3. Google on yksi isoimpia datankerääjiä – ja mainosalustoja
Kuva: DuckDuckGo, 15.3.2021,
https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw
3
4. Google on
todennäköisesti
”räätälöinyt mainoksesi”
kymmenillä eri
datapisteillä.
Ikä, sukupuoli, perhetilanne, ammatti,
harrastukset, tuotteet, matkat,
kiinnostuksen kohteet jne.
Täällä voit tarkistaa tietosi ja asetukset:
https://myadcenter.google.com/
4
5. Eniten henkilötietoja kerääviä yrityksiä
Useimmin kerättyjä tietoja:
▪ Sähköpostiosoite
▪ Nimi
▪ Syntymäaika/ikä
▪ Sukupuoli
▪ Kielet
▪ Reaaliaikainen sijainti
▪ Kotiosoite
▪ Työtilanne
▪ Puhelinnumerot
▪ Puhelimen ja muiden laitteiden mallit
▪ Kiinnostuksenkohteet
▪ Pankkikortin tiedot
▪ Sosiaalinen profiili ja verkostot
▪ Kännykän kontaktilista
▪ Kännykän kuvagalleria
▪ Kasvojen, paikkojen ja tuotteiden
tunnistus kuvista
Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022,
https://clario.co/blog/which-company-uses-most-data/
5
6. Jokainen klikkaus ja
kommentti sosiaalisen
median uutisvirrassa on
kuin vastaus
psykologisessa testissä
– osa profilointia.
6
Kuva: Pixabay
“
7. Metan keräämät tiedot ei-käyttäjistä
▪ ”Kun käyttäjä käyttää yhteystietojen lataamista
ja myöntää meille pääsyn laitteensa
osoitekirjaan, käytämme ja lataamme
osoitekirjan nimet, puhelinnumerot ja
sähköpostiosoitteet päivittäin palvelimillemme,
mukaan lukien sekä Facebook-, Messenger- ja
Instagram-käyttäjät että muut yhteystiedot,
jotka eivät ole käyttäjiämme tai joilla ei ole tiliä
(eli muut kuin käyttäjät), Facebook kuvailee
toimintoa.”
▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt
tiedot USA:han, Argentiinaan, Israeliin, Uuteen-
Seelantiin, Sveitsiin ja mahdollisesti Kanadaan.
▪ Meta ei ole informoinut ei-käyttäjiä heidän
tietojensa käsittelystä
Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html
7
8. Monet yritykset vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalustan kautta.
Voit tarkistaa tietosi
Facebookin mainosasetusten
”Kohderyhmään perustuva
mainonta” -kohdasta:
https://www.facebook.com/a
dpreferences/ad_settings
8
Ei käy ilman sähköisen
suoramarkkinoinnin ja
profiloinnin suostumuksia!
9. Käyttäjien luottamus, että tiedot ovat somepalvelussa suojassa (USA)
Lähde: Statista, 2022, https://www.statista.com/statistics/1336210/united-states-social-networks-protection-of-privacy-and-data/
9
10. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
10
11. Eniten ja vähiten käyttäjistä seurantadataa kerääviä sovelluksia
Lähde: Malcore/Internet 2.0, 2023, https://blog.malcore.io/p/malcore-mobile-app-analysis-social-e10
11
12. Raportti TikTokin datankeruusta
▪ TikTok pyrkii saamaan puhelimesta mm. laitteen
tiedot ja tunnisteet, kontaktit, sijainnin, kalenterin,
kuvat, laitteen muistin, asennetut ja käytössä olevat sovellukset.
▪ TikTokin huomattiin lähettävän tietoja lukuisille verkkopalvelimille – myös Kiinaan.
▪ TikTokin sisältämät tunnetut datankerääjät (9): AppsFlyer, Bolts, Facebook Share, Facebook
Analytics, Facebook Login, Google Firebase Analytics, Google CrashLytics, Pangle, VKontakte SDK
Lähde: Internet 2.0, 2022, TikTok Analysis, https://internet2-0.com/wp-content/uploads/2022/08/TikTok-Technical-Analysis-17-Jul-2022.-Media-Release.pdf
12
13. TikTokin käyttökielto työpuhelimissa leviää nyt vauhdilla
IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023,
https://www.is.fi/digitoday/art-2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 28.2.2023, https://yle.fi/a/74-20020252 (lainattu tekstikappale)
13
14. Evästeettömät seurantatekniikat: esimerkkinä TikTok
▪ TikTok-videopalvelu seuraa käyttäjiä mm. selainkohtaisten kuva- ja äänitunnisteiden avulla.
▪ Kun käyttäjä jakaa videon linkillä, se sisältää tiedon tämän käyttäjätunnuksesta.
▪ TikTokin palvelimet ovat Yhdysvalloissa, mutta se on kiinalainen yritys.
Lähde: Matthias Eberl, 5.12.2019,
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/
14
15. Pimeä some (dark social)
Jopa 80 % linkkien jaoista tapahtuu ns. pimeässä
somessa: WhatsAppissa, Snapchatissa,
Instagramissa, Slackissa, sähköpostilla jne.
Pimeää somea seurataan linkkeihin liitetyillä
käyttäjäkohtaisilla seurantakoodeilla ja
linkkien lyhentäjillä. Esimerkkejä:
...?fbclid=IwAR1YMey9Pojq8...
…?gclid=Cj0KCQjw1Iv0BRDa…
....#gs.1s5zvw
https://t.co/4L9Mp0iTU3
https://mtvgo.fi/l/AmVeISLR
15
Kuvat/lähde: GetSocial/What’s new in publishing, 2019,
https://whatsnewinpublishing.com/77-5-of-shares-are-on-dark-social-only-7-5-on-facebook-and-other-trends-publishers-are-in-the-dark-about/
16. Snapchatin My AI -tekoälykaveri
▪ Snapchat kertoo, että My AI:n
kanssa käytyjä keskusteluja ei
poisteta automaattisesti kuten
tavalliset snäpit.
▪ Snapchat käyttää My AI:n keräämää
tietoa mainosten kohdentamiseen.
▪ My AI:lle välittyy käyttäjän sijainti,
jos Snapchatille on annettu sijainnin
käyttöoikeus.
▪ My AI perustuu OpenAI:n
ChatGPT:hen, mutta OpenAI:ta ei
mainita Snapchatin käyttämissä
palveluntarjoajissa tai
henkilötietojen käsittelijöissä.
Lähde: Yle, 5.5.2023, https://yle.fi/a/74-20030399
16
18. Somepalvelujen arviointeja
18
Luokitukset: https://tosdr.org/ (8.5.2023)
Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus
ToS;DR –sivustolla
Facebook Meta,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/182
Instagram Meta,
Yhdysvallat
Henkilökohtainen tai ammattilais-
/organisaatiotili
Luokka E
https://tosdr.org/en/service/219
Twitter X Corp.,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka E
https://tosdr.org/en/service/195
YouTube Google/Alphabet,
Yhdysvallat
Henkilökohtainen kanava tai
bränditiliin yhdistetty kanava
Luokka E
https://tosdr.org/en/service/274
TikTok ByteDance,
Kiina
Henkilökohtainen tai yritystili Luokka E
https://tosdr.org/en/service/1448
LinkedIn Microsoft,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/193
WhatsApp Meta,
Yhdysvallat
Henkilökohtainen
(Erillinen WA Business-sovellus)
Luokka C
https://tosdr.org/en/service/198
Signal Signal Foundation,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka B
https://tosdr.org/en/service/528
20. Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen rekisterinpitäjän
tai jonkun muun tahon toimesta – joko
suoraan tai lisätietojen avulla.
Milloin kyse on
henkilötiedoista?
Kaikki tiedot ovat henkilötietoja, jos
ne koskevat tunnistettua tai
tunnistettavissa olevaa luonnollista
henkilöä eli rekisteröityä.
21. Henkilöä esittävä valokuva tai video
on henkilötieto ja tunnistetieto
▪ Oleellista on, voidaanko henkilö tunnistaa
kuvasta tai videosta vai ei.
▪ Tunnistaminen voi perustua kasvoihin,
videolla kuuluvaan ääneen tai sen
yhteydessä olevaan nimeen
▪ Tunnistamisen voi estää se, että henkilön
kasvot eivät näy tai kuva on otettu niin
kaukaa, ettei tunnistaminen ole mahdollista.
▪ Henkilön kasvot voi sumentaa tai peittää eli
”anonymisoida” kuvan.
▪ Jo tunnistettavan kuvan säilyttäminen on
henkilötietojen käsittelyä.
21
Kuva: Pixabay
23. Opiskelijarekisteri
Lähteenä mm. OPH:n tietosuojaopas, 2018
Opiskelija-
rekisteri
oppijoiden ja
huoltajien
henkilötiedot
▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen
+ yhteensopivat tarkoitukset
▪ Opetustilanteet, myös etä- ja verkko-opetus
▪ Opetuksen järjestäjän hallinnoimat sovellukset ja
verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot)
▪ Paikallaolot, suoritukset, testit, arviointi
▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.)
▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat
▪ Harjoitteluihin ja vierailuihin liittyvät tiedot
▪ Oppilashuolto ja erityisen tuen tarve
▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai
julkisen tehtävän hoitaminen.
▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota vapaaehtoisia lisäpalveluita.
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen.
▪ Suostumuksen yhteydessä pitää informoida henkilötietojen käsittelystä ja sen riskeistä.
▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa.
▪ Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen
perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta.
23
24. GDPR:n tietosuojaperiaatteet ohjaavat henkilötietojen käsittelyä
24
▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
▪ Käyttötarkoitussidonnaisuus
▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
▪ Tietojen minimointi
▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
▪ Tietojen täsmällisyys
▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus
▪ Tietojen säilytyksen rajoittaminen
▪ Tietoja säilytetään vain tarvittavan ajan
▪ Tietojen eheys ja luottamuksellisuus
▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
▪ Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
25. Oppijoiden henkilötietojen käytöstä tulee informoida selkeästi
Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf
25
Pääsy omiin
henkilötietoihin
Tietojen oikaisu Tietojen poisto Käsittelyn
rajoittaminen
Käsittelyn
vastustaminen
Tietojen siirto
toiseen järj.
Automaattinen
päätöksenteko
Oikeus valittaa
valvonta-
viranomaiselle
Käsittelyn
oikeusperuste
Tietojen
säilytysaika
Käsiteltävät
henkilötiedot
Henkilötietojen
käsittelijät
Tietojen siirto
kolmansiin maihin
Tietosuojavastaavan
yhteystiedot
Rekisterinpitäjä ja
yhteystiedot
26. Esimerkkejä käsiteltävistä henkilötiedoista
26
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tunnistetieto Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tunnistetieto,
voi olla salainen
Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tunnistetieto,
voi olla salainen
Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tunnistetieto, tietosuojalaissa
erikseen säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen henkilötieto Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
27. Kenellä on vastuu tietosuojasta?
27
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.
29. Huolehdi oppijoiden tietosuojasta
29
▪ Oppijoiden tietoja käytetään vain opetukseen.
▪ Tunnetaan rekisterit ja tietosuojaselosteet.
▪ Henkilötietoja ei kerrota sivullisille, julkaista tai
luovuteta ilman suostumusta tai lakiperustetta.
▪ Huomioidaan rekisterinpitäjän linjaukset
käytettävissä sovelluksissa ja pilvipalveluissa.
▪ Palveluntarjoajien kanssa tehdään tarvittaessa
sopimukset henkilötietojen käsittelystä.
▪ Tarvittaessa pyydetään suostumukset
ulkopuolisten palvelujen käyttöön opetuksessa.
▪ Käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta.
▪ Neuvotaan oppijoille käytettävien sovellusten
ja käyttäjätunnusten turvallinen käyttö.
31. Tietosuoja viestinnässä
31
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset/erityiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Huijauksia on tavallista enemmän liikenteessä.
→ Ohjeet, miten varmistaa viestien aitous?
32. Oppijoiden henkilötietojen luovuttaminen ja julkaisu
32
▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan
suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.
▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa
henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan.
▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
▪ Suostumus on käytännössä esimerkiksi:
▪ Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja
tullaan julkaisemaan.
▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
▪ Julkaisuluvat esimerkiksi kuviin ja videoihin
▪ Muilla tavoin kysytyt ja saadut suostumukset
34. Koronakeväänä opetuksessa käytetyt sovellukset
Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020,
https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020
34
35. OAMK:in ohje tietojen tallennukseen ja käsittelyyn
35
Lähde: OAMK, Oamkin tietoaineistojen käsittelyohje, https://ict.oulu.fi/11870/ (24.5.2023)
Oulun yliopistolla on tietoaineistojen käsittelyohje Patio-intranetissä.
Julkinen
aineisto
Perussuojaustaso
(osallistujalistat,
suoritustiedot)
Korkea suojaustaso
(tenttivastaukset,
hlötunnus, yht.tiedot)
Rajaus
(kaikki: ei lain mukaan salassa
pidettäviä tietoja)
Peppi, Perusrekisteri Sallittu Sallittu Sallittu Ei terveystietoja
OAMK Moodle Sallittu Sallittu Sallittu rajauksin Opiskelijoiden vastaukset ja sanalliset
palautteet sallittu
OAMKin Office 365,
OneDrive, Teams,
SharePoint, Forms
Sallittu Sallittu rajauksin Sallittu rajauksin
(ei Forms)
Opiskelijalistat, yhteystiedot ym.
sallittu Sharepointissa ja OneDrivessa,
ei linkillä jakoa
Intra Sallittu Ei Ei
Yammer Sallittu Ei Ei
eDuuni Sallittu Sallittu Ei Yritysyhteistyössä sovittava erikseen.
Julkiset pilvipalvelut
OAMKin tunnuksella
Sallittu Sallittu rajauksin Ei Sallittu esim. Projekteissa esim.
yritysten yhteistietojen tallennukseen.
Ei linkillä jakoa. Ei opiskelijoiden
tietoja.
Webropol Sallittu Sallittu rajauksin Sallittu rajauksin Huolehdittava asianmukaisesta käsitt.
YouTube Sallittu Ei Ei Omia tietoja voi julkaista
36. Oppijoiden henkilötiedot verkkopalveluissa ja sovelluksissa
36
Huom. taulukko on suuntaa antava, tarkista aina opetuksen järjestäjän omat linjaukset!
Opetuksen
järjestäjän viestintä-
ja asiointikanavat
(esim. Wilma)
Oppimisalustat
(esim. Google
Workspace, 0ffice
365+Teams)
Ulkopuolinen
sovellus, johon
kirjaudutaan edu-
tunnuksella
Ulkopuolinen
sovellus, johon on
erillinen tunnus
Rekisterinpitäjä Opetuksen järjestäjä Opetuksen järjestäjä Riippuu
sovelluksesta
Ulkopuolinen
rekisterinpitäjä
Henkilötietojen
käsittelijä (DPA-sopimus)
Palveluntarjoaja Palveluntarjoaja Riippuu
sovelluksesta
-
Käyttäjätunnukset Opetuksen järjestäjän
hallinnoimat tai vahva
tunnistautuminen
Opetuksen järjestäjän
hallinnoimat edu-
tunnukset
Edu-tunnukset Rekisteröinti/
erilliset tunnukset
Pitääkö informoida
henkilötietojen
käsittelystä?
Kyllä,
tietosuojaselosteella
Kyllä,
tietosuojaselosteella
Kyllä, suostumuksen
pyynnön yhteydessä
Kyllä,
suostumuksen
pyynnön yhteydessä
Pitääkö pyytää erillinen
suostumus?
Ei Ei Kyllä, jos
ulkopuolinen
rekisterinpitäjä
Kyllä
Voiko tallentaa
oppijoiden perustietoja?
Kyllä Kyllä Ei voi suositella Ei
37. Pilvipalvelujen ja sovellusten arviointeja (ns. kuluttajaversiot)
Lähteet: Korkeakoulujen tietoturvayhteistyö, SEC-ryhmä, 2017-2018, Pilviohje, https://wiki.eduuni.fi/display/pilviohje/Pilviohje,
Terms of service; Didn’t Read, https://tosdr.org/ (22.5.2023)
37
Palvelu Suomalaisten korkeakoulujen
epävirall. luokitus
Käyttöehtojen luokitus
ToS;DR –sivustolla
Sähköposti Google Mail / Gmail C-taso Luokka E
ProtonMail B-taso Luokka A
Tiedostojen ja
median jako
Apple iCloud C-taso Luokka D
Dropbox C-taso Luokka C
Eduuni (SharePoint, OneDrive, Office, Confluence, Jira) A-taso -
Google Drive C-taso Luokka E
Microsoft OneDrive C-taso Luokka E
Webex B-taso -
Viestintä-
sovellukset
Apple iMessage, FaceTime C-taso Luokka D
Signal B-taso Luokka B
Skype C-taso Luokka E
Slack B-taso Luokka B
Telegram B-taso Luokka B
WhatsApp C-taso Luokka C
Yammer C-taso Luokka E
38. Tietosuoja etäyhteyssovelluksissa ja live-streamissa
38
▪ Käytä vain rekisterinpitäjän eli opetuksen
järjestäjän sallimia sovelluksia.
▪ Toimita kutsut henkilökohtaisesti osallistujille.
▪ Informoi osallistujia henkilötietojen käsittelystä.
▪ Varmista tarvittaessa osallistujien henkilöllisyys.
▪ Varmista esittäjien osaaminen etukäteen.
▪ Kerro etukäteen, jos etätilanne tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone.
▪ Suojaa tallenne ja huolehdi sen tietosuojasta.
▪ Älä jaa tallennetta opetusryhmän ulkopuolelle
ilman tallenteella esiintyvien suostumusta.
39. Ohjeita Teams-kokouksen esittäjälle
39
▪ Valitse rauhallinen paikka: ei sivullisia kuulolle.
▪ Jos mahdollista, käytä toista näyttöä
ruudunjakoon.
▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot
näyttää ruudunjaossa. Erityisesti ohjelmat,
joissa on henkilötietoja (mm. sähköpostit).
▪ Valmistele sovellukset ja tiedostot, joita aiot
käyttää ruudunjaossa.
▪ Windowsissa voit luoda uuden työpöydän,
johon avaat valmiiksi ruudunjaossa
käytettävät sovellukset. (Win+Tab)
▪ Jos käytät samalla laitteella muita
viestintäsovelluksia, laita niiden ilmoitukset
pois päältä esim. asettamalla tilaksi ”varattu”.
40. Kysymys: kuvat, videot ja etätilanteiden tallenteet
40
▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä
näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.
▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.
▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee
siihen pyytää suostumus.
▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä
opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.
▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.
▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.
▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä tiedottaa opiskelijoille.
• Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää
niitä opetusryhmän kesken?
• Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista?
• Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
41. Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa
▪ Tarkista rekisterinpitäjän ohjeistus:
▪ 1) mitä pilvipalveluita saa käyttää
▪ 2) mitä tietoja pilveen on sallittua tallentaa
▪ 3) saako tiedostoja synkronoida omille
laitteille
▪ Huolehdi työtehtävien mukaisista
käyttöoikeuksista/jakamisesta.
▪ Älä jaa henkilötietoja sisältäviä tiedostoja
ulkopuolisille ilman suostumusta tai muuta
perustetta.
Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista)
41
42. Kysymys: henkilötietojen kerääminen pilvipalveluihin
42
▪ Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on
rekisterinpitäjällä.
▪ Käytä henkilötietojen tallentamiseen ja keräämiseen vain rekisterinpitäjän hyväksymiä
pilvipalveluita. Noudata rekisterinpitäjän ohjeistusta, mitä tietoja saa tallentaa pilveen.
▪ Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja
pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti.
▪ Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja,
tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta
rekisteröidyt voivat tutustua siihen.
• Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation
0ffice 365:een?
• Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
43. Harkitse ennen kuin jaat!
43
MITÄ? MITEN? RISKIT?
Yksi dokumentti/tiedosto
Jako yhdelle oman
organisaation käyttäjälle
Turvallisin vaihtoehto
Yksi dokumentti/tiedosto Jako usealle oman
organisaation käyttäjälle
Lähes yhtä turvallinen vaihtoehto
Yksi dokumentti/tiedosto Jako oman
organisaation ryhmälle
Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen
jakamiseen.
Yksi dokumentti/tiedosto Jako ulkopuolisille
linkillä
Ei ole turvallinen henkilötietojen ja salassa pidettävien
tietojen jakamiseen.
Jaa linkillä vain julkisia tietoja.
Kokonainen OneDrive-
kansio
Jako oman
organisaation käyttäjille
Turvallinen, jos kansio on tehty juuri kyseisten
tietojen jakamiseen.
Kokonainen OneDrive-
kansio
Jako oman
organisaation ryhmälle
Altis liian laajalle jakamiselle eli tietojen päätymiselle
työntekijöille, joille ne eivät kuulu.
Kokonainen OneDrive-
kansio
Jako ulkopuolisille
linkillä
Kaikkein turvattomin: altis tietojen vuodolle
ulkopuolisille
44. Tiedostojen pyytäminen OneDrive-kansioon
▪ Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja.
▪ Aluksi: Luo OneDrive-kansio → valitse se → ”Pyydä tiedostoja”
▪ Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille,
ryhmille ja/tai sähköpostiosoitteille.
▪ Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille!
▪ Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt
tiedostot tallentuvat myös Outlookiin sähköposteina.
Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af
44
45. Tiedostopyyntö vastaanottajan näkökulmasta
▪ Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii.
▪ Ohjeista tarvittaessa vastaanottajia, miten voi tunnistaa aidon tiedostopyynnön.
45
47. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
47
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
48. Henkilötietojen vuotaminen sovellusten kautta
48
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Sovelluksille annettu
pääsy kännykän tietoihin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
49. WhatsApp opetuksessa?
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• Teknisesti turvallinen: vahva päästä päähän -salaus.
• OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä
ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.
→ Tarkista linjaus ja ohjeet ennen kuin käytät!
• Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille.
→ Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen
kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp.
→ WA:n käytön tulee olla aidosti vapaaehtoinen valinta.
Organisaatiossa huomioitavaa:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• WhatsAppin käyttöön on suositeltavaa olla työpuhelin
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on huomioitava organisaation henkilötietojen
käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
OPH, Oppimissovellusten, sosiaalisen median palveluiden ja
digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-
median-palveluiden-ja-digitaalisten-pelien-kaytto-
50. Mitä suostumuksia esimerkiksi WhatsAppin käyttöön pitäisi pyytää?
▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen.
⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa.
→ Kerrotaan, miten sovellus käsittelee henkilötietoja.
→ Kerrotaan mahdollisista riskeistä.
▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta
Yhdysvaltoihin.
⬞ → GDPR:n 49 artikla mahdollistaa suostumuksen käytön henkilötietojen siirtoperusteena.
→ Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin.
→ Kerrotaan mahdollisista riskeistä, jotka johtuvat suojatoimien puuttumisesta.
▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille.
⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille.
→ Kerrotaan mahdollisista riskeistä.
▪ Vaikka nämä kolme suostumusta pyydettäisiin, on tietojen siirron lainmukaisuus silti epävarma.
▪ Tietojen poistopyyntöjen ja suostumuksen perumisen toteuttaminen voi olla mahdotonta.
50
51. Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta
51
Asiakas ottaa yhteyttä some-
tai pikaviestipalvelun kautta
esimerkiksi yksityisviestillä
→ Aktiivinen toimi voidaan
tulkita suostumukseksi ko.
palvelun käyttöön viestinnässä
Henkilötietoja päätyy some-
tai pikaviestipalvelun
välityksellä
rekisterinpitäjälle
Asiakas tulee yrityksen
someprofiiliin tai
verkkosivuille, jossa on
toiminto viestin lähetykseen
ja informointi henkilötietojen
käsittelystä
52. Signal työkäytössä
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Rekisteröidyiltä on syytä pyytää suostumus,
jos heille aiotaan viestiä Signalin kautta.
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen (yleisesti saatavilla olevien
viestintäpalvelujen välitystiedot).
52
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)