SlideShare a Scribd company logo
1 of 82
Download to read offline
Tietosuoja kunnan
asiakaspalvelussa ja
viestinnässä
7.5.2021
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018
“
Perustuslain 10 §:
Jokaisen yksityiselämä, kunnia ja kotirauha
on turvattu. Henkilötietojen suojasta
säädetään tarkemmin lailla.
Kirjeen, puhelun ja muun luottamuksellisen
viestin salaisuus on loukkaamaton.
2
Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
GDPR = EU:n yleinen tietosuoja-asetus
Mikä on EU:n yleinen tietosuoja-asetus?
1. Suojaa ihmisten perusoikeuksia ja -vapauksia,
erityisesti henkilötietoja
2. Suojaa henkilötietojen vapaata liikkuvuutta ja
yhdenmukaista sääntelyä EU:n sisällä
3. Sovelletaan osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä henkilörekistereihin.
4
Mitä yleisen tietosuoja-asetuksen
vaatimukset eivät koske?
▪ Yksinomaan manuaalisesti
käsiteltäviä henkilötietoja, jotka eivät
muodosta rekisteriä
▪ Henkilötietojen käsittelyä, jota
yksityishenkilöt tekevät yksinomaan
henkilökohtaisessa tai kotitalouttaan
koskevassa toiminnassa
▪ Henkilötietojen käsittelyä
journalistisen, akateemisen,
taiteellisen tai kirjalliseen ilmaisun
tarkoituksia varten (ei sovelleta
useimpia GDPR:n vaatimuksia)
5
Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen joko rekisterinpitäjän
tai jonkun muun tahon toimesta.
Henkilötunnus
Henkilötunnusta saa käsitellä:
▪ Rekisteröidyn suostumuksella
▪ Jos käsittelystä säädetään laissa
▪ Laissa säädetyn tehtävän suorittamiseksi
▪ Rekisteröidyn tai rekisterinpitäjän
oikeuksien ja velvollisuuksien
toteuttamiseksi, esim. työsuhteessa
▪ Historiallista tai tieteellistä tutkimusta tai
tilastointia varten
Henkilötunnusta ei tule merkitä
tarpeettomasti asiakirjoihin.
Henkilötunnusta ei ole tarkoitettu
henkilöllisyyden varmistamiseen.
7
Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet
010150-113X
Erityiset eli arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on
pääasiassa kielletty ilman henkilön
suostumusta tai laista tulevaa perustetta.
▪ rotu tai etninen alkuperä
▪ poliittiset mielipiteet
▪ uskonnollinen tai filosofinen vakaumus
▪ ammattiliiton jäsenyys
▪ terveyttä koskevat tiedot
▪ seksuaalinen suuntautuminen tai
käyttäytyminen
▪ geneettiset ja biometriset tunnistetiedot
8
Rekisteri
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
9
Henkilötietojen käsittelylle tulee olla laillinen peruste
▪ Henkilön suostumus
▪ Sopimus, jossa rekisteröity on osapuolena
▪ Rekisterinpitäjän lakisääteinen velvoite
▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne)
▪ Julkisen tehtävän hoitaminen tai yleinen etu
▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
(esim. asiakassuhde tai työsuhde)
10
Suostumuksen antaminen
11
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
▪ Suostumukset ja luvat tulee dokumentoida sekä tarkistaa vuosittain.
▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
Kenellä on vastuu tietosuojasta?
12
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.
GDPR:n mukaiset selosteet
1. Seloste käsittelytoimista
▪ ”Rekisteriseloste”
▪ Organisaation sisäinen (ei-julkinen)
▪ Pakollinen yli 250 hengen
organisaatioissa ja mm. silloin, kun
henkilötietojen käsittely on jatkuvaa
▪ Kattaa kaiken henkilötietojen
käsittelyn organisaatiossa
▪ Henkilötietojen käsittelyn
osoitusvelvollisuuden perusta
▪ Yleensä tietosuojavastaava ylläpitää
2. Rekisteröityjen informointi
▪ ”Tietosuojaseloste”
▪ Julkinen / oltava saatavilla
tilanteessa, jossa henkilötietoja
saadaan, tai toimitettava
rekisteröidylle kk:n sisällä
▪ Tarkoittaa kaikkea rekisteröidyille
kerrottavaa tietoa h.t. käsittelystä
▪ Voi kattaa kaikki eri rekisterit tai olla
rekisterikohtainen
▪ Sisältää myös rekisteröityjen oikeudet
13
Informointivelvollisuus =
rekisteröidyn oikeus saada läpinäkyvää
tietoa henkilötietojen käsittelystä
14
Lisätietoa: TSV, Rekisteröidyn informointi, https://tietosuoja.fi/rekisteroidyn-informointi
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja ´sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
15
Jos käsittelet työssäsi
henkilötietoja, ota selvää:
1. selosteet
2. ohjeistukset
3. tietosuojavastaava
Tietosuojalaki 35 §: vaitiolovelvollisuus
16
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Sopimus henkilötietojen käsittelystä
17
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
▪ Merkitys = käsittelijä toimii rekisterinpitäjän
lukuun JA tämän vastuulla(!)
▪ Sopimuksessa vahvistetaan:
▪ käsittelyn kohde, kesto, luonne ja tarkoitus,
▪ rekisteröityjen ryhmät ja tietojen tyypit,
▪ rekisterinpitäjän velvollisuudet ja oikeudet.
▪ Erityisesti tulee sopia, että käsittelijä:
▪ käsittelee tietoja ohjeiden mukaisesti,
▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset
turvallisuudesta,
▪ ei käytä toisia käsittelijöitä ilman lupaa,
▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet,
▪ lopuksi poistaa tai palauttaa tiedot,
▪ antaa tarvittavat tiedot osoitusvelvollisuudesta,
▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
Tietosuojaperiaatteet ja henkilötietojen käsittely
18
Tietosuojaperiaatteet
19
▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
▪ Käyttötarkoitussidonnaisuus
▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
▪ Tietojen minimointi
▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
▪ Tietojen täsmällisyys
▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus
▪ Tietojen säilytyksen rajoittaminen
▪ Tietoja säilytetään vain tarvittavan ajan
▪ Tietojen eheys ja luottamuksellisuus
▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
▪ Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
20
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste
Esimerkkejä käsiteltävistä henkilötiedoista
21
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Hekilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Käyttötarkoitussidonnaisuus
22
Henkilötietojen käsittelyn
tarkoitukset ja tavat tulisi
ilmetä selkeästi rekisteröidyn
informoinnista.
Muista tietojen minimointi
kaikissa käyttötapauksissa.
Muista suostumuksen
edellytykset: se ei sovellu
kaikkiin tilanteisiin.
Ohjeita henkilötietojen käsittelyyn
23
▪ Tietoja ei saa käyttää mihin tahansa.
▪ Työntekijä saa käsitellä vain hänen
työtehtäviinsä liittyviä henkilötietoja.
▪ Henkilötietoja ei näytetä tai kerrota sivullisille.
▪ Henkilötietoja ei julkaista tai luovuteta ilman
suostumusta tai laista tulevaa perustetta.
▪ Tietojen säilytyksessä noudatetaan fyysistä
tietoturvaa: valvotaan tiloja ja laitteita.
▪ Tietojärjestelmissä käytetään henkilökohtaisia
tunnuksia sekä huolehditaan käyttöoikeuksista
ja seurannasta (lokit).
▪ Työnantaja huolehtii henkilötietojen käsittelyn
ohjeistuksesta, koulutuksesta ja
vaitiolovelvollisuudesta työntekijöille.
Salassa pidettävät asiakirjat etätyössä
▪ Vie salassa pidettävää paperiaineistoa kotiin vain, kun välttämätöntä.
▪ Säilytä salassa pidettäviä papereita/tietoja lukitussa tilassa, kaapissa tai muussa tilassa.
▪ Älä jätä salassa pidettävää paperiaineistoa tai henkilötietoja muiden nähtäville tai
saataville.
▪ Palauta salassa pidettävät paperit työpaikalle heti, kun niiden säilyttäminen
etätyöpisteessä ei ole enää välttämätöntä.
▪ Vältä salassa pidettävien tai luottamuksellisten tietojen tulostamista tai tallentamista
työpaikan ulkopuolella säilytettäville tietovälineille.
▪ Huolehdi tulosteiden ja tietojen asianmukaisesta käsittelystä sekä tarvittaessa
hävittämisestä.
Lähteen mm. OpiTietosuojaa.fi, 2020,
https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf
24
Henkilötiedot puheluissa
25
Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus
▪ Henkilö on tunnistettava puhelussa, jos
käsitellään hänen henkilötietojaan.
▪ Vahva tunnistaminen:
1) jotain mitä olet (nimi, HETU)
2) jotain mitä sinulla on (puh.nro, s.postiosoite)
3) jotain mitä tiedät (salasana, asiakastiedot)
▪ Puhelujen nauhoittaminen on sallittua, kun
rekisterinpitäjällä on käsittelyyn oikeusperuste,
esim. asiakassuhteessa rek. pit. oikeutettu etu.
▪ Henkilötietojen käsittelystä on informoitava.
Esimerkiksi nauhoituksesta on kerrottava.
▪ Puhelussa voidaan kertoa, mistä
tietosuojaseloste on luettavissa (nettisivut),
lukea se ääneen tai se voidaan lähettää
esimerkiksi sähköpostitse.
Tietosuoja viesteissä
26
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset
sähköpostilaatikot
ja tietoturva kunnossa
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Omien laitteiden ja niissä olevien sovellusten
käyttö työnantajan ohjeistuksen mukaan.
Viestinnän luottamuksellisuus
27
▪ Viestintä on perustuslain 10 §:n perusteella luottamuksellista.
▪ Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat luottamuksellisen viestinnän
piiriin.
▪ Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea.
▪ Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän
sähköpostiosoitteeseen edellyttää tämän suostumusta.
▪ Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän palveluista, 136 §):
▪ Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi
esim. kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun
yksityisyyttä.
▪ Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen
suostumuksella tai jos laissa niin säädetään.
▪ Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei
ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai
käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta
▪ Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka oikeudettomasti 1) avaa toiselle
osoitetun … taikka 2) hankkii tiedon..
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 18.6.2020,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja+2020-+Tietosuojavaltuutetun+toimisto.pdf
Esimerkki viestinnän ohjeistuksesta
Lähde: Jyväskylän yliopisto, 16.3.2020,
https://www.jyu.fi/digipalvelut/fi/ohjeet/tietoturva/tietoturva-ja-tietosuoja-etatyossa
28
Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa
29
▪ Käytä vain organisaation sallimia sovelluksia.
▪ Toimita kutsu henkilökohtaisesti osallistujille.
▪ Informoi osallistujia henkilötietojen käsittelystä.
▪ Varmista huoneessa olijoiden henkilöllisyys.
▪ Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä.
▪ Varmista esittäjien osaaminen etukäteen.
▪ Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone.
▪ Suojaa tallenne ja huolehdi sen tietosuojasta.
Etätyö ja tietoturva
30
Tietoturva vaarantuu etätöissä
31
Lähde: Tessian, 2020,
https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa)
”Kyberturvayhtiö Tessianin tutkimuksen mukaan
52 prosenttia kotona työskentelevistä sanoo
syystä tai toisesta kiertävänsä yrityksen
tietoturvan käytäntöjä.”
Syitä:
▪ Etätyössä käytetään eri laitteita kuin
työpaikalla (50 %)
▪ Etätyössä ei koeta olevan IT-osaston
valvonnassa (48 %)
▪ Työhön tulee häiriöitä mm. perheenjäsenten
vuoksi (47 %)
▪ Työhön liittyvä aikataulupaine (39 %)
Kännyköiden tietoturva
• Päivittämätön laite tai sovellus on aina riski.
• Käytä PIN-koodia, salasanaa, sormenjälkeä tms.
• Asenna vain turvallisiksi tietämiäsi sovelluksia.
• App Storen sovellustarjontaa valvotaan
tarkemmin kuin Google Playn.
• Käytä vain turvallisiksi tietämiäsi WLAN-verkkoja.
• Käytä laitteen paikantamista häviämisen varalta.
• Käytä sovelluksissa kaksivaiheista kirjautumista,
jos sellainen on tarjolla.
• Jos säilytät työhön liittyviä tiedostoja
kännykässä, salaa tallennustila/muistikortti.
• Jos laitteeseen tai sovelluksen ei saa enää
päivityksiä, lopeta sen käyttö.
• Tyhjennä vanha kännykkä.
Työnantajan laitteet ja ohjelmat
33
▪ Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
▪ Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
▪ Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
▪ Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
▪ Työpuhelimeen ei tulisi tallentaa
henkilökohtaisen elämän tietoja.
▪ Työpuhelut hoidetaan niin, että sivulliset eivät
kuule niitä.
Hyvä salasana
▪ Mieluummin salalause kuin -sana!
▪ Vähintään 8, mielellään 15 merkkiä
▪ Sisältää kirjaimia, numeroita ja
erikoismerkkejä
▪ Ei ole nimi, sana tai päivämäärä
▪ Ei ole arvattavissa
▪ Ei ole käytössä muualla
▪ Käytä kaksivaiheista todennusta aina,
kun mahdollista!
34
Milloin on syytä epäillä haittaohjelmaa?
▪ Laite hidastuu ilman selvää syytä.
▪ Laitteelle ilmestyy yllättäen uusia ohjelmia.
▪ Laite alkaa näyttää mainoksia, nettiselaimen
aloitussivu vaihtuu tai muuta yllättävää.
▪ Tuttavasi saavat sinulta roskapostia.
▪ Verkkoyhteys siirtää dataa, vaikka et käytä
nettiä ja päivityksiä ei ole latautumassa.
▪ Windows 10: Asetukset → Verkko &
internet → Datan käyttö
▪ Applen tietokoneissa: Ohjelmat →
Lisäohjelmat → Järjestelmän valvonta ja
▪ Iphone ja iPad: Asetukset → Mobiiliverkko
▪ Muut kännykät: Asetukset → Datan käyttö
35
Lisätietoa: https://yle.fi/aihe/artikkeli/2019/06/02/digitreenit-kirotut-haittaohjelmat-kuinka-tunnistaa-onko-kone-saastunut
WLAN-tukiasemien turvallisuus
1. Käytä WPA2-salausta ja pitkää salasanaa.
▪ Päivitä tarvittaessa verkkokorttisi ajuri WPA2-yhteensopivaksi.
▪ Älä käytä vanhaa WEP- tai WPS-suojausta.
▪ Tukiaseman nimen piilottaminen ei paranna sen tietoturvaa.
2. Muuta WLAN-tukiasemasi hallintapaneelin asetuksia vain kaapeliyhteyden kautta. Voit
estää sen käytön langattoman verkon kautta.
3. Vaihda WLAN-tukiaseman hallintapaneelin käyttäjätunnus ja salasana. Hyökkääjä voi
saada tietoonsa tehdasasetuksena olevan tunnuksen ja siihen liitetyn salasanan.
4. Tee tukiaseman ohjelmiston päivitykset viipymättä.
5. Seuraa verkon käyttöä tuntemattomien käyttäjien (laitteiden) varalta.
36
VPN-yhteys salaa nettiliikenteen
▪ VPN-yhteydellä nettiliikenne kulkee salattuna
palveluntarjoajan palvelimen kautta.
▪ VPN estää oikean IP-osoitteen ja sijainnin
näkymisen verkkopalveluille.
▪ Käytä työasioissa vain työnantajan VPN-yhteyttä
ja hyväksyttyjä sovelluksia.
▪ Kuluttajille sopivia VPN-palveluita:
▪ ProtonVPN, https://protonvpn.com/
▪ Opera-nettiselain sisältää VPN:n,
http://www.opera.com/fi
▪ F-Secure Freedome, https://www.f-
secure.com/en/web/home_global/freedome
Lisätietoa ja kuva: https://www.cloudflare.com/learning/access-management/what-is-a-vpn/
37
Tietosuojarikkomukseen reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden
havainnoista on hyötyä jatkotutkinnalle.
4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet,
yhteystiedot, arkaluontoiset ja salassa pidettävät jne.
5. Ilmoita tietosuojavaltuutetun toimistolle:
https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
6. Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. Anna
ohjeita, miten välttää ikäviä seurauksia.
38
Henkilötiedot viestinnässä
Kunnan viestinnän lakiperuste
▪ Kunnan viestintä perustuu kuntalain 29 §:ään. Joistakin asiakirjoista säädetään erikseen.
Lisäksi on huomioitava mm. julkisuuslaki, hallintolaki, tietosuojalaki ja tietenkin GDPR.
Lähde: Kuntalaki, https://www.finlex.fi/fi/laki/alkup/2015/20150410
40
Rekisterissä olevien henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä
▪ Asiakkaat
▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja.
▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu.
▪ Työntekijät
▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot.
▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta, esim. tarve olla tavoitettavissa.
▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa.
▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta.
Voidaan sanoa, että henkilö ei ole paikalla.
▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai
irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio)
41
Rekisteriä saa käyttää vain sen käyttötarkoituksiin!
42
▪ Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Viranomaisen henkilötietorekisterin tietojen anto
▪ Vaikka rekisterissä olevat tiedot
olisivat julkisia, niitä ei voi antaa
kenelle tahansa.
▪ Rekisterinpitäjän on arvioitava
riskit, jos tietoja julkaistaan.
▪ Ei tietojen massajulkaisua
esimerkiksi nimi ja HETU.
▪ Viranomaisen rekisterissä olevia
henkilötietoja saa antaa, jos:
▪ 1) Kyse ei ole salassa pidettävistä
tiedoista tai jokin muu laki ei estä
luovutusta
▪ 2) Saajalla on oikeus käyttää kyseisiä
tietoja (esim. yksityishenkilö)
▪ Henkilötunnusta ei tule tällöinkään
merkitä tarpeettomasti.
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
43
Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn suostumusta
Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017,
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain
44
Taiteellinen, kirjallinen,
akateeminen tai
journalistinen sisältö
Julkinen
henkilötieto
Ei-julkinen
henkilötieto
(esim. salainen
puh.nro)
Erityiset ja
arkaluontoiset
henkilötiedot
Salassa pidettävät
tiedot ja asiakirjat
Suullisesti tai
paikanpäällä
näytettynä
Kyllä Kyllä
Ei ilman rekisteröidyn suostumusta tai
laista tulevaa nimenomaista perustetta.
Sähköisesti,
kopiona tai
tulosteena
Kyllä Kyllä, jos saajalla on
oikeus käsitellä
henkilötietoja
Suojattuna
sähköisesti
(turvasähköposti
tai turvallinen
asiointikanava)
Kyllä Kyllä, jos saajalla on
oikeus käsitellä
henkilötietoja
Julkisesti
(netti, some,
ilmoitustaulu)
Kyllä Ei.
Mahdollista
tapauskohtaisesti
tiedottamisessa,
esityslistoissa ja
pöytäkirjoissa.
Kunnan viestintävelvollisuus ja kokousasiakirjat
45
▪ Yksityiselämän suoja on perustuslain nojalla kuntalain viestintävelvollisuutta
painavampi. Tämä on huomioitava, kun julkaistaan henkilötietoja verkossa.
▪ Mitään salassa pidettäviä tai arkaluontoisia tietoja ei saa julkaista.
▪ Vaikka asiakirjat tai tiedot ovat julkisia, täytyy ne arvioida yksityisyyden suojan kannalta.
▪ Julkisiakaan henkilötietoja ei saa tarpeettomasti julkaista verkossa.
▪ Henkilörekisteritietojen sähköinen luovuttaminen edellyttää suostumusta tai
lakiperustetta.
▪ Kunnan viestintävelvollisuutta ja tietosuojaa arvioidaan tapauskohtaisesti.
▪ Yksityishenkilöiden tietoja ei yleensä ole syytä julkaista esityslistoissa, pöytäkirjoissa tai
muussa viestinnässä.
▪ Esimerkiksi kunnan keskeisiin virkoihin liittyy selvä tiedottamisintressi, jolloin hakijoiden
henkilötietoja (nimi, koulutus, aiempi kokemus ym.) voidaan julkaista.
▪ Kunnan ilmoituksissa (kuulutukset, vaaliasiat, kaavoituksen tiedoksiannot)
välttämättömät henkilötiedot voivat olla verkossa yleensä 14 vuorokautta.
Lähteet: Kuntaliitto, Kuntaviestinnän opas, 2016, http://shop.kuntaliitto.fi/download.php?filename=uploads/viestintaopas_ebook.pdf Kuntaliiton yleiskirje 15/2017:
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
Päätösten/pöytäkirjojen henkilötiedot pidetään verkossa vain muutoksenhakuajan
46
Lähde: Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain#henkilotiedot-ja-
verkkotiedottaminen
▪ Päätösten/pöytäkirjojen osana
julkaistaan verkossa vain
välttämättömät henkilötiedot.
▪ Pöytäkirjan henkilötiedot
voidaan julkaista verkossa
vasta tarkastamisen jälkeen.
▪ Kunnallisten toimielinten
pöytäkirjan sisältämät
henkilötiedot on yleensä
poistettava verkosta
oikaisuvaatimus- tai valitusajan
päättyessä.
▪ Henkilötietojen pito verkossa
pidempään voi perustua
kunnan tiedottamisintressiin
(yleinen merkittävyys).
▪ Henkilötietoja sisältävät
kokousasiakirjat on hyvä
poistaa verkosta viimeistään
vuoden kuluttua.
Valokuvat ja videot
47
▪ Tunnistettavan henkilökuvan julkaisuun on
yleensä syytä pyytää lupa.
▪ Jokaisen on katsottu omistavan persoonansa
ns. kaupalliset oikeudet.
▪ Valokuvan tai videon tekijänoikeudet tai
lähioikeudet ovat kuvaajalla. Kuvan julkaisulle
tarvitaan tekijän lupa.
▪ Kuvan julkaisun voi estää esim. kotirauha,
yksityisyyden suoja tai kuvassa näkyvän
teoksen tekijänoikeudet.
▪ Jonkun muun julkaiseman kuvan levittäminen
voi olla kiellettyä esim. tekijänoikeuksien tai
sen loukkaavuuden takia.
⬞ Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja kuvia ei saa
levittää.
Kysymys: kuvat ja videot tapahtumista
48
▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
▪ Esimerkiksi koulun tapahtuma tai julkisessa tilassa oleva esitys ei ole yksityinen tilaisuus, joten
kuvaaminen on lähtökohtaisesti sallittua.
▪ Jos alaikäisistä henkilöistä otetaan kuvia koulun/kunnan toimesta ja ne julkaistaan verkossa, on
tähän pyydettävä luvat huoltajilta.
▪ Kunta ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien
julkaisusta, eikä sillä ole oikeutta sitä kieltää.
▪ Kuvien julkaisua säätelee eri lait. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja
kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu toimituksellisessa
tarkoituksessa on sallittua.
• Miten kunnat saavat julkaista yksityishenkilöiden kuvia ja videoita omilla
nettisivuillaan ja somekanavissaan?
• Voiko julkisesta tilaisuudesta ottaa kuvaa?
• Pitääkö jokaiselta kuvassa olijalta pyytää kirjallinen kuvauslupa?
Someaspan tietosuoja
49
Kuntien käyttämät somepalvelut
Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa)
50
Somekanavien tietosuojan
koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin asiakasrekistereihin
somepalvelut liittyvät?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon
kanavina?
Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa,
https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020)
51
Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
52
▪ Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
▪ Jos mahdollista, linkitä
tietosuojaseloste
▪ Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
▪ Mitä muita (turvallisempia) tapoja
asiakkailla on yhteydenottoon?
Facebook-sivun ylläpitäjän asema
▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja
analytiikkatyökalujen yhteydessä.
▪ Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018.
▪ Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta):
https://www.facebook.com/legal/terms/page_controller_addendum#
▪ Käytännön toimenpiteet:
▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
53
Henkilötietojen käsittely somepalveluissa
54
▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen?
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Henkilötietoja ei saa julkaista tai luovuttaa
ilman suostumusta tai lakiperustetta.
▪ Muista informointi, jos somea käytetään
yhteydenpitoon tai tietojenkeruuseen.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Tarvittaessa ohjataan muihin asiointikanaviin.
▪ Miten rekisteröity tunnistetaan somessa?
▪ Suostumusten ja pyyntöjen dokumentointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto.
Erota oma ja ulkopuolinen rekisteri
55
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(toinen rekisterinpitäjä tai
henkilötietojen käsittelijä)
Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle
tai verkkopalvelulle vain, jos
1) on sopimus henkilötietojen käsittelystä
2) tai luovutukseen on saatu rekisteröidyn suostumus.
Ulkopuolista verkkopalvelua voidaan
käyttää viestintään rekisteröityjen
kanssa myös silloin, kun aloite tulee
rekisteröidyltä. Tätä voidaan pitää
suostumuksena ko. palvelun käyttöön.
Jos henkilötietoja kerätään
ulkopuolisen palvelun kautta, siihen
tulee olla oikeusperuste. Samalla
pitää hoitaa informointivelvollisuus.
Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
56
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
Google on netin isoin datankerääjä
Kuva: DuckDuckGo, 15.3.2021,
https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw
57
Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
58
Vähiten kolmansille osapuolille tietoja jakavat sovellukset
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
59
Muista salassapito julkisessa someviestinnässä
60
Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017,
https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
▪ Vaikka rekisteröity itse kertoisi
henkilötietoja julkisesti, täytyy
organisaation ottaa huomioon
tietosuoja- ja
salassapitomääräykset.
Sisäiset viestintä- ja pilvipalvelut
61
Henkilötiedot verkko- ja pilvipalveluissa
62
Huom. taulukko on esimerkinomainen, tarkista aina organisaation tekemät linjaukset!
Organisaation omat
verkkosovellukset ja
asiointikanavat
(esim. Wilma)
Organisaation
hallinnoimat
pilvipalvelut
(0365/Teams, G Suite,
Howspace jne.)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot eivät näy
julkisesti (esim.
WhatsApp)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
näkyvät julkisesti
(esim. Padlet)
Käyttäjätunnukset Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Jokainen käyttäjä
rekisteröityy itse tai
pääsee jakolinkin kautta
Jokainen käyttäjä
rekisteröityy itse tai
käyttö ilman tunnusta
Mitä on huomioitava
henkilötietojen käsittelyssä?
Palvelun käyttö tulee
huomioida
rekisteröityjen
informoinnissa
Palvelun käyttö tulee
huomioida
rekisteröityjen
informoinnissa
Rekisteröityjen
informointi ja
suostumus palvelun
käyttöön, jos
tallennetaan
henkilötunnuksia
Rekisteröityjen
informointi ja
suostumus palvelun
käyttöön, jos
tallennetaan
henkilötunnuksia
Käyttö etätyöskentelyyn
(julkisten materiaalien jako,
keskustelu ym.)
Ok Ok Ok Vain julkisiksi
tarkoitetut materiaalit
Asiakkaiden toimittamat
materiaalit (ei henkilötietoja)
Ok Ok Ok Vain julkisiksi
tarkoitetut materiaalit
Tavall. henkilötietojen tallennus
(esim. spostiosoite tai puh.nro)
Ok Ok / tarkista
organisaation ohjeistus
Ei ilman rekisteröityjen
suostumusta
Ei
Muut salassa pidettävät tiedot
(esim. terveys ja erityinen tuki)
Vain jos nimenomaisesti
sallittu organisaatiossa
Ei Ei Ei
Organisaatioiden sisäisesti käyttämät viestintä-, some- ja pilvipalvelut
Lähde: North Patrol, Intranet ja digitaalinen työympäristö 2020 -selvitys,
https://www.slideshare.net/NorthPatrol/intranet-ja-digitaalinen-tyymprist-2020-selvityksen-tulokset/16 (N=111 vastaajaorganisaatiota, yli puolet kunnallisia tai julkisia organisaatioita)
63
Microsoft Teams Etäkokous ja työtilat 85 %
Microsoft O365 SharePoint Työtilat/intranet 52 %
Yammer Keskustelu ja tiedonjako 52 %
WhatsApp Keskustelu ja tiedonjako 37 %
Confluence Wikialusta 23 %
Zoom Etäkokous 22 %
Slack Keskustelu ja tiedonjako 21 %
Trello Projektinhallinta 20 %
Moodle Verkkokoulutus, tiedonjako 19 %
Google Drive Tiedostojen pilvitallennus 16 %
M-Files Tiedostojen pilvitallennus 15 %
Facebookin suljetut ryhmät Keskustelu ja tiedonjako 14 %
Kysymys: Teamsin käyttö hankkeissa
64
▪ Rekisterinpitäjän tulee suunnitella henkilötietojen käsittely etukäteen. Tähän sisältyy mm.
informointivelvollisuudesta huolehtiminen, esim. tietosuojaselosteen laatiminen.
▪ Selvitä, muodostaako Teamsiin luotava tiimi uuden rekisterin vai sisältyykö se johonkin
olemassa olevaan rekisteriin. Kysy tarvittaessa apua organisaation tietosuojavastaavalta.
▪ Teamsin sisäiset tiimit liittyvät organisaation henkilöstörekisteriin.
▪ Teamsin tiimit, joihin kutsutaan organisaation ulkopuolisia, ovat yleensä:
▪ Asiakasrekistereitä
▪ Yhteistyökumppaneiden rekistereitä
▪ Hankkeiden osallistujien rekistereitä
▪ Oikeusperusteena voi olla rekisterinpitäjän oikeutettu etu, sopimus tai suostumus.
▪ Linkitä tietosuojaseloste Teamsiin tai lähetä se etukäteen Teamsiin liittyville.
• Pitäisikö Teamsiin liittymisen yhteydessä pyytää suostumus, että henkilön nimi
ja yhteystiedot voidaan jakaa muiden tiimissä olevien kesken?
• Voidaanko lähteä siitä, että hankkeen Teamsiin ei voi liittyä anonyymisti?
Kysymys: kuvat, videot ja etätilanteiden tallenteet
65
▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä
näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.
▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.
▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee
siihen pyytää suostumus.
▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä
opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.
▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.
▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.
▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä tiedottaa opiskelijoille.
• Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää
niitä opetusryhmän kesken?
• Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista?
• Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
→ Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
Kysymys: sijaisryhmä WhatsAppissa
67
▪ WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.
▪ Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota,
sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
▪ WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).
▪ Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.
▪ Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa
vaikutustenarviointi.
▪ Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä
yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.
▪ Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset
WhatsAppin käyttöön.
▪ Tarvittaessa oma rekisteri ja tietosuojaseloste.
Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
• Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi
sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan
▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä?
▪ Mitkä ovat työvälineen oletusasetukset ja ominaisuudet?
▪ Minkälaista tietoa työvälineessä halutaan käsitellä?
▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia?
▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille?
▪ Luovuttaako työväline tietoja kolmansille osapuolille?
▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen tai julkisiin
tapahtumiin?
▪ Käytetäänkö työvälinettä organisaation sisäiseen työskentelyyn?
▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin?
▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä?
▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on?
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
68
Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
69
Ryhmätyö- ja tiedostonjakopalvelujen ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
70
Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
71
▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle,
jotta tietoja antavat henkilöt voivat tutustua siihen.
▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
oppijoiden henkilötietojen käsittelyssä.
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.a
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä henkilöiden tunnistetietoja, jolloin
siirrettävät tiedot eivät ole enää henkilötietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa!
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
▪ Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
72
Henkilötiedot markkinoinnissa
“
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
74
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
Pitääkö Suomessa pyytää lupa evästeiden käytölle?
Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020,
https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/
75
• Monet verkkosivut käyttävät evästeitä, esim.:
– Kirjautuminen sivustolle ja valinnat sivustolla
– Google Analyticsin kävijäseurantakoodi
– Googlen AdWordsin sivustotagi/markkinointipikseli
– Facebook-mainonnan pikseli
– Facebookin tykkäysnappula tai kirjautuminen
– Chat-palvelujen evästeet
• EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille 1) tulee kertoa evästeiden
käytön tarkoituksesta, 2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä.
• Tietosuojavaltuutetun toimiston linjauksen mukaan ei-välttämättömille evästeille tarvitaan
GDPR:n mukainen suostumus tai muu oikeusperuste henkilötietojen käsittelylle (esim. sopimus).
• Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet:
– Evästeiden käytöstä kieltäytyminen ei saa aiheuttaa käyttäjälle haittaa.
– Sivustoa on päästävä käyttämään normaalisti myös ilman evästeiden hyväksyntää.
– Kieltäytyminen tai suostumuksen peruminen tulee olla yhtä helppoa kuin sen anto.
– Suostumuksen peruminen tulee olla mahdollista rekisterinpitäjän omassa verkkopalvelussa.
Google Analytics -kävijäseuranta ja GDPR
Lähteet: Google Analyticsin käyttöehdot, https://marketingplatform.google.com/about/analytics/terms/fi/, Google analyticsin ohjeet, https://support.google.com/analytics/answer/6004245?hl=fi, Miten Google
käyttää dataa: https://policies.google.com/technologies/partner-sites, Lisätietoa: https://www.cpomagazine.com/data-privacy/the-case-against-google-analytics-for-organizations-collecting-personal-data/
76
▪ Google Analyticsin dataa käytetään mm. mainosten
kohdentamiseen.
▪ Käyttöehdot edellyttävät kertomaan seurannasta.
▪ Ehdot vaativat suostumuksen pyytämistä evästeille,
”kun laki edellyttää”.
▪ Google on Google Analyticsin datan käsittelijä.
Tämä on otettava huomioon tietosuojaselosteessa.
▪ Googlen datansiirroista on tehty useita valituksia.
Markkinointi ja asiakasviestintä GDPR:n kannalta
77
▪ Sähköinen suoramarkkinointi kuluttajille: suostumus (opt-in)
▪ Sähköinen suoramarkkinointi esim. sähköpostit, tekstiviestit ym.
▪ Suostumuksen pitää olla selvä etukäteen. Mahdollisuus kieltoon ei riitä.
▪ Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos
▪ markkinoinnissa käytetään automaattista profilointia
▪ tietoja luovutetaan muille tahoille (esim. Facebook tai Google)
▪ Perinteinen ja B2B-suoramarkkinointi: rekisterinpitäjän oikeutettu etu
▪ Perinteinen (”osoitteeton”) suoramarkkinointi puhelimitse ja postitse
▪ B2B-markkinointi esim. yritysten yhteyshenkilöille, mutta aseman oltava varma.
▪ Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus.
▪ Tiedotus: rekisterinpitäjän etu, lainmukaiset tehtävät tai muu peruste
▪ Asiakassuhteen aloittamiseen, lopettamiseen tai sopimukseen liittyvä viestintä
▪ Muut asiakkaan käyttämiin palveluihin ja tuotteisiin liittyvät asiat ja tiedotteet
▪ Mieti vastaanottajan näkökulmasta, onko kyse markkinoinnista vai muusta
▪ Mainitse markkinointiviestien yhteydessä tietosuojaseloste ja miten voi kieltäytyä viesteiltä.
▪ Tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat.
Monet organisaatiot vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalgoritmin avulla.
Voit tarkistaa tietosi
Facebookin asetusten
Mainokset-kohdasta:
https://www.facebook.com/d
s/preferences/?entry_product
=account_settings_menu&exp
and_ad_settings=1
78
Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa…
Lähde: Tietosuojavaltuutetun toimisto,
https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020)
79
80
Facebookin
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
synt.aika, kaupunki, laitetunniste ym.
Googlen
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Markkinointi manuaalisesti
valituille kohderyhmille.
Markkinoinnissa käytetään profilointia ja autom. päätöksiä → suostumus! Ei profilointia
Twitterin
räätälöidyt yleisöt
Sähköposti, laitetunniste,
Twitter-tunnus, Twitter-ID
Datan
kerääjät,
hallinnoijat ja
myyjät
LinkedInin
vastaavat yleisöt
Nimi, sähköposti,
laitetunniste, yritys, ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
GDPR-muistilista somemainostajalle
▪ Rekisterinpitäjä on vastuussa, jos se luovuttaa
henkilötietoja mainosalustalle.
▪ Mainostaja on aina vastuussa, vaikka mainonta
annettaisiin toisen tahon tehtäväksi.
▪ Organisaatiolla pitää olla oikeusperuste, joka
mahdollistaa tietojen käytön sähk. markkinoinnissa.
▪ Yksityishenkilöt: suostumus tai sopimus
▪ B2B-yhteyshenkilöt: oikeutettu etu
▪ Tietosuojaselosteessa tulee kertoa, mille tahoille
henkilötietoja luovutetaan – ml. henkilötietojen
käsittelijät kuten mainospalvelujen tuottajat.
▪ Profiloinnin käytöstä tulee kertoa rekisteröidyille.
▪ Kerro, miten mainosviesteiltä voi kieltäytyä.
81
Kuva ja lisätietoa: Facebookin GDPR-sivusto, https://www.facebook.com/business/gdpr
Ks. myös Googlen tukimateriaalit mainostajille: https://support.google.com/google-ads/answer/9028179?hl=fi
82
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!

More Related Content

What's hot

Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäHarto Pönkä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 

What's hot (20)

Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 

Similar to Tietosuoja kunnan asiakaspalvelussa ja viestinnässä

EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHarto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRJyrki Kasvi
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaHarto Pönkä
 
Update on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's LiabilityUpdate on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's LiabilityJan Lindberg
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRJyrki Kasvi
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaHarto Pönkä
 
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessaJulkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessaHarto Pönkä
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPRHarto Pönkä
 

Similar to Tietosuoja kunnan asiakaspalvelussa ja viestinnässä (20)

EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
Update on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's LiabilityUpdate on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's Liability
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessa
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölle
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
 
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessaJulkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 

More from Harto Pönkä

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaHarto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 

More from Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 

Tietosuoja kunnan asiakaspalvelussa ja viestinnässä

  • 1. Tietosuoja kunnan asiakaspalvelussa ja viestinnässä 7.5.2021 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 2. “ Perustuslain 10 §: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. 2 Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
  • 3. GDPR = EU:n yleinen tietosuoja-asetus
  • 4. Mikä on EU:n yleinen tietosuoja-asetus? 1. Suojaa ihmisten perusoikeuksia ja -vapauksia, erityisesti henkilötietoja 2. Suojaa henkilötietojen vapaata liikkuvuutta ja yhdenmukaista sääntelyä EU:n sisällä 3. Sovelletaan osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä henkilörekistereihin. 4
  • 5. Mitä yleisen tietosuoja-asetuksen vaatimukset eivät koske? ▪ Yksinomaan manuaalisesti käsiteltäviä henkilötietoja, jotka eivät muodosta rekisteriä ▪ Henkilötietojen käsittelyä, jota yksityishenkilöt tekevät yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa ▪ Henkilötietojen käsittelyä journalistisen, akateemisen, taiteellisen tai kirjalliseen ilmaisun tarkoituksia varten (ei sovelleta useimpia GDPR:n vaatimuksia) 5
  • 6. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai jonkun muun tahon toimesta.
  • 7. Henkilötunnus Henkilötunnusta saa käsitellä: ▪ Rekisteröidyn suostumuksella ▪ Jos käsittelystä säädetään laissa ▪ Laissa säädetyn tehtävän suorittamiseksi ▪ Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa ▪ Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta ei ole tarkoitettu henkilöllisyyden varmistamiseen. 7 Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet 010150-113X
  • 8. Erityiset eli arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman henkilön suostumusta tai laista tulevaa perustetta. ▪ rotu tai etninen alkuperä ▪ poliittiset mielipiteet ▪ uskonnollinen tai filosofinen vakaumus ▪ ammattiliiton jäsenyys ▪ terveyttä koskevat tiedot ▪ seksuaalinen suuntautuminen tai käyttäytyminen ▪ geneettiset ja biometriset tunnistetiedot 8
  • 9. Rekisteri Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen. 9
  • 10. Henkilötietojen käsittelylle tulee olla laillinen peruste ▪ Henkilön suostumus ▪ Sopimus, jossa rekisteröity on osapuolena ▪ Rekisterinpitäjän lakisääteinen velvoite ▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne) ▪ Julkisen tehtävän hoitaminen tai yleinen etu ▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu (esim. asiakassuhde tai työsuhde) 10
  • 11. Suostumuksen antaminen 11 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Suostumukset ja luvat tulee dokumentoida sekä tarkistaa vuosittain. ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
  • 12. Kenellä on vastuu tietosuojasta? 12 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää (tarkoitukset ja keinot) ja toimeenpanee. Velvollisuus kuulla tietosuojavastaavaa.
  • 13. GDPR:n mukaiset selosteet 1. Seloste käsittelytoimista ▪ ”Rekisteriseloste” ▪ Organisaation sisäinen (ei-julkinen) ▪ Pakollinen yli 250 hengen organisaatioissa ja mm. silloin, kun henkilötietojen käsittely on jatkuvaa ▪ Kattaa kaiken henkilötietojen käsittelyn organisaatiossa ▪ Henkilötietojen käsittelyn osoitusvelvollisuuden perusta ▪ Yleensä tietosuojavastaava ylläpitää 2. Rekisteröityjen informointi ▪ ”Tietosuojaseloste” ▪ Julkinen / oltava saatavilla tilanteessa, jossa henkilötietoja saadaan, tai toimitettava rekisteröidylle kk:n sisällä ▪ Tarkoittaa kaikkea rekisteröidyille kerrottavaa tietoa h.t. käsittelystä ▪ Voi kattaa kaikki eri rekisterit tai olla rekisterikohtainen ▪ Sisältää myös rekisteröityjen oikeudet 13
  • 14. Informointivelvollisuus = rekisteröidyn oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä 14 Lisätietoa: TSV, Rekisteröidyn informointi, https://tietosuoja.fi/rekisteroidyn-informointi ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja ´sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  • 15. 15 Jos käsittelet työssäsi henkilötietoja, ota selvää: 1. selosteet 2. ohjeistukset 3. tietosuojavastaava
  • 16. Tietosuojalaki 35 §: vaitiolovelvollisuus 16 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. ▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. ▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 17. Sopimus henkilötietojen käsittelystä 17 Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1 ▪ Merkitys = käsittelijä toimii rekisterinpitäjän lukuun JA tämän vastuulla(!) ▪ Sopimuksessa vahvistetaan: ▪ käsittelyn kohde, kesto, luonne ja tarkoitus, ▪ rekisteröityjen ryhmät ja tietojen tyypit, ▪ rekisterinpitäjän velvollisuudet ja oikeudet. ▪ Erityisesti tulee sopia, että käsittelijä: ▪ käsittelee tietoja ohjeiden mukaisesti, ▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset turvallisuudesta, ▪ ei käytä toisia käsittelijöitä ilman lupaa, ▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet, ▪ lopuksi poistaa tai palauttaa tiedot, ▪ antaa tarvittavat tiedot osoitusvelvollisuudesta, ▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
  • 19. Tietosuojaperiaatteet 19 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 20. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 20 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
  • 21. Esimerkkejä käsiteltävistä henkilötiedoista 21 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Hekilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  • 22. Käyttötarkoitussidonnaisuus 22 Henkilötietojen käsittelyn tarkoitukset ja tavat tulisi ilmetä selkeästi rekisteröidyn informoinnista. Muista tietojen minimointi kaikissa käyttötapauksissa. Muista suostumuksen edellytykset: se ei sovellu kaikkiin tilanteisiin.
  • 23. Ohjeita henkilötietojen käsittelyyn 23 ▪ Tietoja ei saa käyttää mihin tahansa. ▪ Työntekijä saa käsitellä vain hänen työtehtäviinsä liittyviä henkilötietoja. ▪ Henkilötietoja ei näytetä tai kerrota sivullisille. ▪ Henkilötietoja ei julkaista tai luovuteta ilman suostumusta tai laista tulevaa perustetta. ▪ Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa: valvotaan tiloja ja laitteita. ▪ Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). ▪ Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
  • 24. Salassa pidettävät asiakirjat etätyössä ▪ Vie salassa pidettävää paperiaineistoa kotiin vain, kun välttämätöntä. ▪ Säilytä salassa pidettäviä papereita/tietoja lukitussa tilassa, kaapissa tai muussa tilassa. ▪ Älä jätä salassa pidettävää paperiaineistoa tai henkilötietoja muiden nähtäville tai saataville. ▪ Palauta salassa pidettävät paperit työpaikalle heti, kun niiden säilyttäminen etätyöpisteessä ei ole enää välttämätöntä. ▪ Vältä salassa pidettävien tai luottamuksellisten tietojen tulostamista tai tallentamista työpaikan ulkopuolella säilytettäville tietovälineille. ▪ Huolehdi tulosteiden ja tietojen asianmukaisesta käsittelystä sekä tarvittaessa hävittämisestä. Lähteen mm. OpiTietosuojaa.fi, 2020, https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf 24
  • 25. Henkilötiedot puheluissa 25 Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus ▪ Henkilö on tunnistettava puhelussa, jos käsitellään hänen henkilötietojaan. ▪ Vahva tunnistaminen: 1) jotain mitä olet (nimi, HETU) 2) jotain mitä sinulla on (puh.nro, s.postiosoite) 3) jotain mitä tiedät (salasana, asiakastiedot) ▪ Puhelujen nauhoittaminen on sallittua, kun rekisterinpitäjällä on käsittelyyn oikeusperuste, esim. asiakassuhteessa rek. pit. oikeutettu etu. ▪ Henkilötietojen käsittelystä on informoitava. Esimerkiksi nauhoituksesta on kerrottava. ▪ Puhelussa voidaan kertoa, mistä tietosuojaseloste on luettavissa (nettisivut), lukea se ääneen tai se voidaan lähettää esimerkiksi sähköpostitse.
  • 26. Tietosuoja viesteissä 26 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Omien laitteiden ja niissä olevien sovellusten käyttö työnantajan ohjeistuksen mukaan.
  • 27. Viestinnän luottamuksellisuus 27 ▪ Viestintä on perustuslain 10 §:n perusteella luottamuksellista. ▪ Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat luottamuksellisen viestinnän piiriin. ▪ Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea. ▪ Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän sähköpostiosoitteeseen edellyttää tämän suostumusta. ▪ Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän palveluista, 136 §): ▪ Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim. kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä. ▪ Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. ▪ Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta ▪ Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon.. Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 18.6.2020, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja+2020-+Tietosuojavaltuutetun+toimisto.pdf
  • 28. Esimerkki viestinnän ohjeistuksesta Lähde: Jyväskylän yliopisto, 16.3.2020, https://www.jyu.fi/digipalvelut/fi/ohjeet/tietoturva/tietoturva-ja-tietosuoja-etatyossa 28
  • 29. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa 29 ▪ Käytä vain organisaation sallimia sovelluksia. ▪ Toimita kutsu henkilökohtaisesti osallistujille. ▪ Informoi osallistujia henkilötietojen käsittelystä. ▪ Varmista huoneessa olijoiden henkilöllisyys. ▪ Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä. ▪ Varmista esittäjien osaaminen etukäteen. ▪ Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. ▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen. ▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone. ▪ Suojaa tallenne ja huolehdi sen tietosuojasta.
  • 31. Tietoturva vaarantuu etätöissä 31 Lähde: Tessian, 2020, https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa) ”Kyberturvayhtiö Tessianin tutkimuksen mukaan 52 prosenttia kotona työskentelevistä sanoo syystä tai toisesta kiertävänsä yrityksen tietoturvan käytäntöjä.” Syitä: ▪ Etätyössä käytetään eri laitteita kuin työpaikalla (50 %) ▪ Etätyössä ei koeta olevan IT-osaston valvonnassa (48 %) ▪ Työhön tulee häiriöitä mm. perheenjäsenten vuoksi (47 %) ▪ Työhön liittyvä aikataulupaine (39 %)
  • 32. Kännyköiden tietoturva • Päivittämätön laite tai sovellus on aina riski. • Käytä PIN-koodia, salasanaa, sormenjälkeä tms. • Asenna vain turvallisiksi tietämiäsi sovelluksia. • App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. • Käytä vain turvallisiksi tietämiäsi WLAN-verkkoja. • Käytä laitteen paikantamista häviämisen varalta. • Käytä sovelluksissa kaksivaiheista kirjautumista, jos sellainen on tarjolla. • Jos säilytät työhön liittyviä tiedostoja kännykässä, salaa tallennustila/muistikortti. • Jos laitteeseen tai sovelluksen ei saa enää päivityksiä, lopeta sen käyttö. • Tyhjennä vanha kännykkä.
  • 33. Työnantajan laitteet ja ohjelmat 33 ▪ Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin. ▪ Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä. ▪ Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. ▪ Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. ▪ Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämän tietoja. ▪ Työpuhelut hoidetaan niin, että sivulliset eivät kuule niitä.
  • 34. Hyvä salasana ▪ Mieluummin salalause kuin -sana! ▪ Vähintään 8, mielellään 15 merkkiä ▪ Sisältää kirjaimia, numeroita ja erikoismerkkejä ▪ Ei ole nimi, sana tai päivämäärä ▪ Ei ole arvattavissa ▪ Ei ole käytössä muualla ▪ Käytä kaksivaiheista todennusta aina, kun mahdollista! 34
  • 35. Milloin on syytä epäillä haittaohjelmaa? ▪ Laite hidastuu ilman selvää syytä. ▪ Laitteelle ilmestyy yllättäen uusia ohjelmia. ▪ Laite alkaa näyttää mainoksia, nettiselaimen aloitussivu vaihtuu tai muuta yllättävää. ▪ Tuttavasi saavat sinulta roskapostia. ▪ Verkkoyhteys siirtää dataa, vaikka et käytä nettiä ja päivityksiä ei ole latautumassa. ▪ Windows 10: Asetukset → Verkko & internet → Datan käyttö ▪ Applen tietokoneissa: Ohjelmat → Lisäohjelmat → Järjestelmän valvonta ja ▪ Iphone ja iPad: Asetukset → Mobiiliverkko ▪ Muut kännykät: Asetukset → Datan käyttö 35 Lisätietoa: https://yle.fi/aihe/artikkeli/2019/06/02/digitreenit-kirotut-haittaohjelmat-kuinka-tunnistaa-onko-kone-saastunut
  • 36. WLAN-tukiasemien turvallisuus 1. Käytä WPA2-salausta ja pitkää salasanaa. ▪ Päivitä tarvittaessa verkkokorttisi ajuri WPA2-yhteensopivaksi. ▪ Älä käytä vanhaa WEP- tai WPS-suojausta. ▪ Tukiaseman nimen piilottaminen ei paranna sen tietoturvaa. 2. Muuta WLAN-tukiasemasi hallintapaneelin asetuksia vain kaapeliyhteyden kautta. Voit estää sen käytön langattoman verkon kautta. 3. Vaihda WLAN-tukiaseman hallintapaneelin käyttäjätunnus ja salasana. Hyökkääjä voi saada tietoonsa tehdasasetuksena olevan tunnuksen ja siihen liitetyn salasanan. 4. Tee tukiaseman ohjelmiston päivitykset viipymättä. 5. Seuraa verkon käyttöä tuntemattomien käyttäjien (laitteiden) varalta. 36
  • 37. VPN-yhteys salaa nettiliikenteen ▪ VPN-yhteydellä nettiliikenne kulkee salattuna palveluntarjoajan palvelimen kautta. ▪ VPN estää oikean IP-osoitteen ja sijainnin näkymisen verkkopalveluille. ▪ Käytä työasioissa vain työnantajan VPN-yhteyttä ja hyväksyttyjä sovelluksia. ▪ Kuluttajille sopivia VPN-palveluita: ▪ ProtonVPN, https://protonvpn.com/ ▪ Opera-nettiselain sisältää VPN:n, http://www.opera.com/fi ▪ F-Secure Freedome, https://www.f- secure.com/en/web/home_global/freedome Lisätietoa ja kuva: https://www.cloudflare.com/learning/access-management/what-is-a-vpn/ 37
  • 38. Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. 5. Ilmoita tietosuojavaltuutetun toimistolle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta 6. Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. Anna ohjeita, miten välttää ikäviä seurauksia. 38
  • 40. Kunnan viestinnän lakiperuste ▪ Kunnan viestintä perustuu kuntalain 29 §:ään. Joistakin asiakirjoista säädetään erikseen. Lisäksi on huomioitava mm. julkisuuslaki, hallintolaki, tietosuojalaki ja tietenkin GDPR. Lähde: Kuntalaki, https://www.finlex.fi/fi/laki/alkup/2015/20150410 40
  • 41. Rekisterissä olevien henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä ▪ Asiakkaat ▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja. ▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu. ▪ Työntekijät ▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot. ▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta, esim. tarve olla tavoitettavissa. ▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa. ▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. ▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio) 41
  • 42. Rekisteriä saa käyttää vain sen käyttötarkoituksiin! 42 ▪ Vaikka tiedot olisivat julkisuuslain perusteella julkisia, niitä saa käyttää vain työtehtäviin liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
  • 43. Viranomaisen henkilötietorekisterin tietojen anto ▪ Vaikka rekisterissä olevat tiedot olisivat julkisia, niitä ei voi antaa kenelle tahansa. ▪ Rekisterinpitäjän on arvioitava riskit, jos tietoja julkaistaan. ▪ Ei tietojen massajulkaisua esimerkiksi nimi ja HETU. ▪ Viranomaisen rekisterissä olevia henkilötietoja saa antaa, jos: ▪ 1) Kyse ei ole salassa pidettävistä tiedoista tai jokin muu laki ei estä luovutusta ▪ 2) Saajalla on oikeus käyttää kyseisiä tietoja (esim. yksityishenkilö) ▪ Henkilötunnusta ei tule tällöinkään merkitä tarpeettomasti. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621 43
  • 44. Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn suostumusta Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017, https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain 44 Taiteellinen, kirjallinen, akateeminen tai journalistinen sisältö Julkinen henkilötieto Ei-julkinen henkilötieto (esim. salainen puh.nro) Erityiset ja arkaluontoiset henkilötiedot Salassa pidettävät tiedot ja asiakirjat Suullisesti tai paikanpäällä näytettynä Kyllä Kyllä Ei ilman rekisteröidyn suostumusta tai laista tulevaa nimenomaista perustetta. Sähköisesti, kopiona tai tulosteena Kyllä Kyllä, jos saajalla on oikeus käsitellä henkilötietoja Suojattuna sähköisesti (turvasähköposti tai turvallinen asiointikanava) Kyllä Kyllä, jos saajalla on oikeus käsitellä henkilötietoja Julkisesti (netti, some, ilmoitustaulu) Kyllä Ei. Mahdollista tapauskohtaisesti tiedottamisessa, esityslistoissa ja pöytäkirjoissa.
  • 45. Kunnan viestintävelvollisuus ja kokousasiakirjat 45 ▪ Yksityiselämän suoja on perustuslain nojalla kuntalain viestintävelvollisuutta painavampi. Tämä on huomioitava, kun julkaistaan henkilötietoja verkossa. ▪ Mitään salassa pidettäviä tai arkaluontoisia tietoja ei saa julkaista. ▪ Vaikka asiakirjat tai tiedot ovat julkisia, täytyy ne arvioida yksityisyyden suojan kannalta. ▪ Julkisiakaan henkilötietoja ei saa tarpeettomasti julkaista verkossa. ▪ Henkilörekisteritietojen sähköinen luovuttaminen edellyttää suostumusta tai lakiperustetta. ▪ Kunnan viestintävelvollisuutta ja tietosuojaa arvioidaan tapauskohtaisesti. ▪ Yksityishenkilöiden tietoja ei yleensä ole syytä julkaista esityslistoissa, pöytäkirjoissa tai muussa viestinnässä. ▪ Esimerkiksi kunnan keskeisiin virkoihin liittyy selvä tiedottamisintressi, jolloin hakijoiden henkilötietoja (nimi, koulutus, aiempi kokemus ym.) voidaan julkaista. ▪ Kunnan ilmoituksissa (kuulutukset, vaaliasiat, kaavoituksen tiedoksiannot) välttämättömät henkilötiedot voivat olla verkossa yleensä 14 vuorokautta. Lähteet: Kuntaliitto, Kuntaviestinnän opas, 2016, http://shop.kuntaliitto.fi/download.php?filename=uploads/viestintaopas_ebook.pdf Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
  • 46. Päätösten/pöytäkirjojen henkilötiedot pidetään verkossa vain muutoksenhakuajan 46 Lähde: Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain#henkilotiedot-ja- verkkotiedottaminen ▪ Päätösten/pöytäkirjojen osana julkaistaan verkossa vain välttämättömät henkilötiedot. ▪ Pöytäkirjan henkilötiedot voidaan julkaista verkossa vasta tarkastamisen jälkeen. ▪ Kunnallisten toimielinten pöytäkirjan sisältämät henkilötiedot on yleensä poistettava verkosta oikaisuvaatimus- tai valitusajan päättyessä. ▪ Henkilötietojen pito verkossa pidempään voi perustua kunnan tiedottamisintressiin (yleinen merkittävyys). ▪ Henkilötietoja sisältävät kokousasiakirjat on hyvä poistaa verkosta viimeistään vuoden kuluttua.
  • 47. Valokuvat ja videot 47 ▪ Tunnistettavan henkilökuvan julkaisuun on yleensä syytä pyytää lupa. ▪ Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. ▪ Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. Kuvan julkaisulle tarvitaan tekijän lupa. ▪ Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. ▪ Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. ⬞ Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
  • 48. Kysymys: kuvat ja videot tapahtumista 48 ▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. ▪ Esimerkiksi koulun tapahtuma tai julkisessa tilassa oleva esitys ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. ▪ Jos alaikäisistä henkilöistä otetaan kuvia koulun/kunnan toimesta ja ne julkaistaan verkossa, on tähän pyydettävä luvat huoltajilta. ▪ Kunta ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää. ▪ Kuvien julkaisua säätelee eri lait. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu toimituksellisessa tarkoituksessa on sallittua. • Miten kunnat saavat julkaista yksityishenkilöiden kuvia ja videoita omilla nettisivuillaan ja somekanavissaan? • Voiko julkisesta tilaisuudesta ottaa kuvaa? • Pitääkö jokaiselta kuvassa olijalta pyytää kirjallinen kuvauslupa?
  • 50. Kuntien käyttämät somepalvelut Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa) 50
  • 51. Somekanavien tietosuojan koordinointi 1. Selvittäkää, mitä somepalveluita käytetään ja mihin tarkoituksiin? 2. Mihin asiakasrekistereihin somepalvelut liittyvät? 3. Onko somepalvelut huomioitu tietosuojaselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa, https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020) 51
  • 52. Tietosuojan huomiointi sosiaalisen median profiileissa Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020) 52 ▪ Kerro someprofiilissa siitä vastaava organisaatio eli rekisterinpitäjä ▪ Jos mahdollista, linkitä tietosuojaseloste ▪ Voivatko asiakkaat ottaa yhteyttä esim. yksityisviestillä? ▪ Mitä muita (turvallisempia) tapoja asiakkailla on yhteydenottoon?
  • 53. Facebook-sivun ylläpitäjän asema ▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa. ▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. ▪ Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. ▪ Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta): https://www.facebook.com/legal/terms/page_controller_addendum# ▪ Käytännön toimenpiteet: ▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. ▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. ▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 53
  • 54. Henkilötietojen käsittely somepalveluissa 54 ▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen? ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Henkilötietoja ei saa julkaista tai luovuttaa ilman suostumusta tai lakiperustetta. ▪ Muista informointi, jos somea käytetään yhteydenpitoon tai tietojenkeruuseen. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Tarvittaessa ohjataan muihin asiointikanaviin. ▪ Miten rekisteröity tunnistetaan somessa? ▪ Suostumusten ja pyyntöjen dokumentointi. ▪ Jälkihoito: henkilötietojen ja viestien poisto.
  • 55. Erota oma ja ulkopuolinen rekisteri 55 Rekisteriin kerätyt henkilötiedot (organisaatio rekisterinpitäjänä) Ulkopuolinen verkkopalvelu (toinen rekisterinpitäjä tai henkilötietojen käsittelijä) Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle tai verkkopalvelulle vain, jos 1) on sopimus henkilötietojen käsittelystä 2) tai luovutukseen on saatu rekisteröidyn suostumus. Ulkopuolista verkkopalvelua voidaan käyttää viestintään rekisteröityjen kanssa myös silloin, kun aloite tulee rekisteröidyltä. Tätä voidaan pitää suostumuksena ko. palvelun käyttöön. Jos henkilötietoja kerätään ulkopuolisen palvelun kautta, siihen tulee olla oikeusperuste. Samalla pitää hoitaa informointivelvollisuus.
  • 56. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 56 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 57. Google on netin isoin datankerääjä Kuva: DuckDuckGo, 15.3.2021, https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw 57
  • 58. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 58
  • 59. Vähiten kolmansille osapuolille tietoja jakavat sovellukset Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 59
  • 60. Muista salassapito julkisessa someviestinnässä 60 Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017 ▪ Vaikka rekisteröity itse kertoisi henkilötietoja julkisesti, täytyy organisaation ottaa huomioon tietosuoja- ja salassapitomääräykset.
  • 61. Sisäiset viestintä- ja pilvipalvelut 61
  • 62. Henkilötiedot verkko- ja pilvipalveluissa 62 Huom. taulukko on esimerkinomainen, tarkista aina organisaation tekemät linjaukset! Organisaation omat verkkosovellukset ja asiointikanavat (esim. Wilma) Organisaation hallinnoimat pilvipalvelut (0365/Teams, G Suite, Howspace jne.) Ulkopuolinen sovellus tai verkkopalvelu, jossa tiedot eivät näy julkisesti (esim. WhatsApp) Ulkopuolinen sovellus tai verkkopalvelu, jossa tiedot näkyvät julkisesti (esim. Padlet) Käyttäjätunnukset Ylläpitäjien luomat tunnukset, kertakirj. tai vahva tunnistautuminen Ylläpitäjien luomat tunnukset, kertakirj. tai vahva tunnistautuminen Jokainen käyttäjä rekisteröityy itse tai pääsee jakolinkin kautta Jokainen käyttäjä rekisteröityy itse tai käyttö ilman tunnusta Mitä on huomioitava henkilötietojen käsittelyssä? Palvelun käyttö tulee huomioida rekisteröityjen informoinnissa Palvelun käyttö tulee huomioida rekisteröityjen informoinnissa Rekisteröityjen informointi ja suostumus palvelun käyttöön, jos tallennetaan henkilötunnuksia Rekisteröityjen informointi ja suostumus palvelun käyttöön, jos tallennetaan henkilötunnuksia Käyttö etätyöskentelyyn (julkisten materiaalien jako, keskustelu ym.) Ok Ok Ok Vain julkisiksi tarkoitetut materiaalit Asiakkaiden toimittamat materiaalit (ei henkilötietoja) Ok Ok Ok Vain julkisiksi tarkoitetut materiaalit Tavall. henkilötietojen tallennus (esim. spostiosoite tai puh.nro) Ok Ok / tarkista organisaation ohjeistus Ei ilman rekisteröityjen suostumusta Ei Muut salassa pidettävät tiedot (esim. terveys ja erityinen tuki) Vain jos nimenomaisesti sallittu organisaatiossa Ei Ei Ei
  • 63. Organisaatioiden sisäisesti käyttämät viestintä-, some- ja pilvipalvelut Lähde: North Patrol, Intranet ja digitaalinen työympäristö 2020 -selvitys, https://www.slideshare.net/NorthPatrol/intranet-ja-digitaalinen-tyymprist-2020-selvityksen-tulokset/16 (N=111 vastaajaorganisaatiota, yli puolet kunnallisia tai julkisia organisaatioita) 63 Microsoft Teams Etäkokous ja työtilat 85 % Microsoft O365 SharePoint Työtilat/intranet 52 % Yammer Keskustelu ja tiedonjako 52 % WhatsApp Keskustelu ja tiedonjako 37 % Confluence Wikialusta 23 % Zoom Etäkokous 22 % Slack Keskustelu ja tiedonjako 21 % Trello Projektinhallinta 20 % Moodle Verkkokoulutus, tiedonjako 19 % Google Drive Tiedostojen pilvitallennus 16 % M-Files Tiedostojen pilvitallennus 15 % Facebookin suljetut ryhmät Keskustelu ja tiedonjako 14 %
  • 64. Kysymys: Teamsin käyttö hankkeissa 64 ▪ Rekisterinpitäjän tulee suunnitella henkilötietojen käsittely etukäteen. Tähän sisältyy mm. informointivelvollisuudesta huolehtiminen, esim. tietosuojaselosteen laatiminen. ▪ Selvitä, muodostaako Teamsiin luotava tiimi uuden rekisterin vai sisältyykö se johonkin olemassa olevaan rekisteriin. Kysy tarvittaessa apua organisaation tietosuojavastaavalta. ▪ Teamsin sisäiset tiimit liittyvät organisaation henkilöstörekisteriin. ▪ Teamsin tiimit, joihin kutsutaan organisaation ulkopuolisia, ovat yleensä: ▪ Asiakasrekistereitä ▪ Yhteistyökumppaneiden rekistereitä ▪ Hankkeiden osallistujien rekistereitä ▪ Oikeusperusteena voi olla rekisterinpitäjän oikeutettu etu, sopimus tai suostumus. ▪ Linkitä tietosuojaseloste Teamsiin tai lähetä se etukäteen Teamsiin liittyville. • Pitäisikö Teamsiin liittymisen yhteydessä pyytää suostumus, että henkilön nimi ja yhteystiedot voidaan jakaa muiden tiimissä olevien kesken? • Voidaanko lähteä siitä, että hankkeen Teamsiin ei voi liittyä anonyymisti?
  • 65. Kysymys: kuvat, videot ja etätilanteiden tallenteet 65 ▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. ▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. ▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. ▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset. ▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti. ▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet. ▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille. • Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää niitä opetusryhmän kesken? • Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista? • Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
  • 66. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida. → Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor
  • 67. Kysymys: sijaisryhmä WhatsAppissa 67 ▪ WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin. ▪ Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota, sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön. ▪ WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA). ▪ Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella. ▪ Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa vaikutustenarviointi. ▪ Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista. ▪ Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset WhatsAppin käyttöön. ▪ Tarvittaessa oma rekisteri ja tietosuojaseloste. Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa • Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
  • 68. Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan ▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä? ▪ Mitkä ovat työvälineen oletusasetukset ja ominaisuudet? ▪ Minkälaista tietoa työvälineessä halutaan käsitellä? ▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia? ▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille? ▪ Luovuttaako työväline tietoja kolmansille osapuolille? ▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen tai julkisiin tapahtumiin? ▪ Käytetäänkö työvälinettä organisaation sisäiseen työskentelyyn? ▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin? ▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä? ▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on? Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 68
  • 69. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 69
  • 70. Ryhmätyö- ja tiedostonjakopalvelujen ominaisuuksia Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 70
  • 71. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 71 ▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. ▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. ▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella. ▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. ▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen. ▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä oppijoiden henkilötietojen käsittelyssä. • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  • 72. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin ▪ Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns. Schrems II –päätös). ▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja tallennuksessa.a ▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä henkilöiden tunnistetietoja, jolloin siirrettävät tiedot eivät ole enää henkilötietoja. ▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa! ▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella. ▪ Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi. Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf 72
  • 74. “ Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat käyttää tietosuojaoikeuksiaan. Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman manipulointia. 74 Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019, https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
  • 75. Pitääkö Suomessa pyytää lupa evästeiden käytölle? Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020, https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/ 75 • Monet verkkosivut käyttävät evästeitä, esim.: – Kirjautuminen sivustolle ja valinnat sivustolla – Google Analyticsin kävijäseurantakoodi – Googlen AdWordsin sivustotagi/markkinointipikseli – Facebook-mainonnan pikseli – Facebookin tykkäysnappula tai kirjautuminen – Chat-palvelujen evästeet • EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille 1) tulee kertoa evästeiden käytön tarkoituksesta, 2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä. • Tietosuojavaltuutetun toimiston linjauksen mukaan ei-välttämättömille evästeille tarvitaan GDPR:n mukainen suostumus tai muu oikeusperuste henkilötietojen käsittelylle (esim. sopimus). • Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet: – Evästeiden käytöstä kieltäytyminen ei saa aiheuttaa käyttäjälle haittaa. – Sivustoa on päästävä käyttämään normaalisti myös ilman evästeiden hyväksyntää. – Kieltäytyminen tai suostumuksen peruminen tulee olla yhtä helppoa kuin sen anto. – Suostumuksen peruminen tulee olla mahdollista rekisterinpitäjän omassa verkkopalvelussa.
  • 76. Google Analytics -kävijäseuranta ja GDPR Lähteet: Google Analyticsin käyttöehdot, https://marketingplatform.google.com/about/analytics/terms/fi/, Google analyticsin ohjeet, https://support.google.com/analytics/answer/6004245?hl=fi, Miten Google käyttää dataa: https://policies.google.com/technologies/partner-sites, Lisätietoa: https://www.cpomagazine.com/data-privacy/the-case-against-google-analytics-for-organizations-collecting-personal-data/ 76 ▪ Google Analyticsin dataa käytetään mm. mainosten kohdentamiseen. ▪ Käyttöehdot edellyttävät kertomaan seurannasta. ▪ Ehdot vaativat suostumuksen pyytämistä evästeille, ”kun laki edellyttää”. ▪ Google on Google Analyticsin datan käsittelijä. Tämä on otettava huomioon tietosuojaselosteessa. ▪ Googlen datansiirroista on tehty useita valituksia.
  • 77. Markkinointi ja asiakasviestintä GDPR:n kannalta 77 ▪ Sähköinen suoramarkkinointi kuluttajille: suostumus (opt-in) ▪ Sähköinen suoramarkkinointi esim. sähköpostit, tekstiviestit ym. ▪ Suostumuksen pitää olla selvä etukäteen. Mahdollisuus kieltoon ei riitä. ▪ Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos ▪ markkinoinnissa käytetään automaattista profilointia ▪ tietoja luovutetaan muille tahoille (esim. Facebook tai Google) ▪ Perinteinen ja B2B-suoramarkkinointi: rekisterinpitäjän oikeutettu etu ▪ Perinteinen (”osoitteeton”) suoramarkkinointi puhelimitse ja postitse ▪ B2B-markkinointi esim. yritysten yhteyshenkilöille, mutta aseman oltava varma. ▪ Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus. ▪ Tiedotus: rekisterinpitäjän etu, lainmukaiset tehtävät tai muu peruste ▪ Asiakassuhteen aloittamiseen, lopettamiseen tai sopimukseen liittyvä viestintä ▪ Muut asiakkaan käyttämiin palveluihin ja tuotteisiin liittyvät asiat ja tiedotteet ▪ Mieti vastaanottajan näkökulmasta, onko kyse markkinoinnista vai muusta ▪ Mainitse markkinointiviestien yhteydessä tietosuojaseloste ja miten voi kieltäytyä viesteiltä. ▪ Tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat.
  • 78. Monet organisaatiot vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalgoritmin avulla. Voit tarkistaa tietosi Facebookin asetusten Mainokset-kohdasta: https://www.facebook.com/d s/preferences/?entry_product =account_settings_menu&exp and_ad_settings=1 78
  • 79. Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa… Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020) 79
  • 80. 80 Facebookin asiakastiedostot Nimi, sähköposti, puhelinnumero, synt.aika, kaupunki, laitetunniste ym. Googlen asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Markkinointi manuaalisesti valituille kohderyhmille. Markkinoinnissa käytetään profilointia ja autom. päätöksiä → suostumus! Ei profilointia Twitterin räätälöidyt yleisöt Sähköposti, laitetunniste, Twitter-tunnus, Twitter-ID Datan kerääjät, hallinnoijat ja myyjät LinkedInin vastaavat yleisöt Nimi, sähköposti, laitetunniste, yritys, ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät
  • 81. GDPR-muistilista somemainostajalle ▪ Rekisterinpitäjä on vastuussa, jos se luovuttaa henkilötietoja mainosalustalle. ▪ Mainostaja on aina vastuussa, vaikka mainonta annettaisiin toisen tahon tehtäväksi. ▪ Organisaatiolla pitää olla oikeusperuste, joka mahdollistaa tietojen käytön sähk. markkinoinnissa. ▪ Yksityishenkilöt: suostumus tai sopimus ▪ B2B-yhteyshenkilöt: oikeutettu etu ▪ Tietosuojaselosteessa tulee kertoa, mille tahoille henkilötietoja luovutetaan – ml. henkilötietojen käsittelijät kuten mainospalvelujen tuottajat. ▪ Profiloinnin käytöstä tulee kertoa rekisteröidyille. ▪ Kerro, miten mainosviesteiltä voi kieltäytyä. 81 Kuva ja lisätietoa: Facebookin GDPR-sivusto, https://www.facebook.com/business/gdpr Ks. myös Googlen tukimateriaalit mainostajille: https://support.google.com/google-ads/answer/9028179?hl=fi