SlideShare a Scribd company logo
Tietosuoja ja digitaalinen
turvallisuus koulussa
8.2.2023
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018
“
En tiedä täysin, miten pitäis toimia tietyissä
asioissa, kun ei oo annettu ohjeita ja kukaan ei
tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan,
joilla nyt silleen on se vastuu jakaa tätä tietoo.
Must tuntuu, et kaikki on vähä ottanu tän
huumorilla tai vitsillä tai et ei oteta niin tosissaan,
milloin rikotaankin mitä oikeutta tai niin.
2
Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma,
https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf
Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan?
1) Osittain tai kokonaan autom.
henkilötietojen käsittelyyn
 Digitaaliset asiakirjat, valokuvat,
videot ja muut tiedostot
 Sähköpostit, tekstiviestit
 Viestintäsovellukset
 Verkkopalvelut, chatit
 Sosiaalisen median palvelut
 Digitaaliset arkistot
 Tietojen siirto rajapintojen kautta
2) Henkilörekistereihin
 Tietojärjestelmät/tietokannat
 Yhteystietoluettelot
 Henkilötietojen kokoelmat
 Myös manuaaliset aineistot,
henkilökortistot ja vastaavat, jotka
muodostavat tai joiden on tarkoitus
muodostaa rekisteri
3
Lähde: GDPR 25 artikla, https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3046-1-1
4
5
Lähteet: Yle, 24.2.2021, https://yle.fi/a/3-11808409, Tivi, 13.9.2022, https://www.tivi.fi/uutiset/wilman-rajapinta-on-vuotanut-oppilaiden-tietoja/d08f27ad-50c2-4441-a3b0-b11eced83829,
HS, 17.2.2022, https://www.hs.fi/kaupunki/art-2000008618295.html
Esimerkkejä käsiteltävistä henkilötiedoista
6
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Rekisteri
7
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
Opiskelijarekisteri
Lisätietoa: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu
Opiskelija-
rekisteri
oppijoiden ja
huoltajien
henkilötiedot
 Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen
+ yhteensopivat tarkoitukset
 Opetustilanteet, myös etä- ja verkko-opetus
 Opetuksen järjestäjän hallinnoimat sovellukset ja
verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot)
 Paikallaolot, suoritukset, testit, arviointi
 Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.)
 Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa
 Kuvaus-, julkaisu- ja tekijänoikeusluvat
 Harjoitteluihin ja vierailuihin liittyvät tiedot
 Oppilashuolto ja erityisen tuen tarve
 Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai
julkisen tehtävän hoitaminen.
 Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita.
 Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa.
 Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen
perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta.
8
Suostumus henkilötietojen käsittelyn perusteena
9
 Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
 Suostumusta ei voi antaa:
 Vaikenemalla
 Valmiiksi rastitetulla ruudulla
 Jättämättä jotakin tekemättä
 Alaikäisen kohdalla suostumuksen antaa huoltaja.
 Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
 Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n
ohjeistus) sekä tarvittaessa sovellusten asentamiseen.
 Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain).
 Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
Tietosuojaseloste
= rekisteröidyn informointi
10
 Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
 Yleensä: tietosuojaseloste tai vastaava
 Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
 Rekisteröidyn pyynnöstä myös puheella
 Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
 Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
Rekisteröityjen pyyntöihin vastaaminen
11
 Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos
he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun.
 Rekisteröidyn tulee yksilöidä pyyntönsä:
 Nimi ja yhteystiedot
 Mitä tietoja pyyntö koskee
 Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta
 Missä muodossa haluaa tiedot
 Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys.
 Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa.
 Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa
vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä
ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä.
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
Henkilötietojen käsittely opetuksessa
12
Huolehdi oppijoiden tietosuojasta
13
▪ Oppijoiden tietoja käytetään vain opetukseen.
▪ Tunnetaan rekisterit ja tietosuojaselosteet.
▪ Henkilötietoja ei kerrota sivullisille, julkaista tai
luovuteta ilman suostumusta tai lakiperustetta.
▪ Huomioidaan tietosuoja opetuksessa
käytettävissä sovelluksissa ja pilvipalveluissa.
▪ Tarvittaessa pyydetään suostumukset
ulkopuolisten palvelujen käyttöön opetuksessa.
▪ Palveluntarjoajien kanssa tehdään tarvittaessa
sopimukset henkilötietojen käsittelystä.
▪ Käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta.
▪ Neuvotaan oppijoille käytettävien sovellusten
ja käyttäjätunnusten turvallinen käyttö.
Tietosuojalaki 35 §: vaitiolovelvollisuus
14
 Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
 Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
 Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Tietosuoja viestinnässä
15
 Normaalissa sähköpostissa:
 Tavalliset henkilötiedot (nimi, osoite jne.)
 Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
 Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
 Arkaluontoiset/erityiset henkilötiedot
 Salassa pidettävät tiedot ja asiakirjat
 Huijauksia on tavallista enemmän liikenteessä.
 Ohjeet, miten varmistaa viestien aitous?
Oppijoiden henkilötietojen luovuttaminen ja julkaisu
16
 Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan
suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.
 Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa
henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
 Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
 Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan.
 Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
 Suostumus on käytännössä esimerkiksi:
 Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja
tullaan julkaisemaan.
 Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
 Julkaisuluvat esimerkiksi kuviin ja videoihin
 Muilla tavoin kysytyt ja saadut suostumukset
Valokuvat ja videot
17
▪ Tunnistettavan henkilökuvan julkaisuun on
yleensä syytä pyytää suostumus (julkaisulupa).
▪ Jokaisen on katsottu omistavan persoonansa
ns. kaupalliset oikeudet.
▪ Valokuvan tai videon tekijänoikeudet tai
lähioikeudet ovat kuvaajalla. Kuvan julkaisulle
tarvitaan tekijän lupa.
▪ Kuvan julkaisun voi estää esim. kotirauha,
yksityisyyden suoja tai kuvassa näkyvän
teoksen tekijänoikeudet.
▪ Jonkun muun julkaiseman kuvan levittäminen
voi olla kiellettyä esim. tekijänoikeuksien tai
sen loukkaavuuden takia.
⬞ Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja kuvia ei saa
levittää.
Julkaisuluvan voimassaolo ja peruminen
▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista.
▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan.
▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa
sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa.
▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen
voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa.
▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa
perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa.
▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei
vaadi kohtuutonta työtä.
▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta
ja some-kanavista tietyn ajan päästä.
18
Henkilötiedot digialustoilla
19
Työnantajan laitteet ja ohjelmat
20
 Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
 Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
 Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
 Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
 Työpuhelimeen ei tulisi turhaan tallentaa
henkilökohtaisen elämän tietoja.
 Työpuhelut ja etäyhteystilanteet hoidetaan
niin, että sivulliset eivät kuule niitä.
Vain 44 %:illa
perusopetuksen opettajista oli työpuhelin.
Kattavasti työpuhelimia oli vain ammattillisten
oppilaitosten ja AMK:ien opettajilla.
Vain 15 %
perusopetuksen, lukioiden ja yliopistojen opettajista työskenteli
pääasiassa työnantajan tietokoneilla.
21
Lähde: OAJ, 2020, Opetus koronan aikaan – Tiivistelmä OAJ:n kyselyn tuloksista, https://www.slideshare.net/oajry/opetus-koronan-aikaan-tiivistelm-oajn-kyselyn-tuloksista-232473138
(N > 5500, kysely tehtiin 2.-15.4.2020)
OAJ:n selvitys,
2020
Koronakeväänä opetuksessa käytetyt sovellukset
Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020,
https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020
22
TOP sovellukset oppimisessa ja opetuksessa 2018-2022
Data: Jane Hart, 2018-2022, Top Tools for Learning, https://www.toptools4learning.com/, kuva: Harto Pönkä, 7.2.2023
23
2018 2019 2020 2021 2022
Oppijoiden henkilötiedot verkkopalveluissa
24
Huom. taulukko on esimerkinomainen, tarkista aina opetuksen järjestäjän tekemät linjaukset!
Opetuksen järjestäjän
hallinnoimat
asiointikanavat
(esim. Wilma)
Opetuksen järjestäjän
hallinnoimat viestintä- ja
oppimisalustat
(esim. 0365, Teams,
G Suite, Moodle)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
eivät näy julkisesti
(esim. Quizlet)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
näkyvät julkisesti
(esim. Padlet)
Opetuksen järjestäjän
hallinnoimat käyttäjätunnukset
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Opettajien luomat
tunnukset esim.
nimimerkki tai etunimi
Opettajan luomat
anonyymit tunnukset
tai ei tunnuksia
Saavatko oppijat rekisteröityä
palveluun itse koulussa?
Ok Ok Ok, alle 13-vuotiaat
tarvitsevat huoltajan
suostumuksen
Ok, alle 13-vuotiaat
tarvitsevat huoltajan
suostumuksen
Käyttö opetuksen aktivointiin,
materiaalien jakoon ym.
Ok Ok Ok Ok
Oppijoiden tekemät tehtävien
palautukset ja esim. kuvat
Ok Ok Ok Ei ilman suostumusta
Tavall. henkilötietojen tallennus
(esim. spostiosoite tai puh.nro)
Ok Ok Ei ilman suostumusta Ei
Koetulokset ja arvosanat Ok Ok Ei ilman suostumusta Ei
Sanalliset arvioinnit,
soveltuvuustestit ym.
Ok Ei Ei Ei
Muut salassa pidettävät tiedot
(esim. terveys ja erityinen tuki)
Ok Ei Ei Ei
Tietosuoja etäyhteyssovelluksissa
25
 Käytä vain oppilaitoksen sallimia sovelluksia.
 Toimita kutsu henkilökohtaisesti opiskelijoille.
 Informoi osallistujia henkilötietojen käsittelystä.
 Varmista tarvittaessa osallistujien henkilöllisyys.
 Varmista esittäjien osaaminen etukäteen.
 Älä julkaise opiskelijoiden tai muiden
henkilötietoja ilman suostumusta.
 Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
 Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
 Lopuksi: päätä kokous, tyhjennä tai sulje huone.
 Suojaa tallenne ja huolehdi sen tietosuojasta.
Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi (DPIA)
26
 Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota
tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.
 GDPR:n mukaan rekisterinpitäjän (opetuksen järjestäjän) ja henkilötietojen käsittelijän tulee
tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).
 Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien
syitä ja pyritään löytämään ratkaisuja niihin.
 Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.
 Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.
 Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).
 Monet kunnat käyttävät Microsoft Teams -sovellusta varhaiskasvatuksessa ja opetuksessa,
mutta jokainen rekisterinpitäjä tekee oman linjauksensa.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi
• Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?
Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa
 Tarkista rekisterinpitäjän ohjeistus:
 1) mitä pilvipalveluita saa käyttää
 2) mitä tietoja pilveen on sallittua tallentaa
 3) saako tiedostoja synkronoida omille
laitteille
 Huolehdi työtehtävien mukaisista
käyttöoikeuksista/jakamisesta.
 Älä jaa henkilötietoja sisältäviä tiedostoja
ulkopuolisille ilman suostumusta tai muuta
perustetta.
Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista)
27
Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
28
 Mahdollisesti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalveluita on laillista käyttää
henkilötietojen käsittelyssä.
 Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä
on tällöin rekisterinpitäjällä.
 Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
 Tee vaikutustenarviointi ja päätä käytöstä vasta sen perusteella.
 Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
 Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle,
jotta tietoja antavat henkilöt voivat tutustua siihen.
 Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
oppijoiden henkilötietojen käsittelyssä.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
 Todennäköisesti moni julkinen organisaatio
päätyy samaan ratkaisuun kuin Kela
Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/-
/asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa
(uutinen on sittemmin poistettu netistä)
29
Oppijoiden tiedot somepalveluissa
30
 Noudata aina rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia!
 Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
 Älä tallenna asiakkaiden henkilötietoja
yksityisessä käytössä olevaan kännykkään
ilman työnantajan lupaa.
 Jos somepalvelussa aiotaan käyttää
asiakkaiden henkilötietoja, tarkista työnantajan
linjaus. Tarvittaessa pyydä suostumukset ja
muista rekisteröityjen ja huoltajien informointi.
 Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.
Käyttöehtojen arviointeja: ToS;DR
Kuvakaappaus: https://tosdr.org/en/service/219
31
Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
32
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
Henkilötietojen vuotaminen sovellusten kautta
33
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Sovelluksille annettu
pääsy kännykän tietoihin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
Metan keräämät tiedot ei-käyttäjistä
 ”Kun käyttäjä käyttää yhteystietojen lataamista
ja myöntää meille pääsyn laitteensa
osoitekirjaan, käytämme ja lataamme
osoitekirjan nimet, puhelinnumerot ja
sähköpostiosoitteet päivittäin palvelimillemme,
mukaan lukien sekä Facebook-, Messenger- ja
Instagram-käyttäjät että muut yhteystiedot,
jotka eivät ole käyttäjiämme tai joilla ei ole tiliä
(eli muut kuin käyttäjät), Facebook kuvailee
toimintoa.”
 Meta sanoo siirtävänsä ei-käyttäjistä kerätyt
tiedot USA:han, Argentiinaan, Israeliin, Uuteen-
Seelantiin, Sveitsiin ja mahdollisesti Kanadaan.
 Meta ei ole informoinut ei-käyttäjiä heidän
tietojensa käsittelystä
Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html
34
Sallitko ulkopuolisten sovellusten käytön edu-tunnuksilla?
 Opetuksen järjestäjän/rekisterinpitäjän voi olla viisainta estää ulkopuolisten sovellusten käyttö
oppilaitoksen hallinnoimilla käyttäjätunnuksilla.
Kuvakaappaus: Google Workspace for Education  Hallintakonsoli  Sovellukset  Google Workspace Marketplace -sovellukset,
https://admin.google.com/ac/apps/gmail/marketplace/allowlistaccess?hl=fi
35
Edu-tunnusten päätyminen ulkopuolisille sovelluksille
36
Rekisterinpitäjän
hallinnoimat
edu-tunnukset
oppimisalustalla
Sovellus
Käyttäjillä oikeus kirjautua edu-
tunnuksilla muihin sovelluksiin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
 Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
 Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä.
 Tarkista työnantajan linjaus ja ohjeet ennen kuin käytät!
• Käyttöehdot kieltävät mm. spämmäämisen, automatisoidun viestinnän
ja yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, vaikutustenarviointi,
maininta tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
Mitä suostumuksia WhatsAppin käyttöön pitäisi pyytää?
 Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen.
⬞  Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa.
 Kerrotaan, miten sovellus käsittelee henkilötietoja.
 Kerrotaan mahdollisista riskeistä.
 Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta
Yhdysvaltoihin.
⬞  Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin.
 Kerrotaan mahdollisista riskeistä.
 Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille.
⬞  Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille.
 Kerrotaan mahdollisista riskeistä.
 Vaikka nämä suostumukset pyydettäisiin, on WhatsAppin käytön lainmukaisuus silti kyseenalainen.
 Tietojen poistopyyntöjen (esim. suostumuksen peruminen) toteuttaminen voi olla mahdotonta.
38
39
Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022)
Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
Signal työkäytössä
 Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
 Tunnus voi olla henkilön tai organisaation
 Vahva päästä-päähän-salaus
 Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
 Ehdot ja tietosuoja: https://signal.org/legal/
 Ei tarjoa henkilötietojen käsittelyn sopimusta
 Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen viestien välitystietojen osalta.
 Rekisteröidyiltä on syytä pyytää suostumus,
jos heille aiotaan viestiä Signalin kautta.
40
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf
41
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf
42
Tunnista tietoturvariskit ja -loukkaukset
43
Tietoturvaloukkaus
44
Tietoturvaloukkauksella tarkoitetaan
henkilötietojen…
 vahingossa tapahtuvaa tai lainvastaista
tuhoamista
 häviämistä
 muuttamista
 luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tietoturvaloukkauksesta
tietosuojaviranomaiselle ja rekisteröidylle, jos
siitä aiheutuu korkea riski.
Esimerkkejä tietosuojaloukkauksista
45
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun varmuuskopion
henkilötietoja sisältävästä arkistosta USB-muistitikulle.
Muistitikku varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn
verkkohyökkäyksen seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti aiheutuu
seurauksia.
Kyllä, jos henkilöille
todennäköisesti aiheutuvien
seurausten vakavuus on
suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee
virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian
vaikutuksesta käyttäjät voivat nähdä toistensa tietoja
palvelussa.
Kyllä, kun rekisterinpitäjät
ovat saaneet tiedon
henkilötietojen käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli tuhat
vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.
Huijaus- ja tietojenkalasteluviestit
46
1. Älä luota sähköpostin tai
tekstiviestin lähettäjän nimeen
tai osoitteeseen/numeroon.
2. Älä koskaan avaa yllätyksenä
tullutta liitetiedostoa.
3. Tarkista linkki esim. viemällä hiiri
sen päälle.
4. Anna tietojasi vain varmasti
luotettaville tahoille.
5. Jos epäilet huijausta, tarkista
aitous muuta kautta
Varo: Office 365 -huijaukset ovat yleisiä!
 Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia,
joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.
 Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
47
Tietojenkalastelu Oulun yliopistolta: 900 salasanaa vääriin käsiin
Ongelma: mistä käyttäjä voi tietää oikean osoitteen?
48
Lähde: Ilta-Sanomat, 2.9.2021, https://www.is.fi/digitoday/tietoturva/art-2000008235534.html
Aito tiedote Huijausviesti Tiedote jälkikäteen
Selain selaimessa –huijaussivu
 Huijari houkuttelee kävijän
verkkopalveluun, jossa voi kirjautua
sisään käyttäen esim. Facebook-
tunnusta
 Aukeava Facebook-kirjatumissivu
onkin huijarin tekemä
”kuvakaappaus” oikeasta Facebookin
sivusta, mukaan lukien siinä näkyvä
selaimen osoiterivi.
 Jos kävijä antaa sivulle tunnuksensa
ja salasanansa, ne päätyvät huijarille.
 Helpoin tapa todeta tämä
huijaukseksi: klikkaa osoiteriviä ja
kokeile toimiiko se oikein.
Lisää aiheesta: https://www.is.fi/digitoday/tietoturva/art-2000008698981.html
Alkuperäinen lähde ja kuva: https://mrd0x.com/browser-in-the-browser-phishing-attack/
49
Huijauspuhelut
 Käyttäjätunnusten urkintaa, esim. huijari
esiintyy IT-tukihenkilönä
 Nigerilaishuijaus: saat rahaa, mutta ensin
joudut maksamaan siitä aiheutuvia kuluja
 Pankkitunnusten ja luottokorttitietojen
urkintaa pankkien ja viranomaisten nimissä
 Maksulliset numerot takaisin soitettaessa
 Harhaanjohtavat yritykset ja yhdistykset
 Yrityksille suunnatut ylihintaiset
verkkomainonta- ja domain-huijauspalvelut
 Hakemistopalvelut: ”jatketaanko aiemmalla
näkyvyydellä?”
 Muut tilausansat
50
Lisätietoa esim. Mikrobitti, 23.5.2020, https://www.mikrobitti.fi/uutiset/mb/455d0762-783c-4f14-8cdc-3d1b1eb96346
Tietosuojarikkomukseen reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden
havainnoista on hyötyä jatkotutkinnalle.
4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet,
yhteystiedot, arkaluontoiset ja salassa pidettävät jne.
Rekisterinpitäjä ja tietosuojavastaava:
 Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
 Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
 Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.
 Anna ohjeita, miten välttää ikäviä seurauksia.
51
52
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!

More Related Content

What's hot

Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaTekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
Harto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
Harto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Harto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABC
Harto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
Harto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
Harto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä
 
Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?
Harto Pönkä
 

What's hot (20)

Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaTekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABC
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?
 

Similar to Tietosuoja ja digitaalinen turvallisuus koulussa

Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
Harto Pönkä
 
Tietosuoja etäopetuksessa
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessa
Harto Pönkä
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Harto Pönkä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Harto Pönkä
 
Tietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossaTietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossa
Harto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
Harto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Harto Pönkä
 
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikkaOppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Harto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Harto Pönkä
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Harto Pönkä
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Jan Lindberg
 

Similar to Tietosuoja ja digitaalinen turvallisuus koulussa (20)

Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
Tietosuoja etäopetuksessa
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessa
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Tietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossaTietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossa
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikkaOppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
 

More from Harto Pönkä

Nuorten ruutuaika räjähti – kiitos TikTokin?
Nuorten ruutuaika räjähti – kiitos TikTokin?Nuorten ruutuaika räjähti – kiitos TikTokin?
Nuorten ruutuaika räjähti – kiitos TikTokin?
Harto Pönkä
 
Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
Harto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
Harto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Harto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
Harto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
Harto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
Harto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
Harto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
Harto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
Harto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
Harto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
Harto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
Harto Pönkä
 

More from Harto Pönkä (19)

Nuorten ruutuaika räjähti – kiitos TikTokin?
Nuorten ruutuaika räjähti – kiitos TikTokin?Nuorten ruutuaika räjähti – kiitos TikTokin?
Nuorten ruutuaika räjähti – kiitos TikTokin?
 
Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 

Tietosuoja ja digitaalinen turvallisuus koulussa

  • 1. Tietosuoja ja digitaalinen turvallisuus koulussa 8.2.2023 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 2. “ En tiedä täysin, miten pitäis toimia tietyissä asioissa, kun ei oo annettu ohjeita ja kukaan ei tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan, joilla nyt silleen on se vastuu jakaa tätä tietoo. Must tuntuu, et kaikki on vähä ottanu tän huumorilla tai vitsillä tai et ei oteta niin tosissaan, milloin rikotaankin mitä oikeutta tai niin. 2 Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma, https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf
  • 3. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn  Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot  Sähköpostit, tekstiviestit  Viestintäsovellukset  Verkkopalvelut, chatit  Sosiaalisen median palvelut  Digitaaliset arkistot  Tietojen siirto rajapintojen kautta 2) Henkilörekistereihin  Tietojärjestelmät/tietokannat  Yhteystietoluettelot  Henkilötietojen kokoelmat  Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 3
  • 4. Lähde: GDPR 25 artikla, https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3046-1-1 4
  • 5. 5 Lähteet: Yle, 24.2.2021, https://yle.fi/a/3-11808409, Tivi, 13.9.2022, https://www.tivi.fi/uutiset/wilman-rajapinta-on-vuotanut-oppilaiden-tietoja/d08f27ad-50c2-4441-a3b0-b11eced83829, HS, 17.2.2022, https://www.hs.fi/kaupunki/art-2000008618295.html
  • 6. Esimerkkejä käsiteltävistä henkilötiedoista 6 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  • 7. Rekisteri 7 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  • 8. Opiskelijarekisteri Lisätietoa: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot  Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset  Opetustilanteet, myös etä- ja verkko-opetus  Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot)  Paikallaolot, suoritukset, testit, arviointi  Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.)  Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa  Kuvaus-, julkaisu- ja tekijänoikeusluvat  Harjoitteluihin ja vierailuihin liittyvät tiedot  Oppilashuolto ja erityisen tuen tarve  Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen.  Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita.  Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa.  Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta. 8
  • 9. Suostumus henkilötietojen käsittelyn perusteena 9  Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen  Suostumusta ei voi antaa:  Vaikenemalla  Valmiiksi rastitetulla ruudulla  Jättämättä jotakin tekemättä  Alaikäisen kohdalla suostumuksen antaa huoltaja.  Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia.  Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n ohjeistus) sekä tarvittaessa sovellusten asentamiseen.  Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain).  Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
  • 10. Tietosuojaseloste = rekisteröidyn informointi 10  Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä  Yleensä: tietosuojaseloste tai vastaava  Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla.  Rekisteröidyn pyynnöstä myös puheella  Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan.  Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  • 11. Rekisteröityjen pyyntöihin vastaaminen 11  Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun.  Rekisteröidyn tulee yksilöidä pyyntönsä:  Nimi ja yhteystiedot  Mitä tietoja pyyntö koskee  Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta  Missä muodossa haluaa tiedot  Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys.  Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa.  Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä. Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
  • 13. Huolehdi oppijoiden tietosuojasta 13 ▪ Oppijoiden tietoja käytetään vain opetukseen. ▪ Tunnetaan rekisterit ja tietosuojaselosteet. ▪ Henkilötietoja ei kerrota sivullisille, julkaista tai luovuteta ilman suostumusta tai lakiperustetta. ▪ Huomioidaan tietosuoja opetuksessa käytettävissä sovelluksissa ja pilvipalveluissa. ▪ Tarvittaessa pyydetään suostumukset ulkopuolisten palvelujen käyttöön opetuksessa. ▪ Palveluntarjoajien kanssa tehdään tarvittaessa sopimukset henkilötietojen käsittelystä. ▪ Käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta. ▪ Neuvotaan oppijoille käytettävien sovellusten ja käyttäjätunnusten turvallinen käyttö.
  • 14. Tietosuojalaki 35 §: vaitiolovelvollisuus 14  Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.  Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.  Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 15. Tietosuoja viestinnässä 15  Normaalissa sähköpostissa:  Tavalliset henkilötiedot (nimi, osoite jne.)  Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa.  Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa:  Arkaluontoiset/erityiset henkilötiedot  Salassa pidettävät tiedot ja asiakirjat  Huijauksia on tavallista enemmän liikenteessä.  Ohjeet, miten varmistaa viestien aitous?
  • 16. Oppijoiden henkilötietojen luovuttaminen ja julkaisu 16  Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.  Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).  Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.  Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan.  Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.  Suostumus on käytännössä esimerkiksi:  Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan.  Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa  Julkaisuluvat esimerkiksi kuviin ja videoihin  Muilla tavoin kysytyt ja saadut suostumukset
  • 17. Valokuvat ja videot 17 ▪ Tunnistettavan henkilökuvan julkaisuun on yleensä syytä pyytää suostumus (julkaisulupa). ▪ Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. ▪ Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. Kuvan julkaisulle tarvitaan tekijän lupa. ▪ Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. ▪ Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. ⬞ Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
  • 18. Julkaisuluvan voimassaolo ja peruminen ▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista. ▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan. ▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa. ▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa. ▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa. ▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei vaadi kohtuutonta työtä. ▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta ja some-kanavista tietyn ajan päästä. 18
  • 20. Työnantajan laitteet ja ohjelmat 20  Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin.  Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä.  Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa.  Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille.  Työpuhelimeen ei tulisi turhaan tallentaa henkilökohtaisen elämän tietoja.  Työpuhelut ja etäyhteystilanteet hoidetaan niin, että sivulliset eivät kuule niitä.
  • 21. Vain 44 %:illa perusopetuksen opettajista oli työpuhelin. Kattavasti työpuhelimia oli vain ammattillisten oppilaitosten ja AMK:ien opettajilla. Vain 15 % perusopetuksen, lukioiden ja yliopistojen opettajista työskenteli pääasiassa työnantajan tietokoneilla. 21 Lähde: OAJ, 2020, Opetus koronan aikaan – Tiivistelmä OAJ:n kyselyn tuloksista, https://www.slideshare.net/oajry/opetus-koronan-aikaan-tiivistelm-oajn-kyselyn-tuloksista-232473138 (N > 5500, kysely tehtiin 2.-15.4.2020) OAJ:n selvitys, 2020
  • 22. Koronakeväänä opetuksessa käytetyt sovellukset Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020, https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020 22
  • 23. TOP sovellukset oppimisessa ja opetuksessa 2018-2022 Data: Jane Hart, 2018-2022, Top Tools for Learning, https://www.toptools4learning.com/, kuva: Harto Pönkä, 7.2.2023 23 2018 2019 2020 2021 2022
  • 24. Oppijoiden henkilötiedot verkkopalveluissa 24 Huom. taulukko on esimerkinomainen, tarkista aina opetuksen järjestäjän tekemät linjaukset! Opetuksen järjestäjän hallinnoimat asiointikanavat (esim. Wilma) Opetuksen järjestäjän hallinnoimat viestintä- ja oppimisalustat (esim. 0365, Teams, G Suite, Moodle) Ulkopuolinen sovellus tai verkkopalvelu, jossa tiedot eivät näy julkisesti (esim. Quizlet) Ulkopuolinen sovellus tai verkkopalvelu, jossa tiedot näkyvät julkisesti (esim. Padlet) Opetuksen järjestäjän hallinnoimat käyttäjätunnukset Ylläpitäjien luomat tunnukset, kertakirj. tai vahva tunnistautuminen Ylläpitäjien luomat tunnukset, kertakirj. tai vahva tunnistautuminen Opettajien luomat tunnukset esim. nimimerkki tai etunimi Opettajan luomat anonyymit tunnukset tai ei tunnuksia Saavatko oppijat rekisteröityä palveluun itse koulussa? Ok Ok Ok, alle 13-vuotiaat tarvitsevat huoltajan suostumuksen Ok, alle 13-vuotiaat tarvitsevat huoltajan suostumuksen Käyttö opetuksen aktivointiin, materiaalien jakoon ym. Ok Ok Ok Ok Oppijoiden tekemät tehtävien palautukset ja esim. kuvat Ok Ok Ok Ei ilman suostumusta Tavall. henkilötietojen tallennus (esim. spostiosoite tai puh.nro) Ok Ok Ei ilman suostumusta Ei Koetulokset ja arvosanat Ok Ok Ei ilman suostumusta Ei Sanalliset arvioinnit, soveltuvuustestit ym. Ok Ei Ei Ei Muut salassa pidettävät tiedot (esim. terveys ja erityinen tuki) Ok Ei Ei Ei
  • 25. Tietosuoja etäyhteyssovelluksissa 25  Käytä vain oppilaitoksen sallimia sovelluksia.  Toimita kutsu henkilökohtaisesti opiskelijoille.  Informoi osallistujia henkilötietojen käsittelystä.  Varmista tarvittaessa osallistujien henkilöllisyys.  Varmista esittäjien osaaminen etukäteen.  Älä julkaise opiskelijoiden tai muiden henkilötietoja ilman suostumusta.  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat.  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen.  Lopuksi: päätä kokous, tyhjennä tai sulje huone.  Suojaa tallenne ja huolehdi sen tietosuojasta.
  • 26. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi (DPIA) 26  Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.  GDPR:n mukaan rekisterinpitäjän (opetuksen järjestäjän) ja henkilötietojen käsittelijän tulee tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).  Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien syitä ja pyritään löytämään ratkaisuja niihin.  Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.  Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.  Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).  Monet kunnat käyttävät Microsoft Teams -sovellusta varhaiskasvatuksessa ja opetuksessa, mutta jokainen rekisterinpitäjä tekee oman linjauksensa. Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi • Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta? • Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?
  • 27. Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa  Tarkista rekisterinpitäjän ohjeistus:  1) mitä pilvipalveluita saa käyttää  2) mitä tietoja pilveen on sallittua tallentaa  3) saako tiedostoja synkronoida omille laitteille  Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta.  Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 27
  • 28. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 28  Mahdollisesti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalveluita on laillista käyttää henkilötietojen käsittelyssä.  Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä on tällöin rekisterinpitäjällä.  Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.  Tee vaikutustenarviointi ja päätä käytöstä vasta sen perusteella.  Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.  Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.  Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä oppijoiden henkilötietojen käsittelyssä. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  • 29.  Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 29
  • 30. Oppijoiden tiedot somepalveluissa 30  Noudata aina rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia!  Älä asenna työpuhelimeen sosiaalisen median sovelluksia ilman työnantajan lupaa.  Älä tallenna asiakkaiden henkilötietoja yksityisessä käytössä olevaan kännykkään ilman työnantajan lupaa.  Jos somepalvelussa aiotaan käyttää asiakkaiden henkilötietoja, tarkista työnantajan linjaus. Tarvittaessa pyydä suostumukset ja muista rekisteröityjen ja huoltajien informointi.  Jälkihoito: henkilötietojen ja viestien poisto sovelluksista ja kännyköistä.
  • 31. Käyttöehtojen arviointeja: ToS;DR Kuvakaappaus: https://tosdr.org/en/service/219 31
  • 32. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 32 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 33. Henkilötietojen vuotaminen sovellusten kautta 33 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Sovelluksille annettu pääsy kännykän tietoihin Henkilötietoja päätyy ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus
  • 34. Metan keräämät tiedot ei-käyttäjistä  ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.”  Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan.  Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 34
  • 35. Sallitko ulkopuolisten sovellusten käytön edu-tunnuksilla?  Opetuksen järjestäjän/rekisterinpitäjän voi olla viisainta estää ulkopuolisten sovellusten käyttö oppilaitoksen hallinnoimilla käyttäjätunnuksilla. Kuvakaappaus: Google Workspace for Education  Hallintakonsoli  Sovellukset  Google Workspace Marketplace -sovellukset, https://admin.google.com/ac/apps/gmail/marketplace/allowlistaccess?hl=fi 35
  • 36. Edu-tunnusten päätyminen ulkopuolisille sovelluksille 36 Rekisterinpitäjän hallinnoimat edu-tunnukset oppimisalustalla Sovellus Käyttäjillä oikeus kirjautua edu- tunnuksilla muihin sovelluksiin Henkilötietoja päätyy ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus
  • 37. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.  Tunnus on aina sen rekisteröineen henkilön, ei organisaation.  Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä.  Tarkista työnantajan linjaus ja ohjeet ennen kuin käytät! • Käyttöehdot kieltävät mm. spämmäämisen, automatisoidun viestinnän ja yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, vaikutustenarviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor
  • 38. Mitä suostumuksia WhatsAppin käyttöön pitäisi pyytää?  Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen. ⬞  Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa.  Kerrotaan, miten sovellus käsittelee henkilötietoja.  Kerrotaan mahdollisista riskeistä.  Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta Yhdysvaltoihin. ⬞  Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin.  Kerrotaan mahdollisista riskeistä.  Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille. ⬞  Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille.  Kerrotaan mahdollisista riskeistä.  Vaikka nämä suostumukset pyydettäisiin, on WhatsAppin käytön lainmukaisuus silti kyseenalainen.  Tietojen poistopyyntöjen (esim. suostumuksen peruminen) toteuttaminen voi olla mahdotonta. 38
  • 39. 39 Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022) Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
  • 40. Signal työkäytössä  Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen  Tunnus voi olla henkilön tai organisaation  Vahva päästä-päähän-salaus  Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet  Ehdot ja tietosuoja: https://signal.org/legal/  Ei tarjoa henkilötietojen käsittelyn sopimusta  Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen viestien välitystietojen osalta.  Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. 40 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
  • 41. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf 41
  • 42. Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf 42
  • 43. Tunnista tietoturvariskit ja -loukkaukset 43
  • 44. Tietoturvaloukkaus 44 Tietoturvaloukkauksella tarkoitetaan henkilötietojen…  vahingossa tapahtuvaa tai lainvastaista tuhoamista  häviämistä  muuttamista  luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja rekisteröidylle, jos siitä aiheutuu korkea riski.
  • 45. Esimerkkejä tietosuojaloukkauksista 45 Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  • 46. Huijaus- ja tietojenkalasteluviestit 46 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
  • 47. Varo: Office 365 -huijaukset ovat yleisiä!  Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.  Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 47
  • 48. Tietojenkalastelu Oulun yliopistolta: 900 salasanaa vääriin käsiin Ongelma: mistä käyttäjä voi tietää oikean osoitteen? 48 Lähde: Ilta-Sanomat, 2.9.2021, https://www.is.fi/digitoday/tietoturva/art-2000008235534.html Aito tiedote Huijausviesti Tiedote jälkikäteen
  • 49. Selain selaimessa –huijaussivu  Huijari houkuttelee kävijän verkkopalveluun, jossa voi kirjautua sisään käyttäen esim. Facebook- tunnusta  Aukeava Facebook-kirjatumissivu onkin huijarin tekemä ”kuvakaappaus” oikeasta Facebookin sivusta, mukaan lukien siinä näkyvä selaimen osoiterivi.  Jos kävijä antaa sivulle tunnuksensa ja salasanansa, ne päätyvät huijarille.  Helpoin tapa todeta tämä huijaukseksi: klikkaa osoiteriviä ja kokeile toimiiko se oikein. Lisää aiheesta: https://www.is.fi/digitoday/tietoturva/art-2000008698981.html Alkuperäinen lähde ja kuva: https://mrd0x.com/browser-in-the-browser-phishing-attack/ 49
  • 50. Huijauspuhelut  Käyttäjätunnusten urkintaa, esim. huijari esiintyy IT-tukihenkilönä  Nigerilaishuijaus: saat rahaa, mutta ensin joudut maksamaan siitä aiheutuvia kuluja  Pankkitunnusten ja luottokorttitietojen urkintaa pankkien ja viranomaisten nimissä  Maksulliset numerot takaisin soitettaessa  Harhaanjohtavat yritykset ja yhdistykset  Yrityksille suunnatut ylihintaiset verkkomainonta- ja domain-huijauspalvelut  Hakemistopalvelut: ”jatketaanko aiemmalla näkyvyydellä?”  Muut tilausansat 50 Lisätietoa esim. Mikrobitti, 23.5.2020, https://www.mikrobitti.fi/uutiset/mb/455d0762-783c-4f14-8cdc-3d1b1eb96346
  • 51. Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava:  Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta  Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita  Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.  Anna ohjeita, miten välttää ikäviä seurauksia. 51