tulee häiriöitä mm. perheenjäsenten vuoksi (47 %) ▪ Työhön liittyvä aikataulupaine (39 %)
Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen. Siitä on kyse, jos ihminen voidaan tunnistaa tiedoista. Tietoturvalla suojataan kaikenlaisia tietoja ja järjestelmiä ulkopuolisten urkinnalta ja muulta vahingonteolta.
“Perustuslain 10 §: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. 11 Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
GDPR = EU:n yleinen tietosuoja-asetus
Mikä on EU:n yleinen tietosuoja-asetus? 1. Suojaa ihmisten perusoikeuksia ja -vapauksia, erityisesti henkilötietoja 2. Suojaa henkilötietojen vapaata liikkuvuutta ja yhdenmukaista sääntelyä EU:n sisällä 3. Sovelletaan osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä henkilörekistereihin. 13
Mitä yleisen tietosuoja-asetuksen vaatimukset eivät koske? ▪ Yksinomaan manuaalisesti käsiteltäviä henkilötietoja, jotka eivät muodosta rekisteriä ▪ Henkilötietojen käsittelyä, jota yksityishenkilöt tekevät yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa ▪ Henkilötietojen käsittelyä journalistisen, akateemisen, taiteellisen tai kirjalliseen ilmaisun tarkoituksia varten (ei sovelleta useimpia GDPR:n vaatimuksia) 14
Henkilötietoja ovat esimerkiksi: Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73
Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai jonkun muun tahon toimesta. Esimerkiksi verkkoyhteyden yksilöivä IP-osoite voi mahdollistaa henkilön tunnistamisen, joten siihen on syytä suhtautua henkilötietona.
Henkilötunnus Henkilötunnusta saa käsitellä: ▪ Rekisteröidyn suostumuksella ▪ Jos käsittelystä säädetään laissa ▪ Laissa säädetyn tehtävän suorittamiseksi ▪ Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa ▪ Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta ei ole tarkoitettu henkilöllisyyden varmistamiseen. 17 Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet 010150-113X
Arkaluontoiset henkilötiedot Arkaluontoisten eli erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman henkilön suostumusta tai laista tulevaa perustetta. ▪ rotu tai etninen alkuperä ▪ poliittiset mielipiteet ▪ uskonnollinen tai filosofinen vakaumus ▪ ammattiliiton jäsenyys ▪ terveyttä koskevat tiedot ▪ seksuaalinen suuntautuminen tai käyttäytyminen ▪ geneettiset ja biometriset tunnistetiedot 18
Suojaa erityisesti: lain mukaan salassa pidettävät tiedot
Rekisteri Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen. 20
Rekisterinpitäjä = henkilötietojen käsittelystä päättävä taho
Vastuu tietosuojasta 22
Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä 23 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja ´sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
24 Jos käsittelet työssäsi henkilötietoja, ota selvää: 1. selosteet 2. ohjeistukset 3. tietosuojavastaava
Tietosuoja etäyhteyssovelluksissa ja laitteissa 25
Selaimen yksityinen tila ei suojaa verkkoyhteyttä Microsoft EdgeGoogle Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja ja kirjautumisia • Evästeitä (cookies) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät kuitenkin toimintasi normaalisti. Mozilla Firefox 26
Langattoman verkon turvallisuus Kuva: Viestintävirasto, 2011 27
VPN-yhteys salaa nettiliikenteen ▪ VPN = virtual private network (suom. virtuaalinen erillisverkko) ▪ VPN-yhteydellä nettiliikenne kulkee salattuna palveluntarjoajan palvelimen kautta. ▪ Vain VPN-palveluntarjoaja pystyy seuraamaan nettiliikenteen sisältöä. ▪ Samaa VPN-palvelua voi käyttää yleensä tietokoneella, tabletilla ja kännykällä. ▪ VPN estää oikean IP-osoitteen ja sijainnin näkymisen verkkopalveluille. ▪ Käytä työasioissa vain organisaation VPN-yhteyttä ja hyväksyttyjä sovelluksia. ▪ Muita VPN-palveluita: ▪ F-Secure Freedome, https://www.f-secure.com/en/web/home_global/freedome ▪ Vertailu VPN-palveluista: https://proprivacy.com/vpn/comparison/best-vpn-services ▪ Opera-nettiselain suojaa www-selailun VPN:llä, http://www.opera.com/fi 28
”Nämä haavoittuvuudet antavat hakkereiden katkaista helposti viestinnän vpn-palveluntarjoajan sekä käyttäjän välillä, jolloin hakkerit näkevät kaiken, mitä käyttäjä tekee. -- 85 prosenttia ilmaisista vpn-ohjelmistoista halusi käyttäjältä tarpeettoman paljon tietoa, kuten pääsyn lukea, muokata tai poistaa puhelimessa olevaa dataa, urkkia käyttäjän tai tämän ystävien puhelinnumerot sekä saada selville kännykän sijainnin” Suositut ilmaiset VPN-sovellukset sisälsivät haavoittuvuuksia Lähde: Tivi, 27.2.2020, https://www.tivi.fi/uutiset/nama-10-vaarallista-android-sovellusta-tulisi-poistaa-heti/d730cffb-50bd-4753-897b-0bf77236822a 29
Etäyhteyssovellukset ▪ Etäyhteyssovelluksella voi käyttää esimerkiksi työpaikan tietokonetta muualta. ▪ Etäyhteyssovellusten tietoturva on yleensä hyvä: salattu yhteys ja vahva salasana. ▪ Jos mahdollista, käytä kaksivaiheista kirjautumista ja VPN-yhteyttä. ▪ Älä jätä etäyhteyttä valvomatta ja pidä kirjautumistunnukset suojassa. ▪ Käytä työasioissa vain organisaation hyväksymiä etäyhteyssovelluksia. ▪ VPN vai etäyhteyssovellus? https://proprivacy.com/vpn/guides/vpn- vs-remote-desktop-comparison 30 Esimerkki: LogMeIn-sovelluksen toimintaperiaate
Työnantajan laitteet ja ohjelmat 31 ▪ Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin. ▪ Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä. ▪ Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. ▪ Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. ▪ Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämän tietoja. ▪ Työpuhelut hoidetaan niin, että sivulliset eivät kuule niitä.
Kännyköiden tietosuoja • Käytä työpuhelinta työasioissa aina, kun mahdollista. • Päivittämätön laite tai sovellus on tietoturvariski! • Käytä aina PIN-koodia, salasanaa, sormenjälkeä tms. • IPhonet ovat yleensä Android-laitteita turvallisempia. • App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. • Asenna sovelluksia vain virallisista sovelluskaupoista • Tarkista sovelluksen tekijä huijauksen varalta. • Lue muiden kokemuksia sovelluksesta. • Tarkista sovellusten pyytämät käyttöoikeudet. • Käytä vain turvallisiksi tietämiäsi WLAN-verkkoja. • Käytä laitteen paikantamista sen häviämisen varalta. • Käytä sovelluksissa kaksivaiheista kirjautumista, jos sellainen on tarjolla. • Jos säilytät työhön liittyviä tiedostoja kännykässä, salaa tallennustila/muistikortti. • Tyhjennä vanha kännykkä.
Kysymys: työntekijöiden paikannus 33  Työntekijöiden paikantaminen on teknistä valvontaa. Se on mahdollista, jos työnantajalla on siihen asiallinen peruste ja tarve, ja se käsitellään YT-menettelyssä.  Perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen sekä resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan.  Tarve tulee arvioida työntekijäkohtaisesti ja siihen tulee saada suostumus.  Työntekijän tulee voida kytkeä paikannus pois päältä varsinkin silloin, jos laitetta voi käyttää työajan ulkopuolella (esim. työsuhdepuhelin).  Paikannustietoja ei lähtökohtaisesti pidä käyttää työajan seurannassa.  Paikannuksen käyttö työajan valvontaan ja seurantaan voi olla mahdollista, jos työtä tehdään enimmäkseen muualla kuin työnantajan tiloissa eikä valvontaan ole muita keinoja.  Työnantajan tulee tällöin etukäteen määritellä työajan seuranta paikantamisen käyttötarkoitukseksi. Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa uusi versio) • Saako työnantaja paikantaa työntekijöitään? • Saako paikannuksen tietoja käyttää työajan valvonnassa?
Henkilötietojen käsittely etätyössä 34
Ohjeita henkilötietojen käsittelyyn 35 ▪ Tietoja ei saa käyttää mihin tahansa. ▪ Työntekijä saa käsitellä vain hänen työtehtäviinsä liittyviä henkilötietoja. ▪ Henkilötietoja ei näytetä tai kerrota sivullisille. ▪ Henkilötietoja ei julkaista tai luovuteta ilman suostumusta tai laista tulevaa perustetta. ▪ Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa: valvotaan tiloja ja laitteita. ▪ Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). ▪ Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
Tietosuojalaki 35 §: vaitiolovelvollisuus 36  Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.  Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.  Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Salassa pidettävät asiakirjat etätyössä ▪ Vie salassa pidettävää paperiaineistoa kotiin vain, kun välttämätöntä. ▪ Säilytä salassa pidettäviä papereita/tietoja lukitussa tilassa, kaapissa tai muussa tilassa. ▪ Älä jätä salassa pidettävää paperiaineistoa tai henkilötietoja muiden nähtäville tai saataville. ▪ Palauta salassa pidettävät paperit työpaikalle heti, kun niiden säilyttäminen etätyöpisteessä ei ole enää välttämätöntä. ▪ Vältä salassa pidettävien tai luottamuksellisten tietojen tulostamista tai tallentamista työpaikan ulkopuolella säilytettäville tietovälineille. ▪ Huolehdi tulosteiden ja tietojen asianmukaisesta käsittelystä sekä tarvittaessa hävittämisestä. Lähteen mm. OpiTietosuojaa.fi, 2020, https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf 37
38 Kun henkilötietoja ei enää tarvita, ne tulee poistaa
Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä ▪ Työntekijät ▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot. ▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta, esim. tarve olla tavoitettavissa. ▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa. ▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. ▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä. ▪ Asiakkaat ▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja. ▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio) 39
Kysymys: henkilötiedot pilvipalveluissa 40  Periaatteessa esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä, sillä:  Palveluntarjoajat ovat palvelusopimusten mukaan henkilötietojen käsittelijöitä.  Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU-komission mallisopimuslausekkeiden perusteella.  Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.  Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.  Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 • Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä?
Tietosuoja viestinnässä 41 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Omat laitteet ja somepalvelujen käyttö työnantajan ohjeistuksen mukaan.
Esimerkki viestinnän ohjeistuksesta Lähde: Jyväskylän yliopisto, 16.3.2020, https://www.jyu.fi/digipalvelut/fi/ohjeet/tietoturva/tietoturva-ja-tietosuoja-etatyossa 42
Tietosuoja etäkokouksissa 43  Käytä vain organisaation sallimia sovelluksia  Toimita kutsu henkilökohtaisesti osallistujille  Informoi osallistujia henkilötietojen käsittelystä  Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä  Varmista huoneessa olijoiden henkilöllisyys  Varmista esittäjien osaaminen etukäteen  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen  Lopuksi: päätä kokous, tyhjennä tai sulje huone  Suojaa tallenne ja huolehdi sen tietosuojasta
Zoom-etäkokouspalvelun tietosuoja • Zoomin tietosuojaa on kritisoitu runsaasti – aiheesta. • Zoomista on kaksi versiota: ilmaisversio sekä organisaatioille tarkoitettu versio. Jälkimmäinen on turvallisempi. • Zoomin vanha iPhone-versio lähetti Facebookille tietoja. Sovellus kannattaa päivittää. • Zoomin salaus ei suojaa palveluntarjoajan valvonnalta. • Kokouksen ylläpitäjän käytössä on ollut toiminto, jolla voi ”vakoilla”, ovatko osallistujat katsomassa lähetystä. • Zoombombing-ilmiö: osallistujat ovat voineet häiriköidä. • Zoom julkaisi huhtikuussa päivityksen, jossa ylläpitäjä voi: • Lukita huoneen, jolloin siihen ei voi liittyä • Aktivoida odotushuoneen, jolloin ylläpitäjä hyväksyy osallistujat • Poistaa osallistujia • Estää osallistujia jakamasta ruutua, keskustelemasta chatissa, vaihtamasta nimeä • Verkossa kaupitellaan Zoom-käyttäjien tietoja. Kyse on tunnuksista, jotka on saatu selville kokeilemalla muista palveluista vuotaneita tunnuksia ja salasanoja. Lisää aiheesta Zoomin blogissa: https://blog.zoom.us/wordpress/2020/04/08/zoom- product-updates-new-security-toolbar-icon-for-hosts- meeting-id-hidden/
Erota oma ja ulkopuolinen rekisteri 45 Rekisteriin kerätyt henkilötiedot (organisaatio rekisterinpitäjänä) Ulkopuolinen verkko- tai somepalvelu (jonka kanssa ei ole sopimusta henkilötietojen käsittelystä) Henkilötietoja ei saa luovuttaa toiselle rekisterinpitäjälle, jos siitä ei ole kerrottu alun perin rekisteröidylle tai saatu siihen suostumusta. Jos henkilötietoja kerätään organisaation rekisteriin verkko- tai somepalvelun kautta, tulee siihen olla oikeusperuste sekä huolehtia informointivelvollisuudesta.
Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 46 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
WhatsApp työhön liittyvässä viestinnässä • WhatsAppin kuluttajaversion käyttöehdot sallivat ainoastaan palvelun henkilökohtaisen käytön. • Henkilökohtainen käyttö tarkoittaa, että käyttäjätunnus on sen rekisteröineen käyttäjän käytössä. • Käyttöehdot eivät kiellä WhatsAppin käyttöä henkilökohtaiseen työhön liittyvään viestintään. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, ja mitä silloin tulee huomioida. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. mainittava tietosuojaselosteessa tai pyydettävät suostumukset asiakkaiden kanssa viestintään. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai luvattomaan yhteystietojen keräämiseen. • Yritys-/organisaatioprofiilin luominen on mahdollista WhatsApp Business -sovelluksessa. • Automatisoitua viestintää ja chatbotteja varten on WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor
Tunnista tietoturvariskit ja loukkaukset
Kysymys: uusien viestintävälineiden vaikutustenarviointi 49  Viestintävälineissä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.  GDPR:n 32 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa toimenpiteet, jotka vastaavat henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä. Ne siis vastaavat käyttöön valittujen viestintävälineiden turvallisuudesta.  Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien syitä ja pyritään löytämään ratkaisuja niihin.  Vaikutustenarviointi tulee tehdä erityisesti mm. silloin, kun otetaan käyttöön uutta teknologiaa.  Tietosuoja tulee huomioida normaalisti myös poikkeustilanteessa kuten pandemian aikana.  Toimenpiteet ja ratkaisut on syytä dokumentoida (osoitusvelvollisuus).  Esimerkiksi monet kunnat käyttävät Microsoft Teams -sovellusta potilaiden etävastaanottoon. Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja https://tietosuoja.fi/koronavirus • Miten uudet viestintävälineet tulisi arvioida tietosuojan kannalta? • Vaikuttaako koronapandemian poikkeustilanne tietosuojavaatimuksiin? • Onko esim. Teams turvallinen arkaluontoisten tietojen (esim. terveys) käsittelyssä?
Tietoturvaloukkaus 50 Tietoturvaloukkauksella tarkoitetaan henkilötietojen… ▪ vahingossa tapahtuvaa tai lainvastaista tuhoamista ▪ häviämistä ▪ muuttamista ▪ luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja rekisteröidylle, jos siitä aiheutuu korkea riski.
Esimerkkejä tietosuojaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf 51 Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
Vinkit 1. Etätyö on uusi normaali, joten sitä varten kannattaa kehittää tietosuojakäytäntöjä ja tehdä ohjeet. 2. Varmista, että etätyöhön on käytettävissä turvalliset työhön tarkoitetut välineet ja verkkoyhteys. 3. Minimointiperiaate suojaa: kerätään, tallennetaan ja käytetään vain työtehtävissä tarvittavia tietoja. 52
53 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

Recommended

Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 

Recommended

Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Harto Pönkä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection RegulationBCC - Solutions for IBM Collaboration Software
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesDimitri Sirota
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR introTiia Rantanen
 

More Related Content

What's hot

Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Harto Pönkä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesDimitri Sirota
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 

What's hot (20)

Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection Regulation
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 

Similar to Tietosuoja etätyössä

Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Accountor Enterprise Solutions Oy
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaHarto Pönkä
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaHarto Pönkä
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHarto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaHarto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPRHarto Pönkä
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariTeemu Tiainen
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaHarto Pönkä
 
Tietosuoja etäopetuksessa
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessaHarto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaHarto Pönkä
 
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaHeikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaSuomen Yrittäjäopisto
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRJyrki Kasvi
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
 

Similar to Tietosuoja etätyössä (20)

Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
 
Tietosuoja etäopetuksessa
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessa
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
 
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaHeikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 

More from Harto Pönkä

Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 

More from Harto Pönkä (20)

Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 

Tietosuoja etätyössä

  • 2. Tämän koulutuksen aiheita 2 Tausta: etätyö koronakeväänä 2020 Henkilötietojen käsittely etätyöhön liittyvissä sovelluksissa ja verkkopalveluissa Tietosuojan ja GDPR:n ydinkohdat etätyön kannalta Tietosuojan huomiointi etäyhteyksissä ja etätyöhön liittyvissä laitteissa Sähköinen viestintä ja viestintäsalaisuus suhteessa GDPR:ään Tietosuojarikkomuksiin reagointi
  • 3. Yleensä etätyö on tehokasta ja turvallista  Vuonna 2018 tehdyssä kyselyssä mahdollisuus etätöihin oli 39%:illa.  Tavallisimmin etätöitä tehtiin kotona (89%). Lähde: DNA, Digitaaliset elämäntavat –tutkimus, 14.5.2018 (N=1018, 15-74-v.), https://www.sttinfo.fi/data/attachments/00926/ab682199-7989-475f-885f-7c708c4ec7ca.pdf 3
  • 4. Suomalaisten työssä käyttämät digisovellukset Lähde: Tilastokeskus, 2018, Digiajan työelämä, http://www.stat.fi/tup/julkaisut/tiedostot/julkaisuluettelo/ytym_1977-2018_2019_21473_net.pdf (vastaajina palkansaajat) 4 ”90 % vastaajista käytti työssään jotain digitaalista välinettä.”
  • 5. Suomessa etätöihin siirtyi koronaviruksen takia useampi kuin muissa EU-maissa Lähde: Eurofound, 2020, Work, teleworking and COVID-19, https://www.eurofound.europa.eu/data/covid-19/working-teleworking 5
  • 6. ”300 000 ihmistä aikoo jäädä etätöihin koronan jälkeenkin” Lähde: Yle, 5.4.2020, Taloustutkimuksen kysely huhtikuun alussa 2020, https://yle.fi/uutiset/3-11291865 6
  • 7. Etätyön aiheuttamia haasteita koronakeväänä 2020 Lähde: IF, 24.4.2020, YouGovin kysely 8.4.-12.4.2020 (N=1036 aikuista), https://www.sttinfo.fi/tiedote/suomalaisten-etatyokokemukset-korona-aikana-ovat-paaosin-myonteisia-tyo-ja- vapaa-aika-kietoutuvat-tiiviisti-yhteen?publisherId=69817318&releaseId=69879664 7 ”Etätöitä hoidetaan tälläkin hetkellä esimerkiksi keittiönpöydän äärestä, sohvan nurkasta, parvekkeelta tai vaikkapa pyykkivuorien keskeltä kodinhoitohuoneesta.” Haaste Vastaajista Työn ja vapaa-ajan erottaminen 37 % Puutteellinen työergonomia 32 % Työyhteisön tapaaminen ja tuen puute 32 % Ahtaaksi käyvä koti - käytössä erillinen tila etätyöhön - etätyötilassa myös muuta käyttöä 22 % 37 % 63 % Tekniset haasteet 20 % Uudet viestintätavat 19 %
  • 8. Etätyö tuo käyttöön uusia sovelluksia Lähde: Lakimiesliitto, 20.04.2020, kysely 2.–13.4.2020, (N=797 liiton jäsentä), https://www.lakimiesliitto.fi/uutiset/lakimiesliiton-kysely-koronaepidemia-on-muuttanut-juristien-tyota-ja-lisannyt-tyomarkkina-asemaan-liittyvaa-epavarmuutta/ 8
  • 9. Tietoturva vaarantuu etätöissä 9 Lähde: Tessian, 2020, https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa) ”Kyberturvayhtiö Tessianin tutkimuksen mukaan 52 prosenttia kotona työskentelevistä sanoo syystä tai toisesta kiertävänsä yrityksen tietoturvan käytäntöjä.” Syitä: ▪ Etätyössä käytetään eri laitteita kuin työpaikalla (50 %) ▪ Etätyössä ei koeta olevan IT-osaston valvonnassa (48 %) ▪ Työhön tulee häiriöitä mm. perheenjäsenten vuoksi (47 %) ▪ Työhön liittyvä aikataulupaine (39 %)
  • 10. Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen. Siitä on kyse, jos ihminen voidaan tunnistaa tiedoista. Tietoturvalla suojataan kaikenlaisia tietoja ja järjestelmiä ulkopuolisten urkinnalta ja muulta vahingonteolta.
  • 11. “Perustuslain 10 §: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. 11 Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
  • 12. GDPR = EU:n yleinen tietosuoja-asetus
  • 13. Mikä on EU:n yleinen tietosuoja-asetus? 1. Suojaa ihmisten perusoikeuksia ja -vapauksia, erityisesti henkilötietoja 2. Suojaa henkilötietojen vapaata liikkuvuutta ja yhdenmukaista sääntelyä EU:n sisällä 3. Sovelletaan osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä henkilörekistereihin. 13
  • 14. Mitä yleisen tietosuoja-asetuksen vaatimukset eivät koske? ▪ Yksinomaan manuaalisesti käsiteltäviä henkilötietoja, jotka eivät muodosta rekisteriä ▪ Henkilötietojen käsittelyä, jota yksityishenkilöt tekevät yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa ▪ Henkilötietojen käsittelyä journalistisen, akateemisen, taiteellisen tai kirjalliseen ilmaisun tarkoituksia varten (ei sovelleta useimpia GDPR:n vaatimuksia) 14
  • 16. Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai jonkun muun tahon toimesta. Esimerkiksi verkkoyhteyden yksilöivä IP-osoite voi mahdollistaa henkilön tunnistamisen, joten siihen on syytä suhtautua henkilötietona.
  • 17. Henkilötunnus Henkilötunnusta saa käsitellä: ▪ Rekisteröidyn suostumuksella ▪ Jos käsittelystä säädetään laissa ▪ Laissa säädetyn tehtävän suorittamiseksi ▪ Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa ▪ Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta ei ole tarkoitettu henkilöllisyyden varmistamiseen. 17 Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet 010150-113X
  • 18. Arkaluontoiset henkilötiedot Arkaluontoisten eli erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman henkilön suostumusta tai laista tulevaa perustetta. ▪ rotu tai etninen alkuperä ▪ poliittiset mielipiteet ▪ uskonnollinen tai filosofinen vakaumus ▪ ammattiliiton jäsenyys ▪ terveyttä koskevat tiedot ▪ seksuaalinen suuntautuminen tai käyttäytyminen ▪ geneettiset ja biometriset tunnistetiedot 18
  • 19. Suojaa erityisesti: lain mukaan salassa pidettävät tiedot
  • 20. Rekisteri Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen. 20
  • 21. Rekisterinpitäjä = henkilötietojen käsittelystä päättävä taho
  • 23. Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä 23 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja ´sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  • 24. 24 Jos käsittelet työssäsi henkilötietoja, ota selvää: 1. selosteet 2. ohjeistukset 3. tietosuojavastaava
  • 26. Selaimen yksityinen tila ei suojaa verkkoyhteyttä Microsoft EdgeGoogle Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja ja kirjautumisia • Evästeitä (cookies) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät kuitenkin toimintasi normaalisti. Mozilla Firefox 26
  • 27. Langattoman verkon turvallisuus Kuva: Viestintävirasto, 2011 27
  • 28. VPN-yhteys salaa nettiliikenteen ▪ VPN = virtual private network (suom. virtuaalinen erillisverkko) ▪ VPN-yhteydellä nettiliikenne kulkee salattuna palveluntarjoajan palvelimen kautta. ▪ Vain VPN-palveluntarjoaja pystyy seuraamaan nettiliikenteen sisältöä. ▪ Samaa VPN-palvelua voi käyttää yleensä tietokoneella, tabletilla ja kännykällä. ▪ VPN estää oikean IP-osoitteen ja sijainnin näkymisen verkkopalveluille. ▪ Käytä työasioissa vain organisaation VPN-yhteyttä ja hyväksyttyjä sovelluksia. ▪ Muita VPN-palveluita: ▪ F-Secure Freedome, https://www.f-secure.com/en/web/home_global/freedome ▪ Vertailu VPN-palveluista: https://proprivacy.com/vpn/comparison/best-vpn-services ▪ Opera-nettiselain suojaa www-selailun VPN:llä, http://www.opera.com/fi 28
  • 29. ”Nämä haavoittuvuudet antavat hakkereiden katkaista helposti viestinnän vpn-palveluntarjoajan sekä käyttäjän välillä, jolloin hakkerit näkevät kaiken, mitä käyttäjä tekee. -- 85 prosenttia ilmaisista vpn-ohjelmistoista halusi käyttäjältä tarpeettoman paljon tietoa, kuten pääsyn lukea, muokata tai poistaa puhelimessa olevaa dataa, urkkia käyttäjän tai tämän ystävien puhelinnumerot sekä saada selville kännykän sijainnin” Suositut ilmaiset VPN-sovellukset sisälsivät haavoittuvuuksia Lähde: Tivi, 27.2.2020, https://www.tivi.fi/uutiset/nama-10-vaarallista-android-sovellusta-tulisi-poistaa-heti/d730cffb-50bd-4753-897b-0bf77236822a 29
  • 30. Etäyhteyssovellukset ▪ Etäyhteyssovelluksella voi käyttää esimerkiksi työpaikan tietokonetta muualta. ▪ Etäyhteyssovellusten tietoturva on yleensä hyvä: salattu yhteys ja vahva salasana. ▪ Jos mahdollista, käytä kaksivaiheista kirjautumista ja VPN-yhteyttä. ▪ Älä jätä etäyhteyttä valvomatta ja pidä kirjautumistunnukset suojassa. ▪ Käytä työasioissa vain organisaation hyväksymiä etäyhteyssovelluksia. ▪ VPN vai etäyhteyssovellus? https://proprivacy.com/vpn/guides/vpn- vs-remote-desktop-comparison 30 Esimerkki: LogMeIn-sovelluksen toimintaperiaate
  • 31. Työnantajan laitteet ja ohjelmat 31 ▪ Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin. ▪ Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä. ▪ Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. ▪ Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. ▪ Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämän tietoja. ▪ Työpuhelut hoidetaan niin, että sivulliset eivät kuule niitä.
  • 32. Kännyköiden tietosuoja • Käytä työpuhelinta työasioissa aina, kun mahdollista. • Päivittämätön laite tai sovellus on tietoturvariski! • Käytä aina PIN-koodia, salasanaa, sormenjälkeä tms. • IPhonet ovat yleensä Android-laitteita turvallisempia. • App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. • Asenna sovelluksia vain virallisista sovelluskaupoista • Tarkista sovelluksen tekijä huijauksen varalta. • Lue muiden kokemuksia sovelluksesta. • Tarkista sovellusten pyytämät käyttöoikeudet. • Käytä vain turvallisiksi tietämiäsi WLAN-verkkoja. • Käytä laitteen paikantamista sen häviämisen varalta. • Käytä sovelluksissa kaksivaiheista kirjautumista, jos sellainen on tarjolla. • Jos säilytät työhön liittyviä tiedostoja kännykässä, salaa tallennustila/muistikortti. • Tyhjennä vanha kännykkä.
  • 33. Kysymys: työntekijöiden paikannus 33  Työntekijöiden paikantaminen on teknistä valvontaa. Se on mahdollista, jos työnantajalla on siihen asiallinen peruste ja tarve, ja se käsitellään YT-menettelyssä.  Perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen sekä resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan.  Tarve tulee arvioida työntekijäkohtaisesti ja siihen tulee saada suostumus.  Työntekijän tulee voida kytkeä paikannus pois päältä varsinkin silloin, jos laitetta voi käyttää työajan ulkopuolella (esim. työsuhdepuhelin).  Paikannustietoja ei lähtökohtaisesti pidä käyttää työajan seurannassa.  Paikannuksen käyttö työajan valvontaan ja seurantaan voi olla mahdollista, jos työtä tehdään enimmäkseen muualla kuin työnantajan tiloissa eikä valvontaan ole muita keinoja.  Työnantajan tulee tällöin etukäteen määritellä työajan seuranta paikantamisen käyttötarkoitukseksi. Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa uusi versio) • Saako työnantaja paikantaa työntekijöitään? • Saako paikannuksen tietoja käyttää työajan valvonnassa?
  • 35. Ohjeita henkilötietojen käsittelyyn 35 ▪ Tietoja ei saa käyttää mihin tahansa. ▪ Työntekijä saa käsitellä vain hänen työtehtäviinsä liittyviä henkilötietoja. ▪ Henkilötietoja ei näytetä tai kerrota sivullisille. ▪ Henkilötietoja ei julkaista tai luovuteta ilman suostumusta tai laista tulevaa perustetta. ▪ Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa: valvotaan tiloja ja laitteita. ▪ Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). ▪ Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
  • 36. Tietosuojalaki 35 §: vaitiolovelvollisuus 36  Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.  Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.  Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 37. Salassa pidettävät asiakirjat etätyössä ▪ Vie salassa pidettävää paperiaineistoa kotiin vain, kun välttämätöntä. ▪ Säilytä salassa pidettäviä papereita/tietoja lukitussa tilassa, kaapissa tai muussa tilassa. ▪ Älä jätä salassa pidettävää paperiaineistoa tai henkilötietoja muiden nähtäville tai saataville. ▪ Palauta salassa pidettävät paperit työpaikalle heti, kun niiden säilyttäminen etätyöpisteessä ei ole enää välttämätöntä. ▪ Vältä salassa pidettävien tai luottamuksellisten tietojen tulostamista tai tallentamista työpaikan ulkopuolella säilytettäville tietovälineille. ▪ Huolehdi tulosteiden ja tietojen asianmukaisesta käsittelystä sekä tarvittaessa hävittämisestä. Lähteen mm. OpiTietosuojaa.fi, 2020, https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf 37
  • 38. 38 Kun henkilötietoja ei enää tarvita, ne tulee poistaa
  • 39. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä ▪ Työntekijät ▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot. ▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta, esim. tarve olla tavoitettavissa. ▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa. ▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. ▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä. ▪ Asiakkaat ▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja. ▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio) 39
  • 40. Kysymys: henkilötiedot pilvipalveluissa 40  Periaatteessa esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä, sillä:  Palveluntarjoajat ovat palvelusopimusten mukaan henkilötietojen käsittelijöitä.  Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU-komission mallisopimuslausekkeiden perusteella.  Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.  Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.  Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 • Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä?
  • 41. Tietosuoja viestinnässä 41 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Omat laitteet ja somepalvelujen käyttö työnantajan ohjeistuksen mukaan.
  • 42. Esimerkki viestinnän ohjeistuksesta Lähde: Jyväskylän yliopisto, 16.3.2020, https://www.jyu.fi/digipalvelut/fi/ohjeet/tietoturva/tietoturva-ja-tietosuoja-etatyossa 42
  • 43. Tietosuoja etäkokouksissa 43  Käytä vain organisaation sallimia sovelluksia  Toimita kutsu henkilökohtaisesti osallistujille  Informoi osallistujia henkilötietojen käsittelystä  Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä  Varmista huoneessa olijoiden henkilöllisyys  Varmista esittäjien osaaminen etukäteen  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen  Lopuksi: päätä kokous, tyhjennä tai sulje huone  Suojaa tallenne ja huolehdi sen tietosuojasta
  • 44. Zoom-etäkokouspalvelun tietosuoja • Zoomin tietosuojaa on kritisoitu runsaasti – aiheesta. • Zoomista on kaksi versiota: ilmaisversio sekä organisaatioille tarkoitettu versio. Jälkimmäinen on turvallisempi. • Zoomin vanha iPhone-versio lähetti Facebookille tietoja. Sovellus kannattaa päivittää. • Zoomin salaus ei suojaa palveluntarjoajan valvonnalta. • Kokouksen ylläpitäjän käytössä on ollut toiminto, jolla voi ”vakoilla”, ovatko osallistujat katsomassa lähetystä. • Zoombombing-ilmiö: osallistujat ovat voineet häiriköidä. • Zoom julkaisi huhtikuussa päivityksen, jossa ylläpitäjä voi: • Lukita huoneen, jolloin siihen ei voi liittyä • Aktivoida odotushuoneen, jolloin ylläpitäjä hyväksyy osallistujat • Poistaa osallistujia • Estää osallistujia jakamasta ruutua, keskustelemasta chatissa, vaihtamasta nimeä • Verkossa kaupitellaan Zoom-käyttäjien tietoja. Kyse on tunnuksista, jotka on saatu selville kokeilemalla muista palveluista vuotaneita tunnuksia ja salasanoja. Lisää aiheesta Zoomin blogissa: https://blog.zoom.us/wordpress/2020/04/08/zoom- product-updates-new-security-toolbar-icon-for-hosts- meeting-id-hidden/
  • 45. Erota oma ja ulkopuolinen rekisteri 45 Rekisteriin kerätyt henkilötiedot (organisaatio rekisterinpitäjänä) Ulkopuolinen verkko- tai somepalvelu (jonka kanssa ei ole sopimusta henkilötietojen käsittelystä) Henkilötietoja ei saa luovuttaa toiselle rekisterinpitäjälle, jos siitä ei ole kerrottu alun perin rekisteröidylle tai saatu siihen suostumusta. Jos henkilötietoja kerätään organisaation rekisteriin verkko- tai somepalvelun kautta, tulee siihen olla oikeusperuste sekä huolehtia informointivelvollisuudesta.
  • 46. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 46 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 47. WhatsApp työhön liittyvässä viestinnässä • WhatsAppin kuluttajaversion käyttöehdot sallivat ainoastaan palvelun henkilökohtaisen käytön. • Henkilökohtainen käyttö tarkoittaa, että käyttäjätunnus on sen rekisteröineen käyttäjän käytössä. • Käyttöehdot eivät kiellä WhatsAppin käyttöä henkilökohtaiseen työhön liittyvään viestintään. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, ja mitä silloin tulee huomioida. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. mainittava tietosuojaselosteessa tai pyydettävät suostumukset asiakkaiden kanssa viestintään. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai luvattomaan yhteystietojen keräämiseen. • Yritys-/organisaatioprofiilin luominen on mahdollista WhatsApp Business -sovelluksessa. • Automatisoitua viestintää ja chatbotteja varten on WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor
  • 49. Kysymys: uusien viestintävälineiden vaikutustenarviointi 49  Viestintävälineissä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.  GDPR:n 32 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa toimenpiteet, jotka vastaavat henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä. Ne siis vastaavat käyttöön valittujen viestintävälineiden turvallisuudesta.  Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien syitä ja pyritään löytämään ratkaisuja niihin.  Vaikutustenarviointi tulee tehdä erityisesti mm. silloin, kun otetaan käyttöön uutta teknologiaa.  Tietosuoja tulee huomioida normaalisti myös poikkeustilanteessa kuten pandemian aikana.  Toimenpiteet ja ratkaisut on syytä dokumentoida (osoitusvelvollisuus).  Esimerkiksi monet kunnat käyttävät Microsoft Teams -sovellusta potilaiden etävastaanottoon. Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja https://tietosuoja.fi/koronavirus • Miten uudet viestintävälineet tulisi arvioida tietosuojan kannalta? • Vaikuttaako koronapandemian poikkeustilanne tietosuojavaatimuksiin? • Onko esim. Teams turvallinen arkaluontoisten tietojen (esim. terveys) käsittelyssä?
  • 50. Tietoturvaloukkaus 50 Tietoturvaloukkauksella tarkoitetaan henkilötietojen… ▪ vahingossa tapahtuvaa tai lainvastaista tuhoamista ▪ häviämistä ▪ muuttamista ▪ luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja rekisteröidylle, jos siitä aiheutuu korkea riski.
  • 51. Esimerkkejä tietosuojaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf 51 Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  • 52. Vinkit 1. Etätyö on uusi normaali, joten sitä varten kannattaa kehittää tietosuojakäytäntöjä ja tehdä ohjeet. 2. Varmista, että etätyöhön on käytettävissä turvalliset työhön tarkoitetut välineet ja verkkoyhteys. 3. Minimointiperiaate suojaa: kerätään, tallennetaan ja käytetään vain työtehtävissä tarvittavia tietoja. 52