SlideShare a Scribd company logo

Tietosuoja ja sosiaalinen media

FCG Koulutuksen järjestämä webinaari, 23.5.2019, Harto Pönkä, Innowise

1 of 75
Download to read offline
Tietosuoja ja
sosiaalinen media
Harto Pönkä
23.5.2019
Kuva: Pixabay
Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Yksityisyyden suoja on perusoikeus.
GDPR ja sosiaalinen media
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Huom: IP-osoite ei yksinään mahdollista tunnistamista, jolloin se ei ole henkilötieto.
Arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on pääasiassa
kielletty ilman suostumusta tai laista tulevaa perustetta.
• rotu tai etninen alkuperä
• poliittiset mielipiteet
• uskonnollinen tai filosofinen vakaumus
• ammattiliiton jäsenyys
• terveyttä koskevat tiedot
• seksuaalinen suuntautuminen tai käyttäytyminen
• geneettiset ja biometriset tiedot henkilön tunnistamista
varten
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

Recommended

Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 

More Related Content

What's hot

Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulma
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulmaGoogle Analytics, analytiikka ja evästeet -tietosuojanäkökulma
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulmaHarto Pönkä
 
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaTekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaHarto Pönkä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 

What's hot (20)

Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulma
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulmaGoogle Analytics, analytiikka ja evästeet -tietosuojanäkökulma
Google Analytics, analytiikka ja evästeet -tietosuojanäkökulma
 
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaTekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 

Similar to Tietosuoja ja sosiaalinen media

Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPRHarto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaHarto Pönkä
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaHarto Pönkä
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaHarto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Harto Pönkä
 
EU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaEU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaHarto Pönkä
 
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessaHenkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessaHarto Pönkä
 

Similar to Tietosuoja ja sosiaalinen media (20)

Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölle
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessa
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)
 
EU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaEU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussa
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessaHenkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
 

More from Harto Pönkä

Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössäHarto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminenHarto Pönkä
 

More from Harto Pönkä (19)

Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
 
Informaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminen
 

Tietosuoja ja sosiaalinen media

  • 1. Tietosuoja ja sosiaalinen media Harto Pönkä 23.5.2019 Kuva: Pixabay
  • 2. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää. Yksityisyyden suoja on perusoikeus.
  • 4. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Huom: IP-osoite ei yksinään mahdollista tunnistamista, jolloin se ei ole henkilötieto.
  • 5. Arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman suostumusta tai laista tulevaa perustetta. • rotu tai etninen alkuperä • poliittiset mielipiteet • uskonnollinen tai filosofinen vakaumus • ammattiliiton jäsenyys • terveyttä koskevat tiedot • seksuaalinen suuntautuminen tai käyttäytyminen • geneettiset ja biometriset tiedot henkilön tunnistamista varten Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
  • 6. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
  • 7. • Henkilötietojen käsittely voi perustua: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Rekisterinpitäjän lakisääteiseen velvoitteeseen – Elintärkeiden etujen suojaamiseen (esim. hätätilanne) – Julkisen tehtävän hoitamiseen tai yleiseen etuun – Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn nimenomaisella suostumuksella ja lainmukaisissa erityistapauksissa. • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Henkilötietojen käsittelyn oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
  • 8. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • 1.1.2019 voimaan tulleen tietosuojalain mukaan yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut). Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 9. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 10. • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.) • Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.) • Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.) • Informointikäytännöt (12-14 art.) • Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.) – Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.) – Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.) • Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.) – Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet – Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille – Sisäiset tarkastukset ja auditoinnit • Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio • Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi • Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.) • Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla) • Yhteisrekisterinpitäjien vastuualueet (29 art.) • Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.) • Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku) Rekisterinpitäjän osoitettavat asiat Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä, https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)
  • 11. Onko sosiaalisen median kanavat huomioitu rekisteriselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa, https://www.hel.fi/helsinki/fi/kaupun ki-ja-hallinto/osallistu-ja-vaikuta/some (18.11.2018)
  • 12. Kuntien asiakaspalvelukanavat Sähköposti 100 % Fyysinen asiakaspalvelupiste ~ 100 % Puhelinpalvelu ~ 100 % Verkkosivut ~ 100 % Sosiaalisen median palvelut (Facebook, lisäksi joissakin kunnissa Twitter tai Instagram) 73 % Sähköinen asiointi, verkkolomakkeet 70 % Etäyhteys tai videoneuvottelu 35 % Pikaviestisovellukset (esim. Skype) 33 % Chat-palvelu 30 % Asiakkuudenhallintajärjestelmä (CRM) 6 % Lähde: Kuntaliitto, Kuntien asiakaspalvelukysely 2018, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20asiakaspalvelu%202018%20-kysely.pdf (N=119 kuntaa)
  • 13. • Informointi rekisteröidyille (vrt. tietosuojaseloste) – Mitä tietoja, mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne. • Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ – Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. – Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: • Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. • Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. – Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. Tiedot on annettava maksutta. – Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille – Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista Rekisteröityjen informointi Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
  • 14. Oulun kaupungin tietosuojasivusto: https://www.ouka.fi/tietosuoja (17.9.2018)
  • 15. • Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia. – Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa. – Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan. • Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n vaatimuksia. • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä katsottu yksinään muodostavan henkilörekisteriä. – Tavallisesti esityslistojen ja pöytäkirjojen sisältämät henkilötiedot sisältyvät jo kunnan muihin henkilörekistereihin. – On arvioitava tapauskohtaisesti, mitä henkilötietoja voidaan julkaista verkossa osana esityslistaa tai pöytäkirjaa. Tavallisia poikkeuksia Lähteet: Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus- kuntalain#henkilotiedot-ja-verkkotiedottaminen
  • 16. • GDPR:n mukaan 16-vuotias (Suomessa 13-v.) voi antaa itse suostumuksen henkilötietojen käsittelyyn tietoyhteiskunnan palveluissa kuten somepalveluihin rekisteröitymiseen. – Somepalvelut vaativat joko käyttäjän syntymäajan tai ilmoittavat ehdoissaan käyttöehtojen hyväksymiseen vaadittavan iän. – Jotkin palvelut kertovat poistavansa liian nuorten käyttäjätunnukset, mutta eivät käytännössä pyri varmistamaan käyttäjien ikiä. • GDPR ei edellytä, että somepalvelut pyytäisivät käyttäjien todelliset nimet. Esimerkiksi Twitter ja Google eivät vaadi oikeaa nimeä, mutta Facebook vaatii ”nimen, jota käytät elämässäsi”. • Somepalveluissa on eroja, kielletäänkö käyttäjätunnuksen antaminen jonkun muun käyttöön. Esimerkiksi Facebook kieltää tämän. • Tavallisesti tunnuksiin liitetään sähköpostiosoite ja/tai puhelinnumero. • Useat somepalvelut kuten Facebook ja LinkedIn mahdollistavat organisaatioiden tietosuojaselosteiden linkittämisen niiden profiileihin sekä ns. liidien keräyslomakkeille. • Useat somepalvelut ovat tehneet organisaatioiden käyttöä varten valmiin sopimuksen henkilötietojen käsittelystä. Miten GDPR vaikutti somepalveluihin?
  • 17. Lähde: Facebookin käyttöehdot, ”Meille antamasi luvat ja oikeudet”, https://www.facebook.com/legal/terms (22.5.2019) Somepalvelujen käyttöehdot antavat ison vastuun käyttäjille, mutta vaativat laajat oikeudet näiden tietoihin – myös kaupalliset oikeudet käyttäjien nimiin.
  • 18. Kuvakaappaus: https://twitter.com/valtioneuvosto/status/1126065410242117632 (22.5.2019) Jos somejulkaisun tarkoitus on ainoastaan journalistinen, kirjallinen tai taiteellinen, siihen ei sovelleta useimpia GDPR:n velvoitteita. Näin ei kuitenkaan voida julkaista alun perin muuhun tarkoitukseen kerättyjä henkilötietoja. Käyttäjät ovat hyväksyneet somepalvelujen käyttöehdot, joiden puitteissa julkaisuja voidaan esimerkiksi jakaa ja upottaa muualle. Myös lainaaminen on yleensä mahdollista. Somepalvelujen käyttäjätunnukset voivat olla henkilötietoja, jos ne mahdollistavat henkilön tunnistamisen. Tämä on huomioitava, jos niitä tallennetaan palvelun ulkopuolelle.
  • 20. Rekisterinpitäjä  tarkoitukset  h.tiedot Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjän tulee käsitellä vain tarkoituksiin tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo) Oikeus- peruste
  • 21. Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
  • 22. Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
  • 23. Henkilötietojen julkaisu netissä, somessa tai esim. kunnan intranetissä: • Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille yksityishenkilöiden henkilötietoja • Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa: • Arkaluontoisia henkilötietoja • Lain mukaan salassa pidettäviä tietoja ja asiakirjoja Yksityiset laitteet ja sosiaalisen median palvelut: • Tee linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä • Ohjeista somepalvelujen käyttö työhön liittyvässä yhteydenpidossa Henkilötiedot digitaalisessa viestinnässä Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
  • 24. • Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti säädetty. • Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti saajalla on oikeus käyttää niitä (JulkL 16 §). – Vaikka tiedot olisivat julkisia, ei niitä voida luovuttaa kenelle tahansa. – Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. • Suostumus on käytännössä esimerkiksi: – Sopimuksen/käyttöehtojen hyväksyntä, jos ehdoissa on mainittu, että henkilötietoja tullaan julkaisemaan – Julkaisuluvat esimerkiksi kuviin ja videoihin – Suostumus haku-/ilmoittautumislomakkeessa – Muilla tavoin kysytyt ja saadut suostumukset • Työntekijöiden nimet ja työhön liittyvät yhteystiedot voi julkaista. – Kuvan julkaisusta on syytä sopia erikseen. Henkilötietojen julkaisu netissä Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/usein-kysyttya-internet
  • 25. Lähde: Kuntalaki, https://www.finlex.fi/fi/laki/alkup/2015/20150410 Kunnan viestintä perustuu kuntalain 29§:ään. Joistakin asiakirjoista säädetään erikseen. Lisäksi on huomioitava mm. julkisuuslaki, hallintolaki, tietosuojalaki ja tietenkin GDPR. Henkilötiedot kunnan viestinnässä
  • 26. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
  • 27. Henkilötietorekisteriä saa käyttää vain alkuperäisiin tarkoituksiin. Vaikka tiedot olisivat julkisuuslain perusteella julkisia, organisaation työntekijät saavat käyttää rekisteriä vain tehtäviinsä liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn Tampereen yliopiston professori käytti opiskelijarekisteristä saatavia tietoja someväittelyssä...  Yliopisto puuttui asiaan.
  • 28. Julkisuus, salassapito ja viranomaisen asiakirjat somepalveluissa
  • 29. Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
  • 30. Taiteellinen, kirjallinen, akateeminen tai journalistinen sisältö Julkinen henkilötieto Ei-julkinen henkilötieto (esim. turvakielto, salainen puh.nro) Arkaluonteiset henkilötiedot/ erityiset henkilötietoryhmät Salassapidettävät tiedot ja asiakirjat Suullisesti tai paikanpäällä näytettynä Kyllä Kyllä Ei Ei Ei Sähköisesti, kopiona tai tulosteena Kyllä Kyllä, jos saajalla on oikeus käsitellä henkilötietoja Ei Ei Ei Suojattuna sähköisesti (sähköposti tai verkkopalvelun yksityisviesti) Kyllä Kyllä, jos saajalla on oikeus käsitellä henkilötietoja Ei Ei Ei Julkisesti (netti, some tai ilmoitustaulu) Kyllä Ei. Mahdollista tapauskohtaisesti tiedottamisessa, esityslistoissa ja pöytäkirjoissa. Ei Ei Ei Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn suostumusta tai nimenomaista luovuttamisen mahdollistavaa lakipykälää. Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017, https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain
  • 31. Valokuvat ja videot • Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. • Tunnistettavan henkilökuvan julkaisuun on syytä pyytää lupa. • Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. • Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. • Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. • Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
  • 32. - Miten kunnat saavat julkaista yksityishenkilöiden kuvia/videoita omilla somekanavillaan? - Voiko julkisesta tilaisuudesta ottaa kuvaa? - Pitääkö jokaiselta kuvassa olijalta pyytää kirjallinen kuvauslupa? Kysymys: tapahtumissa kuvaaminen • Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain journalistisia tai taiteellisia tarkoituksia varten. • Esimerkiksi oppilaitoksen tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. • Jos kuvaaminen tulee kuvattaville yllätyksenä, tai sen tarkoitus ei ole selvä, kannattaa kertoa, miksi kuvataan, ja pyytää kuvien julkaisuun suostumus. • Kunta ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää. • Kuvien julkaisua säätelee eri lait. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu toimitukselliseen tarkoitukseen on ok.
  • 33. - Jos kunta tilaa yksityiseltä henkilöltä taikka yritykseltä vaikkapa markkinointikäyttöön suunnatun videon, niin pitääkö jokaiselta videolla näkyvältä pyytää kirjallinen kuvauslupa? Kysymys: videot markkinoinnissa • Video ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Esimerkiksi julkisesta tapahtumasta tiedotusta varten tehty video ei yleensä edellytä kuvauslupia kaikilta videossa näkyviltä henkilöiltä. – Jos tilanne on osallistujien kannalta yllättävä, kannattaa kuvaamisesta tiedottaa etukäteen ja/tai pyytää kuvausluvat videossa selvästi tunnistettavissa olevilta henkilöiltä. • Markkinointivideon tekijällä on oltava lupa käyttää videossa olevaa materiaalia markkinointitarkoituksiin sekä tarvittaessa kuvausluvat henkilöiltä. • Jos kunta tilaa markkinointivideon teon ulkopuoliselta, on vastuu videolla olevasta materiaalista ensisijaisesti videon tekijällä. • Vastuukysymyksistä on hyvä sopia etukäteen videon tekijän kanssa.
  • 35. Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
  • 36. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU- komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä. Kysymys: henkilötiedot pilvipalveluissa
  • 38. Erota oma ja ulkopuolinen rekisteri Rekisteriin kerätyt henkilötiedot (organisaatio rekisterinpitäjänä) Ulkopuolinen somepalvelu (jonka kanssa ei ole sopimusta henkilötietojen käsittelystä) Et saa luovuttaa rekisteröidyltä saatuja henkilötietoja toiselle rekisterinpitäjälle, jos siitä ei ole kerrottu alun perin rekisteröidylle tai saatu siihen suostumusta. Jos keräät henkilötietoja organisaatiosi rekisteriin somepalvelun kautta, tulee siihen olla oikeusperuste sekä huolehtia rekisterinpitäjän informointivelvollisuudesta. Somepalvelua voidaan käyttää viestintään rekisteröityjen kanssa myös silloin, kun aloite siihen tulee heiltä. Tämä on syytä huomioida tietosuojaselosteessa.
  • 39. Kuvakaappaus: Googlen tietosuojakäytäntö, https://policies.google.com/privacy/update?hl=fi (14.5.2018) Tunne ulkopuolisten verkkopalvelujen käyttöehdot ja yksityisyyskäytännöt!
  • 40. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  • 41. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Yhdysvaltalaisia palveluita voidaan käyttää myös rekisteröityjen tai alaikäisten huoltajien suostumuksella tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  • 42. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestipalvelut yhteydenpidossa
  • 43. WhatsApp Business -sovellus • Android-versio tammikuussa 2018, iOS-versio huhtikuussa 2019 • Asennettu yli 50 miljoonaa kertaa • Kuten WhatsApp-sovellus, mutta voi luoda profiilin yritykselle/organisaatiolle • Sisältää GDPR:n mukaisen sopimuksen henkilötietojen käsittelystä • Keskustelun aloitus linkin kautta • Automaattiset aloitusviestit, pikavastaukset, tilastot • Android: https://play.google.com/store/apps/details?id=com.wh atsapp.w4b • iOS: https://itunes.apple.com/app/whatsapp- business/id1386412985?mt=8
  • 44. Pikaviestipalvelujen tietosuoja Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
  • 45. Kuva: Vincenzo Cosenza, 2018, http://vincos.it/world-map-of-social-networks/ (CC-BY-NC) Henkilötiedot saattavat päätyä ainakin sen maan viranomaisille, jossa palvelu sijaitsee. Facebookista tiedot päätyvät USA:han, Telegramin Venäjälle, WeChatin Kiinalle jne.
  • 46. Työntekijöiden viestien yksityisyys • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä • On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä • Sähköpostit ja somepalvelujen viestit voivat joissain tapauksissa olla viranomaisen asiakirjoja, joihin liittyy julkisuusperiaate
  • 47. Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958
  • 48. Pitääkö Facebook-ryhmästä tehdä rekisteriseloste? Kuvakaappaus: https://www.facebook.com/groups/PuskaradioJyvaskyla/ (29.10.2018)
  • 49. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
  • 50. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä työntekijätunnusta ei pitäisi tehdä. • Henkilökohtaisen tunnuksen käyttö työssä voi perustua vain vapaaehtoisuuteen. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin asiakkaita ei tarvitse ottaa kavereiksi. • Nykyään Facebook-sivut voivat osallistua myös ryhmien keskusteluihin. • Facebookin käyttöehdot: https://www.facebook.com/legal/ terms/update
  • 51. Tiedotus (kirjallinen, taiteellinen, akateeminen ja journalistinen sisältö) Yhteydenpito rekisteröityihin Henkilötietojen säilytys Rekisteröityjen sähköinen asiointi Kunnan omat verkkopalvelut (kotisivut, intra) Ok Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Kunnan hallinnoimat verkkopalvelut (pilvipalvelut ja muut sopimuspalvelut) Ok Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Kunnan hallinnoimat profiilit julkisissa somepalveluissa Ok Ok, jos käyttöoikeudet ovat oikein, ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Kunnan työntekijöiden henkilökohtaiset profiilit julkisissa somepalveluissa Ok Ok, jos ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen). Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.
  • 52. • Kun viestinnässä käytetään ulkopuolisia somepalveluita, on syytä sopia ja ohjeistaa yhteiset toimintamallit – Miten rekisteröityjen informointi tehdään somessa? Onko mahdollista linkittää tietosuojaseloste profiiliin? – Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa? – Millä edellytyksin henkilötietoja voidaan viedä palveluun? – Miten huolehditaan, ettei henkilötietoja ”unohdu” palveluun? • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava. • Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa selvät ohjeet: mitä saa ja ei saa tehdä. • Työntekijää ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle. • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin. • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin. Somepalvelut ja tietosuoja
  • 54. Suoramarkkinointi ja tietosuoja • Perinteinen suoramarkkinointi – Postitse tai puhelimitse – Saa tehdä, jos vastaanottaja ei ole kieltänyt – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Sähköinen suoramarkkinointi – Sähköpostiviestit, tekstiviestit, ääniviestit, kuvaviestit – Yksityishenkilöiltä tarvitaan suostumus etukäteen – Yrityksiltä ja niiden edustajilta ei tarvita suostumusta – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Ulkoistettu suoramarkkinointi – Esimerkiksi postitus- ja puhelinmyyntipalvelut – Henkilötietoja annetaan toiselle yritykselle markkinoinnin tekoa varten, joten tarvitaan sopimus henkilötietojen käsittelystä – Toimeksiantaja on vastuussa markkinoinnista Lähde: Suomen yrittäjät, 2018, Yrittäjän tietosuojaopas, https://www.yrittajat.fi/yrittajan-abc/yritystoiminnan-abc/yrittajan- tietosuojaopas/suoramarkkinointi-570917
  • 55. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Seloste käsittelytoimista ja rekisteröidyn informointi (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
  • 56. • Suostumus (opt-in) – Sähköinen suoramarkkinointi (sähköposti, tekstiviesti ym.) – Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä. – Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos • markkinoinnissa käytetään automaattista profilointia • tietoja luovutetaan muille tahoille (esim. Facebook tai Google) • Rekisterinpitäjän oikeutettu etu – Perinteinen suoramarkkinointi (puhelimitse ja postitse) – Asiakassuhteeseen liittyvä viestintä: voit tiedottaa asiakassuhteeseen liittyvistä asioista ja esimerkiksi siihen liittyvistä tulevista tapahtumista. – B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman etukäteissuostumusta. – Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus! • Mieti rekisteröidyn näkökulmasta, milloin kyse on suoramarkkinoinnista, ja erota se selvästi muusta viestinnästä. • Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä ja mistä tietosuojaseloste on luettavissa. • Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat. Markkinointi ja GDPR
  • 57. • Kolmannen osapuolen eväste (cookie) on laitteelle tallennettava tiedosto, jonka avulla käyttäjää voidaan seurata netissä muiden palvelujen toimesta. • Esimerkkejä: – Google Analyticsin kävijäseurantakoodi – Googlen AdWordsin sivustotagi / uudelleenmarkkinointipikseli – Facebookin tykkäysnappula tai kirjautumistoiminto – Facebook-mainonnan pikseli – Chat-palvelujen evästeet • Laki (tietoyhteiskuntakaari 205 §) vaatii, että evästeistä kerrotaan käyttäjille. Jos evästeitä käytetään vain sivuston toimintoihin, niistä ei tarvitse kertoa. • Esimerkiksi näin: • Suomessa on tulkittu, että käyttäjän suostumukseksi riittää se, että evästeet on sallittu nettiselaimen asetuksissa. • GDPR ei puutu evästeisiin, mutta sitä koskeva asetus on odotettavissa myöhemmin (nk. sähköisen viestinnän tietosuoja-asetus, ePrivacy). Kolmansien osapuolten evästeet Sivustolla käytetään evästeitä kävijäseurantaan ja markkinointiin. Evästekäytäntö Hyväksy Lisätietoa: Evästeet nettisivuilla ja GDPR - miten pitää ilmoittaa?, https://www.innowise.fi/fi/evasteet-eli-cookiet-nettisivuilla-ja-gdpr/
  • 59. 4 artikla 4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN GDPR:n tarkoittama profilointi Profilointiin tarvitaan suostumus tai sopimus!
  • 60. Milloin analytiikka on profilointia? • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
  • 61. Käytätkö profilointia markkinoinnissa? Facebookiin viedyt asiakastiedostot Nimi, sähköposti, puhelinnumero, syntymäaika, kaupunki, laitetunniste ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Googleen viedyt asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Esimerkiksi sähköpostimarkkinointi manuaalisesti valituille kohderyhmille Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
  • 62. Miten voit rajoittaa Facebook-tietojesi käyttöä mainontaan? Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainokset Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/ Lista kymmenistä yrityksistä, jotka ovat tuoneet tietojasi Facebookiin Katso, miten monella eri tavalla Facebook on profiloinut sinut
  • 63. Riskien arviointi ja vastuu tietosuojasta
  • 64. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  • 65. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  • 66. Tietosuojaa koskeva vaikutustenarviointi Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu. (GDPR:n 35 artiklan 7 kohta ja johdanto-osan 84 ja 90 kappale) Lähde: Tietosuojatyöryhmä, 2017, http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa _koskevasta_vaikutustenarvioinnista.pdf
  • 67. Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
  • 69. Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
  • 70. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 71. Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
  • 72. Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  • 73. GDPR-TARKISTUSLISTA 1. Vastuunjako organisaatiossa on selvä 2. Henkilötietojen käsittelyn toimet, tarkoitukset ja rekisterit on tunnistettu 3. GDPR:n vaikutustenarviointi on tehty 4. Seloste henkilötietojen käsittelystä on tehty ja henkilöstö tuntee sen 5. Henkilötietojen käsittelijöiden kanssa on sopimukset kunnossa 6. Henkilöstön oikeudet henkilötietoihin on määritelty tehtävien mukaisesti 7. Rekistereihin ei ole yhteiskäyttötunnuksia 8. Henkilötietojen käsittelylle on ohjeistus 9. Henkilötietoja ei julkaista tai luovuteta ilman ko. henkilön suostumusta 10. Rekisteröidyille ja alaikäisten huoltajille on tiedotettu henkilötietojen käsittelystä (informointi) 11. Pyyntöihin vastaamiseen on toimintamalli