4. Sijaintitiedot
Käyttäjien sijainti on yksi perustiedoista
sisältöjen ja mainosten kohdennuksessa.
”Jos käyt usein hiihtokeskuksissa, voit
nähdä suksimainoksen YouTube-videossa.”
Sijaintia seuraavat mm.
▪ Google/YouTube
▪ Facebook
▪ Instagram
▪ X/Twitter
▪ Snapchat
▪ TikTok
▪ Isot mediayhtiöt
4
Kuvakaappaukset: Google kartan sijaintihistoria, Snapchat: Cyber SafeTrick, 2019, http://cybersafetrick.com/snapchat-tracker/,
Secret service agent: New York Times, 20.12.2019, https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html
5. Eniten henkilötietoja kerääviä yrityksiä
Useimmin kerättyjä tietoja:
▪ Sähköpostiosoite
▪ Nimi
▪ Syntymäaika/ikä
▪ Sukupuoli
▪ Kielet
▪ Reaaliaikainen sijainti
▪ Kotiosoite
▪ Työtilanne
▪ Puhelinnumerot
▪ Puhelimen ja muiden laitteiden mallit
▪ Kiinnostuksenkohteet
▪ Pankkikortin tiedot
▪ Sosiaalinen profiili ja verkostot
▪ Kännykän kontaktilista
▪ Kännykän kuvagalleria
▪ Kasvojen, paikkojen ja tuotteiden
tunnistus kuvista
Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022,
https://clario.co/blog/which-company-uses-most-data/
5
6. Jokainen klikkaus ja
kommentti sosiaalisen
median uutisvirrassa on
kuin vastaus
psykologisessa testissä
– osa profilointia.
6
Kuva: Pixabay
“
7. TikTokin käyttökielto työpuhelimissa leviää
IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023, https://www.is.fi/digitoday/art-
2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 9.1.2024, https://yle.fi/a/74-20068400, HS, 12.2.2024, https://www.hs.fi/politiikka/art-2000010222581.html
7
8. Eniten ja vähiten käyttäjistä seurantadataa kerääviä sovelluksia
Lähde: Malcore/Internet 2.0, 2023, https://blog.malcore.io/p/malcore-mobile-app-analysis-social-e10
8
9. TikTokin datankeräyksen tasot
Kuva: H. Pönkä, 25.3.2024
Lisää aiheesta blogikirjoituksessa: https://harto.wordpress.com/2024/01/09/tiktokin-tietoturva-ja-tietosuoja-tama-kaikki-on-pielessa/
9
10. “
TikTok ei ole kiva pikku
videosovellus, vaan
tekoälyfirman
datankeräysalusta.
10
11. Kaksi tapaa käyttää TikTokia melko turvallisesti
A) Nettiselaimella
▪ Ilman kirjautumista!
▪ Älä anna mitään suostumuksia, joita TikTok kysyy.
▪ Tyhjennä selaimen evästeet ja muisti käytön jälkeen.
▪ Näin tehtynä TikTok ei juurikaan pysty profiloimaan
sinua ja sen algoritmi toimii ns. puhtaasti ilman
käyttäjädataan perustuvaa suosittelua.
▪ Huomaa, että selaintunnisteiden avulla TikTok pystyy
yhdistämään ei-kirjautuneen käyttäjän TikTok-
käyttäjätunnukseen, jos TikTokia on aiemmin käytetty
samalla selaimella kirjautuneena. Tällöin ei-
kirjautuneena ei ole suojassa TikTokin profiloinnilta.
B) Erillisellä kännykällä
▪ Älä yhdistä kirjautumista muihin somepalveluihin,
vaan kirjaudu suoraan sähköpostiosoitteella tai
puhelinnumerolla.
▪ Älä anna TikTokille tarpeettomia käyttölupia – älä
varsinkaan yhteystietoja.
▪ Älä tallenna samaan puhelimeen yhteystietoja tai
muita tärkeitä tai salaisia tietoja/tiedostoja.
▪ Älä käytä samaa puhelinta työasioihin.
▪ Älä asenna puhelimeen muita sovelluksia tai
käyttäjätunnuksia, joista voisi tallentua em. tietoja.
▪ Älä kirjaudu laitteella työpaikan lähiverkkoon.
▪ Kun TikTokia käytetään kirjautuneena, sovellus kerää
käyttäjästä runsaasti dataa ja algoritmi alkaa
suositella sisältöjä sen mukaisesti.
11
13. Henkilötietojen käsittely somepalveluissa
13
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
▪ Älä tallenna työhön liittyviä henkilötietoja
yksityisessä käytössä olevaan kännykkään.
▪ Tarvittaessa pyydä suostumukset
henkilötietojen käytölle ulkoisissa
somepalveluissa ja muista informointi.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Älä julkaise henkilötietoja somessa luvatta.
▪ Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.
14. Rekisteriä saa käyttää vain sen käyttötarkoituksiin
14
▪ Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
15. Somekanavien tietosuojan
arviointi ja koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin rekistereihin somepalvelut
liittyvät ja mitkä ovat niiden
käsittelyperusteet?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon kanavina?
4. Onko tarvetta tehdä
vaikutustenarviointeja?
Kuvakaappaus: Helsingin kaupungin toimialojen sosiaalisen median pääkanavat,
https://www.hel.fi/fi/uutiset/helsingin-kaupunki-sosiaalisessa-mediassa/helsingin-kaupungin-toimialojen-
sosiaalisen-median-paakanavat (2.5.2023)
15
16. Facebook-sivujen ja -ryhmien ylläpitäjän asema
▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä.
▪ Huolehdi näistä:
▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos
organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen.
▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin
ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä.
Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum
16
18. Somepalvelujen arviointeja
18
Luokitukset: https://tosdr.org/ (8.5.2023)
Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus
ToS;DR –sivustolla
Facebook Meta,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/182
Instagram Meta,
Yhdysvallat
Henkilökohtainen tai ammattilais-
/organisaatiotili
Luokka E
https://tosdr.org/en/service/219
Twitter X Corp.,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka E
https://tosdr.org/en/service/195
YouTube Google/Alphabet,
Yhdysvallat
Henkilökohtainen kanava tai
bränditiliin yhdistetty kanava
Luokka E
https://tosdr.org/en/service/274
TikTok ByteDance,
Kiina
Henkilökohtainen tai yritystili Luokka E
https://tosdr.org/en/service/1448
LinkedIn Microsoft,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/193
WhatsApp Meta,
Yhdysvallat
Henkilökohtainen
(Erillinen WA Business-sovellus)
Luokka C
https://tosdr.org/en/service/198
Signal Signal Foundation,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka B
https://tosdr.org/en/service/528
20. Somepalvelut kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
20
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
21. Henkilötietojen vuotaminen sovellusten kautta
21
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Jos sovelluksille on
annettu pääsy kännykän
yhteystietoihin…
Henkilötietoja voi päätyä
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
Ei käy ilman suostumusta!
22. Metan keräämät tiedot ei-käyttäjistä
▪ ”Kun käyttäjä käyttää yhteystietojen lataamista
ja myöntää meille pääsyn laitteensa
osoitekirjaan, käytämme ja lataamme
osoitekirjan nimet, puhelinnumerot ja
sähköpostiosoitteet päivittäin
palvelimillemme, mukaan lukien sekä
Facebook-, Messenger- ja Instagram-käyttäjät
että muut yhteystiedot, jotka eivät ole
käyttäjiämme tai joilla ei ole tiliä (eli muut kuin
käyttäjät), Facebook kuvailee toimintoa.”
▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt
tiedot USA:han, Argentiinaan, Israeliin, Uuteen-
Seelantiin, Sveitsiin ja mahdollisesti Kanadaan.
▪ Meta ei ole informoinut ei-käyttäjiä heidän
tietojensa käsittelystä
Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html
22
23. WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
→ Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?category=52
45250
24. Kysymys ja ennakkotapaus: WhatsApp työntekijöiden käytössä
24
▪ Työnantaja ei voi edellyttää työntekijöiltä tavallisten pikaviestisovellusten käyttöä, koska niiden
käyttö perustuu käyttöehtojen hyväksyntään yksityishenkilönä.
▪ TSV:n päätös 8.12.2021 WhatsAppin käytöstä toi esiin useita ongelmia:
▪ Ongelmana oli asiakkaiden tietojen lähetys työntekijöille WhatsApp-ryhmän kautta.
▪ Rekisterinpitäjällä ei ole keinoja valvoa, miten henkilötietoja käytetään WA:ssa.
▪ WhatsAppin käyttö perustui yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei voi
vedota sen sopimusehtoihin esim. vastuukysymyksissä.
▪ Rekisterinpitäjä ei ollut varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä ja
sen varmuuskopiot esimerkiksi työsuhteen päättyessä poistettu.
▪ WA:n käyttö johtaa henkilötietojen siirtoon kolmansiin maihin (EU-US & Schrems II).
▪ Rekisterinpitäjä ei ollut informoinut asiakkaita WhatsAppin käytöstä.
▪ Jos WhatsAppia halutaan käyttää, rekisterinpitäjän tulee tehdä riskiarviointi, tarvittaessa
vaikutustenarviointi, ohjeistukset käytölle sekä informoida henkilötietojen käsittelystä.
TSV:n päätös eräästä tapauksesta ja lisätietoa: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys-kaytannossa/
• Saako työnantaja lähettää esimerkiksi asiakkaiden tietoja työntekijöilleen
WhatsAppin tai jonkun muun yleisen pikaviestipalvelun välityksellä?
25. Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta
25
Asiakas ottaa yhteyttä some-
tai pikaviestipalvelun kautta
esimerkiksi yksityisviestillä
→ Aktiivinen toimi voidaan
tulkita suostumukseksi ko.
palvelun käyttöön viestinnässä
Henkilötietoja päätyy some-
tai pikaviestipalvelun
välityksellä
rekisterinpitäjälle
Asiakas tulee yrityksen
someprofiiliin tai
verkkosivuille, jossa on
toiminto viestin lähetykseen
ja informointi henkilötietojen
käsittelystä
26. Signal työkäytössä
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Rekisteröidyiltä on syytä pyytää suostumus, jos
heille aiotaan viestiä Signalin kautta.
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen (yleisesti saatavilla olevien
viestintäpalvelujen välitystiedot).
26
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
27. Monet yritykset vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalustan kautta.
Voit tarkistaa tietosi
Facebookin mainosasetusten
”Kohderyhmään perustuva
mainonta” -kohdasta:
https://www.facebook.com/a
dpreferences/ad_settings
27
Ei käy ilman sähköisen
suoramarkkinoinnin ja
profiloinnin
suostumuksia!
28. “
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
28
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
31. Kolmannen osapuolen evästeet: esimerkkinä Google Analytics (UA)
2. Selain lähettää Googlelle:
selaimen tiedot + sivun tiedot + Googlen
evästeet
31
Sivulle ladataan
Google Tag
Managerin skripti
1
Sivulle
ladataan Google
Analyticsin skripti
2
Google seuraa kävijän
toimintaa sivustolla
ja rikastaa sillä tästä
kerättyä profiilia
3
Oy-yritys-ab.com
4. Google palauttaa selaimelle
kävijäseurantaskriptin ja uudet evästeet
3. Google
tunnistaa
käyttäjän* ja
kerää tiedot
1
*) Käyttäjän ei tarvitse olla
kirjautuneena, jos Googlen
eväste on jo laitteella.
1. Käyttäjä
avaa yrityksen
verkkosivun
2
3
5. Kaikki talteen
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-
1234567-8"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-1234567-8');
</script>
Pyydä suostumus kaikille
ei-välttämättömille evästeille!
32. Mitä on huomioitava evästeiden käytössä?
Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020,
https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/
32
• EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille
1) tulee kertoa evästeiden käytön tarkoituksesta,
2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä.
• Tietosuojavaltuutetun toimiston v. 2020 päätöksen mukaan ei-välttämättömille evästeille tarvitaan
GDPR:n mukainen suostumus.
• https://finlex.fi/fi/viranomaiset/tsv/2020/20200561
• Liikenne- ja viestintävirasto Traficom antoi uudet evästeohjeet palveluntarjoajille syyskuussa 2021.
• https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet
• Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet suostumuksesta ja läpinäkyvyydestä.
• https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
33. Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille
33
Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille,
https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf
▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita
▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun
tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt”
▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet
▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa
▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet
▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot)
▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus
▪ Analytiikkaan liittyvät evästeet
▪ Chat-palvelujen evästeet
▪ Sosiaalisen median alustoihin liittyvät evästeet
▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet
▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
34. Onko chat-palvelun eväste välttämätön?
▪ Chatit liittyvät tavallisesti joko
asiakaspalveluun tai myyntiin.
▪ Chat-toiminto saattaa käyttää evästeitä.
▪ Mikäli sivuston pääasiallinen käyttötarkoitus ei
ole nimenomaisesti chat-toiminnon
tarjoaminen, chatin toimintaan liittyviä
evästeitä ei saa tallentaa ennen kuin käyttäjä
erikseen pyytää palvelua eli avaa chatin.
▪ Jos chat-toiminto edellyttää evästeitä ja niitä
käytetään vasta chat-ikkunan avaamisen
jälkeen, voidaan evästeiden katsoa olevan
välttämättömiä ja suostumusta ei tarvita.
▪ Käytännössä: chatin ei pidä käyttää evästeitä
ennen kuin käyttäjä aloittaa chatin käytön.
Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille,
https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf
34
35. Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi
35
▪ Evästeiden suostumuksessa voidaan käyttää monitasoista
rekisteröidyn informointia
▪ 1. taso: evästebanneri/-ilmoitus
▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms.
▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä:
▪ Rekisterinpitäjä
▪ Henkilötietojen käsittelytarkoitukset
▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten
ja joka voi tulla yllätyksenä
▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut
informoinnin tiedot
▪ Lisätietoa informoinnista TSV:n sivulta:
https://tietosuoja.fi/rekisteroidyn-informointi
Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta,
https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
36. Evästebanneri ei saa estää sivuston käyttöä
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
36
37. Selvät kyllä- ja ei-vaihtoehdot
EI NÄIN:
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021)
37
38. Ennakkotapaus: Google Analyticsin käyttö verkkosivujen kävijäseurantaan
38
▪ Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle.
▪ Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita.
▪ Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa.
▪ Seurantadataan saattoi päätyä tietoja myös käyttäjien aineistohauista linkkien ns. referer-tietojen kautta.
▪ Päätöksessä viitattiin EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin siirretyillä
henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla oli pääsy niihin.
▪ Tämä ongelma on korjaantunut toistaiseksi EU:n ja Yhdysvaltojen tietosuojakehyksen myötä
▪ 10.7.2023 lähtien henkilötietoja voidaan siirtää EU-komission tekemän riittävyyspäätöksen perusteella
sellaisille yhdysvaltalaisille yrityksille, jotka ovat mukana EU:n ja Yhdysvaltojen tietosuojakehyksessä. Ks.
lista: https://www.dataprivacyframework.gov/ - Google on mukana.
→ Johtopäätös: GA:n käyttöön liittyy useita ongelmia. Uusi EU-USA-tietosuojakehys korjaa niistä vain yhden.
Lähde: Apulaistietosuojavaltuutetun päätös, 4672/161/22, https://www.finlex.fi/fi/viranomaiset/tsv/2022/20221663
• Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan
käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa.
• Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3)
tietojen siirtoon ETA-alueelta Yhdysvaltoihin.
39. Googlen / Google Analyticsin käyttämiä evästeitä
Lähteenä mm. Google, 2023, https://policies.google.com/technologies/cookies#types-of-cookies ja
Optimize Smart, 4.10.2023, https://www.optimizesmart.com/google-analytics-cookies-ultimate-guide/
39
Eväste Tarkoitus Säilymisaika
CONSENT ja SOCS Evästeiden hyväksyntä ja sen valinnat 2 vuotta ja
13 kk
SID ja HSID Turvallisuus, Google-kirjautuminen 2 vuotta
_ga ja _gid Käyttäjän yksilöinti GA:ssa 2 vuotta ja 24 h
_gat tai _dc_gtm_[id] GA:n mittaustietoa 1-10 min
NID ja ENID Valinnat ja mainokset 6 ja 13 kk
ANID ja IDE Tieto mainosten personoinnista 13 kk
DSI Tunnistaminen ja mainosten personointi 2 vkoa
_gads Mainosten näyttöön liittyvä 13 kk
_gac_[…] Mainosten näytön tilastointi GA:han 90 pv
_gcl_[…] Mainosten klikkausten tehokkuus 90 pv
40. Onko Google Analytics 4:n seuranta GDPR:n mukainen?
Lähteet: Google, 2023, https://support.google.com/analytics/answer/9964640?hl=fi ja https://support.google.com/analytics/answer/9626162?hl=fi Kuva: cookieless tech,
https://www.cookielesstech.com/guides/google-analytics-without-cookies/, Ohje GA4:n evästeiden poiskytkemiseen: https://www.rootandbranchgroup.com/ga4-cookies-explained/
40
▪ Vanha Google Analyticsin versio Universal
Analytics lopetti datan käsittelyn 1.7.2023. Tilalle
on tullut uusi tuote: Google Analytics 4.
▪ GA 4 sisältää joitakin parannuksia sivustojen
vierailijoiden tietosuojaan. GA4 ei oletuksena
tallenna käyttäjien IP-osoitteita.
▪ GA 4 täyttää tilastoissa sellaisten vierailijoiden
synnyttämät ”aukot”, jotka eivät salli evästeitä.
▪ GA4:ssä voi valita evästeettömän seurannan ja
käyttää palvelinpuolen seurantaa.
▪ GDPR:n näkökulmasta GA4:n evästeetönkin
seuranta on edelleen henkilötietojen käsittelyä.
▪ Huomaa, että jos Google Analyticsin dataa
käytetään mainosten personointiin Google
Adsissa, tulee heiltä saada suostumus
sähköiseen markkinointiin.
41. Vaihtoehtoja Google Analyticsille: esimerkkinä Matomo
GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google
Analyticsille, jotka eivät ole yhteydessä nettijättien mainosalustoihin.
▪ Matomo Analytics, https://matomo.org/
▪ Saatavissa hostattuna esim. https://www.matomo-analytics.fi/
▪ Saatavana myös omalle palvelimelle asennettavana ohjelmana
▪ Monipuoliset raportit ja ominaisuudet
▪ Mahdollistaa seurannan ilman evästeitä, jolloin suostumusta ei tarvita
▪ Evästeetön seuranta tunnistaa myös palaavat vierailijat 24 h:n aikana
▪ Käyttäjäkohtainen raakadata poistetaan automaattisesti raporttien muodostamisen jälkeen
▪ IP-osoitteista voidaan poistaa 2 viimeistä tavua tai enemmän
Lisätietoa vaihtoehdoista esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/
41
43. YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä
▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja
markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta
▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com
43
<iframe width="560" height="315"
src="https://www.youtube.com/embed/fZ4KR7OHXF0"
title="YouTube video player" frameborder="0"
allow="accelerometer; autoplay; clipboard-write;
encrypted-media; gyroscope; picture-in-picture"
allowfullscreen></iframe>
<iframe width="560" height="315" src="
https://www.youtube-nocookie.com/embed/
fZ4KR7OHXF0" title="YouTube video player"
frameborder="0" allow="accelerometer; autoplay;
clipboard-write; encrypted-media; gyroscope;
picture-in-picture" allowfullscreen></iframe>
44. Meta-pikseli
44
▪ Meta-pikseli on nettisivuille
liitettävä seurantakoodi,
jolla välitetään tietoa
nettisivujen vierailijoista
Metan mainosalustalle.
▪ Pikselin avulla voidaan tehdä
uudelleenmarkkinointia
sivujen vierailijoille tai luoda
mainokselle kohderyhmä,
joka muistuttaa sivuston
vierailijoita
▪ Meta-pikselin käyttö
nettisivuilla edellyttää
vierailijoiden suostumusta
Metan seurannalle ja
evästeiden käytölle.