SlideShare a Scribd company logo

Verkkopalvelujen datankeruu ja opetuksen tietosuoja

Harto Pönkä
Harto Pönkä

Koulutus Oulun yliopiston ITC-palveluille, 25.5.2023, Harto Pönkä, Innowise

Internet
1 of 54
Download to read offline
Verkkopalvelujen datankeruu ja opetuksen tietosuoja 25.5.2023 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
Miten verkkopalvelut keräävät dataa? 2
Google on yksi isoimpia datankerääjiä – ja mainosalustoja Kuva: DuckDuckGo, 15.3.2021, https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw 3
Google on todennäköisesti ”räätälöinyt mainoksesi” kymmenillä eri datapisteillä. Ikä, sukupuoli, perhetilanne, ammatti, harrastukset, tuotteet, matkat, kiinnostuksen kohteet jne. Täällä voit tarkistaa tietosi ja asetukset: https://myadcenter.google.com/ 4
Eniten henkilötietoja kerääviä yrityksiä Useimmin kerättyjä tietoja: ▪ Sähköpostiosoite ▪ Nimi ▪ Syntymäaika/ikä ▪ Sukupuoli ▪ Kielet ▪ Reaaliaikainen sijainti ▪ Kotiosoite ▪ Työtilanne ▪ Puhelinnumerot ▪ Puhelimen ja muiden laitteiden mallit ▪ Kiinnostuksenkohteet ▪ Pankkikortin tiedot ▪ Sosiaalinen profiili ja verkostot ▪ Kännykän kontaktilista ▪ Kännykän kuvagalleria ▪ Kasvojen, paikkojen ja tuotteiden tunnistus kuvista Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022, https://clario.co/blog/which-company-uses-most-data/ 5
Jokainen klikkaus ja kommentti sosiaalisen median uutisvirrassa on kuin vastaus psykologisessa testissä – osa profilointia. 6 Kuva: Pixabay “
Metan keräämät tiedot ei-käyttäjistä ▪ ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.” ▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan. ▪ Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 7
Monet yritykset vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalustan kautta. Voit tarkistaa tietosi Facebookin mainosasetusten ”Kohderyhmään perustuva mainonta” -kohdasta: https://www.facebook.com/a dpreferences/ad_settings 8 Ei käy ilman sähköisen suoramarkkinoinnin ja profiloinnin suostumuksia!
Käyttäjien luottamus, että tiedot ovat somepalvelussa suojassa (USA) Lähde: Statista, 2022, https://www.statista.com/statistics/1336210/united-states-social-networks-protection-of-privacy-and-data/ 9
Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 10
Eniten ja vähiten käyttäjistä seurantadataa kerääviä sovelluksia Lähde: Malcore/Internet 2.0, 2023, https://blog.malcore.io/p/malcore-mobile-app-analysis-social-e10 11
Raportti TikTokin datankeruusta ▪ TikTok pyrkii saamaan puhelimesta mm. laitteen tiedot ja tunnisteet, kontaktit, sijainnin, kalenterin, kuvat, laitteen muistin, asennetut ja käytössä olevat sovellukset. ▪ TikTokin huomattiin lähettävän tietoja lukuisille verkkopalvelimille – myös Kiinaan. ▪ TikTokin sisältämät tunnetut datankerääjät (9): AppsFlyer, Bolts, Facebook Share, Facebook Analytics, Facebook Login, Google Firebase Analytics, Google CrashLytics, Pangle, VKontakte SDK Lähde: Internet 2.0, 2022, TikTok Analysis, https://internet2-0.com/wp-content/uploads/2022/08/TikTok-Technical-Analysis-17-Jul-2022.-Media-Release.pdf 12
TikTokin käyttökielto työpuhelimissa leviää nyt vauhdilla IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023, https://www.is.fi/digitoday/art-2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 28.2.2023, https://yle.fi/a/74-20020252 (lainattu tekstikappale) 13
Evästeettömät seurantatekniikat: esimerkkinä TikTok ▪ TikTok-videopalvelu seuraa käyttäjiä mm. selainkohtaisten kuva- ja äänitunnisteiden avulla. ▪ Kun käyttäjä jakaa videon linkillä, se sisältää tiedon tämän käyttäjätunnuksesta. ▪ TikTokin palvelimet ovat Yhdysvalloissa, mutta se on kiinalainen yritys. Lähde: Matthias Eberl, 5.12.2019, https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/ 14
Pimeä some (dark social) Jopa 80 % linkkien jaoista tapahtuu ns. pimeässä somessa: WhatsAppissa, Snapchatissa, Instagramissa, Slackissa, sähköpostilla jne. Pimeää somea seurataan linkkeihin liitetyillä käyttäjäkohtaisilla seurantakoodeilla ja linkkien lyhentäjillä. Esimerkkejä: ...?fbclid=IwAR1YMey9Pojq8... …?gclid=Cj0KCQjw1Iv0BRDa… ....#gs.1s5zvw https://t.co/4L9Mp0iTU3 https://mtvgo.fi/l/AmVeISLR 15 Kuvat/lähde: GetSocial/What’s new in publishing, 2019, https://whatsnewinpublishing.com/77-5-of-shares-are-on-dark-social-only-7-5-on-facebook-and-other-trends-publishers-are-in-the-dark-about/
Snapchatin My AI -tekoälykaveri ▪ Snapchat kertoo, että My AI:n kanssa käytyjä keskusteluja ei poisteta automaattisesti kuten tavalliset snäpit. ▪ Snapchat käyttää My AI:n keräämää tietoa mainosten kohdentamiseen. ▪ My AI:lle välittyy käyttäjän sijainti, jos Snapchatille on annettu sijainnin käyttöoikeus. ▪ My AI perustuu OpenAI:n ChatGPT:hen, mutta OpenAI:ta ei mainita Snapchatin käyttämissä palveluntarjoajissa tai henkilötietojen käsittelijöissä. Lähde: Yle, 5.5.2023, https://yle.fi/a/74-20030399 16
Käyttöehtojen arviointeja: Terms of Service; Didn’t Read Kuvakaappaus: https://tosdr.org/en/service/219 17
Somepalvelujen arviointeja 18 Luokitukset: https://tosdr.org/ (8.5.2023) Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus ToS;DR –sivustolla Facebook Meta, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/182 Instagram Meta, Yhdysvallat Henkilökohtainen tai ammattilais- /organisaatiotili Luokka E https://tosdr.org/en/service/219 Twitter X Corp., Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka E https://tosdr.org/en/service/195 YouTube Google/Alphabet, Yhdysvallat Henkilökohtainen kanava tai bränditiliin yhdistetty kanava Luokka E https://tosdr.org/en/service/274 TikTok ByteDance, Kiina Henkilökohtainen tai yritystili Luokka E https://tosdr.org/en/service/1448 LinkedIn Microsoft, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/193 WhatsApp Meta, Yhdysvallat Henkilökohtainen (Erillinen WA Business-sovellus) Luokka C https://tosdr.org/en/service/198 Signal Signal Foundation, Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka B https://tosdr.org/en/service/528
GDPR ja tietosuojavaatimukset opetuksessa 19
Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen rekisterinpitäjän tai jonkun muun tahon toimesta – joko suoraan tai lisätietojen avulla. Milloin kyse on henkilötiedoista? Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä.
Henkilöä esittävä valokuva tai video on henkilötieto ja tunnistetieto ▪ Oleellista on, voidaanko henkilö tunnistaa kuvasta tai videosta vai ei. ▪ Tunnistaminen voi perustua kasvoihin, videolla kuuluvaan ääneen tai sen yhteydessä olevaan nimeen ▪ Tunnistamisen voi estää se, että henkilön kasvot eivät näy tai kuva on otettu niin kaukaa, ettei tunnistaminen ole mahdollista. ▪ Henkilön kasvot voi sumentaa tai peittää eli ”anonymisoida” kuvan. ▪ Jo tunnistettavan kuvan säilyttäminen on henkilötietojen käsittelyä. 21 Kuva: Pixabay
Rekisteri 22 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
Opiskelijarekisteri Lähteenä mm. OPH:n tietosuojaopas, 2018 Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot ▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset ▪ Opetustilanteet, myös etä- ja verkko-opetus ▪ Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot) ▪ Paikallaolot, suoritukset, testit, arviointi ▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.) ▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat ▪ Harjoitteluihin ja vierailuihin liittyvät tiedot ▪ Oppilashuolto ja erityisen tuen tarve ▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen. ▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota vapaaehtoisia lisäpalveluita. ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. ▪ Suostumuksen yhteydessä pitää informoida henkilötietojen käsittelystä ja sen riskeistä. ▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa. ▪ Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta. 23
GDPR:n tietosuojaperiaatteet ohjaavat henkilötietojen käsittelyä 24 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Oppijoiden henkilötietojen käytöstä tulee informoida selkeästi Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf 25 Pääsy omiin henkilötietoihin Tietojen oikaisu Tietojen poisto Käsittelyn rajoittaminen Käsittelyn vastustaminen Tietojen siirto toiseen järj. Automaattinen päätöksenteko Oikeus valittaa valvonta- viranomaiselle Käsittelyn oikeusperuste Tietojen säilytysaika Käsiteltävät henkilötiedot Henkilötietojen käsittelijät Tietojen siirto kolmansiin maihin Tietosuojavastaavan yhteystiedot Rekisterinpitäjä ja yhteystiedot
Esimerkkejä käsiteltävistä henkilötiedoista 26 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tunnistetieto Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tunnistetieto, voi olla salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tunnistetieto, voi olla salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tunnistetieto, tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen henkilötieto Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
Kenellä on vastuu tietosuojasta? 27 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää (tarkoitukset ja keinot) ja toimeenpanee. Velvollisuus kuulla tietosuojavastaavaa.
Henkilötietojen käsittely opetuksessa 28
Huolehdi oppijoiden tietosuojasta 29 ▪ Oppijoiden tietoja käytetään vain opetukseen. ▪ Tunnetaan rekisterit ja tietosuojaselosteet. ▪ Henkilötietoja ei kerrota sivullisille, julkaista tai luovuteta ilman suostumusta tai lakiperustetta. ▪ Huomioidaan rekisterinpitäjän linjaukset käytettävissä sovelluksissa ja pilvipalveluissa. ▪ Palveluntarjoajien kanssa tehdään tarvittaessa sopimukset henkilötietojen käsittelystä. ▪ Tarvittaessa pyydetään suostumukset ulkopuolisten palvelujen käyttöön opetuksessa. ▪ Käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta. ▪ Neuvotaan oppijoille käytettävien sovellusten ja käyttäjätunnusten turvallinen käyttö.
30 Laita kone kiinni aina, kun poistut paikalta!
Tietosuoja viestinnässä 31 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijauksia on tavallista enemmän liikenteessä. → Ohjeet, miten varmistaa viestien aitous?
Oppijoiden henkilötietojen luovuttaminen ja julkaisu 32 ▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan suostumuksella tai jos siitä on nimenomaisesti laissa säädetty. ▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §). ▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa. ▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan. ▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan. ▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin kysytyt ja saadut suostumukset
Henkilötiedot digialustoilla 33
Koronakeväänä opetuksessa käytetyt sovellukset Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020, https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020 34
OAMK:in ohje tietojen tallennukseen ja käsittelyyn 35 Lähde: OAMK, Oamkin tietoaineistojen käsittelyohje, https://ict.oulu.fi/11870/ (24.5.2023) Oulun yliopistolla on tietoaineistojen käsittelyohje Patio-intranetissä. Julkinen aineisto Perussuojaustaso (osallistujalistat, suoritustiedot) Korkea suojaustaso (tenttivastaukset, hlötunnus, yht.tiedot) Rajaus (kaikki: ei lain mukaan salassa pidettäviä tietoja) Peppi, Perusrekisteri Sallittu Sallittu Sallittu Ei terveystietoja OAMK Moodle Sallittu Sallittu Sallittu rajauksin Opiskelijoiden vastaukset ja sanalliset palautteet sallittu OAMKin Office 365, OneDrive, Teams, SharePoint, Forms Sallittu Sallittu rajauksin Sallittu rajauksin (ei Forms) Opiskelijalistat, yhteystiedot ym. sallittu Sharepointissa ja OneDrivessa, ei linkillä jakoa Intra Sallittu Ei Ei Yammer Sallittu Ei Ei eDuuni Sallittu Sallittu Ei Yritysyhteistyössä sovittava erikseen. Julkiset pilvipalvelut OAMKin tunnuksella Sallittu Sallittu rajauksin Ei Sallittu esim. Projekteissa esim. yritysten yhteistietojen tallennukseen. Ei linkillä jakoa. Ei opiskelijoiden tietoja. Webropol Sallittu Sallittu rajauksin Sallittu rajauksin Huolehdittava asianmukaisesta käsitt. YouTube Sallittu Ei Ei Omia tietoja voi julkaista
Oppijoiden henkilötiedot verkkopalveluissa ja sovelluksissa 36 Huom. taulukko on suuntaa antava, tarkista aina opetuksen järjestäjän omat linjaukset! Opetuksen järjestäjän viestintä- ja asiointikanavat (esim. Wilma) Oppimisalustat (esim. Google Workspace, 0ffice 365+Teams) Ulkopuolinen sovellus, johon kirjaudutaan edu- tunnuksella Ulkopuolinen sovellus, johon on erillinen tunnus Rekisterinpitäjä Opetuksen järjestäjä Opetuksen järjestäjä Riippuu sovelluksesta Ulkopuolinen rekisterinpitäjä Henkilötietojen käsittelijä (DPA-sopimus) Palveluntarjoaja Palveluntarjoaja Riippuu sovelluksesta - Käyttäjätunnukset Opetuksen järjestäjän hallinnoimat tai vahva tunnistautuminen Opetuksen järjestäjän hallinnoimat edu- tunnukset Edu-tunnukset Rekisteröinti/ erilliset tunnukset Pitääkö informoida henkilötietojen käsittelystä? Kyllä, tietosuojaselosteella Kyllä, tietosuojaselosteella Kyllä, suostumuksen pyynnön yhteydessä Kyllä, suostumuksen pyynnön yhteydessä Pitääkö pyytää erillinen suostumus? Ei Ei Kyllä, jos ulkopuolinen rekisterinpitäjä Kyllä Voiko tallentaa oppijoiden perustietoja? Kyllä Kyllä Ei voi suositella Ei
Pilvipalvelujen ja sovellusten arviointeja (ns. kuluttajaversiot) Lähteet: Korkeakoulujen tietoturvayhteistyö, SEC-ryhmä, 2017-2018, Pilviohje, https://wiki.eduuni.fi/display/pilviohje/Pilviohje, Terms of service; Didn’t Read, https://tosdr.org/ (22.5.2023) 37 Palvelu Suomalaisten korkeakoulujen epävirall. luokitus Käyttöehtojen luokitus ToS;DR –sivustolla Sähköposti Google Mail / Gmail C-taso Luokka E ProtonMail B-taso Luokka A Tiedostojen ja median jako Apple iCloud C-taso Luokka D Dropbox C-taso Luokka C Eduuni (SharePoint, OneDrive, Office, Confluence, Jira) A-taso - Google Drive C-taso Luokka E Microsoft OneDrive C-taso Luokka E Webex B-taso - Viestintä- sovellukset Apple iMessage, FaceTime C-taso Luokka D Signal B-taso Luokka B Skype C-taso Luokka E Slack B-taso Luokka B Telegram B-taso Luokka B WhatsApp C-taso Luokka C Yammer C-taso Luokka E
Tietosuoja etäyhteyssovelluksissa ja live-streamissa 38 ▪ Käytä vain rekisterinpitäjän eli opetuksen järjestäjän sallimia sovelluksia. ▪ Toimita kutsut henkilökohtaisesti osallistujille. ▪ Informoi osallistujia henkilötietojen käsittelystä. ▪ Varmista tarvittaessa osallistujien henkilöllisyys. ▪ Varmista esittäjien osaaminen etukäteen. ▪ Kerro etukäteen, jos etätilanne tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. ▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen. ▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone. ▪ Suojaa tallenne ja huolehdi sen tietosuojasta. ▪ Älä jaa tallennetta opetusryhmän ulkopuolelle ilman tallenteella esiintyvien suostumusta.
Ohjeita Teams-kokouksen esittäjälle 39 ▪ Valitse rauhallinen paikka: ei sivullisia kuulolle. ▪ Jos mahdollista, käytä toista näyttöä ruudunjakoon. ▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot näyttää ruudunjaossa. Erityisesti ohjelmat, joissa on henkilötietoja (mm. sähköpostit). ▪ Valmistele sovellukset ja tiedostot, joita aiot käyttää ruudunjaossa. ▪ Windowsissa voit luoda uuden työpöydän, johon avaat valmiiksi ruudunjaossa käytettävät sovellukset. (Win+Tab) ▪ Jos käytät samalla laitteella muita viestintäsovelluksia, laita niiden ilmoitukset pois päältä esim. asettamalla tilaksi ”varattu”.
Kysymys: kuvat, videot ja etätilanteiden tallenteet 40 ▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. ▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. ▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. ▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset. ▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti. ▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet. ▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille. • Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää niitä opetusryhmän kesken? • Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista? • Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa ▪ Tarkista rekisterinpitäjän ohjeistus: ▪ 1) mitä pilvipalveluita saa käyttää ▪ 2) mitä tietoja pilveen on sallittua tallentaa ▪ 3) saako tiedostoja synkronoida omille laitteille ▪ Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta. ▪ Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 41
Kysymys: henkilötietojen kerääminen pilvipalveluihin 42 ▪ Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on rekisterinpitäjällä. ▪ Käytä henkilötietojen tallentamiseen ja keräämiseen vain rekisterinpitäjän hyväksymiä pilvipalveluita. Noudata rekisterinpitäjän ohjeistusta, mitä tietoja saa tallentaa pilveen. ▪ Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. ▪ Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja, tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta rekisteröidyt voivat tutustua siihen. • Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation 0ffice 365:een? • Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
Harkitse ennen kuin jaat! 43 MITÄ? MITEN? RISKIT? Yksi dokumentti/tiedosto Jako yhdelle oman organisaation käyttäjälle Turvallisin vaihtoehto Yksi dokumentti/tiedosto Jako usealle oman organisaation käyttäjälle Lähes yhtä turvallinen vaihtoehto Yksi dokumentti/tiedosto Jako oman organisaation ryhmälle Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen jakamiseen. Yksi dokumentti/tiedosto Jako ulkopuolisille linkillä Ei ole turvallinen henkilötietojen ja salassa pidettävien tietojen jakamiseen. Jaa linkillä vain julkisia tietoja. Kokonainen OneDrive- kansio Jako oman organisaation käyttäjille Turvallinen, jos kansio on tehty juuri kyseisten tietojen jakamiseen. Kokonainen OneDrive- kansio Jako oman organisaation ryhmälle Altis liian laajalle jakamiselle eli tietojen päätymiselle työntekijöille, joille ne eivät kuulu. Kokonainen OneDrive- kansio Jako ulkopuolisille linkillä Kaikkein turvattomin: altis tietojen vuodolle ulkopuolisille
Tiedostojen pyytäminen OneDrive-kansioon ▪ Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja. ▪ Aluksi: Luo OneDrive-kansio → valitse se → ”Pyydä tiedostoja” ▪ Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille, ryhmille ja/tai sähköpostiosoitteille. ▪ Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille! ▪ Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt tiedostot tallentuvat myös Outlookiin sähköposteina. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af 44
Tiedostopyyntö vastaanottajan näkökulmasta ▪ Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii. ▪ Ohjeista tarvittaessa vastaanottajia, miten voi tunnistaa aidon tiedostopyynnön. 45
Tietosuoja some- ja pikaviestisovelluksissa 46
Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 47 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
Henkilötietojen vuotaminen sovellusten kautta 48 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Sovelluksille annettu pääsy kännykän tietoihin Henkilötietoja päätyy ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus
WhatsApp opetuksessa? • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • Teknisesti turvallinen: vahva päästä päähän -salaus. • OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida. → Tarkista linjaus ja ohjeet ennen kuin käytät! • Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille. → Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp. → WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Organisaatiossa huomioitavaa: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • WhatsAppin käyttöön on suositeltavaa olla työpuhelin • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen- median-palveluiden-ja-digitaalisten-pelien-kaytto-
Mitä suostumuksia esimerkiksi WhatsAppin käyttöön pitäisi pyytää? ▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen. ⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa. → Kerrotaan, miten sovellus käsittelee henkilötietoja. → Kerrotaan mahdollisista riskeistä. ▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta Yhdysvaltoihin. ⬞ → GDPR:n 49 artikla mahdollistaa suostumuksen käytön henkilötietojen siirtoperusteena. → Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin. → Kerrotaan mahdollisista riskeistä, jotka johtuvat suojatoimien puuttumisesta. ▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille. ⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille. → Kerrotaan mahdollisista riskeistä. ▪ Vaikka nämä kolme suostumusta pyydettäisiin, on tietojen siirron lainmukaisuus silti epävarma. ▪ Tietojen poistopyyntöjen ja suostumuksen perumisen toteuttaminen voi olla mahdotonta. 50
Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta 51 Asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta esimerkiksi yksityisviestillä → Aktiivinen toimi voidaan tulkita suostumukseksi ko. palvelun käyttöön viestinnässä Henkilötietoja päätyy some- tai pikaviestipalvelun välityksellä rekisterinpitäjälle Asiakas tulee yrityksen someprofiiliin tai verkkosivuille, jossa on toiminto viestin lähetykseen ja informointi henkilötietojen käsittelystä
Signal työkäytössä ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen (yleisesti saatavilla olevien viestintäpalvelujen välitystiedot). 52 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
“ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 53
54 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

Recommended

Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Harto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 

Recommended

Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Harto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaHarto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABCHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaTekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfMatleena Laakso
 

More Related Content

What's hot

Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaHarto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABCHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaTekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 

What's hot (20)

Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABC
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaTekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 

Similar to Verkkopalvelujen datankeruu ja opetuksen tietosuoja

Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfMatleena Laakso
 
Tykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuojaTykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuojaHarto Pönkä
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Matleena Laakso
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Vastuullinen verkkopedagogiikka 11.4.23
Vastuullinen verkkopedagogiikka 11.4.23Vastuullinen verkkopedagogiikka 11.4.23
Vastuullinen verkkopedagogiikka 11.4.23Matleena Laakso
 
Sosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäSosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäHarto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaHarto Pönkä
 
Sosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöHarto Pönkä
 
Digijäte ja sosiaalinen media
Digijäte ja sosiaalinen mediaDigijäte ja sosiaalinen media
Digijäte ja sosiaalinen mediaHarto Pönkä
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Harto Pönkä
 
Sosiaalinen media vaikuttamisen kanavana
Sosiaalinen media vaikuttamisen kanavanaSosiaalinen media vaikuttamisen kanavana
Sosiaalinen media vaikuttamisen kanavanaIrma Mänty
 
Some opetuksessa - aktivoi ja ymmärrä paremmin
Some opetuksessa - aktivoi ja ymmärrä paremminSome opetuksessa - aktivoi ja ymmärrä paremmin
Some opetuksessa - aktivoi ja ymmärrä paremminHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Verkon sovellusten pedagoginen ja turvallinen käyttö
Verkon sovellusten pedagoginen ja turvallinen käyttöVerkon sovellusten pedagoginen ja turvallinen käyttö
Verkon sovellusten pedagoginen ja turvallinen käyttöMatleena Laakso
 
Forssan digiportaat 7.5.21
Forssan digiportaat 7.5.21Forssan digiportaat 7.5.21
Forssan digiportaat 7.5.21Matleena Laakso
 
LinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaHarto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Sosiaalinen media, digijäte ja yksityisyys
Sosiaalinen media, digijäte ja yksityisyysSosiaalinen media, digijäte ja yksityisyys
Sosiaalinen media, digijäte ja yksityisyysHarto Pönkä
 

Similar to Verkkopalvelujen datankeruu ja opetuksen tietosuoja (20)

Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdf
 
Tykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuojaTykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuoja
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Vastuullinen verkkopedagogiikka 11.4.23
Vastuullinen verkkopedagogiikka 11.4.23Vastuullinen verkkopedagogiikka 11.4.23
Vastuullinen verkkopedagogiikka 11.4.23
 
Sosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäSosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
 
Missa mun data 280120
Missa mun data 280120Missa mun data 280120
Missa mun data 280120
 
Sosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttö
 
Digijäte ja sosiaalinen media
Digijäte ja sosiaalinen mediaDigijäte ja sosiaalinen media
Digijäte ja sosiaalinen media
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
 
Sosiaalinen media vaikuttamisen kanavana
Sosiaalinen media vaikuttamisen kanavanaSosiaalinen media vaikuttamisen kanavana
Sosiaalinen media vaikuttamisen kanavana
 
Some opetuksessa - aktivoi ja ymmärrä paremmin
Some opetuksessa - aktivoi ja ymmärrä paremminSome opetuksessa - aktivoi ja ymmärrä paremmin
Some opetuksessa - aktivoi ja ymmärrä paremmin
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Verkon sovellusten pedagoginen ja turvallinen käyttö
Verkon sovellusten pedagoginen ja turvallinen käyttöVerkon sovellusten pedagoginen ja turvallinen käyttö
Verkon sovellusten pedagoginen ja turvallinen käyttö
 
Forssan digiportaat 7.5.21
Forssan digiportaat 7.5.21Forssan digiportaat 7.5.21
Forssan digiportaat 7.5.21
 
LinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, digijäte ja yksityisyys
Sosiaalinen media, digijäte ja yksityisyysSosiaalinen media, digijäte ja yksityisyys
Sosiaalinen media, digijäte ja yksityisyys
 

More from Harto Pönkä

Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössäHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 

More from Harto Pönkä (12)

Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 

Verkkopalvelujen datankeruu ja opetuksen tietosuoja

  • 1. Verkkopalvelujen datankeruu ja opetuksen tietosuoja 25.5.2023 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 3. Google on yksi isoimpia datankerääjiä – ja mainosalustoja Kuva: DuckDuckGo, 15.3.2021, https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw 3
  • 4. Google on todennäköisesti ”räätälöinyt mainoksesi” kymmenillä eri datapisteillä. Ikä, sukupuoli, perhetilanne, ammatti, harrastukset, tuotteet, matkat, kiinnostuksen kohteet jne. Täällä voit tarkistaa tietosi ja asetukset: https://myadcenter.google.com/ 4
  • 5. Eniten henkilötietoja kerääviä yrityksiä Useimmin kerättyjä tietoja: ▪ Sähköpostiosoite ▪ Nimi ▪ Syntymäaika/ikä ▪ Sukupuoli ▪ Kielet ▪ Reaaliaikainen sijainti ▪ Kotiosoite ▪ Työtilanne ▪ Puhelinnumerot ▪ Puhelimen ja muiden laitteiden mallit ▪ Kiinnostuksenkohteet ▪ Pankkikortin tiedot ▪ Sosiaalinen profiili ja verkostot ▪ Kännykän kontaktilista ▪ Kännykän kuvagalleria ▪ Kasvojen, paikkojen ja tuotteiden tunnistus kuvista Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022, https://clario.co/blog/which-company-uses-most-data/ 5
  • 6. Jokainen klikkaus ja kommentti sosiaalisen median uutisvirrassa on kuin vastaus psykologisessa testissä – osa profilointia. 6 Kuva: Pixabay “
  • 7. Metan keräämät tiedot ei-käyttäjistä ▪ ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.” ▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan. ▪ Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 7
  • 8. Monet yritykset vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalustan kautta. Voit tarkistaa tietosi Facebookin mainosasetusten ”Kohderyhmään perustuva mainonta” -kohdasta: https://www.facebook.com/a dpreferences/ad_settings 8 Ei käy ilman sähköisen suoramarkkinoinnin ja profiloinnin suostumuksia!
  • 9. Käyttäjien luottamus, että tiedot ovat somepalvelussa suojassa (USA) Lähde: Statista, 2022, https://www.statista.com/statistics/1336210/united-states-social-networks-protection-of-privacy-and-data/ 9
  • 10. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 10
  • 11. Eniten ja vähiten käyttäjistä seurantadataa kerääviä sovelluksia Lähde: Malcore/Internet 2.0, 2023, https://blog.malcore.io/p/malcore-mobile-app-analysis-social-e10 11
  • 12. Raportti TikTokin datankeruusta ▪ TikTok pyrkii saamaan puhelimesta mm. laitteen tiedot ja tunnisteet, kontaktit, sijainnin, kalenterin, kuvat, laitteen muistin, asennetut ja käytössä olevat sovellukset. ▪ TikTokin huomattiin lähettävän tietoja lukuisille verkkopalvelimille – myös Kiinaan. ▪ TikTokin sisältämät tunnetut datankerääjät (9): AppsFlyer, Bolts, Facebook Share, Facebook Analytics, Facebook Login, Google Firebase Analytics, Google CrashLytics, Pangle, VKontakte SDK Lähde: Internet 2.0, 2022, TikTok Analysis, https://internet2-0.com/wp-content/uploads/2022/08/TikTok-Technical-Analysis-17-Jul-2022.-Media-Release.pdf 12
  • 13. TikTokin käyttökielto työpuhelimissa leviää nyt vauhdilla IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023, https://www.is.fi/digitoday/art-2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 28.2.2023, https://yle.fi/a/74-20020252 (lainattu tekstikappale) 13
  • 14. Evästeettömät seurantatekniikat: esimerkkinä TikTok ▪ TikTok-videopalvelu seuraa käyttäjiä mm. selainkohtaisten kuva- ja äänitunnisteiden avulla. ▪ Kun käyttäjä jakaa videon linkillä, se sisältää tiedon tämän käyttäjätunnuksesta. ▪ TikTokin palvelimet ovat Yhdysvalloissa, mutta se on kiinalainen yritys. Lähde: Matthias Eberl, 5.12.2019, https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/ 14
  • 15. Pimeä some (dark social) Jopa 80 % linkkien jaoista tapahtuu ns. pimeässä somessa: WhatsAppissa, Snapchatissa, Instagramissa, Slackissa, sähköpostilla jne. Pimeää somea seurataan linkkeihin liitetyillä käyttäjäkohtaisilla seurantakoodeilla ja linkkien lyhentäjillä. Esimerkkejä: ...?fbclid=IwAR1YMey9Pojq8... …?gclid=Cj0KCQjw1Iv0BRDa… ....#gs.1s5zvw https://t.co/4L9Mp0iTU3 https://mtvgo.fi/l/AmVeISLR 15 Kuvat/lähde: GetSocial/What’s new in publishing, 2019, https://whatsnewinpublishing.com/77-5-of-shares-are-on-dark-social-only-7-5-on-facebook-and-other-trends-publishers-are-in-the-dark-about/
  • 16. Snapchatin My AI -tekoälykaveri ▪ Snapchat kertoo, että My AI:n kanssa käytyjä keskusteluja ei poisteta automaattisesti kuten tavalliset snäpit. ▪ Snapchat käyttää My AI:n keräämää tietoa mainosten kohdentamiseen. ▪ My AI:lle välittyy käyttäjän sijainti, jos Snapchatille on annettu sijainnin käyttöoikeus. ▪ My AI perustuu OpenAI:n ChatGPT:hen, mutta OpenAI:ta ei mainita Snapchatin käyttämissä palveluntarjoajissa tai henkilötietojen käsittelijöissä. Lähde: Yle, 5.5.2023, https://yle.fi/a/74-20030399 16
  • 17. Käyttöehtojen arviointeja: Terms of Service; Didn’t Read Kuvakaappaus: https://tosdr.org/en/service/219 17
  • 18. Somepalvelujen arviointeja 18 Luokitukset: https://tosdr.org/ (8.5.2023) Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus ToS;DR –sivustolla Facebook Meta, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/182 Instagram Meta, Yhdysvallat Henkilökohtainen tai ammattilais- /organisaatiotili Luokka E https://tosdr.org/en/service/219 Twitter X Corp., Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka E https://tosdr.org/en/service/195 YouTube Google/Alphabet, Yhdysvallat Henkilökohtainen kanava tai bränditiliin yhdistetty kanava Luokka E https://tosdr.org/en/service/274 TikTok ByteDance, Kiina Henkilökohtainen tai yritystili Luokka E https://tosdr.org/en/service/1448 LinkedIn Microsoft, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/193 WhatsApp Meta, Yhdysvallat Henkilökohtainen (Erillinen WA Business-sovellus) Luokka C https://tosdr.org/en/service/198 Signal Signal Foundation, Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka B https://tosdr.org/en/service/528
  • 20. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen rekisterinpitäjän tai jonkun muun tahon toimesta – joko suoraan tai lisätietojen avulla. Milloin kyse on henkilötiedoista? Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä.
  • 21. Henkilöä esittävä valokuva tai video on henkilötieto ja tunnistetieto ▪ Oleellista on, voidaanko henkilö tunnistaa kuvasta tai videosta vai ei. ▪ Tunnistaminen voi perustua kasvoihin, videolla kuuluvaan ääneen tai sen yhteydessä olevaan nimeen ▪ Tunnistamisen voi estää se, että henkilön kasvot eivät näy tai kuva on otettu niin kaukaa, ettei tunnistaminen ole mahdollista. ▪ Henkilön kasvot voi sumentaa tai peittää eli ”anonymisoida” kuvan. ▪ Jo tunnistettavan kuvan säilyttäminen on henkilötietojen käsittelyä. 21 Kuva: Pixabay
  • 22. Rekisteri 22 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  • 23. Opiskelijarekisteri Lähteenä mm. OPH:n tietosuojaopas, 2018 Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot ▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset ▪ Opetustilanteet, myös etä- ja verkko-opetus ▪ Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot) ▪ Paikallaolot, suoritukset, testit, arviointi ▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.) ▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat ▪ Harjoitteluihin ja vierailuihin liittyvät tiedot ▪ Oppilashuolto ja erityisen tuen tarve ▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen. ▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota vapaaehtoisia lisäpalveluita. ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. ▪ Suostumuksen yhteydessä pitää informoida henkilötietojen käsittelystä ja sen riskeistä. ▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa. ▪ Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta. 23
  • 24. GDPR:n tietosuojaperiaatteet ohjaavat henkilötietojen käsittelyä 24 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 25. Oppijoiden henkilötietojen käytöstä tulee informoida selkeästi Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf 25 Pääsy omiin henkilötietoihin Tietojen oikaisu Tietojen poisto Käsittelyn rajoittaminen Käsittelyn vastustaminen Tietojen siirto toiseen järj. Automaattinen päätöksenteko Oikeus valittaa valvonta- viranomaiselle Käsittelyn oikeusperuste Tietojen säilytysaika Käsiteltävät henkilötiedot Henkilötietojen käsittelijät Tietojen siirto kolmansiin maihin Tietosuojavastaavan yhteystiedot Rekisterinpitäjä ja yhteystiedot
  • 26. Esimerkkejä käsiteltävistä henkilötiedoista 26 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tunnistetieto Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tunnistetieto, voi olla salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tunnistetieto, voi olla salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tunnistetieto, tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen henkilötieto Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  • 27. Kenellä on vastuu tietosuojasta? 27 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää (tarkoitukset ja keinot) ja toimeenpanee. Velvollisuus kuulla tietosuojavastaavaa.
  • 29. Huolehdi oppijoiden tietosuojasta 29 ▪ Oppijoiden tietoja käytetään vain opetukseen. ▪ Tunnetaan rekisterit ja tietosuojaselosteet. ▪ Henkilötietoja ei kerrota sivullisille, julkaista tai luovuteta ilman suostumusta tai lakiperustetta. ▪ Huomioidaan rekisterinpitäjän linjaukset käytettävissä sovelluksissa ja pilvipalveluissa. ▪ Palveluntarjoajien kanssa tehdään tarvittaessa sopimukset henkilötietojen käsittelystä. ▪ Tarvittaessa pyydetään suostumukset ulkopuolisten palvelujen käyttöön opetuksessa. ▪ Käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta. ▪ Neuvotaan oppijoille käytettävien sovellusten ja käyttäjätunnusten turvallinen käyttö.
  • 30. 30 Laita kone kiinni aina, kun poistut paikalta!
  • 31. Tietosuoja viestinnässä 31 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijauksia on tavallista enemmän liikenteessä. → Ohjeet, miten varmistaa viestien aitous?
  • 32. Oppijoiden henkilötietojen luovuttaminen ja julkaisu 32 ▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan suostumuksella tai jos siitä on nimenomaisesti laissa säädetty. ▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §). ▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa. ▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan. ▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan. ▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin kysytyt ja saadut suostumukset
  • 34. Koronakeväänä opetuksessa käytetyt sovellukset Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020, https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020 34
  • 35. OAMK:in ohje tietojen tallennukseen ja käsittelyyn 35 Lähde: OAMK, Oamkin tietoaineistojen käsittelyohje, https://ict.oulu.fi/11870/ (24.5.2023) Oulun yliopistolla on tietoaineistojen käsittelyohje Patio-intranetissä. Julkinen aineisto Perussuojaustaso (osallistujalistat, suoritustiedot) Korkea suojaustaso (tenttivastaukset, hlötunnus, yht.tiedot) Rajaus (kaikki: ei lain mukaan salassa pidettäviä tietoja) Peppi, Perusrekisteri Sallittu Sallittu Sallittu Ei terveystietoja OAMK Moodle Sallittu Sallittu Sallittu rajauksin Opiskelijoiden vastaukset ja sanalliset palautteet sallittu OAMKin Office 365, OneDrive, Teams, SharePoint, Forms Sallittu Sallittu rajauksin Sallittu rajauksin (ei Forms) Opiskelijalistat, yhteystiedot ym. sallittu Sharepointissa ja OneDrivessa, ei linkillä jakoa Intra Sallittu Ei Ei Yammer Sallittu Ei Ei eDuuni Sallittu Sallittu Ei Yritysyhteistyössä sovittava erikseen. Julkiset pilvipalvelut OAMKin tunnuksella Sallittu Sallittu rajauksin Ei Sallittu esim. Projekteissa esim. yritysten yhteistietojen tallennukseen. Ei linkillä jakoa. Ei opiskelijoiden tietoja. Webropol Sallittu Sallittu rajauksin Sallittu rajauksin Huolehdittava asianmukaisesta käsitt. YouTube Sallittu Ei Ei Omia tietoja voi julkaista
  • 36. Oppijoiden henkilötiedot verkkopalveluissa ja sovelluksissa 36 Huom. taulukko on suuntaa antava, tarkista aina opetuksen järjestäjän omat linjaukset! Opetuksen järjestäjän viestintä- ja asiointikanavat (esim. Wilma) Oppimisalustat (esim. Google Workspace, 0ffice 365+Teams) Ulkopuolinen sovellus, johon kirjaudutaan edu- tunnuksella Ulkopuolinen sovellus, johon on erillinen tunnus Rekisterinpitäjä Opetuksen järjestäjä Opetuksen järjestäjä Riippuu sovelluksesta Ulkopuolinen rekisterinpitäjä Henkilötietojen käsittelijä (DPA-sopimus) Palveluntarjoaja Palveluntarjoaja Riippuu sovelluksesta - Käyttäjätunnukset Opetuksen järjestäjän hallinnoimat tai vahva tunnistautuminen Opetuksen järjestäjän hallinnoimat edu- tunnukset Edu-tunnukset Rekisteröinti/ erilliset tunnukset Pitääkö informoida henkilötietojen käsittelystä? Kyllä, tietosuojaselosteella Kyllä, tietosuojaselosteella Kyllä, suostumuksen pyynnön yhteydessä Kyllä, suostumuksen pyynnön yhteydessä Pitääkö pyytää erillinen suostumus? Ei Ei Kyllä, jos ulkopuolinen rekisterinpitäjä Kyllä Voiko tallentaa oppijoiden perustietoja? Kyllä Kyllä Ei voi suositella Ei
  • 37. Pilvipalvelujen ja sovellusten arviointeja (ns. kuluttajaversiot) Lähteet: Korkeakoulujen tietoturvayhteistyö, SEC-ryhmä, 2017-2018, Pilviohje, https://wiki.eduuni.fi/display/pilviohje/Pilviohje, Terms of service; Didn’t Read, https://tosdr.org/ (22.5.2023) 37 Palvelu Suomalaisten korkeakoulujen epävirall. luokitus Käyttöehtojen luokitus ToS;DR –sivustolla Sähköposti Google Mail / Gmail C-taso Luokka E ProtonMail B-taso Luokka A Tiedostojen ja median jako Apple iCloud C-taso Luokka D Dropbox C-taso Luokka C Eduuni (SharePoint, OneDrive, Office, Confluence, Jira) A-taso - Google Drive C-taso Luokka E Microsoft OneDrive C-taso Luokka E Webex B-taso - Viestintä- sovellukset Apple iMessage, FaceTime C-taso Luokka D Signal B-taso Luokka B Skype C-taso Luokka E Slack B-taso Luokka B Telegram B-taso Luokka B WhatsApp C-taso Luokka C Yammer C-taso Luokka E
  • 38. Tietosuoja etäyhteyssovelluksissa ja live-streamissa 38 ▪ Käytä vain rekisterinpitäjän eli opetuksen järjestäjän sallimia sovelluksia. ▪ Toimita kutsut henkilökohtaisesti osallistujille. ▪ Informoi osallistujia henkilötietojen käsittelystä. ▪ Varmista tarvittaessa osallistujien henkilöllisyys. ▪ Varmista esittäjien osaaminen etukäteen. ▪ Kerro etukäteen, jos etätilanne tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. ▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen. ▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone. ▪ Suojaa tallenne ja huolehdi sen tietosuojasta. ▪ Älä jaa tallennetta opetusryhmän ulkopuolelle ilman tallenteella esiintyvien suostumusta.
  • 39. Ohjeita Teams-kokouksen esittäjälle 39 ▪ Valitse rauhallinen paikka: ei sivullisia kuulolle. ▪ Jos mahdollista, käytä toista näyttöä ruudunjakoon. ▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot näyttää ruudunjaossa. Erityisesti ohjelmat, joissa on henkilötietoja (mm. sähköpostit). ▪ Valmistele sovellukset ja tiedostot, joita aiot käyttää ruudunjaossa. ▪ Windowsissa voit luoda uuden työpöydän, johon avaat valmiiksi ruudunjaossa käytettävät sovellukset. (Win+Tab) ▪ Jos käytät samalla laitteella muita viestintäsovelluksia, laita niiden ilmoitukset pois päältä esim. asettamalla tilaksi ”varattu”.
  • 40. Kysymys: kuvat, videot ja etätilanteiden tallenteet 40 ▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. ▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. ▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. ▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset. ▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti. ▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet. ▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille. • Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää niitä opetusryhmän kesken? • Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista? • Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
  • 41. Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa ▪ Tarkista rekisterinpitäjän ohjeistus: ▪ 1) mitä pilvipalveluita saa käyttää ▪ 2) mitä tietoja pilveen on sallittua tallentaa ▪ 3) saako tiedostoja synkronoida omille laitteille ▪ Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta. ▪ Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 41
  • 42. Kysymys: henkilötietojen kerääminen pilvipalveluihin 42 ▪ Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on rekisterinpitäjällä. ▪ Käytä henkilötietojen tallentamiseen ja keräämiseen vain rekisterinpitäjän hyväksymiä pilvipalveluita. Noudata rekisterinpitäjän ohjeistusta, mitä tietoja saa tallentaa pilveen. ▪ Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. ▪ Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja, tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta rekisteröidyt voivat tutustua siihen. • Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation 0ffice 365:een? • Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
  • 43. Harkitse ennen kuin jaat! 43 MITÄ? MITEN? RISKIT? Yksi dokumentti/tiedosto Jako yhdelle oman organisaation käyttäjälle Turvallisin vaihtoehto Yksi dokumentti/tiedosto Jako usealle oman organisaation käyttäjälle Lähes yhtä turvallinen vaihtoehto Yksi dokumentti/tiedosto Jako oman organisaation ryhmälle Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen jakamiseen. Yksi dokumentti/tiedosto Jako ulkopuolisille linkillä Ei ole turvallinen henkilötietojen ja salassa pidettävien tietojen jakamiseen. Jaa linkillä vain julkisia tietoja. Kokonainen OneDrive- kansio Jako oman organisaation käyttäjille Turvallinen, jos kansio on tehty juuri kyseisten tietojen jakamiseen. Kokonainen OneDrive- kansio Jako oman organisaation ryhmälle Altis liian laajalle jakamiselle eli tietojen päätymiselle työntekijöille, joille ne eivät kuulu. Kokonainen OneDrive- kansio Jako ulkopuolisille linkillä Kaikkein turvattomin: altis tietojen vuodolle ulkopuolisille
  • 44. Tiedostojen pyytäminen OneDrive-kansioon ▪ Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja. ▪ Aluksi: Luo OneDrive-kansio → valitse se → ”Pyydä tiedostoja” ▪ Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille, ryhmille ja/tai sähköpostiosoitteille. ▪ Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille! ▪ Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt tiedostot tallentuvat myös Outlookiin sähköposteina. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af 44
  • 45. Tiedostopyyntö vastaanottajan näkökulmasta ▪ Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii. ▪ Ohjeista tarvittaessa vastaanottajia, miten voi tunnistaa aidon tiedostopyynnön. 45
  • 46. Tietosuoja some- ja pikaviestisovelluksissa 46
  • 47. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 47 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 48. Henkilötietojen vuotaminen sovellusten kautta 48 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Sovelluksille annettu pääsy kännykän tietoihin Henkilötietoja päätyy ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus
  • 49. WhatsApp opetuksessa? • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • Teknisesti turvallinen: vahva päästä päähän -salaus. • OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida. → Tarkista linjaus ja ohjeet ennen kuin käytät! • Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille. → Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp. → WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Organisaatiossa huomioitavaa: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • WhatsAppin käyttöön on suositeltavaa olla työpuhelin • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen- median-palveluiden-ja-digitaalisten-pelien-kaytto-
  • 50. Mitä suostumuksia esimerkiksi WhatsAppin käyttöön pitäisi pyytää? ▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen. ⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa. → Kerrotaan, miten sovellus käsittelee henkilötietoja. → Kerrotaan mahdollisista riskeistä. ▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta Yhdysvaltoihin. ⬞ → GDPR:n 49 artikla mahdollistaa suostumuksen käytön henkilötietojen siirtoperusteena. → Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin. → Kerrotaan mahdollisista riskeistä, jotka johtuvat suojatoimien puuttumisesta. ▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille. ⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille. → Kerrotaan mahdollisista riskeistä. ▪ Vaikka nämä kolme suostumusta pyydettäisiin, on tietojen siirron lainmukaisuus silti epävarma. ▪ Tietojen poistopyyntöjen ja suostumuksen perumisen toteuttaminen voi olla mahdotonta. 50
  • 51. Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta 51 Asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta esimerkiksi yksityisviestillä → Aktiivinen toimi voidaan tulkita suostumukseksi ko. palvelun käyttöön viestinnässä Henkilötietoja päätyy some- tai pikaviestipalvelun välityksellä rekisterinpitäjälle Asiakas tulee yrityksen someprofiiliin tai verkkosivuille, jossa on toiminto viestin lähetykseen ja informointi henkilötietojen käsittelystä
  • 52. Signal työkäytössä ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen (yleisesti saatavilla olevien viestintäpalvelujen välitystiedot). 52 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
  • 53. “ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 53