SlideShare a Scribd company logo

Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta

Harto Pönkä
Harto Pönkä

Etäkoulutus FCG koulutukselle, 17.4.2024, Harto Pönkä, Innowise

Internet
1 of 46
Download to read offline
Kuva: Aman Pal @paman0744, Unsplash Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta 17.4.2024 Harto Pönkä Innowise
Suosituimmat sosiaalisen median palvelut Suomessa 2023 Datalähde: DNA, Digitaaliset elämäntavat 2023 -tutkimus, https://corporate.dna.fi/digitaalinenelama2023 (n=1011, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2022 (stat.fi), kuva: Harto Pönkä, 31.10.2023. 2
Some- ja nettipalvelujen tietojenkeruu 3
Sijaintitiedot Käyttäjien sijainti on yksi perustiedoista sisältöjen ja mainosten kohdennuksessa. ”Jos käyt usein hiihtokeskuksissa, voit nähdä suksimainoksen YouTube-videossa.” Sijaintia seuraavat mm. ▪ Google/YouTube ▪ Facebook ▪ Instagram ▪ X/Twitter ▪ Snapchat ▪ TikTok ▪ Isot mediayhtiöt 4 Kuvakaappaukset: Google kartan sijaintihistoria, Snapchat: Cyber SafeTrick, 2019, http://cybersafetrick.com/snapchat-tracker/, Secret service agent: New York Times, 20.12.2019, https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html
Eniten henkilötietoja kerääviä yrityksiä Useimmin kerättyjä tietoja: ▪ Sähköpostiosoite ▪ Nimi ▪ Syntymäaika/ikä ▪ Sukupuoli ▪ Kielet ▪ Reaaliaikainen sijainti ▪ Kotiosoite ▪ Työtilanne ▪ Puhelinnumerot ▪ Puhelimen ja muiden laitteiden mallit ▪ Kiinnostuksenkohteet ▪ Pankkikortin tiedot ▪ Sosiaalinen profiili ja verkostot ▪ Kännykän kontaktilista ▪ Kännykän kuvagalleria ▪ Kasvojen, paikkojen ja tuotteiden tunnistus kuvista Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022, https://clario.co/blog/which-company-uses-most-data/ 5
Jokainen klikkaus ja kommentti sosiaalisen median uutisvirrassa on kuin vastaus psykologisessa testissä – osa profilointia. 6 Kuva: Pixabay “
TikTokin käyttökielto työpuhelimissa leviää IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023, https://www.is.fi/digitoday/art- 2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 9.1.2024, https://yle.fi/a/74-20068400, HS, 12.2.2024, https://www.hs.fi/politiikka/art-2000010222581.html 7
Eniten ja vähiten käyttäjistä seurantadataa kerääviä sovelluksia Lähde: Malcore/Internet 2.0, 2023, https://blog.malcore.io/p/malcore-mobile-app-analysis-social-e10 8
TikTokin datankeräyksen tasot Kuva: H. Pönkä, 25.3.2024 Lisää aiheesta blogikirjoituksessa: https://harto.wordpress.com/2024/01/09/tiktokin-tietoturva-ja-tietosuoja-tama-kaikki-on-pielessa/ 9
“ TikTok ei ole kiva pikku videosovellus, vaan tekoälyfirman datankeräysalusta. 10
Kaksi tapaa käyttää TikTokia melko turvallisesti A) Nettiselaimella ▪ Ilman kirjautumista! ▪ Älä anna mitään suostumuksia, joita TikTok kysyy. ▪ Tyhjennä selaimen evästeet ja muisti käytön jälkeen. ▪ Näin tehtynä TikTok ei juurikaan pysty profiloimaan sinua ja sen algoritmi toimii ns. puhtaasti ilman käyttäjädataan perustuvaa suosittelua. ▪ Huomaa, että selaintunnisteiden avulla TikTok pystyy yhdistämään ei-kirjautuneen käyttäjän TikTok- käyttäjätunnukseen, jos TikTokia on aiemmin käytetty samalla selaimella kirjautuneena. Tällöin ei- kirjautuneena ei ole suojassa TikTokin profiloinnilta. B) Erillisellä kännykällä ▪ Älä yhdistä kirjautumista muihin somepalveluihin, vaan kirjaudu suoraan sähköpostiosoitteella tai puhelinnumerolla. ▪ Älä anna TikTokille tarpeettomia käyttölupia – älä varsinkaan yhteystietoja. ▪ Älä tallenna samaan puhelimeen yhteystietoja tai muita tärkeitä tai salaisia tietoja/tiedostoja. ▪ Älä käytä samaa puhelinta työasioihin. ▪ Älä asenna puhelimeen muita sovelluksia tai käyttäjätunnuksia, joista voisi tallentua em. tietoja. ▪ Älä kirjaudu laitteella työpaikan lähiverkkoon. ▪ Kun TikTokia käytetään kirjautuneena, sovellus kerää käyttäjästä runsaasti dataa ja algoritmi alkaa suositella sisältöjä sen mukaisesti. 11
Tietosuojan huomiointi somepalveluissa 12
Henkilötietojen käsittely somepalveluissa 13 ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Älä asenna työpuhelimeen sosiaalisen median sovelluksia ilman työnantajan lupaa. ▪ Älä tallenna työhön liittyviä henkilötietoja yksityisessä käytössä olevaan kännykkään. ▪ Tarvittaessa pyydä suostumukset henkilötietojen käytölle ulkoisissa somepalveluissa ja muista informointi. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Älä julkaise henkilötietoja somessa luvatta. ▪ Jälkihoito: henkilötietojen ja viestien poisto sovelluksista ja kännyköistä.
Rekisteriä saa käyttää vain sen käyttötarkoituksiin 14 ▪ Vaikka tiedot olisivat julkisuuslain perusteella julkisia, niitä saa käyttää vain työtehtäviin liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Somekanavien tietosuojan arviointi ja koordinointi 1. Selvittäkää, mitä somepalveluita käytetään ja mihin tarkoituksiin? 2. Mihin rekistereihin somepalvelut liittyvät ja mitkä ovat niiden käsittelyperusteet? 3. Onko somepalvelut huomioitu tietosuojaselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? 4. Onko tarvetta tehdä vaikutustenarviointeja? Kuvakaappaus: Helsingin kaupungin toimialojen sosiaalisen median pääkanavat, https://www.hel.fi/fi/uutiset/helsingin-kaupunki-sosiaalisessa-mediassa/helsingin-kaupungin-toimialojen- sosiaalisen-median-paakanavat (2.5.2023) 15
Facebook-sivujen ja -ryhmien ylläpitäjän asema ▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa. ▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. ▪ Huolehdi näistä: ▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. ▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. ▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 ▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen. ▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä. Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum 16
Käyttöehtojen arviointeja: ToS;DR Kuvakaappaus: https://tosdr.org/en/service/219 17
Somepalvelujen arviointeja 18 Luokitukset: https://tosdr.org/ (8.5.2023) Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus ToS;DR –sivustolla Facebook Meta, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/182 Instagram Meta, Yhdysvallat Henkilökohtainen tai ammattilais- /organisaatiotili Luokka E https://tosdr.org/en/service/219 Twitter X Corp., Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka E https://tosdr.org/en/service/195 YouTube Google/Alphabet, Yhdysvallat Henkilökohtainen kanava tai bränditiliin yhdistetty kanava Luokka E https://tosdr.org/en/service/274 TikTok ByteDance, Kiina Henkilökohtainen tai yritystili Luokka E https://tosdr.org/en/service/1448 LinkedIn Microsoft, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/193 WhatsApp Meta, Yhdysvallat Henkilökohtainen (Erillinen WA Business-sovellus) Luokka C https://tosdr.org/en/service/198 Signal Signal Foundation, Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka B https://tosdr.org/en/service/528
Henkilötietojen anto sovelluksille 19
Somepalvelut kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 20 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
Henkilötietojen vuotaminen sovellusten kautta 21 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Jos sovelluksille on annettu pääsy kännykän yhteystietoihin… Henkilötietoja voi päätyä ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus Ei käy ilman suostumusta!
Metan keräämät tiedot ei-käyttäjistä ▪ ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.” ▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan. ▪ Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 22
WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida. → Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?category=52 45250
Kysymys ja ennakkotapaus: WhatsApp työntekijöiden käytössä 24 ▪ Työnantaja ei voi edellyttää työntekijöiltä tavallisten pikaviestisovellusten käyttöä, koska niiden käyttö perustuu käyttöehtojen hyväksyntään yksityishenkilönä. ▪ TSV:n päätös 8.12.2021 WhatsAppin käytöstä toi esiin useita ongelmia: ▪ Ongelmana oli asiakkaiden tietojen lähetys työntekijöille WhatsApp-ryhmän kautta. ▪ Rekisterinpitäjällä ei ole keinoja valvoa, miten henkilötietoja käytetään WA:ssa. ▪ WhatsAppin käyttö perustui yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei voi vedota sen sopimusehtoihin esim. vastuukysymyksissä. ▪ Rekisterinpitäjä ei ollut varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä ja sen varmuuskopiot esimerkiksi työsuhteen päättyessä poistettu. ▪ WA:n käyttö johtaa henkilötietojen siirtoon kolmansiin maihin (EU-US & Schrems II). ▪ Rekisterinpitäjä ei ollut informoinut asiakkaita WhatsAppin käytöstä. ▪ Jos WhatsAppia halutaan käyttää, rekisterinpitäjän tulee tehdä riskiarviointi, tarvittaessa vaikutustenarviointi, ohjeistukset käytölle sekä informoida henkilötietojen käsittelystä. TSV:n päätös eräästä tapauksesta ja lisätietoa: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys-kaytannossa/ • Saako työnantaja lähettää esimerkiksi asiakkaiden tietoja työntekijöilleen WhatsAppin tai jonkun muun yleisen pikaviestipalvelun välityksellä?
Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta 25 Asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta esimerkiksi yksityisviestillä → Aktiivinen toimi voidaan tulkita suostumukseksi ko. palvelun käyttöön viestinnässä Henkilötietoja päätyy some- tai pikaviestipalvelun välityksellä rekisterinpitäjälle Asiakas tulee yrityksen someprofiiliin tai verkkosivuille, jossa on toiminto viestin lähetykseen ja informointi henkilötietojen käsittelystä
Signal työkäytössä ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen (yleisesti saatavilla olevien viestintäpalvelujen välitystiedot). 26 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
Monet yritykset vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalustan kautta. Voit tarkistaa tietosi Facebookin mainosasetusten ”Kohderyhmään perustuva mainonta” -kohdasta: https://www.facebook.com/a dpreferences/ad_settings 27 Ei käy ilman sähköisen suoramarkkinoinnin ja profiloinnin suostumuksia!
“ Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat käyttää tietosuojaoikeuksiaan. Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman manipulointia. 28 Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019, https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
Evästeet ja muut seurantatekniikat 29
Evästeitä 30 Kuvitteellinen esimerkki
Kolmannen osapuolen evästeet: esimerkkinä Google Analytics (UA) 2. Selain lähettää Googlelle: selaimen tiedot + sivun tiedot + Googlen evästeet 31 Sivulle ladataan Google Tag Managerin skripti 1 Sivulle ladataan Google Analyticsin skripti 2 Google seuraa kävijän toimintaa sivustolla ja rikastaa sillä tästä kerättyä profiilia 3 Oy-yritys-ab.com 4. Google palauttaa selaimelle kävijäseurantaskriptin ja uudet evästeet 3. Google tunnistaa käyttäjän* ja kerää tiedot 1 *) Käyttäjän ei tarvitse olla kirjautuneena, jos Googlen eväste on jo laitteella. 1. Käyttäjä avaa yrityksen verkkosivun 2 3 5. Kaikki talteen <!-- Global site tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id=UA- 1234567-8"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-1234567-8'); </script> Pyydä suostumus kaikille ei-välttämättömille evästeille!
Mitä on huomioitava evästeiden käytössä? Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020, https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/ 32 • EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille 1) tulee kertoa evästeiden käytön tarkoituksesta, 2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä. • Tietosuojavaltuutetun toimiston v. 2020 päätöksen mukaan ei-välttämättömille evästeille tarvitaan GDPR:n mukainen suostumus. • https://finlex.fi/fi/viranomaiset/tsv/2020/20200561 • Liikenne- ja viestintävirasto Traficom antoi uudet evästeohjeet palveluntarjoajille syyskuussa 2021. • https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet • Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet suostumuksesta ja läpinäkyvyydestä. • https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille 33 Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille, https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf ▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita ▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt” ▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet ▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa ▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet ▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot) ▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus ▪ Analytiikkaan liittyvät evästeet ▪ Chat-palvelujen evästeet ▪ Sosiaalisen median alustoihin liittyvät evästeet ▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet ▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
Onko chat-palvelun eväste välttämätön? ▪ Chatit liittyvät tavallisesti joko asiakaspalveluun tai myyntiin. ▪ Chat-toiminto saattaa käyttää evästeitä. ▪ Mikäli sivuston pääasiallinen käyttötarkoitus ei ole nimenomaisesti chat-toiminnon tarjoaminen, chatin toimintaan liittyviä evästeitä ei saa tallentaa ennen kuin käyttäjä erikseen pyytää palvelua eli avaa chatin. ▪ Jos chat-toiminto edellyttää evästeitä ja niitä käytetään vasta chat-ikkunan avaamisen jälkeen, voidaan evästeiden katsoa olevan välttämättömiä ja suostumusta ei tarvita. ▪ Käytännössä: chatin ei pidä käyttää evästeitä ennen kuin käyttäjä aloittaa chatin käytön. Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille, https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf 34
Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi 35 ▪ Evästeiden suostumuksessa voidaan käyttää monitasoista rekisteröidyn informointia ▪ 1. taso: evästebanneri/-ilmoitus ▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms. ▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä: ▪ Rekisterinpitäjä ▪ Henkilötietojen käsittelytarkoitukset ▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä ▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut informoinnin tiedot ▪ Lisätietoa informoinnista TSV:n sivulta: https://tietosuoja.fi/rekisteroidyn-informointi Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
Evästebanneri ei saa estää sivuston käyttöä Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf 36
Selvät kyllä- ja ei-vaihtoehdot EI NÄIN: Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021) 37
Ennakkotapaus: Google Analyticsin käyttö verkkosivujen kävijäseurantaan 38 ▪ Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle. ▪ Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita. ▪ Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa. ▪ Seurantadataan saattoi päätyä tietoja myös käyttäjien aineistohauista linkkien ns. referer-tietojen kautta. ▪ Päätöksessä viitattiin EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin siirretyillä henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla oli pääsy niihin. ▪ Tämä ongelma on korjaantunut toistaiseksi EU:n ja Yhdysvaltojen tietosuojakehyksen myötä ▪ 10.7.2023 lähtien henkilötietoja voidaan siirtää EU-komission tekemän riittävyyspäätöksen perusteella sellaisille yhdysvaltalaisille yrityksille, jotka ovat mukana EU:n ja Yhdysvaltojen tietosuojakehyksessä. Ks. lista: https://www.dataprivacyframework.gov/ - Google on mukana. → Johtopäätös: GA:n käyttöön liittyy useita ongelmia. Uusi EU-USA-tietosuojakehys korjaa niistä vain yhden. Lähde: Apulaistietosuojavaltuutetun päätös, 4672/161/22, https://www.finlex.fi/fi/viranomaiset/tsv/2022/20221663 • Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa. • Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3) tietojen siirtoon ETA-alueelta Yhdysvaltoihin.
Googlen / Google Analyticsin käyttämiä evästeitä Lähteenä mm. Google, 2023, https://policies.google.com/technologies/cookies#types-of-cookies ja Optimize Smart, 4.10.2023, https://www.optimizesmart.com/google-analytics-cookies-ultimate-guide/ 39 Eväste Tarkoitus Säilymisaika CONSENT ja SOCS Evästeiden hyväksyntä ja sen valinnat 2 vuotta ja 13 kk SID ja HSID Turvallisuus, Google-kirjautuminen 2 vuotta _ga ja _gid Käyttäjän yksilöinti GA:ssa 2 vuotta ja 24 h _gat tai _dc_gtm_[id] GA:n mittaustietoa 1-10 min NID ja ENID Valinnat ja mainokset 6 ja 13 kk ANID ja IDE Tieto mainosten personoinnista 13 kk DSI Tunnistaminen ja mainosten personointi 2 vkoa _gads Mainosten näyttöön liittyvä 13 kk _gac_[…] Mainosten näytön tilastointi GA:han 90 pv _gcl_[…] Mainosten klikkausten tehokkuus 90 pv
Onko Google Analytics 4:n seuranta GDPR:n mukainen? Lähteet: Google, 2023, https://support.google.com/analytics/answer/9964640?hl=fi ja https://support.google.com/analytics/answer/9626162?hl=fi Kuva: cookieless tech, https://www.cookielesstech.com/guides/google-analytics-without-cookies/, Ohje GA4:n evästeiden poiskytkemiseen: https://www.rootandbranchgroup.com/ga4-cookies-explained/ 40 ▪ Vanha Google Analyticsin versio Universal Analytics lopetti datan käsittelyn 1.7.2023. Tilalle on tullut uusi tuote: Google Analytics 4. ▪ GA 4 sisältää joitakin parannuksia sivustojen vierailijoiden tietosuojaan. GA4 ei oletuksena tallenna käyttäjien IP-osoitteita. ▪ GA 4 täyttää tilastoissa sellaisten vierailijoiden synnyttämät ”aukot”, jotka eivät salli evästeitä. ▪ GA4:ssä voi valita evästeettömän seurannan ja käyttää palvelinpuolen seurantaa. ▪ GDPR:n näkökulmasta GA4:n evästeetönkin seuranta on edelleen henkilötietojen käsittelyä. ▪ Huomaa, että jos Google Analyticsin dataa käytetään mainosten personointiin Google Adsissa, tulee heiltä saada suostumus sähköiseen markkinointiin.
Vaihtoehtoja Google Analyticsille: esimerkkinä Matomo GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google Analyticsille, jotka eivät ole yhteydessä nettijättien mainosalustoihin. ▪ Matomo Analytics, https://matomo.org/ ▪ Saatavissa hostattuna esim. https://www.matomo-analytics.fi/ ▪ Saatavana myös omalle palvelimelle asennettavana ohjelmana ▪ Monipuoliset raportit ja ominaisuudet ▪ Mahdollistaa seurannan ilman evästeitä, jolloin suostumusta ei tarvita ▪ Evästeetön seuranta tunnistaa myös palaavat vierailijat 24 h:n aikana ▪ Käyttäjäkohtainen raakadata poistetaan automaattisesti raporttien muodostamisen jälkeen ▪ IP-osoitteista voidaan poistaa 2 viimeistä tavua tai enemmän Lisätietoa vaihtoehdoista esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/ 41
Yleisiä korjauskohteita 42
YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä ▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta ▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com 43 <iframe width="560" height="315" src="https://www.youtube.com/embed/fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> <iframe width="560" height="315" src=" https://www.youtube-nocookie.com/embed/ fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
Meta-pikseli 44 ▪ Meta-pikseli on nettisivuille liitettävä seurantakoodi, jolla välitetään tietoa nettisivujen vierailijoista Metan mainosalustalle. ▪ Pikselin avulla voidaan tehdä uudelleenmarkkinointia sivujen vierailijoille tai luoda mainokselle kohderyhmä, joka muistuttaa sivuston vierailijoita ▪ Meta-pikselin käyttö nettisivuilla edellyttää vierailijoiden suostumusta Metan seurannalle ja evästeiden käytölle.
Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne? Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663 45
46 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

Recommended

Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Tykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuojaTykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuojaHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 

Recommended

Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Tykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuojaTykkää - sosiaalisen median sovellukset ja tietosuoja
Tykkää - sosiaalisen median sovellukset ja tietosuojaHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfMatleena Laakso
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksilleSosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksilleHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Matleena Laakso
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Missa mun data 280120
Missa mun data 280120Missa mun data 280120
Missa mun data 280120Sitra / Hyvinvointi
 
Työntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössäTyöntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössäHarto Pönkä
 
Sosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäSosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäHarto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 

More Related Content

Similar to Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta

Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfMatleena Laakso
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksilleSosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksilleHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Matleena Laakso
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Työntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössäTyöntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössäHarto Pönkä
 
Sosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäSosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäHarto Pönkä
 

Similar to Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta (20)

Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Someturvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdfSometurvallisuus 12.4.22.pdf
Someturvallisuus 12.4.22.pdf
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksilleSosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
Sosiaalisen median perusteita ja vinkkejä yrittäjille ja yrityksille
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Missa mun data 280120
Missa mun data 280120Missa mun data 280120
Missa mun data 280120
 
Työntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössäTyöntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössä
 
Sosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenäSosiaalinen media markkinoinnin välineenä
Sosiaalinen media markkinoinnin välineenä
 

More from Harto Pönkä

Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössäHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 

More from Harto Pönkä (17)

Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 

Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta

  • 1. Kuva: Aman Pal @paman0744, Unsplash Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta 17.4.2024 Harto Pönkä Innowise
  • 2. Suosituimmat sosiaalisen median palvelut Suomessa 2023 Datalähde: DNA, Digitaaliset elämäntavat 2023 -tutkimus, https://corporate.dna.fi/digitaalinenelama2023 (n=1011, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2022 (stat.fi), kuva: Harto Pönkä, 31.10.2023. 2
  • 3. Some- ja nettipalvelujen tietojenkeruu 3
  • 4. Sijaintitiedot Käyttäjien sijainti on yksi perustiedoista sisältöjen ja mainosten kohdennuksessa. ”Jos käyt usein hiihtokeskuksissa, voit nähdä suksimainoksen YouTube-videossa.” Sijaintia seuraavat mm. ▪ Google/YouTube ▪ Facebook ▪ Instagram ▪ X/Twitter ▪ Snapchat ▪ TikTok ▪ Isot mediayhtiöt 4 Kuvakaappaukset: Google kartan sijaintihistoria, Snapchat: Cyber SafeTrick, 2019, http://cybersafetrick.com/snapchat-tracker/, Secret service agent: New York Times, 20.12.2019, https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html
  • 5. Eniten henkilötietoja kerääviä yrityksiä Useimmin kerättyjä tietoja: ▪ Sähköpostiosoite ▪ Nimi ▪ Syntymäaika/ikä ▪ Sukupuoli ▪ Kielet ▪ Reaaliaikainen sijainti ▪ Kotiosoite ▪ Työtilanne ▪ Puhelinnumerot ▪ Puhelimen ja muiden laitteiden mallit ▪ Kiinnostuksenkohteet ▪ Pankkikortin tiedot ▪ Sosiaalinen profiili ja verkostot ▪ Kännykän kontaktilista ▪ Kännykän kuvagalleria ▪ Kasvojen, paikkojen ja tuotteiden tunnistus kuvista Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022, https://clario.co/blog/which-company-uses-most-data/ 5
  • 6. Jokainen klikkaus ja kommentti sosiaalisen median uutisvirrassa on kuin vastaus psykologisessa testissä – osa profilointia. 6 Kuva: Pixabay “
  • 7. TikTokin käyttökielto työpuhelimissa leviää IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023, https://www.is.fi/digitoday/art- 2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 9.1.2024, https://yle.fi/a/74-20068400, HS, 12.2.2024, https://www.hs.fi/politiikka/art-2000010222581.html 7
  • 8. Eniten ja vähiten käyttäjistä seurantadataa kerääviä sovelluksia Lähde: Malcore/Internet 2.0, 2023, https://blog.malcore.io/p/malcore-mobile-app-analysis-social-e10 8
  • 9. TikTokin datankeräyksen tasot Kuva: H. Pönkä, 25.3.2024 Lisää aiheesta blogikirjoituksessa: https://harto.wordpress.com/2024/01/09/tiktokin-tietoturva-ja-tietosuoja-tama-kaikki-on-pielessa/ 9
  • 10. “ TikTok ei ole kiva pikku videosovellus, vaan tekoälyfirman datankeräysalusta. 10
  • 11. Kaksi tapaa käyttää TikTokia melko turvallisesti A) Nettiselaimella ▪ Ilman kirjautumista! ▪ Älä anna mitään suostumuksia, joita TikTok kysyy. ▪ Tyhjennä selaimen evästeet ja muisti käytön jälkeen. ▪ Näin tehtynä TikTok ei juurikaan pysty profiloimaan sinua ja sen algoritmi toimii ns. puhtaasti ilman käyttäjädataan perustuvaa suosittelua. ▪ Huomaa, että selaintunnisteiden avulla TikTok pystyy yhdistämään ei-kirjautuneen käyttäjän TikTok- käyttäjätunnukseen, jos TikTokia on aiemmin käytetty samalla selaimella kirjautuneena. Tällöin ei- kirjautuneena ei ole suojassa TikTokin profiloinnilta. B) Erillisellä kännykällä ▪ Älä yhdistä kirjautumista muihin somepalveluihin, vaan kirjaudu suoraan sähköpostiosoitteella tai puhelinnumerolla. ▪ Älä anna TikTokille tarpeettomia käyttölupia – älä varsinkaan yhteystietoja. ▪ Älä tallenna samaan puhelimeen yhteystietoja tai muita tärkeitä tai salaisia tietoja/tiedostoja. ▪ Älä käytä samaa puhelinta työasioihin. ▪ Älä asenna puhelimeen muita sovelluksia tai käyttäjätunnuksia, joista voisi tallentua em. tietoja. ▪ Älä kirjaudu laitteella työpaikan lähiverkkoon. ▪ Kun TikTokia käytetään kirjautuneena, sovellus kerää käyttäjästä runsaasti dataa ja algoritmi alkaa suositella sisältöjä sen mukaisesti. 11
  • 13. Henkilötietojen käsittely somepalveluissa 13 ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Älä asenna työpuhelimeen sosiaalisen median sovelluksia ilman työnantajan lupaa. ▪ Älä tallenna työhön liittyviä henkilötietoja yksityisessä käytössä olevaan kännykkään. ▪ Tarvittaessa pyydä suostumukset henkilötietojen käytölle ulkoisissa somepalveluissa ja muista informointi. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Älä julkaise henkilötietoja somessa luvatta. ▪ Jälkihoito: henkilötietojen ja viestien poisto sovelluksista ja kännyköistä.
  • 14. Rekisteriä saa käyttää vain sen käyttötarkoituksiin 14 ▪ Vaikka tiedot olisivat julkisuuslain perusteella julkisia, niitä saa käyttää vain työtehtäviin liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
  • 15. Somekanavien tietosuojan arviointi ja koordinointi 1. Selvittäkää, mitä somepalveluita käytetään ja mihin tarkoituksiin? 2. Mihin rekistereihin somepalvelut liittyvät ja mitkä ovat niiden käsittelyperusteet? 3. Onko somepalvelut huomioitu tietosuojaselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? 4. Onko tarvetta tehdä vaikutustenarviointeja? Kuvakaappaus: Helsingin kaupungin toimialojen sosiaalisen median pääkanavat, https://www.hel.fi/fi/uutiset/helsingin-kaupunki-sosiaalisessa-mediassa/helsingin-kaupungin-toimialojen- sosiaalisen-median-paakanavat (2.5.2023) 15
  • 16. Facebook-sivujen ja -ryhmien ylläpitäjän asema ▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa. ▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. ▪ Huolehdi näistä: ▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. ▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. ▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 ▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen. ▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä. Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum 16
  • 17. Käyttöehtojen arviointeja: ToS;DR Kuvakaappaus: https://tosdr.org/en/service/219 17
  • 18. Somepalvelujen arviointeja 18 Luokitukset: https://tosdr.org/ (8.5.2023) Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus ToS;DR –sivustolla Facebook Meta, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/182 Instagram Meta, Yhdysvallat Henkilökohtainen tai ammattilais- /organisaatiotili Luokka E https://tosdr.org/en/service/219 Twitter X Corp., Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka E https://tosdr.org/en/service/195 YouTube Google/Alphabet, Yhdysvallat Henkilökohtainen kanava tai bränditiliin yhdistetty kanava Luokka E https://tosdr.org/en/service/274 TikTok ByteDance, Kiina Henkilökohtainen tai yritystili Luokka E https://tosdr.org/en/service/1448 LinkedIn Microsoft, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/193 WhatsApp Meta, Yhdysvallat Henkilökohtainen (Erillinen WA Business-sovellus) Luokka C https://tosdr.org/en/service/198 Signal Signal Foundation, Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka B https://tosdr.org/en/service/528
  • 20. Somepalvelut kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 20 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 21. Henkilötietojen vuotaminen sovellusten kautta 21 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Jos sovelluksille on annettu pääsy kännykän yhteystietoihin… Henkilötietoja voi päätyä ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus Ei käy ilman suostumusta!
  • 22. Metan keräämät tiedot ei-käyttäjistä ▪ ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.” ▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan. ▪ Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 22
  • 23. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida. → Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?category=52 45250
  • 24. Kysymys ja ennakkotapaus: WhatsApp työntekijöiden käytössä 24 ▪ Työnantaja ei voi edellyttää työntekijöiltä tavallisten pikaviestisovellusten käyttöä, koska niiden käyttö perustuu käyttöehtojen hyväksyntään yksityishenkilönä. ▪ TSV:n päätös 8.12.2021 WhatsAppin käytöstä toi esiin useita ongelmia: ▪ Ongelmana oli asiakkaiden tietojen lähetys työntekijöille WhatsApp-ryhmän kautta. ▪ Rekisterinpitäjällä ei ole keinoja valvoa, miten henkilötietoja käytetään WA:ssa. ▪ WhatsAppin käyttö perustui yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei voi vedota sen sopimusehtoihin esim. vastuukysymyksissä. ▪ Rekisterinpitäjä ei ollut varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä ja sen varmuuskopiot esimerkiksi työsuhteen päättyessä poistettu. ▪ WA:n käyttö johtaa henkilötietojen siirtoon kolmansiin maihin (EU-US & Schrems II). ▪ Rekisterinpitäjä ei ollut informoinut asiakkaita WhatsAppin käytöstä. ▪ Jos WhatsAppia halutaan käyttää, rekisterinpitäjän tulee tehdä riskiarviointi, tarvittaessa vaikutustenarviointi, ohjeistukset käytölle sekä informoida henkilötietojen käsittelystä. TSV:n päätös eräästä tapauksesta ja lisätietoa: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys-kaytannossa/ • Saako työnantaja lähettää esimerkiksi asiakkaiden tietoja työntekijöilleen WhatsAppin tai jonkun muun yleisen pikaviestipalvelun välityksellä?
  • 25. Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta 25 Asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta esimerkiksi yksityisviestillä → Aktiivinen toimi voidaan tulkita suostumukseksi ko. palvelun käyttöön viestinnässä Henkilötietoja päätyy some- tai pikaviestipalvelun välityksellä rekisterinpitäjälle Asiakas tulee yrityksen someprofiiliin tai verkkosivuille, jossa on toiminto viestin lähetykseen ja informointi henkilötietojen käsittelystä
  • 26. Signal työkäytössä ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen (yleisesti saatavilla olevien viestintäpalvelujen välitystiedot). 26 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
  • 27. Monet yritykset vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalustan kautta. Voit tarkistaa tietosi Facebookin mainosasetusten ”Kohderyhmään perustuva mainonta” -kohdasta: https://www.facebook.com/a dpreferences/ad_settings 27 Ei käy ilman sähköisen suoramarkkinoinnin ja profiloinnin suostumuksia!
  • 28. “ Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat käyttää tietosuojaoikeuksiaan. Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman manipulointia. 28 Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019, https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
  • 29. Evästeet ja muut seurantatekniikat 29
  • 31. Kolmannen osapuolen evästeet: esimerkkinä Google Analytics (UA) 2. Selain lähettää Googlelle: selaimen tiedot + sivun tiedot + Googlen evästeet 31 Sivulle ladataan Google Tag Managerin skripti 1 Sivulle ladataan Google Analyticsin skripti 2 Google seuraa kävijän toimintaa sivustolla ja rikastaa sillä tästä kerättyä profiilia 3 Oy-yritys-ab.com 4. Google palauttaa selaimelle kävijäseurantaskriptin ja uudet evästeet 3. Google tunnistaa käyttäjän* ja kerää tiedot 1 *) Käyttäjän ei tarvitse olla kirjautuneena, jos Googlen eväste on jo laitteella. 1. Käyttäjä avaa yrityksen verkkosivun 2 3 5. Kaikki talteen <!-- Global site tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id=UA- 1234567-8"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-1234567-8'); </script> Pyydä suostumus kaikille ei-välttämättömille evästeille!
  • 32. Mitä on huomioitava evästeiden käytössä? Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020, https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/ 32 • EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille 1) tulee kertoa evästeiden käytön tarkoituksesta, 2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä. • Tietosuojavaltuutetun toimiston v. 2020 päätöksen mukaan ei-välttämättömille evästeille tarvitaan GDPR:n mukainen suostumus. • https://finlex.fi/fi/viranomaiset/tsv/2020/20200561 • Liikenne- ja viestintävirasto Traficom antoi uudet evästeohjeet palveluntarjoajille syyskuussa 2021. • https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet • Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet suostumuksesta ja läpinäkyvyydestä. • https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
  • 33. Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille 33 Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille, https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf ▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita ▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt” ▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet ▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa ▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet ▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot) ▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus ▪ Analytiikkaan liittyvät evästeet ▪ Chat-palvelujen evästeet ▪ Sosiaalisen median alustoihin liittyvät evästeet ▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet ▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
  • 34. Onko chat-palvelun eväste välttämätön? ▪ Chatit liittyvät tavallisesti joko asiakaspalveluun tai myyntiin. ▪ Chat-toiminto saattaa käyttää evästeitä. ▪ Mikäli sivuston pääasiallinen käyttötarkoitus ei ole nimenomaisesti chat-toiminnon tarjoaminen, chatin toimintaan liittyviä evästeitä ei saa tallentaa ennen kuin käyttäjä erikseen pyytää palvelua eli avaa chatin. ▪ Jos chat-toiminto edellyttää evästeitä ja niitä käytetään vasta chat-ikkunan avaamisen jälkeen, voidaan evästeiden katsoa olevan välttämättömiä ja suostumusta ei tarvita. ▪ Käytännössä: chatin ei pidä käyttää evästeitä ennen kuin käyttäjä aloittaa chatin käytön. Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille, https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf 34
  • 35. Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi 35 ▪ Evästeiden suostumuksessa voidaan käyttää monitasoista rekisteröidyn informointia ▪ 1. taso: evästebanneri/-ilmoitus ▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms. ▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä: ▪ Rekisterinpitäjä ▪ Henkilötietojen käsittelytarkoitukset ▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä ▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut informoinnin tiedot ▪ Lisätietoa informoinnista TSV:n sivulta: https://tietosuoja.fi/rekisteroidyn-informointi Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
  • 36. Evästebanneri ei saa estää sivuston käyttöä Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf 36
  • 37. Selvät kyllä- ja ei-vaihtoehdot EI NÄIN: Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021) 37
  • 38. Ennakkotapaus: Google Analyticsin käyttö verkkosivujen kävijäseurantaan 38 ▪ Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle. ▪ Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita. ▪ Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa. ▪ Seurantadataan saattoi päätyä tietoja myös käyttäjien aineistohauista linkkien ns. referer-tietojen kautta. ▪ Päätöksessä viitattiin EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin siirretyillä henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla oli pääsy niihin. ▪ Tämä ongelma on korjaantunut toistaiseksi EU:n ja Yhdysvaltojen tietosuojakehyksen myötä ▪ 10.7.2023 lähtien henkilötietoja voidaan siirtää EU-komission tekemän riittävyyspäätöksen perusteella sellaisille yhdysvaltalaisille yrityksille, jotka ovat mukana EU:n ja Yhdysvaltojen tietosuojakehyksessä. Ks. lista: https://www.dataprivacyframework.gov/ - Google on mukana. → Johtopäätös: GA:n käyttöön liittyy useita ongelmia. Uusi EU-USA-tietosuojakehys korjaa niistä vain yhden. Lähde: Apulaistietosuojavaltuutetun päätös, 4672/161/22, https://www.finlex.fi/fi/viranomaiset/tsv/2022/20221663 • Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa. • Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3) tietojen siirtoon ETA-alueelta Yhdysvaltoihin.
  • 39. Googlen / Google Analyticsin käyttämiä evästeitä Lähteenä mm. Google, 2023, https://policies.google.com/technologies/cookies#types-of-cookies ja Optimize Smart, 4.10.2023, https://www.optimizesmart.com/google-analytics-cookies-ultimate-guide/ 39 Eväste Tarkoitus Säilymisaika CONSENT ja SOCS Evästeiden hyväksyntä ja sen valinnat 2 vuotta ja 13 kk SID ja HSID Turvallisuus, Google-kirjautuminen 2 vuotta _ga ja _gid Käyttäjän yksilöinti GA:ssa 2 vuotta ja 24 h _gat tai _dc_gtm_[id] GA:n mittaustietoa 1-10 min NID ja ENID Valinnat ja mainokset 6 ja 13 kk ANID ja IDE Tieto mainosten personoinnista 13 kk DSI Tunnistaminen ja mainosten personointi 2 vkoa _gads Mainosten näyttöön liittyvä 13 kk _gac_[…] Mainosten näytön tilastointi GA:han 90 pv _gcl_[…] Mainosten klikkausten tehokkuus 90 pv
  • 40. Onko Google Analytics 4:n seuranta GDPR:n mukainen? Lähteet: Google, 2023, https://support.google.com/analytics/answer/9964640?hl=fi ja https://support.google.com/analytics/answer/9626162?hl=fi Kuva: cookieless tech, https://www.cookielesstech.com/guides/google-analytics-without-cookies/, Ohje GA4:n evästeiden poiskytkemiseen: https://www.rootandbranchgroup.com/ga4-cookies-explained/ 40 ▪ Vanha Google Analyticsin versio Universal Analytics lopetti datan käsittelyn 1.7.2023. Tilalle on tullut uusi tuote: Google Analytics 4. ▪ GA 4 sisältää joitakin parannuksia sivustojen vierailijoiden tietosuojaan. GA4 ei oletuksena tallenna käyttäjien IP-osoitteita. ▪ GA 4 täyttää tilastoissa sellaisten vierailijoiden synnyttämät ”aukot”, jotka eivät salli evästeitä. ▪ GA4:ssä voi valita evästeettömän seurannan ja käyttää palvelinpuolen seurantaa. ▪ GDPR:n näkökulmasta GA4:n evästeetönkin seuranta on edelleen henkilötietojen käsittelyä. ▪ Huomaa, että jos Google Analyticsin dataa käytetään mainosten personointiin Google Adsissa, tulee heiltä saada suostumus sähköiseen markkinointiin.
  • 41. Vaihtoehtoja Google Analyticsille: esimerkkinä Matomo GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google Analyticsille, jotka eivät ole yhteydessä nettijättien mainosalustoihin. ▪ Matomo Analytics, https://matomo.org/ ▪ Saatavissa hostattuna esim. https://www.matomo-analytics.fi/ ▪ Saatavana myös omalle palvelimelle asennettavana ohjelmana ▪ Monipuoliset raportit ja ominaisuudet ▪ Mahdollistaa seurannan ilman evästeitä, jolloin suostumusta ei tarvita ▪ Evästeetön seuranta tunnistaa myös palaavat vierailijat 24 h:n aikana ▪ Käyttäjäkohtainen raakadata poistetaan automaattisesti raporttien muodostamisen jälkeen ▪ IP-osoitteista voidaan poistaa 2 viimeistä tavua tai enemmän Lisätietoa vaihtoehdoista esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/ 41
  • 43. YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä ▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta ▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com 43 <iframe width="560" height="315" src="https://www.youtube.com/embed/fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> <iframe width="560" height="315" src=" https://www.youtube-nocookie.com/embed/ fZ4KR7OHXF0" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
  • 44. Meta-pikseli 44 ▪ Meta-pikseli on nettisivuille liitettävä seurantakoodi, jolla välitetään tietoa nettisivujen vierailijoista Metan mainosalustalle. ▪ Pikselin avulla voidaan tehdä uudelleenmarkkinointia sivujen vierailijoille tai luoda mainokselle kohderyhmä, joka muistuttaa sivuston vierailijoita ▪ Meta-pikselin käyttö nettisivuilla edellyttää vierailijoiden suostumusta Metan seurannalle ja evästeiden käytölle.
  • 45. Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne? Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663 45