SlideShare a Scribd company logo
Kuva: Aman Pal @paman0744, Unsplash
Sosiaalinen media,
analytiikka ja evästeet
tietosuojan näkökulmasta
17.4.2024
Harto Pönkä
Innowise
Suosituimmat sosiaalisen median palvelut Suomessa 2023
Datalähde: DNA, Digitaaliset elämäntavat 2023 -tutkimus, https://corporate.dna.fi/digitaalinenelama2023
(n=1011, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2022 (stat.fi), kuva: Harto Pönkä, 31.10.2023.
2
Some- ja nettipalvelujen tietojenkeruu
3
Sijaintitiedot
Käyttäjien sijainti on yksi perustiedoista
sisältöjen ja mainosten kohdennuksessa.
”Jos käyt usein hiihtokeskuksissa, voit
nähdä suksimainoksen YouTube-videossa.”
Sijaintia seuraavat mm.
▪ Google/YouTube
▪ Facebook
▪ Instagram
▪ X/Twitter
▪ Snapchat
▪ TikTok
▪ Isot mediayhtiöt
4
Kuvakaappaukset: Google kartan sijaintihistoria, Snapchat: Cyber SafeTrick, 2019, http://cybersafetrick.com/snapchat-tracker/,
Secret service agent: New York Times, 20.12.2019, https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html
Eniten henkilötietoja kerääviä yrityksiä
Useimmin kerättyjä tietoja:
▪ Sähköpostiosoite
▪ Nimi
▪ Syntymäaika/ikä
▪ Sukupuoli
▪ Kielet
▪ Reaaliaikainen sijainti
▪ Kotiosoite
▪ Työtilanne
▪ Puhelinnumerot
▪ Puhelimen ja muiden laitteiden mallit
▪ Kiinnostuksenkohteet
▪ Pankkikortin tiedot
▪ Sosiaalinen profiili ja verkostot
▪ Kännykän kontaktilista
▪ Kännykän kuvagalleria
▪ Kasvojen, paikkojen ja tuotteiden
tunnistus kuvista
Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022,
https://clario.co/blog/which-company-uses-most-data/
5
Jokainen klikkaus ja
kommentti sosiaalisen
median uutisvirrassa on
kuin vastaus
psykologisessa testissä
– osa profilointia.
6
Kuva: Pixabay
“
TikTokin käyttökielto työpuhelimissa leviää
IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023, https://www.is.fi/digitoday/art-
2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 9.1.2024, https://yle.fi/a/74-20068400, HS, 12.2.2024, https://www.hs.fi/politiikka/art-2000010222581.html
7
Eniten ja vähiten käyttäjistä seurantadataa kerääviä sovelluksia
Lähde: Malcore/Internet 2.0, 2023, https://blog.malcore.io/p/malcore-mobile-app-analysis-social-e10
8
TikTokin datankeräyksen tasot
Kuva: H. Pönkä, 25.3.2024
Lisää aiheesta blogikirjoituksessa: https://harto.wordpress.com/2024/01/09/tiktokin-tietoturva-ja-tietosuoja-tama-kaikki-on-pielessa/
9
“
TikTok ei ole kiva pikku
videosovellus, vaan
tekoälyfirman
datankeräysalusta.
10
Kaksi tapaa käyttää TikTokia melko turvallisesti
A) Nettiselaimella
▪ Ilman kirjautumista!
▪ Älä anna mitään suostumuksia, joita TikTok kysyy.
▪ Tyhjennä selaimen evästeet ja muisti käytön jälkeen.
▪ Näin tehtynä TikTok ei juurikaan pysty profiloimaan
sinua ja sen algoritmi toimii ns. puhtaasti ilman
käyttäjädataan perustuvaa suosittelua.
▪ Huomaa, että selaintunnisteiden avulla TikTok pystyy
yhdistämään ei-kirjautuneen käyttäjän TikTok-
käyttäjätunnukseen, jos TikTokia on aiemmin käytetty
samalla selaimella kirjautuneena. Tällöin ei-
kirjautuneena ei ole suojassa TikTokin profiloinnilta.
B) Erillisellä kännykällä
▪ Älä yhdistä kirjautumista muihin somepalveluihin,
vaan kirjaudu suoraan sähköpostiosoitteella tai
puhelinnumerolla.
▪ Älä anna TikTokille tarpeettomia käyttölupia – älä
varsinkaan yhteystietoja.
▪ Älä tallenna samaan puhelimeen yhteystietoja tai
muita tärkeitä tai salaisia tietoja/tiedostoja.
▪ Älä käytä samaa puhelinta työasioihin.
▪ Älä asenna puhelimeen muita sovelluksia tai
käyttäjätunnuksia, joista voisi tallentua em. tietoja.
▪ Älä kirjaudu laitteella työpaikan lähiverkkoon.
▪ Kun TikTokia käytetään kirjautuneena, sovellus kerää
käyttäjästä runsaasti dataa ja algoritmi alkaa
suositella sisältöjä sen mukaisesti.
11
Tietosuojan huomiointi somepalveluissa
12
Henkilötietojen käsittely somepalveluissa
13
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
▪ Älä tallenna työhön liittyviä henkilötietoja
yksityisessä käytössä olevaan kännykkään.
▪ Tarvittaessa pyydä suostumukset
henkilötietojen käytölle ulkoisissa
somepalveluissa ja muista informointi.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Älä julkaise henkilötietoja somessa luvatta.
▪ Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.
Rekisteriä saa käyttää vain sen käyttötarkoituksiin
14
▪ Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Somekanavien tietosuojan
arviointi ja koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin rekistereihin somepalvelut
liittyvät ja mitkä ovat niiden
käsittelyperusteet?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon kanavina?
4. Onko tarvetta tehdä
vaikutustenarviointeja?
Kuvakaappaus: Helsingin kaupungin toimialojen sosiaalisen median pääkanavat,
https://www.hel.fi/fi/uutiset/helsingin-kaupunki-sosiaalisessa-mediassa/helsingin-kaupungin-toimialojen-
sosiaalisen-median-paakanavat (2.5.2023)
15
Facebook-sivujen ja -ryhmien ylläpitäjän asema
▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä.
▪ Huolehdi näistä:
▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos
organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen.
▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin
ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä.
Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum
16
Käyttöehtojen arviointeja: ToS;DR
Kuvakaappaus: https://tosdr.org/en/service/219
17
Somepalvelujen arviointeja
18
Luokitukset: https://tosdr.org/ (8.5.2023)
Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus
ToS;DR –sivustolla
Facebook Meta,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/182
Instagram Meta,
Yhdysvallat
Henkilökohtainen tai ammattilais-
/organisaatiotili
Luokka E
https://tosdr.org/en/service/219
Twitter X Corp.,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka E
https://tosdr.org/en/service/195
YouTube Google/Alphabet,
Yhdysvallat
Henkilökohtainen kanava tai
bränditiliin yhdistetty kanava
Luokka E
https://tosdr.org/en/service/274
TikTok ByteDance,
Kiina
Henkilökohtainen tai yritystili Luokka E
https://tosdr.org/en/service/1448
LinkedIn Microsoft,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/193
WhatsApp Meta,
Yhdysvallat
Henkilökohtainen
(Erillinen WA Business-sovellus)
Luokka C
https://tosdr.org/en/service/198
Signal Signal Foundation,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka B
https://tosdr.org/en/service/528
Henkilötietojen anto sovelluksille
19
Somepalvelut kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
20
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
Henkilötietojen vuotaminen sovellusten kautta
21
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Jos sovelluksille on
annettu pääsy kännykän
yhteystietoihin…
Henkilötietoja voi päätyä
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
Ei käy ilman suostumusta!
Metan keräämät tiedot ei-käyttäjistä
▪ ”Kun käyttäjä käyttää yhteystietojen lataamista
ja myöntää meille pääsyn laitteensa
osoitekirjaan, käytämme ja lataamme
osoitekirjan nimet, puhelinnumerot ja
sähköpostiosoitteet päivittäin
palvelimillemme, mukaan lukien sekä
Facebook-, Messenger- ja Instagram-käyttäjät
että muut yhteystiedot, jotka eivät ole
käyttäjiämme tai joilla ei ole tiliä (eli muut kuin
käyttäjät), Facebook kuvailee toimintoa.”
▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt
tiedot USA:han, Argentiinaan, Israeliin, Uuteen-
Seelantiin, Sveitsiin ja mahdollisesti Kanadaan.
▪ Meta ei ole informoinut ei-käyttäjiä heidän
tietojensa käsittelystä
Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html
22
WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
→ Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?category=52
45250
Kysymys ja ennakkotapaus: WhatsApp työntekijöiden käytössä
24
▪ Työnantaja ei voi edellyttää työntekijöiltä tavallisten pikaviestisovellusten käyttöä, koska niiden
käyttö perustuu käyttöehtojen hyväksyntään yksityishenkilönä.
▪ TSV:n päätös 8.12.2021 WhatsAppin käytöstä toi esiin useita ongelmia:
▪ Ongelmana oli asiakkaiden tietojen lähetys työntekijöille WhatsApp-ryhmän kautta.
▪ Rekisterinpitäjällä ei ole keinoja valvoa, miten henkilötietoja käytetään WA:ssa.
▪ WhatsAppin käyttö perustui yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei voi
vedota sen sopimusehtoihin esim. vastuukysymyksissä.
▪ Rekisterinpitäjä ei ollut varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä ja
sen varmuuskopiot esimerkiksi työsuhteen päättyessä poistettu.
▪ WA:n käyttö johtaa henkilötietojen siirtoon kolmansiin maihin (EU-US & Schrems II).
▪ Rekisterinpitäjä ei ollut informoinut asiakkaita WhatsAppin käytöstä.
▪ Jos WhatsAppia halutaan käyttää, rekisterinpitäjän tulee tehdä riskiarviointi, tarvittaessa
vaikutustenarviointi, ohjeistukset käytölle sekä informoida henkilötietojen käsittelystä.
TSV:n päätös eräästä tapauksesta ja lisätietoa: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys-kaytannossa/
• Saako työnantaja lähettää esimerkiksi asiakkaiden tietoja työntekijöilleen
WhatsAppin tai jonkun muun yleisen pikaviestipalvelun välityksellä?
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta
25
Asiakas ottaa yhteyttä some-
tai pikaviestipalvelun kautta
esimerkiksi yksityisviestillä
→ Aktiivinen toimi voidaan
tulkita suostumukseksi ko.
palvelun käyttöön viestinnässä
Henkilötietoja päätyy some-
tai pikaviestipalvelun
välityksellä
rekisterinpitäjälle
Asiakas tulee yrityksen
someprofiiliin tai
verkkosivuille, jossa on
toiminto viestin lähetykseen
ja informointi henkilötietojen
käsittelystä
Signal työkäytössä
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Rekisteröidyiltä on syytä pyytää suostumus, jos
heille aiotaan viestiä Signalin kautta.
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen (yleisesti saatavilla olevien
viestintäpalvelujen välitystiedot).
26
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
Monet yritykset vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalustan kautta.
Voit tarkistaa tietosi
Facebookin mainosasetusten
”Kohderyhmään perustuva
mainonta” -kohdasta:
https://www.facebook.com/a
dpreferences/ad_settings
27
Ei käy ilman sähköisen
suoramarkkinoinnin ja
profiloinnin
suostumuksia!
“
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
28
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
Evästeet ja muut seurantatekniikat
29
Evästeitä
30
Kuvitteellinen esimerkki
Kolmannen osapuolen evästeet: esimerkkinä Google Analytics (UA)
2. Selain lähettää Googlelle:
selaimen tiedot + sivun tiedot + Googlen
evästeet
31
Sivulle ladataan
Google Tag
Managerin skripti
1
Sivulle
ladataan Google
Analyticsin skripti
2
Google seuraa kävijän
toimintaa sivustolla
ja rikastaa sillä tästä
kerättyä profiilia
3
Oy-yritys-ab.com
4. Google palauttaa selaimelle
kävijäseurantaskriptin ja uudet evästeet
3. Google
tunnistaa
käyttäjän* ja
kerää tiedot
1
*) Käyttäjän ei tarvitse olla
kirjautuneena, jos Googlen
eväste on jo laitteella.
1. Käyttäjä
avaa yrityksen
verkkosivun
2
3
5. Kaikki talteen
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-
1234567-8"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-1234567-8');
</script>
Pyydä suostumus kaikille
ei-välttämättömille evästeille!
Mitä on huomioitava evästeiden käytössä?
Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020,
https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/
32
• EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille
1) tulee kertoa evästeiden käytön tarkoituksesta,
2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä.
• Tietosuojavaltuutetun toimiston v. 2020 päätöksen mukaan ei-välttämättömille evästeille tarvitaan
GDPR:n mukainen suostumus.
• https://finlex.fi/fi/viranomaiset/tsv/2020/20200561
• Liikenne- ja viestintävirasto Traficom antoi uudet evästeohjeet palveluntarjoajille syyskuussa 2021.
• https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet
• Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet suostumuksesta ja läpinäkyvyydestä.
• https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille
33
Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille,
https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf
▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita
▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun
tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt”
▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet
▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa
▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet
▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot)
▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus
▪ Analytiikkaan liittyvät evästeet
▪ Chat-palvelujen evästeet
▪ Sosiaalisen median alustoihin liittyvät evästeet
▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet
▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
Onko chat-palvelun eväste välttämätön?
▪ Chatit liittyvät tavallisesti joko
asiakaspalveluun tai myyntiin.
▪ Chat-toiminto saattaa käyttää evästeitä.
▪ Mikäli sivuston pääasiallinen käyttötarkoitus ei
ole nimenomaisesti chat-toiminnon
tarjoaminen, chatin toimintaan liittyviä
evästeitä ei saa tallentaa ennen kuin käyttäjä
erikseen pyytää palvelua eli avaa chatin.
▪ Jos chat-toiminto edellyttää evästeitä ja niitä
käytetään vasta chat-ikkunan avaamisen
jälkeen, voidaan evästeiden katsoa olevan
välttämättömiä ja suostumusta ei tarvita.
▪ Käytännössä: chatin ei pidä käyttää evästeitä
ennen kuin käyttäjä aloittaa chatin käytön.
Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille,
https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf
34
Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi
35
▪ Evästeiden suostumuksessa voidaan käyttää monitasoista
rekisteröidyn informointia
▪ 1. taso: evästebanneri/-ilmoitus
▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms.
▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä:
▪ Rekisterinpitäjä
▪ Henkilötietojen käsittelytarkoitukset
▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten
ja joka voi tulla yllätyksenä
▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut
informoinnin tiedot
▪ Lisätietoa informoinnista TSV:n sivulta:
https://tietosuoja.fi/rekisteroidyn-informointi
Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta,
https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
Evästebanneri ei saa estää sivuston käyttöä
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
36
Selvät kyllä- ja ei-vaihtoehdot
EI NÄIN:
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021)
37
Ennakkotapaus: Google Analyticsin käyttö verkkosivujen kävijäseurantaan
38
▪ Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle.
▪ Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita.
▪ Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa.
▪ Seurantadataan saattoi päätyä tietoja myös käyttäjien aineistohauista linkkien ns. referer-tietojen kautta.
▪ Päätöksessä viitattiin EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin siirretyillä
henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla oli pääsy niihin.
▪ Tämä ongelma on korjaantunut toistaiseksi EU:n ja Yhdysvaltojen tietosuojakehyksen myötä
▪ 10.7.2023 lähtien henkilötietoja voidaan siirtää EU-komission tekemän riittävyyspäätöksen perusteella
sellaisille yhdysvaltalaisille yrityksille, jotka ovat mukana EU:n ja Yhdysvaltojen tietosuojakehyksessä. Ks.
lista: https://www.dataprivacyframework.gov/ - Google on mukana.
→ Johtopäätös: GA:n käyttöön liittyy useita ongelmia. Uusi EU-USA-tietosuojakehys korjaa niistä vain yhden.
Lähde: Apulaistietosuojavaltuutetun päätös, 4672/161/22, https://www.finlex.fi/fi/viranomaiset/tsv/2022/20221663
• Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan
käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa.
• Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3)
tietojen siirtoon ETA-alueelta Yhdysvaltoihin.
Googlen / Google Analyticsin käyttämiä evästeitä
Lähteenä mm. Google, 2023, https://policies.google.com/technologies/cookies#types-of-cookies ja
Optimize Smart, 4.10.2023, https://www.optimizesmart.com/google-analytics-cookies-ultimate-guide/
39
Eväste Tarkoitus Säilymisaika
CONSENT ja SOCS Evästeiden hyväksyntä ja sen valinnat 2 vuotta ja
13 kk
SID ja HSID Turvallisuus, Google-kirjautuminen 2 vuotta
_ga ja _gid Käyttäjän yksilöinti GA:ssa 2 vuotta ja 24 h
_gat tai _dc_gtm_[id] GA:n mittaustietoa 1-10 min
NID ja ENID Valinnat ja mainokset 6 ja 13 kk
ANID ja IDE Tieto mainosten personoinnista 13 kk
DSI Tunnistaminen ja mainosten personointi 2 vkoa
_gads Mainosten näyttöön liittyvä 13 kk
_gac_[…] Mainosten näytön tilastointi GA:han 90 pv
_gcl_[…] Mainosten klikkausten tehokkuus 90 pv
Onko Google Analytics 4:n seuranta GDPR:n mukainen?
Lähteet: Google, 2023, https://support.google.com/analytics/answer/9964640?hl=fi ja https://support.google.com/analytics/answer/9626162?hl=fi Kuva: cookieless tech,
https://www.cookielesstech.com/guides/google-analytics-without-cookies/, Ohje GA4:n evästeiden poiskytkemiseen: https://www.rootandbranchgroup.com/ga4-cookies-explained/
40
▪ Vanha Google Analyticsin versio Universal
Analytics lopetti datan käsittelyn 1.7.2023. Tilalle
on tullut uusi tuote: Google Analytics 4.
▪ GA 4 sisältää joitakin parannuksia sivustojen
vierailijoiden tietosuojaan. GA4 ei oletuksena
tallenna käyttäjien IP-osoitteita.
▪ GA 4 täyttää tilastoissa sellaisten vierailijoiden
synnyttämät ”aukot”, jotka eivät salli evästeitä.
▪ GA4:ssä voi valita evästeettömän seurannan ja
käyttää palvelinpuolen seurantaa.
▪ GDPR:n näkökulmasta GA4:n evästeetönkin
seuranta on edelleen henkilötietojen käsittelyä.
▪ Huomaa, että jos Google Analyticsin dataa
käytetään mainosten personointiin Google
Adsissa, tulee heiltä saada suostumus
sähköiseen markkinointiin.
Vaihtoehtoja Google Analyticsille: esimerkkinä Matomo
GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google
Analyticsille, jotka eivät ole yhteydessä nettijättien mainosalustoihin.
▪ Matomo Analytics, https://matomo.org/
▪ Saatavissa hostattuna esim. https://www.matomo-analytics.fi/
▪ Saatavana myös omalle palvelimelle asennettavana ohjelmana
▪ Monipuoliset raportit ja ominaisuudet
▪ Mahdollistaa seurannan ilman evästeitä, jolloin suostumusta ei tarvita
▪ Evästeetön seuranta tunnistaa myös palaavat vierailijat 24 h:n aikana
▪ Käyttäjäkohtainen raakadata poistetaan automaattisesti raporttien muodostamisen jälkeen
▪ IP-osoitteista voidaan poistaa 2 viimeistä tavua tai enemmän
Lisätietoa vaihtoehdoista esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/
41
Yleisiä korjauskohteita
42
YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä
▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja
markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta
▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com
43
<iframe width="560" height="315"
src="https://www.youtube.com/embed/fZ4KR7OHXF0"
title="YouTube video player" frameborder="0"
allow="accelerometer; autoplay; clipboard-write;
encrypted-media; gyroscope; picture-in-picture"
allowfullscreen></iframe>
<iframe width="560" height="315" src="
https://www.youtube-nocookie.com/embed/
fZ4KR7OHXF0" title="YouTube video player"
frameborder="0" allow="accelerometer; autoplay;
clipboard-write; encrypted-media; gyroscope;
picture-in-picture" allowfullscreen></iframe>
Meta-pikseli
44
▪ Meta-pikseli on nettisivuille
liitettävä seurantakoodi,
jolla välitetään tietoa
nettisivujen vierailijoista
Metan mainosalustalle.
▪ Pikselin avulla voidaan tehdä
uudelleenmarkkinointia
sivujen vierailijoille tai luoda
mainokselle kohderyhmä,
joka muistuttaa sivuston
vierailijoita
▪ Meta-pikselin käyttö
nettisivuilla edellyttää
vierailijoiden suostumusta
Metan seurannalle ja
evästeiden käytölle.
Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne?
Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663
45
46
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!

More Related Content

Similar to Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta

Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
Harto Pönkä
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdf
Matleena Laakso
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Harto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
Harto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Harto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Harto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
Harto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
Harto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
Harto Pönkä
 
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksilleSosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Harto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
Harto Pönkä
 
Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
Harto Pönkä
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22
Matleena Laakso
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
Harto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Harto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä
 
Missa mun data 280120
Missa mun data 280120Missa mun data 280120
Missa mun data 280120
Sitra / Hyvinvointi
 
Työntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössäTyöntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössä
Harto Pönkä
 

Similar to Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta (20)

Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdf
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksilleSosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Missa mun data 280120
Missa mun data 280120Missa mun data 280120
Missa mun data 280120
 
Työntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössäTyöntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössä
 

More from Harto Pönkä

Nuorten ruutuaika räjähti – kiitos TikTokin?
Nuorten ruutuaika räjähti – kiitos TikTokin?Nuorten ruutuaika räjähti – kiitos TikTokin?
Nuorten ruutuaika räjähti – kiitos TikTokin?
Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
Harto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Harto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
Harto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
Harto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
Harto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
Harto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
Harto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
Harto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
Harto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 

More from Harto Pönkä (17)

Nuorten ruutuaika räjähti – kiitos TikTokin?
Nuorten ruutuaika räjähti – kiitos TikTokin?Nuorten ruutuaika räjähti – kiitos TikTokin?
Nuorten ruutuaika räjähti – kiitos TikTokin?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 

Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta

  • 1. Kuva: Aman Pal @paman0744, Unsplash Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta 17.4.2024 Harto Pönkä Innowise
  • 2. Suosituimmat sosiaalisen median palvelut Suomessa 2023 Datalähde: DNA, Digitaaliset elämäntavat 2023 -tutkimus, https://corporate.dna.fi/digitaalinenelama2023 (n=1011, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2022 (stat.fi), kuva: Harto Pönkä, 31.10.2023. 2
  • 3. Some- ja nettipalvelujen tietojenkeruu 3
  • 4. Sijaintitiedot Käyttäjien sijainti on yksi perustiedoista sisältöjen ja mainosten kohdennuksessa. ”Jos käyt usein hiihtokeskuksissa, voit nähdä suksimainoksen YouTube-videossa.” Sijaintia seuraavat mm. ▪ Google/YouTube ▪ Facebook ▪ Instagram ▪ X/Twitter ▪ Snapchat ▪ TikTok ▪ Isot mediayhtiöt 4 Kuvakaappaukset: Google kartan sijaintihistoria, Snapchat: Cyber SafeTrick, 2019, http://cybersafetrick.com/snapchat-tracker/, Secret service agent: New York Times, 20.12.2019, https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html
  • 5. Eniten henkilötietoja kerääviä yrityksiä Useimmin kerättyjä tietoja: ▪ Sähköpostiosoite ▪ Nimi ▪ Syntymäaika/ikä ▪ Sukupuoli ▪ Kielet ▪ Reaaliaikainen sijainti ▪ Kotiosoite ▪ Työtilanne ▪ Puhelinnumerot ▪ Puhelimen ja muiden laitteiden mallit ▪ Kiinnostuksenkohteet ▪ Pankkikortin tiedot ▪ Sosiaalinen profiili ja verkostot ▪ Kännykän kontaktilista ▪ Kännykän kuvagalleria ▪ Kasvojen, paikkojen ja tuotteiden tunnistus kuvista Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022, https://clario.co/blog/which-company-uses-most-data/ 5
  • 6. Jokainen klikkaus ja kommentti sosiaalisen median uutisvirrassa on kuin vastaus psykologisessa testissä – osa profilointia. 6 Kuva: Pixabay “
  • 7. TikTokin käyttökielto työpuhelimissa leviää IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023, https://www.is.fi/digitoday/art- 2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 9.1.2024, https://yle.fi/a/74-20068400, HS, 12.2.2024, https://www.hs.fi/politiikka/art-2000010222581.html 7
  • 8. Eniten ja vähiten käyttäjistä seurantadataa kerääviä sovelluksia Lähde: Malcore/Internet 2.0, 2023, https://blog.malcore.io/p/malcore-mobile-app-analysis-social-e10 8
  • 9. TikTokin datankeräyksen tasot Kuva: H. Pönkä, 25.3.2024 Lisää aiheesta blogikirjoituksessa: https://harto.wordpress.com/2024/01/09/tiktokin-tietoturva-ja-tietosuoja-tama-kaikki-on-pielessa/ 9
  • 10. “ TikTok ei ole kiva pikku videosovellus, vaan tekoälyfirman datankeräysalusta. 10
  • 11. Kaksi tapaa käyttää TikTokia melko turvallisesti A) Nettiselaimella ▪ Ilman kirjautumista! ▪ Älä anna mitään suostumuksia, joita TikTok kysyy. ▪ Tyhjennä selaimen evästeet ja muisti käytön jälkeen. ▪ Näin tehtynä TikTok ei juurikaan pysty profiloimaan sinua ja sen algoritmi toimii ns. puhtaasti ilman käyttäjädataan perustuvaa suosittelua. ▪ Huomaa, että selaintunnisteiden avulla TikTok pystyy yhdistämään ei-kirjautuneen käyttäjän TikTok- käyttäjätunnukseen, jos TikTokia on aiemmin käytetty samalla selaimella kirjautuneena. Tällöin ei- kirjautuneena ei ole suojassa TikTokin profiloinnilta. B) Erillisellä kännykällä ▪ Älä yhdistä kirjautumista muihin somepalveluihin, vaan kirjaudu suoraan sähköpostiosoitteella tai puhelinnumerolla. ▪ Älä anna TikTokille tarpeettomia käyttölupia – älä varsinkaan yhteystietoja. ▪ Älä tallenna samaan puhelimeen yhteystietoja tai muita tärkeitä tai salaisia tietoja/tiedostoja. ▪ Älä käytä samaa puhelinta työasioihin. ▪ Älä asenna puhelimeen muita sovelluksia tai käyttäjätunnuksia, joista voisi tallentua em. tietoja. ▪ Älä kirjaudu laitteella työpaikan lähiverkkoon. ▪ Kun TikTokia käytetään kirjautuneena, sovellus kerää käyttäjästä runsaasti dataa ja algoritmi alkaa suositella sisältöjä sen mukaisesti. 11
  • 13. Henkilötietojen käsittely somepalveluissa 13 ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Älä asenna työpuhelimeen sosiaalisen median sovelluksia ilman työnantajan lupaa. ▪ Älä tallenna työhön liittyviä henkilötietoja yksityisessä käytössä olevaan kännykkään. ▪ Tarvittaessa pyydä suostumukset henkilötietojen käytölle ulkoisissa somepalveluissa ja muista informointi. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Älä julkaise henkilötietoja somessa luvatta. ▪ Jälkihoito: henkilötietojen ja viestien poisto sovelluksista ja kännyköistä.
  • 14. Rekisteriä saa käyttää vain sen käyttötarkoituksiin 14 ▪ Vaikka tiedot olisivat julkisuuslain perusteella julkisia, niitä saa käyttää vain työtehtäviin liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
  • 15. Somekanavien tietosuojan arviointi ja koordinointi 1. Selvittäkää, mitä somepalveluita käytetään ja mihin tarkoituksiin? 2. Mihin rekistereihin somepalvelut liittyvät ja mitkä ovat niiden käsittelyperusteet? 3. Onko somepalvelut huomioitu tietosuojaselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? 4. Onko tarvetta tehdä vaikutustenarviointeja? Kuvakaappaus: Helsingin kaupungin toimialojen sosiaalisen median pääkanavat, https://www.hel.fi/fi/uutiset/helsingin-kaupunki-sosiaalisessa-mediassa/helsingin-kaupungin-toimialojen- sosiaalisen-median-paakanavat (2.5.2023) 15
  • 16. Facebook-sivujen ja -ryhmien ylläpitäjän asema ▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa. ▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. ▪ Huolehdi näistä: ▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. ▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. ▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 ▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen. ▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä. Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum 16
  • 17. Käyttöehtojen arviointeja: ToS;DR Kuvakaappaus: https://tosdr.org/en/service/219 17
  • 18. Somepalvelujen arviointeja 18 Luokitukset: https://tosdr.org/ (8.5.2023) Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus ToS;DR –sivustolla Facebook Meta, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/182 Instagram Meta, Yhdysvallat Henkilökohtainen tai ammattilais- /organisaatiotili Luokka E https://tosdr.org/en/service/219 Twitter X Corp., Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka E https://tosdr.org/en/service/195 YouTube Google/Alphabet, Yhdysvallat Henkilökohtainen kanava tai bränditiliin yhdistetty kanava Luokka E https://tosdr.org/en/service/274 TikTok ByteDance, Kiina Henkilökohtainen tai yritystili Luokka E https://tosdr.org/en/service/1448 LinkedIn Microsoft, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/193 WhatsApp Meta, Yhdysvallat Henkilökohtainen (Erillinen WA Business-sovellus) Luokka C https://tosdr.org/en/service/198 Signal Signal Foundation, Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka B https://tosdr.org/en/service/528
  • 20. Somepalvelut kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 20 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 21. Henkilötietojen vuotaminen sovellusten kautta 21 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Jos sovelluksille on annettu pääsy kännykän yhteystietoihin… Henkilötietoja voi päätyä ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus Ei käy ilman suostumusta!
  • 22. Metan keräämät tiedot ei-käyttäjistä ▪ ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.” ▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan. ▪ Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 22
  • 23. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida. → Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?category=52 45250
  • 24. Kysymys ja ennakkotapaus: WhatsApp työntekijöiden käytössä 24 ▪ Työnantaja ei voi edellyttää työntekijöiltä tavallisten pikaviestisovellusten käyttöä, koska niiden käyttö perustuu käyttöehtojen hyväksyntään yksityishenkilönä. ▪ TSV:n päätös 8.12.2021 WhatsAppin käytöstä toi esiin useita ongelmia: ▪ Ongelmana oli asiakkaiden tietojen lähetys työntekijöille WhatsApp-ryhmän kautta. ▪ Rekisterinpitäjällä ei ole keinoja valvoa, miten henkilötietoja käytetään WA:ssa. ▪ WhatsAppin käyttö perustui yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei voi vedota sen sopimusehtoihin esim. vastuukysymyksissä. ▪ Rekisterinpitäjä ei ollut varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä ja sen varmuuskopiot esimerkiksi työsuhteen päättyessä poistettu. ▪ WA:n käyttö johtaa henkilötietojen siirtoon kolmansiin maihin (EU-US & Schrems II). ▪ Rekisterinpitäjä ei ollut informoinut asiakkaita WhatsAppin käytöstä. ▪ Jos WhatsAppia halutaan käyttää, rekisterinpitäjän tulee tehdä riskiarviointi, tarvittaessa vaikutustenarviointi, ohjeistukset käytölle sekä informoida henkilötietojen käsittelystä. TSV:n päätös eräästä tapauksesta ja lisätietoa: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys-kaytannossa/ • Saako työnantaja lähettää esimerkiksi asiakkaiden tietoja työntekijöilleen WhatsAppin tai jonkun muun yleisen pikaviestipalvelun välityksellä?
  • 25. Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta 25 Asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta esimerkiksi yksityisviestillä → Aktiivinen toimi voidaan tulkita suostumukseksi ko. palvelun käyttöön viestinnässä Henkilötietoja päätyy some- tai pikaviestipalvelun välityksellä rekisterinpitäjälle Asiakas tulee yrityksen someprofiiliin tai verkkosivuille, jossa on toiminto viestin lähetykseen ja informointi henkilötietojen käsittelystä
  • 26. Signal työkäytössä ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen (yleisesti saatavilla olevien viestintäpalvelujen välitystiedot). 26 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
  • 27. Monet yritykset vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalustan kautta. Voit tarkistaa tietosi Facebookin mainosasetusten ”Kohderyhmään perustuva mainonta” -kohdasta: https://www.facebook.com/a dpreferences/ad_settings 27 Ei käy ilman sähköisen suoramarkkinoinnin ja profiloinnin suostumuksia!
  • 28. “ Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat käyttää tietosuojaoikeuksiaan. Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman manipulointia. 28 Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019, https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
  • 29. Evästeet ja muut seurantatekniikat 29
  • 31. Kolmannen osapuolen evästeet: esimerkkinä Google Analytics (UA) 2. Selain lähettää Googlelle: selaimen tiedot + sivun tiedot + Googlen evästeet 31 Sivulle ladataan Google Tag Managerin skripti 1 Sivulle ladataan Google Analyticsin skripti 2 Google seuraa kävijän toimintaa sivustolla ja rikastaa sillä tästä kerättyä profiilia 3 Oy-yritys-ab.com 4. Google palauttaa selaimelle kävijäseurantaskriptin ja uudet evästeet 3. Google tunnistaa käyttäjän* ja kerää tiedot 1 *) Käyttäjän ei tarvitse olla kirjautuneena, jos Googlen eväste on jo laitteella. 1. Käyttäjä avaa yrityksen verkkosivun 2 3 5. Kaikki talteen <!-- Global site tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id=UA- 1234567-8"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-1234567-8'); </script> Pyydä suostumus kaikille ei-välttämättömille evästeille!
  • 32. Mitä on huomioitava evästeiden käytössä? Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020, https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/ 32 • EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille 1) tulee kertoa evästeiden käytön tarkoituksesta, 2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä. • Tietosuojavaltuutetun toimiston v. 2020 päätöksen mukaan ei-välttämättömille evästeille tarvitaan GDPR:n mukainen suostumus. • https://finlex.fi/fi/viranomaiset/tsv/2020/20200561 • Liikenne- ja viestintävirasto Traficom antoi uudet evästeohjeet palveluntarjoajille syyskuussa 2021. • https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet • Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet suostumuksesta ja läpinäkyvyydestä. • https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
  • 33. Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille 33 Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille, https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf ▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita ▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt” ▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet ▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa ▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet ▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot) ▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus ▪ Analytiikkaan liittyvät evästeet ▪ Chat-palvelujen evästeet ▪ Sosiaalisen median alustoihin liittyvät evästeet ▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet ▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
  • 34. Onko chat-palvelun eväste välttämätön? ▪ Chatit liittyvät tavallisesti joko asiakaspalveluun tai myyntiin. ▪ Chat-toiminto saattaa käyttää evästeitä. ▪ Mikäli sivuston pääasiallinen käyttötarkoitus ei ole nimenomaisesti chat-toiminnon tarjoaminen, chatin toimintaan liittyviä evästeitä ei saa tallentaa ennen kuin käyttäjä erikseen pyytää palvelua eli avaa chatin. ▪ Jos chat-toiminto edellyttää evästeitä ja niitä käytetään vasta chat-ikkunan avaamisen jälkeen, voidaan evästeiden katsoa olevan välttämättömiä ja suostumusta ei tarvita. ▪ Käytännössä: chatin ei pidä käyttää evästeitä ennen kuin käyttäjä aloittaa chatin käytön. Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille, https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf 34
  • 35. Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi 35 ▪ Evästeiden suostumuksessa voidaan käyttää monitasoista rekisteröidyn informointia ▪ 1. taso: evästebanneri/-ilmoitus ▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms. ▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä: ▪ Rekisterinpitäjä ▪ Henkilötietojen käsittelytarkoitukset ▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä ▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut informoinnin tiedot ▪ Lisätietoa informoinnista TSV:n sivulta: https://tietosuoja.fi/rekisteroidyn-informointi Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
  • 36. Evästebanneri ei saa estää sivuston käyttöä Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf 36
  • 37. Selvät kyllä- ja ei-vaihtoehdot EI NÄIN: Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021) 37
  • 38. Ennakkotapaus: Google Analyticsin käyttö verkkosivujen kävijäseurantaan 38 ▪ Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle. ▪ Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita. ▪ Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa. ▪ Seurantadataan saattoi päätyä tietoja myös käyttäjien aineistohauista linkkien ns. referer-tietojen kautta. ▪ Päätöksessä viitattiin EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin siirretyillä henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla oli pääsy niihin. ▪ Tämä ongelma on korjaantunut toistaiseksi EU:n ja Yhdysvaltojen tietosuojakehyksen myötä ▪ 10.7.2023 lähtien henkilötietoja voidaan siirtää EU-komission tekemän riittävyyspäätöksen perusteella sellaisille yhdysvaltalaisille yrityksille, jotka ovat mukana EU:n ja Yhdysvaltojen tietosuojakehyksessä. Ks. lista: https://www.dataprivacyframework.gov/ - Google on mukana. → Johtopäätös: GA:n käyttöön liittyy useita ongelmia. Uusi EU-USA-tietosuojakehys korjaa niistä vain yhden. Lähde: Apulaistietosuojavaltuutetun päätös, 4672/161/22, https://www.finlex.fi/fi/viranomaiset/tsv/2022/20221663 • Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa. • Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3) tietojen siirtoon ETA-alueelta Yhdysvaltoihin.
  • 39. Googlen / Google Analyticsin käyttämiä evästeitä Lähteenä mm. Google, 2023, https://policies.google.com/technologies/cookies#types-of-cookies ja Optimize Smart, 4.10.2023, https://www.optimizesmart.com/google-analytics-cookies-ultimate-guide/ 39 Eväste Tarkoitus Säilymisaika CONSENT ja SOCS Evästeiden hyväksyntä ja sen valinnat 2 vuotta ja 13 kk SID ja HSID Turvallisuus, Google-kirjautuminen 2 vuotta _ga ja _gid Käyttäjän yksilöinti GA:ssa 2 vuotta ja 24 h _gat tai _dc_gtm_[id] GA:n mittaustietoa 1-10 min NID ja ENID Valinnat ja mainokset 6 ja 13 kk ANID ja IDE Tieto mainosten personoinnista 13 kk DSI Tunnistaminen ja mainosten personointi 2 vkoa _gads Mainosten näyttöön liittyvä 13 kk _gac_[…] Mainosten näytön tilastointi GA:han 90 pv _gcl_[…] Mainosten klikkausten tehokkuus 90 pv
  • 40. Onko Google Analytics 4:n seuranta GDPR:n mukainen? Lähteet: Google, 2023, https://support.google.com/analytics/answer/9964640?hl=fi ja https://support.google.com/analytics/answer/9626162?hl=fi Kuva: cookieless tech, https://www.cookielesstech.com/guides/google-analytics-without-cookies/, Ohje GA4:n evästeiden poiskytkemiseen: https://www.rootandbranchgroup.com/ga4-cookies-explained/ 40 ▪ Vanha Google Analyticsin versio Universal Analytics lopetti datan käsittelyn 1.7.2023. Tilalle on tullut uusi tuote: Google Analytics 4. ▪ GA 4 sisältää joitakin parannuksia sivustojen vierailijoiden tietosuojaan. GA4 ei oletuksena tallenna käyttäjien IP-osoitteita. ▪ GA 4 täyttää tilastoissa sellaisten vierailijoiden synnyttämät ”aukot”, jotka eivät salli evästeitä. ▪ GA4:ssä voi valita evästeettömän seurannan ja käyttää palvelinpuolen seurantaa. ▪ GDPR:n näkökulmasta GA4:n evästeetönkin seuranta on edelleen henkilötietojen käsittelyä. ▪ Huomaa, että jos Google Analyticsin dataa käytetään mainosten personointiin Google Adsissa, tulee heiltä saada suostumus sähköiseen markkinointiin.
  • 41. Vaihtoehtoja Google Analyticsille: esimerkkinä Matomo GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google Analyticsille, jotka eivät ole yhteydessä nettijättien mainosalustoihin. ▪ Matomo Analytics, https://matomo.org/ ▪ Saatavissa hostattuna esim. https://www.matomo-analytics.fi/ ▪ Saatavana myös omalle palvelimelle asennettavana ohjelmana ▪ Monipuoliset raportit ja ominaisuudet ▪ Mahdollistaa seurannan ilman evästeitä, jolloin suostumusta ei tarvita ▪ Evästeetön seuranta tunnistaa myös palaavat vierailijat 24 h:n aikana ▪ Käyttäjäkohtainen raakadata poistetaan automaattisesti raporttien muodostamisen jälkeen ▪ IP-osoitteista voidaan poistaa 2 viimeistä tavua tai enemmän Lisätietoa vaihtoehdoista esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/ 41
  • 43. YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä ▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta ▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com 43 <iframe width="560" height="315" src="https://www.youtube.com/embed/fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> <iframe width="560" height="315" src=" https://www.youtube-nocookie.com/embed/ fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
  • 44. Meta-pikseli 44 ▪ Meta-pikseli on nettisivuille liitettävä seurantakoodi, jolla välitetään tietoa nettisivujen vierailijoista Metan mainosalustalle. ▪ Pikselin avulla voidaan tehdä uudelleenmarkkinointia sivujen vierailijoille tai luoda mainokselle kohderyhmä, joka muistuttaa sivuston vierailijoita ▪ Meta-pikselin käyttö nettisivuilla edellyttää vierailijoiden suostumusta Metan seurannalle ja evästeiden käytölle.
  • 45. Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne? Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663 45