SlideShare a Scribd company logo
1 of 53
Download to read offline
Tietosuoja:
Rekisterinpitäjän vastuut
ja velvollisuudet
28.11.2022
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018
“
Perustuslain 10 §:
Jokaisen yksityiselämä, kunnia ja
kotirauha on turvattu. Henkilötietojen
suojasta säädetään tarkemmin lailla.
Kirjeen, puhelun ja muun
luottamuksellisen viestin salaisuus
on loukkaamaton.
2
Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
GDPR = EU:n yleinen tietosuoja-asetus
Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan?
1) Osittain tai kokonaan autom.
henkilötietojen käsittelyyn
▪ Digitaaliset asiakirjat, valokuvat,
videot ja muut tiedostot
▪ Sähköpostit, tekstiviestit
▪ Viestintäsovellukset
▪ Verkkopalvelut, chatit
▪ Sosiaalisen median palvelut
▪ Digitaaliset arkistot
▪ Tietojen siirto rajapintojen kautta
2) Henkilörekistereihin
▪ Tietojärjestelmät/tietokannat
▪ Yhteystietoluettelot
▪ Henkilötietojen kokoelmat
▪ Myös manuaaliset aineistot,
henkilökortistot ja vastaavat, jotka
muodostavat tai joiden on tarkoitus
muodostaa rekisteri
4
Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen joko rekisterinpitäjän
tai jonkun muun tahon toimesta.
GDPR:n tietosuojaperiaatteet
6
▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
▪ Käyttötarkoitussidonnaisuus
▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
▪ Tietojen minimointi
▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
▪ Tietojen täsmällisyys
▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus
▪ Tietojen säilytyksen rajoittaminen
▪ Tietoja säilytetään vain tarvittavan ajan
▪ Tietojen eheys ja luottamuksellisuus
▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
▪ Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Esimerkkejä käsiteltävistä henkilötiedoista
7
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
8
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste
Rekisteri
9
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
Rekisterinpitäjän vastuut ja velvollisuudet
Kenellä on vastuu organisaation tietosuojasta?
11
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.
Henkilötietojen käsittelylle tulee olla laillinen peruste
▪ Henkilön suostumus
▪ Sopimus, jossa rekisteröity on osapuolena
▪ Rekisterinpitäjän lakisääteinen velvoite
▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne)
▪ Julkisen tehtävän hoitaminen tai yleinen etu
▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
(esim. asiakassuhde tai työsuhde)
12
Suostumus henkilötietojen käsittelyn perusteena
13
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain).
▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
REKIST. OIKEUDET
OIKEUSPERUSTEEN
MUKAAN
Suostumus Sopimus Lakisääteiset
velvoitteet
Yleinen etu tai
julkinen tehtävä
Rekisterinpitäjän
oikeutettu etu
Elintärkeiden
etujen
suojaaminen
Oikeus saada tietoa
henkilötietojen
käsittelystä
Kyllä Kyllä Kyllä, ellei kyse
ole laissa
olevasta
poikkeuksesta
Kyllä, ellei kyse ole
laissa olevasta
poikkeuksesta
Kyllä Kyllä
Oikeus saada pääsy
tietoihin
Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus poistaa tiedot Kyllä, perumalla
suostumuksen
Kyllä, jos tietoja ei
enää tarvita sop.
Ei Ei Kyllä Kyllä
Oikeus rajoittaa
tietojen käsittelyä
Kyllä Kyllä Ei Kyllä Kyllä Kyllä
Oikeus vastustaa
tietojen käsittelyä
Ei Ei Ei Kyllä Kyllä Ei
Oikeus siirtää tiedot
järjestelmästä toiseen
Kyllä Kyllä Ei Ei Ei Ei
Oikeus olla joutumatta
autom. päätöksenteon
kohteeksi ilman laillista
perustetta
Kyllä, mutta
rekisteröity voi
antaa
suostumuksen
automaattiseen
päätöksentekoon
Kyllä, paitsi jos
autom. päät. on
välttämätöntä
sopimuksen tekoon
tai täyttämiseen
Kyllä, ellei kyse
ole laissa
olevasta
poikkeuksesta
Kyllä GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
15
Jos käsittelet työssäsi
henkilötietoja, ota selvää:
1. selosteet
2. ohjeistukset
3. tietosuojavastaava
GDPR:n mukaiset selosteet
1. Seloste käsittelytoimista
▪ ”Rekisteriseloste”
▪ Organisaation sisäinen (ei-julkinen)
▪ Pakollinen yli 250 hengen
organisaatioissa ja mm. silloin, kun
henkilötietojen käsittely on jatkuvaa
▪ Kattaa kaiken henkilötietojen
käsittelyn organisaatiossa
▪ Henkilötietojen käsittelyn
osoitusvelvollisuuden perusta
▪ Yleensä tietosuojavastaava ylläpitää
2. Rekisteröityjen informointi
▪ ”Tietosuojaseloste”
▪ Julkinen / oltava saatavilla
tilanteessa, jossa henkilötietoja
saadaan, tai toimitettava
rekisteröidylle kk:n sisällä
▪ Tarkoittaa kaikkea rekisteröidyille
kerrottavaa tietoa h.t. käsittelystä
▪ Voi kattaa kaikki eri rekisterit tai olla
rekisterikohtainen
▪ Sisältää myös rekisteröityjen oikeudet
16
Seloste käsittelytoimista ja rekisteröityjen ryhmät
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
17
GDPR ohjaa käsittelemään
rekisteröityjä organisaation
tasolla ryhminä eri
käsittelytarkoitusten mukaan,
ei erillisinä rekistereinä.
▪ Yli 250 työntekijän organisaatio → seloste on pakollinen
▪ Alle 250 työntekijän organisaatio → seloste on tehtävä, jos
▪ henkilötietojen käsittely ei ole satunnaista
▪ toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille
▪ tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja
▪ Selosteen ei ole pakko olla taulukko (kuvassa Tietosuojavaltuutetun malli)
Tietosuojaseloste
= rekisteröidyn informointi
18
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste tai vastaava
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
Kysymys: montako eri tietosuojaselostetta?
19
▪ Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn käsittelytarkoitukseen liittyviä
rekisteröityjen ryhmiä ja henkilötietoja.
▪ Viranomaisten tietojärjestelmistä tulee tehdä tiedonhallintalain mukainen
tiedonhallintamalli, mutta se ei liity rekisteröityjen informointiin.
▪ Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste.
▪ Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoista
tietosuojaselostetta: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan
yksityiskohtaisemmin esimerkiksi eri tietotoryhmistä.
▪ Ylätason tietosuojaselosteen tulee sisältää:
▪ Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet.
▪ Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä.
▪ Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä.
Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018,
https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
• Jos rekisteri koostuu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja
tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri
tietosuojaselosteet?
Rekisteröityjen pyyntöihin vastaaminen
20
▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos
he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun.
▪ Rekisteröidyn tulee yksilöidä pyyntönsä:
▪ Nimi ja yhteystiedot
▪ Mitä tietoja pyyntö koskee
▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta
▪ Missä muodossa haluaa tiedot
▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys.
▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa.
▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa
vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä
ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä.
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
Tarkastusoikeuden rajoittaminen
21
▪ Rekisteröidyn oikeutta voidaan rajoittaa, lykätä tai evätä joko osittain tai kokonaan siltä osin
kuin se on välttämätöntä:
▪ rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyvien
syytetoimien taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan
haitan välttämiseksi
▪ viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi
▪ yleisen turvallisuuden suojelemiseksi
▪ kansallisen turvallisuuden suojelemiseksi
▪ muiden henkilöiden oikeuksien suojelemiseksi
▪ Vaikka tarkastusoikeutta olisi rajoitettu, tietosuojavaltuutettu voi rekisteröidyn pyynnöstä
tarkastaa tätä koskevien tietojen lainmukaisuuden.
▪ Rekisteröity voi tehdä pyynnön erikseen säädetyillä tavoilla tai tietosuojavaltuutetulle.
▪ Tällöinkään rajoitettuja tietoja ei luovuteta rekisteröidylle.
▪ Viranomaisia, joiden rekisterien tietojen tarkastusoikeutta on rajoitettu: poliisi,
rajavartiolaitos, tulli, puolustusvoimat, rikosseuraamuslaitos
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/tietojen-tarkastaminen
Mitä henkilötiedoilla saa tehdä, mitä ei?
22
Henkilökunnan perehdytys tietosuojaan
23
▪ Käy läpi ainakin nämä:
▪ Mikä on henkilötieto
▪ Miten henkilötietoja käsitellään
▪ Mitä henkilötietoja saa käsitellä (vain työtehtävien kannalta tarpeellisia)
▪ Missä tietojärjestelmissä henkilötietoja käsitellään
▪ Miten tietoturvasta ja käyttäjähallinnasta on huolehdittava
▪ Miten toimia tietoturvaloukkaustilanteissa
▪ Kuka on organisaation tietosuojavastaava ja mitä hänen tehtäviinsä kuuluu
▪ Lisäksi organisaatio- ja toimialakohtaiset tarpeelliset aiheet
▪ Materiaalia:
▪ Tietosuoja.fi: Usein kysyttyä, https://tietosuoja.fi/usein-kysyttya
▪ Suomidigi: Digiturvallisuuden verkkomateriaalit, https://www.suomidigi.fi/ohjeet-
ja-tuki/digitaalinen-turvallisuus/digiturvallisuuden-verkkomateriaalit
▪ Harto Pönkä: Tietosuoja - mitä jokaisen olisi hyvä tietää henkilötiedoista ja
GDPR:stä, https://www.youtube.com/watch?v=jJY0Udi6eco
Lähteenä mm. TSV, 2022, Mitä asioita henkilöstön tietosuojaperehdytyksessä tulisi ottaa huomioon? https://tietosuoja.fi/usein-kysyttya-tietosuojavastaavista
Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että henkilötietoja
käsitellään turvallisesti. Henkilökunnalle on annettava perehdytystä tietosuojaan.
Käyttötarkoitussidonnaisuus
24
Henkilötietojen käsittelyn
tarkoitukset ja tavat tulisi
ilmetä selkeästi rekisteröidyn
informoinnista.
Muista tietojen minimointi
kaikissa käyttötapauksissa.
Muista suostumuksen
edellytykset: se ei sovellu
kaikkiin tilanteisiin.
Tietosuojalaki 35 §: vaitiolovelvollisuus
25
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Henkilötietojen luovuttaminen ja julkaisu
26
▪ Henkilötietoja voi yleensä luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn
suostumuksella tai jos siitä on nimenomaisesti säädetty.
▪ Suostumus on käytännössä esimerkiksi:
▪ Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan
▪ Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa
▪ Julkaisuluvat esimerkiksi kuviin ja videoihin
▪ Muilla tavoin kysytyt ja saadut suostumukset
▪ Suostumukset merkitään rekisteriin
▪ Rekisteröity voi milloin tahansa perua antamansa suostumuksen
Viranomaisen henkilötietorekisterin tietojen anto
▪ Ei koske salassa pidettäviä tietoja.
▪ Vaikka rekisterissä olevat tiedot
olisivat lain mukaan julkisia, niitä ei
voi antaa kenelle tahansa.
▪ Rekisterinpitäjän on arvioitava
riskit, jos tietoja julkaistaan.
▪ Ei tietojen massajulkaisua
esimerkiksi nimi ja HETU.
▪ Viranomaisen rekisterissä olevia
henkilötietoja saa antaa, jos:
▪ 1) Kyse ei ole salassa pidettävistä
tiedoista tai jokin muu laki ei estä
luovutusta
▪ 2) Saajalla on oikeus käyttää kyseisiä
tietoja (esim. yksityishenkilö)
▪ Henkilötunnusta ei tule tällöinkään
merkitä tarpeettomasti.
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
27
Riskiarviointi, vaikutustenarviointi ja tietosuojaloukkaukset
Oletusarvoinen tietosuoja ja riskiperustainen lähestymistapa
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-
asetukseen/8c5b9a96-a8ce-4c91-ad06-6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
▪ Rekisterinpitäjän tulee käsitellä vain tarkoituksen kannalta tarpeellisia henkilötietoja.
▪ Koskee henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
▪ Helpoin tapa pienentää riskiä on vähentää käsiteltävien tietojen määrää.
▪ Rekisterinpitäjän tulee arvioida riskit ja toteuttaa tarpeelliset tekniset ja organisatoriset
suojatoimet. Erityisesti on huolehdittava henkilötietojen suojaamisesta.
▪ Riskit ovat rekisteröidyille mahdollisesti aiheutuvia fyysisiä, aineellisia tai muita vahinkoja.
▪ Esim. henkilötietojen käyttö syrjintään, identiteettivarkauteen, petokseen,
taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.
▪ Riski voi olla korkeampi, kun
▪ käsitellään heikossa asemassa olevien tietoja (esim. lapset)
▪ käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti
▪ käsitellään henkilökohtaisia ominaisuuksia (esim. henkilön profilointi)
▪ Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet.
▪ Tietosuoja alkaa toiminnan ja tietojärjestelmien sekä niiden tietoturvan suunnittelusta.
29
Tiedonhallintalain tietoturvallisuuden vaatimukset
Lähde: Laki julkisen hallinnon tiedonhallinnasta, https://www.finlex.fi/fi/laki/alkup/2019/20190906#Pidp446099584
30
▪ Tiedonhallintalakia sovelletaan, kun tietoja käsittelee:
▪ viranomaiset (mm. valtion virastot, kunnat, muut julkisoikeudelliset laitokset)
▪ yliopistot ja ammattikorkeakoulut
▪ yksityishenkilöt ja yhteisöt, kun ne hoitavat julkista hallintotehtävää (=lakiin tai
asetukseen perustuva toimivalta, esim. lupien myöntäminen)
▪ Tiedonhallintayksikön tulee ylläpitää tiedonhallintamallia, jonka osana on mm. GDPR:n
mukaiset selosteet käsittelytoimista sekä kuvaus tietoturvallisuustoimenpiteistä (5 §).
▪ Tietoturvallisuuden vaatimuksia (luku 4):
▪ 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus on varmistettava koko
niiden elinkaaren ajan. Edellyttää toimintaympäristön seurantaa ja riskiarviointia.
▪ 14 §: Salassa pidettävien tietojen siirtäminen tietoverkossa on tehtävä suojatusti ja
vastaanottaja on varmistettava tai tunnistettava.
▪ 15 §: Tietoaineistojen varmistaminen: 1) muuttumattomuus, 2) suojattu vahingoilta,
3) alkuperäisyys, ajantasaisuus ja virheettömyys, 4) saatavuus ja käyttökelpoisuus,
5) saatavuutta ei rajoiteta perusteetta, 6) tietoja voidaan arkistoida.
▪ 16 §: Tietojärjestelmien käyttöoikeuksien hallinta käyttäjien tehtävien mukaan.
▪ 17 §: Lokitietojen kerääminen, jos käyttö edellyttää tunnistaut. tai kirjautumista.
Tarkoituksena käytön ja luovutuksen seuranta sekä teknisten virheiden selvitys.
▪ 18 §: Turvallisuusluokiteltavat asiakirjat valtionhallinnossa (TL-merkinnät)
Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
31
Henkilötietoihin kohdistuvan riskin taso
32
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
Tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA)
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja
https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista
▪ Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely ”todennäköisesti aiheuttaa ... luonnollisen
henkilön oikeuksien ja vapauksien kannalta korkean riskin”
▪ Tehtävä, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea.
▪ Suositeltavaa myös epäselvissä tapauksissa.
▪ Vaikutustenarviointi tulee tehdä erityisesti, kun:
▪ otetaan käyttöön uutta teknologiaa
▪ käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä
▪ on kyse järjestelmällisestä ja kattavasta autom. päätöksentekoon perustuvasta arvioinnista
▪ on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta
▪ Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaikutustenarviointi:
▪ Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät
▪ Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla
valvontaviranomaista (nk. ennakkokuuleminen).
▪ Vaikutustenarviointi tulee dokumentoida ja sitä tulisi tarkistaa ja päivittää säännöllisesti.
▪ Ohje vaikutustenarvioinnista:
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-
9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
33
Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Riskipisteet Täsmennyksiä ja esimerkkejä
1. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai
vastaavia merkittäviä vaikutuksia
2 Esim. henkilökohtaisten ominaisuuksien
laajamittainen automaattinen profilointi, jota
voitaisiin käyttää esim. syrjintään.
2. Järjestelmällinen valvonta 2 Esim. julkisten ja avointen tilojen
kameravalvonta.
3. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot 2 Esim. erityiset henkilötietoryhmät ja
rikosrekisteritiedot. Myös esim. taloustiedot ja
yksityiset päiväkirjat.
4. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen
käyttö tai soveltaminen
2 Uusiin ratkaisuihin voi liittyä riskejä, joita ei
havaita helposti.
5. Arviointi tai pisteytys 1 Esim. käyttäytymis- tai markkinointiprofiilien
koostaminen.
6. Tietojen laajamittainen käsittely 1 Huomattavan suuri määrä tai osuus väestöstä,
pitkäkestoisuus.
7. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen 1 Kun tietoja yhdistellään rekisteröityjen
kohtuullisia odotuksia laajemmin.
8. Heikossa asemassa olevia rekisteröityjä koskevat tiedot 1 Esim. lapset ja työntekijät. Riippuvuus
rekisterinpitäjästä.
9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta 1 Esim. pankin arvio luottokelpoisuudesta.
Vähintään 2 ”riskipistettä” → tee vaikutustenarviointi
Lähteet (soveltaen): Tietosuojavaltuutetun toimisto, 2020, https://tietosuoja.fi/vaikutustenarviointi, Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
34
Tietosuojaa koskeva vaikutustenarviointi
35
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen käsittelytoimista ja
käsittelyn tarkoituksista +
tietosuojavastaavan neuvot
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen oikeuksia ja
vapauksia koskevista riskeistä +
rekisteröityjen näkemykset
4. Suunnitellut toimenpiteet riskeihin
puuttumiseksi sekä sen
osoittamiseksi, että tietosuoja-
asetusta on noudatettu
5. Dokumentointi
(GDPR:n 35 artikla ja johdanto-osat 84 ja 90)
TSV:n esimerkkejä toimenpiteistä riskien vähentämiseksi
Lähde: TSV, Vaikutustenarvioinnin tekeminen, https://tietosuoja.fi/vaikutustenarvioinnin-tekeminen
36
• Päätös olla käsittelemättä tietyn tyyppisiä tietoja
• Käsittelyn kohteen täsmentäminen tai rajaaminen
• Säilytysaikojen lyhentäminen
• Riskiin nähden tarpeellisen lisäsuojaustoimenpiteen käyttöönotto
• Henkilötietojen anonymisointi tai pseudonymisointi
• Kirjallisten käsittelyohjeiden käyttöönotto
• Ihmisen osallistumisen lisääminen automatisoituihin päätöksiin
• Toisenlaisen tekniikan käyttäminen
• Tietojen vaihdosta tehtyjen selkeiden sopimusten käyttöönotto
• Kielto-oikeuden tarjoaminen rekisteröidylle, mikäli se on mahdollista
• Henkilöiden tietosuojaoikeuksien käyttöä tukevien järjestelmien ja menettelyiden käyttöönotto.
Tietoturvaloukkaus
37
Tarkoitetaan henkilötietojen…
▪ vahingossa tapahtuvaa tai lainvastaista
tuhoamista
▪ häviämistä
▪ muuttamista
▪ luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tietoturvaloukkauksesta
tietosuojaviranomaiselle ja lisäksi
rekisteröidylle, jos siitä aiheutuu korkea riski.
Henkilötietojen käsittelijän on ilmoitettava
loukkauksesta rekisterinpitäjälle viipymättä.
Esimerkkejä tietosuojaloukkauksista
38
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun varmuuskopion
henkilötietoja sisältävästä arkistosta USB-muistitikulle.
Muistitikku varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn
verkkohyökkäyksen seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti aiheutuu
seurauksia.
Kyllä, jos henkilöille
todennäköisesti aiheutuvien
seurausten vakavuus on
suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee
virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian
vaikutuksesta käyttäjät voivat nähdä toistensa tietoja
palvelussa.
Kyllä, kun rekisterinpitäjät
ovat saaneet tiedon
henkilötietojen käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli tuhat
vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.
Varo: Office 365 -huijaukset ovat yleisiä!
▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia,
joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.
▪ Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
39
Huijaus- ja tietojenkalasteluviestit
40
1. Älä luota sähköpostin tai
tekstiviestin lähettäjän nimeen
tai osoitteeseen/numeroon.
2. Älä koskaan avaa yllätyksenä
tullutta liitetiedostoa.
3. Tarkista linkki esim. viemällä hiiri
sen päälle.
4. Anna tietojasi vain varmasti
luotettaville tahoille.
5. Jos epäilet huijausta, tarkista
aitous muuta kautta
Tietosuojarikkomukseen reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden
havainnoista on hyötyä jatkotutkinnalle.
4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet,
yhteystiedot, arkaluontoiset ja salassa pidettävät jne.
Rekisterinpitäjä ja tietosuojavastaava:
▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.
▪ Anna ohjeita, miten välttää ikäviä seurauksia.
41
Henkilötietojen siirrot ja sopimukset
42
Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Rekisteröidyn informointi
(13 artikla)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen
Seloste käsittelytoimista
(30 artikla)
Mahdolliset muut käsittelijät
43
Sopimus henkilötietojen käsittelystä
44
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
▪ Merkitys = käsittelijä toimii rekisterinpitäjän
lukuun JA tämän vastuulla(!)
▪ Sopimuksessa vahvistetaan:
▪ käsittelyn kohde, kesto, luonne ja tarkoitus,
▪ rekisteröityjen ryhmät ja tietojen tyypit,
▪ rekisterinpitäjän velvollisuudet ja oikeudet.
▪ Erityisesti tulee sopia, että käsittelijä:
▪ käsittelee tietoja ohjeiden mukaisesti,
▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset
turvallisuudesta,
▪ ei käytä toisia käsittelijöitä ilman lupaa,
▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet,
▪ lopuksi poistaa tai palauttaa tiedot,
▪ antaa tarvittavat tiedot osoitusvelvollisuudesta,
▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
▪ ”Henkilötietojen käsittelijä ei vastaa mahdollisista tietosuojarikkomuksista.”
▪ GDPR:n 28. artiklan 3. c) kohdan mukaan käsittelijän tulee toteuttaa GDPR:n 32. artiklan mukaiset
tekniset ja organisatoriset suojatoimet, jotta käsittely on turvallista.
▪ ”Henkilötietojen käsittelijä päättää itsenäisesti käsittelytavoista.”
▪ GDPR:n 28. artiklan 3. kohdan mukaan: ”…käsittelee henkilötietoja ainoastaan rekisterinpitäjän
antamien dokumentoitujen ohjeiden mukaisesti”
▪ ”Henkilötietojen käsittelijä voi käyttää toisia henkilötietojen käsittelijöitä.”
▪ GDPR:n 28. artiklan 2. kohdan mukaan 1) käsittelijä tarvitsee etukäteen luvan toisten käsittelijöiden
käyttöön tai 2) toisten käsittelijöiden käytöstä on ilmoitettava etukäteen ja annettava rekisterinpitäjälle
oikeus vastustaa muutosta.
▪ ”Henkilötietojen käsittelijä ei vastaa käyttämiensä alakäsittelijöiden aiheuttamista tietosuojaloukkauksista.”
▪ GDPR:n 28. artiklan 4. kohdan mukaan: ”Kun toinen henkilötietojen käsittelijä ei täytä
tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa
toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.”
Käsittelysopimuksissa vastaan tulleita kukkasia
45
Henkilötietojen siirroissa huomioitavaa
46
▪ Mitkä ovat osapuolten roolit?
▪ Rekisterinpitäjä, yhteisrekisterinpitäjä, henkilötietojen käsittelijä
▪ Syntyykö siirroissa uusia rekistereitä vai onko kyse nykyisten rekisterien käytöstä?
▪ Mihin tietojen luovutus tai siirto perustuu?
▪ Henkilötietojen käsittelyn sopimukseen
▪ Rekisteröityjen antamaan suostumukseen
▪ Rekisteröityjen oikeuteen siirtää tiedot järjestelmästä toiseen
▪ Lakiin tai oikeuden päätökseen
▪ Tietojen luovutus/siirto voi joskus olla alkuperäisen käyttötarkoituksen mukaista
▪ Mitä vastuita tietojen luovuttajalla ja vastaanottajalla on?
▪ Mitä tietoja siirretään ja miten niitä tulee käsitellä?
▪ Miten tietoja siirretään (kertasiirtona, ajastetusti tiedostoina, rajapinnan kautta)?
▪ Mitä riskejä siirtoihin liittyy ja onko tarpeen tehdä vaikutustenarviointi?
▪ Saako vastaanottaja käyttää alakäsittelijöitä ja millä ehdoin?
▪ Siirretäänkö tietoja EU:n/ETA:n ulkopuolelle?
▪ Onko tietojen siirto huomioitu rekisteröityjen informoinnissa?
Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
47
▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalvelujen käytölle henkilötietojen
käsittelyssä ei ole estettä.
▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä
on tällöin rekisterinpitäjällä.
▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta
tietoja antavat henkilöt voivat tutustua siihen.
▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
henkilötietojen käsittelyssä. Yleensä ei ole sallittua.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
⬞ Lakisääteisiin tehtäviin suostumus ei sovellu.
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.
▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa.
▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
48
▪ Todennäköisesti moni julkinen organisaatio
päätyy samaan ratkaisuun kuin Kela
Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/-
/asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa
(uutinen on sittemmin poistettu netistä)
49
Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
50
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
51
Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022)
Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
“
”Tietosuojasta huolehditaan, jotta
jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten
niitä voidaan käyttää.”
52
53
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!

More Related Content

What's hot

Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 

What's hot (20)

Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 

Similar to Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet

Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Accountor Enterprise Solutions Oy
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaHarto Pönkä
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaHarto Pönkä
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaSuomen metsäkeskus
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHarto Pönkä
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaHarto Pönkä
 
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaHeikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaSuomen Yrittäjäopisto
 

Similar to Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet (20)

Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessa
 
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaHeikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
 

More from Harto Pönkä

Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössäHarto Pönkä
 

More from Harto Pönkä (17)

Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 

Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet

  • 1. Tietosuoja: Rekisterinpitäjän vastuut ja velvollisuudet 28.11.2022 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 2. “ Perustuslain 10 §: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. 2 Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
  • 3. GDPR = EU:n yleinen tietosuoja-asetus
  • 4. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn ▪ Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot ▪ Sähköpostit, tekstiviestit ▪ Viestintäsovellukset ▪ Verkkopalvelut, chatit ▪ Sosiaalisen median palvelut ▪ Digitaaliset arkistot ▪ Tietojen siirto rajapintojen kautta 2) Henkilörekistereihin ▪ Tietojärjestelmät/tietokannat ▪ Yhteystietoluettelot ▪ Henkilötietojen kokoelmat ▪ Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 4
  • 5. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai jonkun muun tahon toimesta.
  • 6. GDPR:n tietosuojaperiaatteet 6 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 7. Esimerkkejä käsiteltävistä henkilötiedoista 7 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  • 8. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 8 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
  • 9. Rekisteri 9 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  • 11. Kenellä on vastuu organisaation tietosuojasta? 11 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää (tarkoitukset ja keinot) ja toimeenpanee. Velvollisuus kuulla tietosuojavastaavaa.
  • 12. Henkilötietojen käsittelylle tulee olla laillinen peruste ▪ Henkilön suostumus ▪ Sopimus, jossa rekisteröity on osapuolena ▪ Rekisterinpitäjän lakisääteinen velvoite ▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne) ▪ Julkisen tehtävän hoitaminen tai yleinen etu ▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu (esim. asiakassuhde tai työsuhde) 12
  • 13. Suostumus henkilötietojen käsittelyn perusteena 13 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain). ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
  • 14. REKIST. OIKEUDET OIKEUSPERUSTEEN MUKAAN Suostumus Sopimus Lakisääteiset velvoitteet Yleinen etu tai julkinen tehtävä Rekisterinpitäjän oikeutettu etu Elintärkeiden etujen suojaaminen Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus poistaa tiedot Kyllä, perumalla suostumuksen Kyllä, jos tietoja ei enää tarvita sop. Ei Ei Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Ei Kyllä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei Ei Ei Kyllä Kyllä Ei Oikeus siirtää tiedot järjestelmästä toiseen Kyllä Kyllä Ei Ei Ei Ei Oikeus olla joutumatta autom. päätöksenteon kohteeksi ilman laillista perustetta Kyllä, mutta rekisteröity voi antaa suostumuksen automaattiseen päätöksentekoon Kyllä, paitsi jos autom. päät. on välttämätöntä sopimuksen tekoon tai täyttämiseen Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
  • 15. 15 Jos käsittelet työssäsi henkilötietoja, ota selvää: 1. selosteet 2. ohjeistukset 3. tietosuojavastaava
  • 16. GDPR:n mukaiset selosteet 1. Seloste käsittelytoimista ▪ ”Rekisteriseloste” ▪ Organisaation sisäinen (ei-julkinen) ▪ Pakollinen yli 250 hengen organisaatioissa ja mm. silloin, kun henkilötietojen käsittely on jatkuvaa ▪ Kattaa kaiken henkilötietojen käsittelyn organisaatiossa ▪ Henkilötietojen käsittelyn osoitusvelvollisuuden perusta ▪ Yleensä tietosuojavastaava ylläpitää 2. Rekisteröityjen informointi ▪ ”Tietosuojaseloste” ▪ Julkinen / oltava saatavilla tilanteessa, jossa henkilötietoja saadaan, tai toimitettava rekisteröidylle kk:n sisällä ▪ Tarkoittaa kaikkea rekisteröidyille kerrottavaa tietoa h.t. käsittelystä ▪ Voi kattaa kaikki eri rekisterit tai olla rekisterikohtainen ▪ Sisältää myös rekisteröityjen oikeudet 16
  • 17. Seloste käsittelytoimista ja rekisteröityjen ryhmät Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista 17 GDPR ohjaa käsittelemään rekisteröityjä organisaation tasolla ryhminä eri käsittelytarkoitusten mukaan, ei erillisinä rekistereinä. ▪ Yli 250 työntekijän organisaatio → seloste on pakollinen ▪ Alle 250 työntekijän organisaatio → seloste on tehtävä, jos ▪ henkilötietojen käsittely ei ole satunnaista ▪ toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille ▪ tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja ▪ Selosteen ei ole pakko olla taulukko (kuvassa Tietosuojavaltuutetun malli)
  • 18. Tietosuojaseloste = rekisteröidyn informointi 18 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste tai vastaava ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  • 19. Kysymys: montako eri tietosuojaselostetta? 19 ▪ Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn käsittelytarkoitukseen liittyviä rekisteröityjen ryhmiä ja henkilötietoja. ▪ Viranomaisten tietojärjestelmistä tulee tehdä tiedonhallintalain mukainen tiedonhallintamalli, mutta se ei liity rekisteröityjen informointiin. ▪ Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste. ▪ Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoista tietosuojaselostetta: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan yksityiskohtaisemmin esimerkiksi eri tietotoryhmistä. ▪ Ylätason tietosuojaselosteen tulee sisältää: ▪ Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet. ▪ Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä. ▪ Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä. Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf • Jos rekisteri koostuu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri tietosuojaselosteet?
  • 20. Rekisteröityjen pyyntöihin vastaaminen 20 ▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun. ▪ Rekisteröidyn tulee yksilöidä pyyntönsä: ▪ Nimi ja yhteystiedot ▪ Mitä tietoja pyyntö koskee ▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta ▪ Missä muodossa haluaa tiedot ▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys. ▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa. ▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä. Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
  • 21. Tarkastusoikeuden rajoittaminen 21 ▪ Rekisteröidyn oikeutta voidaan rajoittaa, lykätä tai evätä joko osittain tai kokonaan siltä osin kuin se on välttämätöntä: ▪ rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyvien syytetoimien taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi ▪ viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi ▪ yleisen turvallisuuden suojelemiseksi ▪ kansallisen turvallisuuden suojelemiseksi ▪ muiden henkilöiden oikeuksien suojelemiseksi ▪ Vaikka tarkastusoikeutta olisi rajoitettu, tietosuojavaltuutettu voi rekisteröidyn pyynnöstä tarkastaa tätä koskevien tietojen lainmukaisuuden. ▪ Rekisteröity voi tehdä pyynnön erikseen säädetyillä tavoilla tai tietosuojavaltuutetulle. ▪ Tällöinkään rajoitettuja tietoja ei luovuteta rekisteröidylle. ▪ Viranomaisia, joiden rekisterien tietojen tarkastusoikeutta on rajoitettu: poliisi, rajavartiolaitos, tulli, puolustusvoimat, rikosseuraamuslaitos Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/tietojen-tarkastaminen
  • 22. Mitä henkilötiedoilla saa tehdä, mitä ei? 22
  • 23. Henkilökunnan perehdytys tietosuojaan 23 ▪ Käy läpi ainakin nämä: ▪ Mikä on henkilötieto ▪ Miten henkilötietoja käsitellään ▪ Mitä henkilötietoja saa käsitellä (vain työtehtävien kannalta tarpeellisia) ▪ Missä tietojärjestelmissä henkilötietoja käsitellään ▪ Miten tietoturvasta ja käyttäjähallinnasta on huolehdittava ▪ Miten toimia tietoturvaloukkaustilanteissa ▪ Kuka on organisaation tietosuojavastaava ja mitä hänen tehtäviinsä kuuluu ▪ Lisäksi organisaatio- ja toimialakohtaiset tarpeelliset aiheet ▪ Materiaalia: ▪ Tietosuoja.fi: Usein kysyttyä, https://tietosuoja.fi/usein-kysyttya ▪ Suomidigi: Digiturvallisuuden verkkomateriaalit, https://www.suomidigi.fi/ohjeet- ja-tuki/digitaalinen-turvallisuus/digiturvallisuuden-verkkomateriaalit ▪ Harto Pönkä: Tietosuoja - mitä jokaisen olisi hyvä tietää henkilötiedoista ja GDPR:stä, https://www.youtube.com/watch?v=jJY0Udi6eco Lähteenä mm. TSV, 2022, Mitä asioita henkilöstön tietosuojaperehdytyksessä tulisi ottaa huomioon? https://tietosuoja.fi/usein-kysyttya-tietosuojavastaavista Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että henkilötietoja käsitellään turvallisesti. Henkilökunnalle on annettava perehdytystä tietosuojaan.
  • 24. Käyttötarkoitussidonnaisuus 24 Henkilötietojen käsittelyn tarkoitukset ja tavat tulisi ilmetä selkeästi rekisteröidyn informoinnista. Muista tietojen minimointi kaikissa käyttötapauksissa. Muista suostumuksen edellytykset: se ei sovellu kaikkiin tilanteisiin.
  • 25. Tietosuojalaki 35 §: vaitiolovelvollisuus 25 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. ▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. ▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 26. Henkilötietojen luovuttaminen ja julkaisu 26 ▪ Henkilötietoja voi yleensä luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti säädetty. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan ▪ Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin kysytyt ja saadut suostumukset ▪ Suostumukset merkitään rekisteriin ▪ Rekisteröity voi milloin tahansa perua antamansa suostumuksen
  • 27. Viranomaisen henkilötietorekisterin tietojen anto ▪ Ei koske salassa pidettäviä tietoja. ▪ Vaikka rekisterissä olevat tiedot olisivat lain mukaan julkisia, niitä ei voi antaa kenelle tahansa. ▪ Rekisterinpitäjän on arvioitava riskit, jos tietoja julkaistaan. ▪ Ei tietojen massajulkaisua esimerkiksi nimi ja HETU. ▪ Viranomaisen rekisterissä olevia henkilötietoja saa antaa, jos: ▪ 1) Kyse ei ole salassa pidettävistä tiedoista tai jokin muu laki ei estä luovutusta ▪ 2) Saajalla on oikeus käyttää kyseisiä tietoja (esim. yksityishenkilö) ▪ Henkilötunnusta ei tule tällöinkään merkitä tarpeettomasti. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621 27
  • 29. Oletusarvoinen tietosuoja ja riskiperustainen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja- asetukseen/8c5b9a96-a8ce-4c91-ad06-6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf ▪ Rekisterinpitäjän tulee käsitellä vain tarkoituksen kannalta tarpeellisia henkilötietoja. ▪ Koskee henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. ▪ Helpoin tapa pienentää riskiä on vähentää käsiteltävien tietojen määrää. ▪ Rekisterinpitäjän tulee arvioida riskit ja toteuttaa tarpeelliset tekniset ja organisatoriset suojatoimet. Erityisesti on huolehdittava henkilötietojen suojaamisesta. ▪ Riskit ovat rekisteröidyille mahdollisesti aiheutuvia fyysisiä, aineellisia tai muita vahinkoja. ▪ Esim. henkilötietojen käyttö syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. ▪ Riski voi olla korkeampi, kun ▪ käsitellään heikossa asemassa olevien tietoja (esim. lapset) ▪ käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti ▪ käsitellään henkilökohtaisia ominaisuuksia (esim. henkilön profilointi) ▪ Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. ▪ Tietosuoja alkaa toiminnan ja tietojärjestelmien sekä niiden tietoturvan suunnittelusta. 29
  • 30. Tiedonhallintalain tietoturvallisuuden vaatimukset Lähde: Laki julkisen hallinnon tiedonhallinnasta, https://www.finlex.fi/fi/laki/alkup/2019/20190906#Pidp446099584 30 ▪ Tiedonhallintalakia sovelletaan, kun tietoja käsittelee: ▪ viranomaiset (mm. valtion virastot, kunnat, muut julkisoikeudelliset laitokset) ▪ yliopistot ja ammattikorkeakoulut ▪ yksityishenkilöt ja yhteisöt, kun ne hoitavat julkista hallintotehtävää (=lakiin tai asetukseen perustuva toimivalta, esim. lupien myöntäminen) ▪ Tiedonhallintayksikön tulee ylläpitää tiedonhallintamallia, jonka osana on mm. GDPR:n mukaiset selosteet käsittelytoimista sekä kuvaus tietoturvallisuustoimenpiteistä (5 §). ▪ Tietoturvallisuuden vaatimuksia (luku 4): ▪ 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus on varmistettava koko niiden elinkaaren ajan. Edellyttää toimintaympäristön seurantaa ja riskiarviointia. ▪ 14 §: Salassa pidettävien tietojen siirtäminen tietoverkossa on tehtävä suojatusti ja vastaanottaja on varmistettava tai tunnistettava. ▪ 15 §: Tietoaineistojen varmistaminen: 1) muuttumattomuus, 2) suojattu vahingoilta, 3) alkuperäisyys, ajantasaisuus ja virheettömyys, 4) saatavuus ja käyttökelpoisuus, 5) saatavuutta ei rajoiteta perusteetta, 6) tietoja voidaan arkistoida. ▪ 16 §: Tietojärjestelmien käyttöoikeuksien hallinta käyttäjien tehtävien mukaan. ▪ 17 §: Lokitietojen kerääminen, jos käyttö edellyttää tunnistaut. tai kirjautumista. Tarkoituksena käytön ja luovutuksen seuranta sekä teknisten virheiden selvitys. ▪ 18 §: Turvallisuusluokiteltavat asiakirjat valtionhallinnossa (TL-merkinnät)
  • 31. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit 31
  • 32. Henkilötietoihin kohdistuvan riskin taso 32 Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  • 33. Tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA) Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista ▪ Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely ”todennäköisesti aiheuttaa ... luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin” ▪ Tehtävä, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea. ▪ Suositeltavaa myös epäselvissä tapauksissa. ▪ Vaikutustenarviointi tulee tehdä erityisesti, kun: ▪ otetaan käyttöön uutta teknologiaa ▪ käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä ▪ on kyse järjestelmällisestä ja kattavasta autom. päätöksentekoon perustuvasta arvioinnista ▪ on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta ▪ Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaikutustenarviointi: ▪ Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät ▪ Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen). ▪ Vaikutustenarviointi tulee dokumentoida ja sitä tulisi tarkistaa ja päivittää säännöllisesti. ▪ Ohje vaikutustenarvioinnista: https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223- 9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf 33
  • 34. Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Riskipisteet Täsmennyksiä ja esimerkkejä 1. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia 2 Esim. henkilökohtaisten ominaisuuksien laajamittainen automaattinen profilointi, jota voitaisiin käyttää esim. syrjintään. 2. Järjestelmällinen valvonta 2 Esim. julkisten ja avointen tilojen kameravalvonta. 3. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot 2 Esim. erityiset henkilötietoryhmät ja rikosrekisteritiedot. Myös esim. taloustiedot ja yksityiset päiväkirjat. 4. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen 2 Uusiin ratkaisuihin voi liittyä riskejä, joita ei havaita helposti. 5. Arviointi tai pisteytys 1 Esim. käyttäytymis- tai markkinointiprofiilien koostaminen. 6. Tietojen laajamittainen käsittely 1 Huomattavan suuri määrä tai osuus väestöstä, pitkäkestoisuus. 7. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen 1 Kun tietoja yhdistellään rekisteröityjen kohtuullisia odotuksia laajemmin. 8. Heikossa asemassa olevia rekisteröityjä koskevat tiedot 1 Esim. lapset ja työntekijät. Riippuvuus rekisterinpitäjästä. 9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta 1 Esim. pankin arvio luottokelpoisuudesta. Vähintään 2 ”riskipistettä” → tee vaikutustenarviointi Lähteet (soveltaen): Tietosuojavaltuutetun toimisto, 2020, https://tietosuoja.fi/vaikutustenarviointi, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf 34
  • 35. Tietosuojaa koskeva vaikutustenarviointi 35 Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020 Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista + tietosuojavastaavan neuvot 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä + rekisteröityjen näkemykset 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja- asetusta on noudatettu 5. Dokumentointi (GDPR:n 35 artikla ja johdanto-osat 84 ja 90)
  • 36. TSV:n esimerkkejä toimenpiteistä riskien vähentämiseksi Lähde: TSV, Vaikutustenarvioinnin tekeminen, https://tietosuoja.fi/vaikutustenarvioinnin-tekeminen 36 • Päätös olla käsittelemättä tietyn tyyppisiä tietoja • Käsittelyn kohteen täsmentäminen tai rajaaminen • Säilytysaikojen lyhentäminen • Riskiin nähden tarpeellisen lisäsuojaustoimenpiteen käyttöönotto • Henkilötietojen anonymisointi tai pseudonymisointi • Kirjallisten käsittelyohjeiden käyttöönotto • Ihmisen osallistumisen lisääminen automatisoituihin päätöksiin • Toisenlaisen tekniikan käyttäminen • Tietojen vaihdosta tehtyjen selkeiden sopimusten käyttöönotto • Kielto-oikeuden tarjoaminen rekisteröidylle, mikäli se on mahdollista • Henkilöiden tietosuojaoikeuksien käyttöä tukevien järjestelmien ja menettelyiden käyttöönotto.
  • 37. Tietoturvaloukkaus 37 Tarkoitetaan henkilötietojen… ▪ vahingossa tapahtuvaa tai lainvastaista tuhoamista ▪ häviämistä ▪ muuttamista ▪ luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja lisäksi rekisteröidylle, jos siitä aiheutuu korkea riski. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä.
  • 38. Esimerkkejä tietosuojaloukkauksista 38 Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  • 39. Varo: Office 365 -huijaukset ovat yleisiä! ▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin. ▪ Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 39
  • 40. Huijaus- ja tietojenkalasteluviestit 40 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
  • 41. Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava: ▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta ▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita ▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. ▪ Anna ohjeita, miten välttää ikäviä seurauksia. 41
  • 43. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Rekisteröidyn informointi (13 artikla) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen Seloste käsittelytoimista (30 artikla) Mahdolliset muut käsittelijät 43
  • 44. Sopimus henkilötietojen käsittelystä 44 Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1 ▪ Merkitys = käsittelijä toimii rekisterinpitäjän lukuun JA tämän vastuulla(!) ▪ Sopimuksessa vahvistetaan: ▪ käsittelyn kohde, kesto, luonne ja tarkoitus, ▪ rekisteröityjen ryhmät ja tietojen tyypit, ▪ rekisterinpitäjän velvollisuudet ja oikeudet. ▪ Erityisesti tulee sopia, että käsittelijä: ▪ käsittelee tietoja ohjeiden mukaisesti, ▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset turvallisuudesta, ▪ ei käytä toisia käsittelijöitä ilman lupaa, ▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet, ▪ lopuksi poistaa tai palauttaa tiedot, ▪ antaa tarvittavat tiedot osoitusvelvollisuudesta, ▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
  • 45. ▪ ”Henkilötietojen käsittelijä ei vastaa mahdollisista tietosuojarikkomuksista.” ▪ GDPR:n 28. artiklan 3. c) kohdan mukaan käsittelijän tulee toteuttaa GDPR:n 32. artiklan mukaiset tekniset ja organisatoriset suojatoimet, jotta käsittely on turvallista. ▪ ”Henkilötietojen käsittelijä päättää itsenäisesti käsittelytavoista.” ▪ GDPR:n 28. artiklan 3. kohdan mukaan: ”…käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti” ▪ ”Henkilötietojen käsittelijä voi käyttää toisia henkilötietojen käsittelijöitä.” ▪ GDPR:n 28. artiklan 2. kohdan mukaan 1) käsittelijä tarvitsee etukäteen luvan toisten käsittelijöiden käyttöön tai 2) toisten käsittelijöiden käytöstä on ilmoitettava etukäteen ja annettava rekisterinpitäjälle oikeus vastustaa muutosta. ▪ ”Henkilötietojen käsittelijä ei vastaa käyttämiensä alakäsittelijöiden aiheuttamista tietosuojaloukkauksista.” ▪ GDPR:n 28. artiklan 4. kohdan mukaan: ”Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.” Käsittelysopimuksissa vastaan tulleita kukkasia 45
  • 46. Henkilötietojen siirroissa huomioitavaa 46 ▪ Mitkä ovat osapuolten roolit? ▪ Rekisterinpitäjä, yhteisrekisterinpitäjä, henkilötietojen käsittelijä ▪ Syntyykö siirroissa uusia rekistereitä vai onko kyse nykyisten rekisterien käytöstä? ▪ Mihin tietojen luovutus tai siirto perustuu? ▪ Henkilötietojen käsittelyn sopimukseen ▪ Rekisteröityjen antamaan suostumukseen ▪ Rekisteröityjen oikeuteen siirtää tiedot järjestelmästä toiseen ▪ Lakiin tai oikeuden päätökseen ▪ Tietojen luovutus/siirto voi joskus olla alkuperäisen käyttötarkoituksen mukaista ▪ Mitä vastuita tietojen luovuttajalla ja vastaanottajalla on? ▪ Mitä tietoja siirretään ja miten niitä tulee käsitellä? ▪ Miten tietoja siirretään (kertasiirtona, ajastetusti tiedostoina, rajapinnan kautta)? ▪ Mitä riskejä siirtoihin liittyy ja onko tarpeen tehdä vaikutustenarviointi? ▪ Saako vastaanottaja käyttää alakäsittelijöitä ja millä ehdoin? ▪ Siirretäänkö tietoja EU:n/ETA:n ulkopuolelle? ▪ Onko tietojen siirto huomioitu rekisteröityjen informoinnissa?
  • 47. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 47 ▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. ▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä on tällöin rekisterinpitäjällä. ▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella. ▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. ▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen. ▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä henkilötietojen käsittelyssä. Yleensä ei ole sallittua. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  • 48. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin ▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella. ⬞ Lakisääteisiin tehtäviin suostumus ei sovellu. ▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja tallennuksessa. ▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns. Schrems II –päätös). ▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja. ▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa. ▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi. Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf 48
  • 49. ▪ Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 49
  • 50. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 50 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 51. 51 Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022) Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
  • 52. “ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 52