Koulutus peruskoulun ja toisen asteen koulutuksen opetushenkilökunnalle, järjestäjänä Itä-Suomen aluehallintovirasto, 22.8.2023, Harto Pönkä, Innowise

1. Tietosuoja
perusopetuksessa ja
toisella asteella
22.8.2023
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018

2. “
En tiedä täysin, miten pitäis toimia tietyissä
asioissa, kun ei oo annettu ohjeita ja kukaan ei
tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan,
joilla nyt silleen on se vastuu jakaa tätä tietoo.
Must tuntuu, et kaikki on vähä ottanu tän
huumorilla tai vitsillä tai et ei oteta niin tosissaan,
milloin rikotaankin mitä oikeutta tai niin.
2
Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma,
https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf

3. 3
1.
Alettiin kiinnittää
huomiota siihen,
ettei oppijoiden
tietoja olisi
julkisesti esillä
2.
Alettiin kertoa
edes jollain tapaa,
mitä sovelluksia
opetuksessa
käytetään
3.
Alettiin kysyä
suostumuksia
ulkopuolisten
sovellusten
käyttöön
4.
Ongelmiin
havahduttiin ja
aloitettiin
tietosuojan
kehittäminen
2018
EU:n yleinen
tietosuoja-asetus
(GDPR)
1999
Henkilötietolaki
2023
Viisi vuotta
GDPR:n aikaa
takana

4. GDPR ja tietosuojavaatimukset opetuksessa
4

5. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan?
1) Osittain tai kokonaan autom.
henkilötietojen käsittelyyn
▪ Digitaaliset asiakirjat, valokuvat,
videot ja muut tiedostot
▪ Sähköpostit, tekstiviestit
▪ Viestintäsovellukset
▪ Verkkopalvelut, chatit
▪ Sosiaalisen median palvelut
▪ Digitaaliset arkistot
▪ Tietojen siirto rajapintojen kautta
2) Henkilörekistereihin
▪ Tietojärjestelmät/tietokannat
▪ Yhteystietoluettelot
▪ Henkilötietojen kokoelmat
▪ Myös manuaaliset aineistot,
henkilökortistot ja vastaavat, jotka
muodostavat tai joiden on tarkoitus
muodostaa rekisteri
5

6. Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen rekisterinpitäjän
tai jonkun muun tahon toimesta – joko
suoraan tai lisätietojen avulla.
Milloin kyse on
henkilötiedoista?
Kaikki tiedot ovat henkilötietoja, jos
ne koskevat tunnistettua tai
tunnistettavissa olevaa luonnollista
henkilöä eli rekisteröityä.

7. Rekisteri
7
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.

8. Kenellä on vastuu tietosuojasta?
8
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.

9. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
9
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste

10. Henkilötietojen käsittelylle tulee olla laillinen peruste
▪ Henkilön suostumus
▪ Sopimus, jossa rekisteröity on osapuolena
▪ Rekisterinpitäjän lakisääteinen velvoite
▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne)
▪ Julkisen tehtävän hoitaminen tai yleinen etu
▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
(esim. asiakassuhde tai työsuhde)
10

11. Esimerkkejä käsiteltävistä henkilötiedoista
11
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tunnistetieto Nimen paljastuminen (yleensä vähäinen haitta)
Osoite ja kotikunta Tunnistetieto,
voi olla salainen
Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tunnistetieto,
voi olla salainen
Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tunnistetieto, tietosuojalaissa
erikseen säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tunnistetieto Voidaan ehkä käyttää vahingontekoon tai
urkintaan, jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaamiseen
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaamiseen

12. Opiskelijarekisteri
Lähteenä mm. OPH:n tietosuojaopas, 2018
Opiskelija-
rekisteri
oppijoiden ja
huoltajien
henkilötiedot
▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen
+ yhteensopivat tarkoitukset
▪ Opetustilanteet, myös etä- ja verkko-opetus
▪ Opetuksen järjestäjän hallinnoimat sovellukset ja
verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot)
▪ Paikallaolot, suoritukset, testit, arviointi
▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.)
▪ Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa
▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat
▪ Harjoitteluihin ja vierailuihin liittyvät tiedot
▪ Oppilashuolto ja erityisen tuen tarve
▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai
julkisen tehtävän hoitaminen.
▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota esimerkiksi vapaaehtoisia lisäpalveluita.
▪ Oppilaalle tulee olla tarjolla aito vaihtoehto, joka ei edellytä suostumuksen antoa.
▪ Suostumuksen kriteerit on täytettävä, mm. informointi henkilötietojen käsittelystä.
▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa.
12

13. Suostumus henkilötietojen käsittelyn perusteena
13
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
▪ Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n
ohjeistus) sekä tarvittaessa sovellusten asentamiseen.
▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain).
▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

14. Oppijoiden henkilötietojen käsittelystä tulee informoida selkeästi
Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf
14
Pääsy omiin
henkilötietoihin
Tietojen oikaisu Tietojen poisto Käsittelyn
rajoittaminen
Käsittelyn
vastustaminen
Tietojen siirto
toiseen järj.
Automaattinen
päätöksenteko
Oikeus valittaa
valvonta-
viranomaiselle
Käsittelyn
oikeusperuste
Tietojen
säilytysaika
Käsiteltävät
henkilötiedot
Henkilötietojen
käsittelijät
Tietojen siirto
kolmansiin maihin
Tietosuojavastaavan
yhteystiedot
Rekisterinpitäjä ja
yhteystiedot

15. Rekisteröityjen pyyntöihin vastaaminen
15
▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos
he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun.
▪ Rekisteröidyn tulee yksilöidä pyyntönsä:
▪ Nimi ja yhteystiedot
▪ Mitä tietoja pyyntö koskee
▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta
▪ Missä muodossa haluaa tiedot
▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys.
▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa.
▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa
vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä
ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä.
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi

16. GDPR:n tietosuojaperiaatteet ohjaavat henkilötietojen käsittelyä
16
▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
▪ Käyttötarkoitussidonnaisuus
▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
▪ Tietojen minimointi
▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
▪ Tietojen täsmällisyys
▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus
▪ Tietojen säilytyksen rajoittaminen
▪ Tietoja säilytetään vain tarvittavan ajan
▪ Tietojen eheys ja luottamuksellisuus
▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
▪ Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

17. Henkilötietojen suojaaminen ja salassapito
17

18. Työnantajan laitteet ja ohjelmat
18
▪ Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
▪ Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
▪ Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
▪ Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
▪ Työpuhelimeen ei tulisi tallentaa
henkilökohtaisen elämän tietoja.
▪ Työpuhelut hoidetaan niin, että sivulliset eivät
kuule niitä.

19. 19
Laita kone kiinni aina, kun poistut paikalta!

20. Tietosuojalaki 35 §: vaitiolovelvollisuus
20
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi

21. Opetuksen henkilöstö ei saa ilmoittaa
sivullisille tietoja, joita he ovat
työssään saaneet oppilaiden, muun
henkilökunnan tai näiden
perheenjäsenten henkilökohtaisista
oloista ja taloudellisesta asemasta.
21
Oppilaan oppilashuoltotyöhön
osallistuvilla on kuitenkin oikeus saada
sekä luovuttaa oppilaan opettajalle,
rehtorille ja vastaavalle viranomaiselle
välttämättömät tiedot.
Tietoja voidaan pyytää huoltajan
suostumuksella myös muilta tahoilta.
Lähde: Perusopetuslaki, 40 §,
https://www.finlex.fi/fi/laki/ajantasa/1998/19980628#L8P40

22. Salassa pidettäviä asiakirjoja saa
luovuttaa vain lain perusteella tai
henkilön suostumuksella
22
▪ Opinnäytetyön suunnitelma
▪ Tiedot psykologisesta testistä tai
soveltuvuuskokeesta
▪ Oppilashuoltoa ja oppilaan
opetuksesta vapauttamista koskevat
asiakirjat
▪ Oppilaan ja kokelaan koesuoritukset
▪ Asiakirjat, jotka sisältävät oppilaan
henkilökohtaisten ominaisuuksien
sanallista arviointia
▪ Asiakirjat, jotka sisältävät salaisen
puhelinnumeron tai matkaviestimen
sijainnin
▪ Asiakirjat, jotka sisältävät kotikunnan,
asuinpaikan, puhelinnumeron tai
muun yhteystiedon, jos henkilö on
pyytänyt salassapitoa uhan vuoksi
Lähde: Laki viranomaisten toiminnan julkisuudesta,
https://www.finlex.fi/fi/laki/ajantasa/1999/19990621

23. Henkilötunnus
Henkilötunnusta saa käsitellä:
▪ Rekisteröidyn suostumuksella
▪ Jos käsittelystä säädetään laissa
▪ Laissa säädetyn tehtävän suorittamiseksi
▪ Rekisteröidyn tai rekisterinpitäjän
oikeuksien ja velvollisuuksien
toteuttamiseksi, esim. työsuhteessa
▪ Historiallista tai tieteellistä tutkimusta tai
tilastointia varten
Henkilötunnusta ei tule merkitä
tarpeettomasti asiakirjoihin.
Henkilötunnusta ei ole tarkoitettu
henkilöllisyyden varmistamiseen.
23
Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet
010150-113X

24. Erityiset eli arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on
kielletty ilman henkilön nimenomaista
suostumusta tai laista tulevaa perustetta.
▪ rotu tai etninen alkuperä
▪ poliittiset mielipiteet
▪ uskonnollinen tai filosofinen vakaumus
▪ ammattiliiton jäsenyys
▪ terveyttä koskevat tiedot
▪ seksuaalinen suuntautuminen tai
käyttäytyminen
▪ geneettiset ja biometriset tunnistetiedot
24
Tämä viesti sisältää:
• tunnistetietoja
• lain mukaan salassa
pidettäviä tietoja
• terveystietoja
Tämän tyyppisten
henkilötietojen
käsittelylle tulee olla
selvät ohjeet ja
määritellyt järjestelmät,
joissa niitä saa säilyttää.
WhatsApp (kuvassa)
tuskin kuuluu niihin.

25. Korona ja muut terveystiedot
25
Lähde: TSV, Usein kysyttyä koronaviruksesta ja tietosuojasta, https://tietosuoja.fi/koronavirus
▪ Terveystiedot ovat erityisiä henkilötietoja, joita
ei saa käsitellä ilman lainmukaista perustetta.
▪ Henkilö saa itse kertoa terveystiedoistaan
kuten koronavirustartunnasta ja rokotteista.
▪ Tieto karanteenista (kertomatta syytä) ei ole
terveystieto.
▪ Terveystietoja saavat käsitellä vain ne henkilöt,
joiden työtehtäviin se kuuluu.
▪ Terveystietoja käsittelevät henkilöt ovat
vaitiolovelvollisia.
▪ Työnantaja ei saa nimetä työntekijää, jolla on
koronavirustartunta tai joka on karanteenissa.
▪ Tarvittaessa voidaan kertoa, että työntekijä on
estynyt hoitamasta työtehtäviään, tai että
työntekijä on siirtynyt toistaiseksi etätyöhön.

26. Kysymys: Kahvipöytäkeskustelut
26
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa käsitellään toisen henkilötietoja.
▪ Oppilaiden koesuoritukset, niihin liittyvät arvostelumerkinnät ja sanalliset arviot oppilaan ominaisuuksista
ovat salassa pidettäviä (JulkiL 24 §).
▪ Myös tiedot erityisen tuen tarpeesta, psykologisista testeistä ja soveltuvuuskokeista ovat salassa pidettäviä.
▪ Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista nimien
kanssa ilmoitustaululla tai netissä ilman suostumusta.
▪ Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja
koulunkäyntiavustajat, jotka tarvitsevat niitä.
▪ Oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus saada
oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Salassa pidettävien tietojen antajat
päättävät annettavista tiedoista.
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
• Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia
kahvipöydässä työtovereilleen?
• Vaarantuuko tietosuoja oppilaiden osalta jotenkin tässä tilanteessa, jos samalla
arvioidaan oppilaita ääneen?

27. Kysymys: tietojen luovutus opiskeluhuollon työntekijöille
27
▪ Vaikka opiskeluhuollon kuraattorit, psykologit, terveydenhoitajat ja lääkärit ovat siirtyneet
hyvinvointialueiden palvelukseen, heidän oikeutensa opiskelijoiden tietojen käsittelyyn lakisääteisen
yksilökohtaisen opiskeluhuollon järjestämiseksi säilyy ennallaan.
▪ Yksittäistä opiskelijaa koskevaa tietoa voidaan luovuttaa opiskeluhuoltopalvelun työntekijälle, jos
työntekijä kuuluu opiskelijan tueksi suostumuksella koottuun monialaiseen asiantuntijaryhmään.
▪ Opiskeluhuollon kuraattorit, psykologit, terveydenhoitajat ja lääkärit saavat käsitellä vain niitä tietoja,
joita he tarvitsevat työtehtäviensä hoitamisessa
▪ Koulutuksen järjestäjän on tarkistettava, että lakisääteiset edellytykset luovutukselle täyttyvät.
▪ Hyvinvointialueen työntekijöillä voi edelleen säilyä tunnukset sähköisiin järjestelmiin kuten Wilmaan,
jos henkilön tehtäviin kuuluu oikeus käsitellä tietoja ja jos toteutettu katseluyhteys on lainmukainen.
▪ Opiskeluhuoltoa toteuttavien terveydenhuollon ammattihenkilöiden laatimien potilasasiakirjojen
rekisterinpitäjänä toimii palvelun järjestänyt hyvinvointialue.
▪ OPH on julkaisemassa syksyllä 2023 ohjeistuksen tiedonsiirtoon ja viestintään opiskeluhuollossa.
Lähde: OPH, 2022, https://www.oph.fi/fi/usein-kysyttya/opiskelijan-tietojen-luovutus-koulutuksesta-hyvinvointialueille-112023-alkaen
Tietoa Wilman käytöstä opiskeluhuollon tietojen siirtoon: https://www.wilma.fi/ajankohtaista/hyvinvointialueet-ja-tiedonsiirto-wilmasta-opiskeluhuoltoon/
• Voiko koulutuksen järjestäjä antaa pääsyn opiskelijahallintojärjestelmäänsä
opiskeluhuoltopalvelujen ammattilaisille eli opiskeluhuollon kuraattoreille,
psykologeille, terveydenhoitajille ja lääkäreille myös sen jälkeen kun nämä ovat
siirtyneet hyvinvointialueiden palvelukseen vuoden 2023 alussa?

28. Oppijoiden henkilötietojen julkaisu
28
▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan
suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.
▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa
henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan.
▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
▪ Suostumus on käytännössä esimerkiksi:
▪ Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja
tullaan julkaisemaan.
▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
▪ Julkaisuluvat esimerkiksi kuviin ja videoihin
▪ Muilla tavoin kysytyt ja saadut suostumukset

29. Viranomaisen henkilötietorekisterin tietojen anto
▪ Vaikka rekisterissä olevat tiedot
olisivat lain mukaan julkisia, niitä ei
voi antaa kenelle tahansa.
▪ Rekisterinpitäjän on arvioitava
riskit, jos tietoja julkaistaan.
▪ Ei tietojen massajulkaisua
esimerkiksi nimi ja HETU.
▪ Viranomaisen rekisterissä olevia
henkilötietoja saa antaa, jos:
▪ 1) Kyse ei ole salassa pidettävistä
tiedoista tai jokin muu laki ei estä
luovutusta
▪ 2) Saajalla on oikeus käyttää kyseisiä
tietoja (esim. yksityishenkilö tai
tutkimustarkoitus)
▪ Annettavat tiedot minimoidaan
▪ Henkilötunnusta ei tule merkitä
tarpeettomasti.
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
29

30. Yhteystietojen jakaminen koteihin
30
Listan teko huoltajien toimesta:
▪ Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden toiminnasta, ei päiväkodin/koulun.
Listan teko päiväkodin/koulun toimesta:
▪ Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot,
jotka he haluavat jakaa muille huoltajille.
Tietojen anto päiväkodin/koulun rekisteristä:
▪ Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voisi periaatteessa
antaa, jos ne ovat julkisia eli esimerkiksi puhelinnumero ei ole salainen.
- Huom. rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille.
▪ Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman suostumusta. Salassapito tai
turvakielto tulee merkitä asiakasrekisteriin.
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

31. Henkilötietojen käsittely opetuksessa
31

32. Huolehdi oppijoiden tietosuojasta
32
▪ Oppijoiden tietoja käytetään vain opetukseen.
▪ Tunnetaan rekisterit ja tietosuojaselosteet.
▪ Henkilötietoja ei kerrota sivullisille, julkaista tai
luovuteta ilman suostumusta tai lakiperustetta.
▪ Huomioidaan rekisterinpitäjän linjaukset
käytettävissä sovelluksissa ja pilvipalveluissa.
▪ Palveluntarjoajien kanssa tehdään tarvittaessa
sopimukset henkilötietojen käsittelystä.
▪ Tarvittaessa pyydetään suostumukset
ulkopuolisten palvelujen käyttöön opetuksessa.
▪ Käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta.
▪ Neuvotaan oppijoille käytettävien sovellusten
ja käyttäjätunnusten turvallinen käyttö.

33. Henkilötiedot puheluissa
33
Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus
▪ Henkilö on tunnistettava puhelussa, jos
käsitellään hänen henkilötietojaan.
▪ Vahva tunnistaminen:
1) jotain mitä olet (nimi, HETU)
2) jotain mitä sinulla on (puh.nro, s.postiosoite)
3) jotain mitä tiedät (salasana, asiakastiedot)
▪ Puhelujen nauhoittaminen on sallittua, kun
rekisterinpitäjällä on käsittelyyn oikeusperuste,
esim. asiakassuhteessa rek. pit. oikeutettu etu.
▪ Henkilötietojen käsittelystä on informoitava.
Esimerkiksi nauhoituksesta on kerrottava.
▪ Puhelussa voidaan kertoa, mistä
tietosuojaseloste on luettavissa (nettisivut),
lukea se ääneen tai se voidaan lähettää
esimerkiksi sähköpostitse.

34. Tietosuoja viestinnässä
34
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset/erityiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Huijaussähköposteja on yhä enemmän
→ Tehkää tarvittaessa ohje, miten varmistaa
viestien aitous

35. Varmista aina vastaanottajat!
”Kaupungin mukaan kyse oli
inhimillisestä virheestä. Se johtui
Microsoftin sähköpostipalvelu Outlookin
ominaisuudesta, joka esittää
automaattisesti vastaanottajaa. Henkilö,
jolle sähköposti meni, oli oikean
vastaanottajan täyskaima.
--
Aineisto sisälsi 1 143 henkilöstä tietoina
nimen, henkilötunnuksen ja
henkilönumeron. ”
Lähde: Yle, 17.3.2023, https://yle.fi/a/74-20022944
35

36. Saman luokan tai
opetusryhmän kesken
Koko nimi: ok
Koulun email: ok
Puh.nro: ok/alle 15-v. laitelupa
Kuvat/videot: ok
Muut hlötiedot: lupa
Muille ryhmille opetuksen
yhteydessä
Koko nimi: ok
Koulun email: ok
Puh.nro: ei sähk./laitelupa
Kuvat/videot: lupa
Muut hlötiedot: lupa
Ulkopuolisille henkilöille ja
tahoille
Etunimi: ok
Koko nimi: ei sähk.
Koulun email: ei sähk.
Puh.nro: ei sähk.
Kuvat/videot: lupa
Muut hlötiedot: lupa
Muille opettajille ja henkilöstölle tarvittaessa
Koko nimi: ok
Koulun email ja puh.nrot: ok
Muut välttämättömät tiedot: ok
Henkilötiedot opetuksen tiloissa ja tilanteissa
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen.
Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä. Salaisia puhelinnumeroita ei tule koskaan jakaa tai laittaa esille.
36
Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.

37. Kysymys: oppilaan teoksen asettaminen esille
37
▪ Oppilaan koko nimi voi olla työssä esillä luokan seinällä, jos luokka on pelkästään opetuksen käytössä.
Tämä on normaalia opetukseen liittyvää toimintaa.
▪ Kysymyksessä on kuitenkin tietosuojaa enemmän kyse tekijänoikeuksista.
▪ Tekijänoikeuksien kannalta nimen tulee olla esillä teoksessa. Kyse on tekijän ns. isyysoikeudesta.
▪ Oppilas voi itse päättää, miten hän merkitsee nimensä tekemäänsä työhön.
▪ Jos oppilaan työ laitetaan esille julkiseen tilaan tai nettiin, kyse on oppilaan teoksen esittämisestä
julkisesti. Tähän tarvitaan oppilaan oma ja alaikäisen tapauksessa lisäksi huoltajan lupa (julkaisulupa).
▪ Jos työ asetetaan julkisesti nähtävästi, myös muut tahot saattavat valokuvata sitä tai jakaa eteenpäin.
• Voiko oppilaan työssä (piirros, valokuva tms.) olla hänen etunimensä esillä, kun
työ laitetaan luokan seinälle?
• Tarvitaanko etunimen käyttöön tällaisessa tapauksessa vanhempien lupa, vai
riittääkö, että oppilas on itse halukas laittamaan työnsä esille nimensä kanssa?

38. Henkilöä esittävä valokuva tai video
on henkilötieto ja tunnistetieto
▪ Oleellista on, voidaanko henkilö tunnistaa
kuvasta tai videosta vai ei.
▪ Tunnistaminen voi perustua kasvoihin,
videolla kuuluvaan ääneen tai sen
yhteydessä olevaan nimeen
▪ Tunnistamisen voi estää se, että henkilön
kasvot eivät näy tai kuva on otettu niin
kaukaa, ettei tunnistaminen ole mahdollista.
▪ Henkilön kasvot voi sumentaa tai peittää eli
”anonymisoida” kuvan.
▪ Jo tunnistettavan kuvan säilyttäminen on
henkilötietojen käsittelyä.
38
Kuva: Pixabay

39. Valokuvat ja videot
39
▪ Tunnistettavan henkilökuvan julkaisuun on
yleensä syytä pyytää suostumus (julkaisulupa).
▪ Jokaisen on katsottu omistavan persoonansa
ns. kaupalliset oikeudet.
▪ Valokuvan tai videon tekijänoikeudet tai
lähioikeudet ovat kuvaajalla. Kuvan julkaisulle
tarvitaan tekijän lupa.
▪ Kuvan julkaisun voi estää esim. kotirauha,
yksityisyyden suoja tai kuvassa näkyvän
teoksen tekijänoikeudet.
▪ Jonkun muun julkaiseman kuvan levittäminen
voi olla kiellettyä esim. tekijänoikeuksien tai
sen loukkaavuuden takia.
⬞ Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja kuvia ei saa
levittää.

40. Kysymys: tapahtumissa kuvaaminen
40
▪ Oppilaitoksen tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua.
▪ Jos kuvaaminen tapahtuu oppilaitoksen toimesta, tulee kuvien julkaisulle pyytää suostumus niissä
olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole opetuksen järjestämiseen liittyvää
henkilötietojen käsittelyä.
▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
▪ Oppilaitos ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta,
eikä sillä ole oikeutta kieltää sitä.
▪ Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien
kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim.
paikallislehdessä on sallittua.
• Saako oppilaitoksen tapahtumissa ottaa kuvia ja videoita esimerkiksi
nettisivuilla julkaistavaksi?
• Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri?
• Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?

41. Kysymys: kuvat, videot ja etätilanteiden tallenteet
41
▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä
näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.
▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.
▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee
siihen pyytää suostumus.
▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä
opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.
▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.
▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.
▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä tiedottaa opiskelijoille.
• Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää
niitä opetusryhmän kesken?
• Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista?
• Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?

42. Julkaisuluvan malli
päiväkodeille ja kouluille
42
▪ Tämä julkaisulupa on
vapaasti käytettävissä.
▪ Saatavina Google Drivessa:
https://docs.google.com/do
cument/d/1ObAtxeYjtp9KRe
gV0s0jI2L-
pfueGWVmbmv4paertSk/edi
t?usp=sharing
▪ PDF-versio:
https://drive.google.com/fil
e/d/1iHgvNR-VZq_-
4cIUuh4NR2FFz3PVa5g3/vie
w?usp=sharing

43. Julkaisuluvan voimassaolo ja peruminen
▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista.
▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan.
▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa
sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa.
▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen
voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa.
▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa
perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa.
▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei
vaadi kohtuutonta työtä.
▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta
ja some-kanavista tietyn ajan päästä.
43

44. 44
Tauko 15 min

45. Tietosuojan huomiointi opetuksen digialustoilla
45

46. Etäopetuksessa käytetyt sovellukset (2020)
Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020,
https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020
46

47. TOP sovellukset oppimisessa ja opetuksessa 2018-2022
Data: Jane Hart, 2018-2022, Top Tools for Learning, https://www.toptools4learning.com/, kuva: Harto Pönkä, 7.2.2023
47
2018 2019 2020 2021 2022

48. Tietosuoja etäyhteyssovelluksissa
48
▪ Käytä vain oppilaitoksen sallimia sovelluksia.
▪ Toimita kutsu henkilökohtaisesti opiskelijoille.
▪ Informoi osallistujia henkilötietojen käsittelystä.
▪ Varmista tarvittaessa osallistujien henkilöllisyys.
▪ Varmista esittäjien osaaminen etukäteen.
▪ Älä julkaise opiskelijoiden tai muiden
henkilötietoja ilman suostumusta.
▪ Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
▪ Huomioi kotoa osallistuvat: ei sivullisia kuulolla,
videon ja mikrofonin käyttö kotirauhan alueella
perustuu vapaaehtoisuuteen.
▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone.
▪ Suojaa tallenne ja huolehdi sen tietosuojasta.

49. Ohjeita Teams-kokouksen esittäjälle
49
▪ Valitse rauhallinen paikka: ei sivullisia kuulolle.
▪ Jos mahdollista, käytä toista näyttöä
ruudunjakoon.
▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot
näyttää ruudunjaossa. Erityisesti ohjelmat,
joissa on henkilötietoja (mm. sähköpostit).
▪ Valmistele sovellukset ja tiedostot, joita aiot
käyttää ruudunjaossa.
▪ Windowsissa voit luoda uuden työpöydän,
johon avaat valmiiksi ruudunjaossa
käytettävät sovellukset. (Win+Tab)
▪ Jos käytät samalla laitteella muita
viestintäsovelluksia, laita niiden ilmoitukset
pois päältä esim. asettamalla tilaksi ”varattu”.

50. Oppijoiden henkilötiedot verkkopalveluissa ja sovelluksissa
50
Huom. taulukko on suuntaa antava, tarkista aina opetuksen järjestäjän omat linjaukset!
Opetuksen järjestäjän
viestintä- ja
asiointikanavat
(esim. Wilma)
Oppimisalustat
(esim. Google
Workspace, 0ffice
365+Teams)
Ulkopuolinen
sovellus, johon
kirjaudutaan edu-
tunnuksella
Ulkopuolinen
sovellus, johon on
erillinen tunnus
Rekisterinpitäjä Opetuksen järjestäjä Opetuksen järjestäjä Riippuu sovelluksesta Ulkopuolinen
rekisterinpitäjä
Henkilötietojen käsittelijä
(DPA-sopimus)
Palveluntarjoaja Palveluntarjoaja Riippuu sovelluksesta Ei
Käyttäjätunnukset Opetuksen järjestäjän
hallinnoimat tai vahva
tunnistautuminen
Opetuksen järjestäjän
hallinnoimat edu-
tunnukset
Edu-tunnukset Rekisteröinti/
erilliset tunnukset
Pitääkö informoida
henkilötietojen
käsittelystä?
Kyllä,
tietosuojaselosteella
Kyllä,
tietosuojaselosteella
Kyllä,
tietosuojaselosteella
tai suostumuksen
pyynnön yhteydessä
Kyllä,
suostumuksen
pyynnön yhteydessä
Pitääkö pyytää erillinen
suostumus?
Ei Ei Kyllä, jos
ulkopuolinen
rekisterinpitäjä
Kyllä
Voiko tallentaa oppijoiden
tietoja?
Kyllä Kyllä Ei voi suositella Ei

51. Kysymys: henkilötietojen kerääminen pilvipalveluihin
51
▪ Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on
rekisterinpitäjällä.
▪ Käytä henkilötietojen käsittelyyn vain rekisterinpitäjän hyväksymiä pilvipalveluita.
▪ Noudata rekisterinpitäjän ohjeistusta, mitä tietoja pilveen saa tallentaa.
▪ Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja
pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti.
▪ Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja,
tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta
rekisteröidyt voivat tutustua siihen.
• Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation
0ffice 365:een?
• Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?

52. Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa
▪ Tarkista rekisterinpitäjän ohjeistus:
▪ 1) mitä pilvipalveluita saa käyttää
▪ 2) mitä tietoja pilveen on sallittua tallentaa
▪ 3) saako tiedostoja synkronoida omille
laitteille
▪ Huolehdi työtehtävien mukaisista
käyttöoikeuksista/jakamisesta.
▪ Älä jaa henkilötietoja sisältäviä tiedostoja
ulkopuolisille ilman suostumusta tai muuta
perustetta.
Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista)
52

53. Harkitse ennen kuin jaat!
53
MITÄ? MITEN? RISKIT?
Yksi dokumentti/tiedosto
Jako yhdelle oman
organisaation käyttäjälle
Turvallisin vaihtoehto
Yksi dokumentti/tiedosto Jako usealle oman
organisaation käyttäjälle
Lähes yhtä turvallinen vaihtoehto
Yksi dokumentti/tiedosto Jako oman
organisaation ryhmälle
Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen
jakamiseen.
Yksi dokumentti/tiedosto Jako ulkopuolisille
linkillä
Ei ole turvallinen henkilötietojen ja salassa pidettävien
tietojen jakamiseen.
Jaa linkillä vain julkisia tietoja.
Kokonainen OneDrive-
kansio
Jako oman
organisaation käyttäjille
Turvallinen, jos kansio on tehty juuri kyseisten
tietojen jakamiseen.
Kokonainen OneDrive-
kansio
Jako oman
organisaation ryhmälle
Altis liian laajalle jakamiselle eli tietojen päätymiselle
työntekijöille, joille ne eivät kuulu.
Kokonainen OneDrive-
kansio
Jako ulkopuolisille
linkillä
Kaikkein turvattomin: altis tietojen vuodolle
ulkopuolisille

54. Excelin salasanasuojaus
”Opettaja oli vienyt tiedot
oppimisalustalle Excel-tiedostona siten,
että henkilöiden nimet sisältävä sarake
oli piilotettu salasanan taakse.
Itä-Suomen yliopiston oikeustieteiden
laitoksen johtaja Matti Turtiasen mukaan
salasanasuojauksen toimivuus oli
tarkistettu erikseen Excelissä.
– Opettajalle tuli kuitenkin yllätyksenä,
että salasanasuojaus ei toimi, jos
tiedosto avataan Google-sovellusten
avulla.”
Lähde: Yle, 19.4.2021, https://yle.fi/a/3-11884988
54

55. Älä luota Excelin salasanasuojaukseen
▪ Vasemmalla: Excelissä on piilotettu sarakkeet B, C ja D sekä kytketty salasanasuojaus päälle
▪ Oikealla: Kun tiedoston tuo Google Driveen, sarakkeet saa näkyville (salasanaa ei tarvita)
55

56. Tiedostojen pyytäminen OneDrive-kansioon
▪ Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja.
▪ Aluksi: Luo OneDrive-kansio → valitse se → ”Pyydä tiedostoja”
▪ Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille,
ryhmille ja/tai sähköpostiosoitteille.
▪ Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille!
▪ Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt
tiedostot tallentuvat myös Outlookiin sähköposteina.
Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af
56

57. Tiedostopyyntö vastaanottajan näkökulmasta
▪ Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii.
▪ Ohjeista tarvittaessa vastaanottajia, miten voi tunnistaa aidon tiedostopyynnön.
57

58. Digialustojen tietosuojan arviointi

59. Käytetyimpien somepalvelujen ja -sovellusten arviointeja
59
Luokitukset: https://tosdr.org/ (8.5.2023)
Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus
ToS;DR –sivustolla
Facebook Meta,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/182
Instagram Meta,
Yhdysvallat
Henkilökohtainen tai ammattilais-
/organisaatiotili
Luokka E
https://tosdr.org/en/service/219
Twitter X Corp.,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka E
https://tosdr.org/en/service/195
YouTube Google/Alphabet,
Yhdysvallat
Henkilökohtainen kanava tai
bränditiliin yhdistetty kanava
Luokka E
https://tosdr.org/en/service/274
TikTok ByteDance,
Kiina
Henkilökohtainen tai yritystili Luokka E
https://tosdr.org/en/service/1448
LinkedIn Microsoft,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/193
WhatsApp Meta,
Yhdysvallat
Henkilökohtainen
(Erillinen WA Business-sovellus)
Luokka C
https://tosdr.org/en/service/198
Signal Signal Foundation,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka B
https://tosdr.org/en/service/528

60. Pilvipalvelujen ja sovellusten arviointeja (ns. kuluttajaversiot)
Lähteet: Korkeakoulujen tietoturvayhteistyö, SEC-ryhmä, 2017-2018, Pilviohje, https://wiki.eduuni.fi/display/pilviohje/Pilviohje,
Terms of service; Didn’t Read, https://tosdr.org/ (22.5.2023)
60
Palvelu Suomalaisten korkeakoulujen
epävirall. luokitus
Käyttöehtojen luokitus
ToS;DR –sivustolla
Sähköposti Google Mail / Gmail C-taso Luokka E
ProtonMail B-taso Luokka A
Tiedostojen ja
median jako
Apple iCloud C-taso Luokka D
Dropbox C-taso Luokka C
Eduuni (SharePoint, OneDrive, Office, Confluence, Jira) A-taso -
Google Drive C-taso Luokka E
Microsoft OneDrive C-taso Luokka E
Webex B-taso -
Viestintä-
sovellukset
Apple iMessage, FaceTime C-taso Luokka D
Signal B-taso Luokka B
Skype C-taso Luokka E
Slack B-taso Luokka B
Telegram B-taso Luokka B
WhatsApp C-taso Luokka C
Yammer C-taso Luokka E

61. Sovellusten, verkkopalvelujen, pelien ym. opetuskäytön periaatteet
61
1. Opetuksen järjestäjällä eli rekisterinpitäjällä on laaja harkintavalta.
2. Henkilötietoja voidaan käsitellä sovelluksissa ja verkkopalveluissa opetuksen
järjestämiseksi, mutta jokaiseen sähköiseen alustaan liittyvä henkilötietojen
käsittely on arvioitava tapauskohtaisesti.
3. Rekisterinpitäjän tulee harkita, mikä käsittelyperuste on tarkoitukseen sopivin.
Opetuksen järjestäjille sopivia käsittelyperusteita ovat lakisääteiset velvoitteet tai
julkisen tehtävän hoitaminen.
4. Lähtökohtaisesti suostumus ei sovellu henkilötietojen käsittelyperusteeksi, jos
rekisteröidyn ja rekisterinpitäjän välillä on epäsuhta ja vapaaehtoisuus on
epävarmaa. Suostumus ei silti ole viranomaisen toiminnassa ei täysin poissuljettu.
Rekisteröidylle tulee olla aito vaihtoehto, jos suostumusta ei anna.
5. Rekisterinpitäjän tulee informoida henkilötietojen käsittelystä. Rekisteröidyn
tulee saada käsittelyä koskevat tiedot läpinäkyvässä, helposti ymmärrettävissä ja
saatavilla olevassa muodossa, ja informoinnin tulee sisältää tiedot henkilötietojen
vastaanottajista (myös henkilötietojen käsittelijöistä).

62. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi (DPIA)
62
▪ Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota
tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.
▪ GDPR:n mukaan rekisterinpitäjän (opetuksen järjestäjän) ja henkilötietojen käsittelijän tulee
tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).
▪ Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien
syitä ja pyritään löytämään ratkaisuja niihin.
▪ Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.
▪ Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.
▪ Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).
▪ Monet kunnat käyttävät Microsoft Teams -sovellusta varhaiskasvatuksessa ja opetuksessa,
mutta jokainen rekisterinpitäjä tekee oman linjauksensa.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi
• Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?

63. Mitä sovelluksia ja verkkopalveluita opetuksessa voi käyttää?
Opetuksen järjestäjän
hallinnoimat sovellukset
▪ Opetuksen järjestäjä on
tehnyt päätöksen
sovelluksen käytöstä.
▪ Opetuksen järjestäjä
toimii rekisterinpitäjänä.
▪ Palveluntarjoajan kanssa
on voimassa sopimus
henkilötietojen
käsittelystä.
▪ Opetuksen järjestäjä
luo/antaa tunnukset.
→ Voi käyttää opetuksessa
Sovellus, johon voi kirjautua
koulun edu-tunnuksella*
▪ Selvitä, onko tehty sopimus
henkilötietojen käsittelystä
tai voidaanko se tehdä.
→ Jos kyllä, oppilaat voivat
käyttää palvelua opetuksessa
edu-tunnuksilla.
▪ Jos sopimusta ei ole, selvitä,
onko opetuksen järjestäjä
sallinut sovelluksen käytön
suostumuksen perusteella.
→ Jos kyllä, pyydä suostumus
▪ Edu-tunnus = koulun
hallinnoima opiskelijan
käyttäjätunnus.
Muu ulkopuolinen sovellus tai
verkkopalvelu
▪ Selvitä, voiko sovellusta käyttää
ilman tunnuksia ja
henkilötietojen antoa.
→ Voi käyttää opetuksessa
▪ Jos rekisteröityminen
vaaditaan, selvitä, onko
opetuksen järjestäjä sallinut
sovelluksen käytön
suostumuksen perusteella.
→ Jos kyllä, pyydä suostumus
▪ Jos sovellus on jo valmiiksi
oppilaiden omissa laitteissa.
→ Alle 15-v: laitelupa huoltajalta
→ Yli 15-v: opiskelijan luvalla
63

64. Edu-tunnusten päätyminen ulkopuolisille sovelluksille
64
Rekisterinpitäjän
hallinnoimat
edu-tunnukset
oppimisalustalla
Sovellus
Jos käyttäjillä oikeus kirjautua edu-
tunnuksilla muihin sovelluksiin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus

65. Sopimus henkilötietojen käsittelystä
65
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
▪ Merkitys = käsittelijä toimii rekisterinpitäjän
lukuun JA tämän vastuulla(!)
▪ Sopimuksessa vahvistetaan:
▪ käsittelyn kohde, kesto, luonne ja tarkoitus,
▪ rekisteröityjen ryhmät ja tietojen tyypit,
▪ rekisterinpitäjän velvollisuudet ja oikeudet.
▪ Erityisesti tulee sopia, että käsittelijä:
▪ käsittelee tietoja ohjeiden mukaisesti,
▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset
turvallisuudesta,
▪ ei käytä toisia käsittelijöitä ilman lupaa,
▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet,
▪ lopuksi poistaa tai palauttaa tiedot,
▪ antaa tarvittavat tiedot osoitusvelvollisuudesta,
▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.

66. Rekisterinpitäjän tulee varmistua henkilötietojen käsittelyn sopimuksesta
▪ Vaikka käsittelysopimukset perustuvat usein valmiisiin malleihin, rekisterinpitäjän tulee
aina varmistua, että sopimus sisältää GDPR:n 28 artiklan 3 kohdan mukaiset asiat
▪ Samalla tulee varmistua, että palveluntarjoaja noudattaa rekisterinpitäjän antamia ohjeita.
Lähde: EDPB, 7.7.2021, Suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, https://edpb.europa.eu/system/files/2022-
02/eppb_guidelines_202007_controllerprocessor_final_fi.pdf
66

67. Kysymys: henkilötietojen näkyvyys pilvisähköpostipalvelussa
67
▪ Peruskoulun oppilaille oli annettu @edu.kunta.fi-tyyppiset sähköpostiosoitteet.
▪ Palvelun osoitekirjan kautta näkyi oppilaan nimi, sähköpostiosoite, luokka ja koulu.
▪ Rekisterinpitäjän mukaan tiedot näkyivät kaikille, jotka kunnassa käyttävät samaa Microsoft
Outlook -sähköpostipalvelua. Lisäksi samat tiedot näkyivät Teamsin kautta.
▪ Rekisterinpitäjän mukaan tietojen näkymisestä ei ole ilmennyt ongelmia tai väärinkäytöksiä.
▪ Apulaistietosuojavaltuutetun päätöksen mukaan:
▪ Toiminta ei ollut GDPR:n mukaista (mm. kohtuullisuus, minimointi, luottamuksellisuus).
▪ Rekisterinpitäjälle annettiin huomautus ja määräys saattaa käsittely GDPR:n mukaiseksi.
▪ Tiedot eivät olisi saaneet näkyä koulun ulkopuolelle ja myös koulun sisäpuolella oppilaiden
tietojen saatavilla olo tulee olla tarpeellista ja perusteltua perusopetuksen järjestämiseksi.
▪ Päätös ei koske koulun henkilökunnan sähköpostiosoitteiden näkymistä palvelussa.
▪ Päätöksessä mainitaan mahdollisuus piilottaa Outlookissa palvelun yhteinen osoitekirja.
Lähde: Apulaistietosuojavaltuutetun päätös 21.3.2023, https://finlex.fi/fi/viranomaiset/tsv/2023/20231804 (ei lainvoimainen 22.5.2023)
• Saako kunnan oppilaille tarjoamassa sähköpostipalvelussa näkyä muiden
oppilaiden nimet ja heille tehdyt sähköpostiosoitteet?
• Saako sähköpostipalvelussa näkyä koulun työntekijöiden nimet ja sp-osoitteet?

68. Kysymys: pilvipalvelun käyttö kaupungin toiminnassa (Espoo)
68
▪ Kaupunki käytti opetuksessa Google Suite for Education –palvelua (nyk. Google Workspace).
▪ Palveluun tallentui mm. etunimi, kutsumanimi, sukunimi, sähköpostiosoite, koulu, luokka,
luokka-aste, rooli (oppilas), kielikoodi, MD5-salattu henkilötunnus, OID-tunniste, tiedon lähde.
▪ Tietosuojavaltuutetun päätöksen mukaan:
▪ Rekisterinpitäjän lakisääteiset velvoitteet eivät olleet kelvollinen käsittelyperuste, koska
Googlen pilvipalvelussa käsiteltiin henkilötietoja lakisääteisiä velvollisuuksia laajemmin.
▪ Päätöksessä huomioitiin mm. kertyvien tietojen laajuus (ml. mahdolliset erityiset
henkilötiedot tallennetuissa sisällöissä) ja käytön kesto (peruskoulu 9 vuotta).
▪ TSV huomioi, että kyse oli lapsista, palvelua saattoi käyttää myös kotona, ja sen, ettei
rekisterinpitäjä pystynyt sopimuksesta varmistamaan kaikkia Googlen käsittelytapoja.
▪ Rekisterinpitäjälle annettiin huomautus ja määräys saattaa käsittely GDPR:n mukaiseksi.
▪ Lisäksi TSV antoi rekisterinpitäjälle ohjausta liittyen tiedonsiirtoihin kolmansiin maihin.
▪ Päätöksen mukaan suostumus voi olla käsittelyperuste pilvipalvelun käytölle viranomaisen
toiminnassa, jos sen edellytykset täyttyvät (mm. informointi ja vapaaehtoisuus).
Lähde: Tietosuojavaltuutetun päätös 31.12.2021, https://www.finlex.fi/fi/viranomaiset/tsv/2021/20211503 (ei lainvoimainen 22.5.2023)
• Voiko opetuksen järjestäjä käyttää lakisääteisiin tehtäviin Googlen pilvipalvelua?
• Voiko verkko-ohjelmia käyttää opetuksessa suostumuksen perusteella?

69. Hallinto-oikeuden päätös Google pilvipalvelun käytöstä (ei lainvoimainen)
69
▪ Googlen pilvipalvelun käytön ongelmia hallinto-oikeuden ratkaisun mukaan:
▪ Henkilötietojen käsittely Googlen pilvipalvelussa oli laajempaa kuin mihin kaupungilla oli
lakisääteisten velvollisuuksien (opetus) mukainen käsittelyperuste.
▪ Tietoa oppilaista kerättiin koulutehtävien teon lisäksi myös muusta ohjelmien käytöstä.
▪ Kaupunki ei varmistanut tietoturvaa tilanteessa, jossa pilvipalvelua käytettiin oppilaan omilla
laitteilla ja nettiyhteydellä etäopiskelussa sekä kotitehtävien teossa.
▪ Epäselväksi jäi, olisiko pilvipalvelun käyttö ollut ok, jos se olisi rajattu vain opetustunneille.
▪ Ongelmien taustalla on Googlen vakiosopimusehtojen hyväksyminen.
▪ Lopputulos on vielä avoin, sillä asian käsittely jatkunee korkeimmassa hallinto-oikeudessa.
▪ Jos TSV:n ratkaisu saa lainvoiman, 1) tulisi Googlen taipua sopimusehtojen ja toimintansa
muuttamiseen 2) tai Googlen pilvipalvelun käyttö voisi perustua muuhun käsittelyperusteeseen
(suostumus tai julkiset tehtävät)
• Helsingin hallinto-oikeus hylkäsi 30.6.2023 Espoon kaupungin valituksen ja piti
voimassa tietosuojavaltuutetun päätöksen, jonka mukaan lakisääteiset
velvoitteet eivät olleet kelvollinen käsittelyperuste Google Suite for Education –
palvelun (nyk. Google Workspace) käyttöön opetuksessa.

70. Oppijoiden tiedot somepalveluissa
70
▪ Noudata aina rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia!
▪ Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
▪ Älä tallenna oppijoiden tai huoltajien
henkilötietoja yksityisessä käytössä olevaan
kännykkään ilman työnantajan lupaa.
▪ Jos somepalvelussa aiotaan käyttää
henkilötietoja, tarkista työnantajan linjaus.
▪ Tarvittaessa pyydä suostumukset käytölle ja
muista rekisteröityjen ja huoltajien informointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.

71. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
71
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!

72. Henkilötietojen vuotaminen sovellusten kautta
72
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Jos sovelluksille on annettu
pääsy kännykän tietoihin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus

73. WhatsApp opetuksessa?
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• Teknisesti turvallinen: vahva päästä päähän -salaus.
• OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä
ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.
→ Tarkista linjaus ja ohjeet ennen kuin käytät!
• Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille.
→ Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen
kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp.
→ WA:n käytön tulee olla aidosti vapaaehtoinen valinta.
Organisaatiossa huomioitavaa:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• WhatsAppin käyttöön on suositeltavaa olla työpuhelin
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on huomioitava organisaation henkilötietojen
käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
OPH, Oppimissovellusten, sosiaalisen median palveluiden ja
digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-
median-palveluiden-ja-digitaalisten-pelien-kaytto-

74. Signalin tietosuoja
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Rekisteröidyiltä on syytä pyytää suostumus,
jos heille aiotaan viestiä Signalin kautta.
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen (yleisesti saatavilla olevien
viestintäpalvelujen välitystiedot).
74
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)

75. Kyllä kai suostumukseksi riittää,
että ilmoitin Wilmassa
WhatsAppin käytöstä
opetuksessa.
Annoin tehtäväksi asentaa Sport
Trackerin ja jakaa kävelylenkit
sitä kautta muille.
Lähetän musiikin tehtävät
TikTokissa ja oppilaat kuittaavat
ne kommentilla. ☺
Julkaisen perjantaisin YouTube-
videon, johon kokoan oppilaiden
tuotoksia ja annan palautetta.
Tein jokaisen opiskelijan nimellä
Padlet-taulun, johon he käyvät
merkitsemässä suorituksensa.
Tehtävänä on siivota olohuone
ja lähettää siitä ennen ja jälkeen
kuvat Classroomiin.
Mikäli oppijalla ei ole
tietokonetta, hän voi tulla
koululle lähiopetukseen.
Ei näin.

76. Yhteenvetoa: suostumukset opetuksessa
▪ Jos julkaistaan henkilötietoja (myös kuvia) tai oppijoiden tuotoksia.
→ Suostumus henkilötietojen tai tuotosten julkaisulle.
▪ Jos oppijoiden henkilötietoja tallennetaan ulkopuoliseen sovellukseen tai
verkkopalveluun, joka ei ole opetuksen järjestäjän hallinnoima.
→ Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa, jos
rekisterinpitäjä sallii sovelluksen käytön opetuksessa suostumuksen perusteella.
▪ Jos käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen,
jotka eivät ole välttämättömiä opetuksen kannalta.
→ Suostumus henkilötietojen käytön perusteena ko. palveluille.
→ Suostumus ei sovellu opetuksen järjestäjän lakisääteisiin tehtäviin.
▪ Jos tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä.
→ Suostumus automaattiselle päätöksenteolle.
76

77. 77
Ohjeista ainakin nämä
1. Missä ja miten henkilötietoja saa säilyttää
2. Kenelle ja milloin lapsen tietoja saa kertoa
3. Henkilötietojen luovuttaminen muille tahoille
4. Miten huoltajat tunnistetaan eri tilanteissa: kasvokkain,
puhelimessa, verkossa
5. Tietojen lähetys sähköpostissa ja turvapostin käyttö
6. Sallitut verkkopalvelut ja mitä tietoja niihin saa tallentaa
7. Mitä tietoja saa tallentaa kännykkään (työ/oma)
8. Sovellukset, joille esim. yhteystietoja saa siirtyä
9. Kuvien ja lasten tuotosten esittäminen ja julkaisu
10. Pyydettävät suostumukset, esim. kuvaus- ja
julkaisuluvat, pikaviestisovellukset

78. 3+1 pointtia
1. Tarkistakaa opetuksen tietosuojaan tehdyt linjaukset
ja ohjeet. Onko aika päivittää?
2. Varmistakaa, että opetukseen on käytettävissä
turvalliset verkkoyhteydet, välineet ja sovellukset.
3. Sovellusten käytön tapauskohtainen arviointi!
4. Tietosuojaohjeet opiskelijoille
78

79. “
”Tietosuojasta huolehditaan, jotta
jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten
niitä voidaan käyttää.”
79

80. Ajankohtaisia tietosuojariskejä
80

81. Varo: Office 365 -huijaukset ovat yleisiä!
▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia,
joilla he voivat päästä käsiksi luottamuksellisiin tietoihin.
▪ Murretuilla tunnuksilla voidaan tehtailla lisää huijauksia.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
81

82. Huijaus- ja tietojenkalasteluviestit
82
1. Älä luota sähköpostin tai
tekstiviestin lähettäjän nimeen
tai osoitteeseen/numeroon.
2. Älä koskaan avaa yllätyksenä
tullutta liitetiedostoa.
3. Tarkista linkki esim. viemällä hiiri
sen päälle.
4. Anna tietojasi vain varmasti
luotettaville tahoille.
5. Jos epäilet huijausta, tarkista
aitous muuta kautta

83. Huijauspuhelut Microsoftin nimissä
▪ Tavoitteena saada käyttäjätunnus haltuun.
▪ Huijauspuhelu voi tulla myös suomalaisesta
numerosta.
▪ Huijarit esiintyvät yleisimmin Microsoftin IT-
tukihenkilöinä.
▪ Huijaukseen voi liittyä myös sähköposteja,
tekstiviestejä ja tietojenkalastelusivuja.
▪ Microsoftin tutkimuksen mukaan puolet
Suomessa asuvista aikuisista oli altistunut
IT-tukihuijauksille (2021).
▪ 12 % oli ensin jatkanut keskustelua huijarin
kanssa, mutta lopettanut sitten.
▪ 3 % vastaajista oli menettänyt rahaa.
83
Lähde: Mtv, 5.8.2021, https://www.mtvuutiset.fi/artikkeli/karu-tulos-jo-puolet-suomalaisista-saanut-hamaran-microsoft-huijauspuhelun-nain-montaa-vedettiin-nenasta/8205906

84. Microsoft Authenticator -autentikointisovellus
▪ Microsoft Authenticator sopii hyvin
Microsoftin sekä useimpien muidenkin
verkkopalvelujen kaksivaiheiseen
varmistukseen.
▪ Kaksi kirjautumisen varmistustapaa:
1) Vaihtuva kertakäyttökoodi
2) Hyväksy kirjautuminen –kysymys
▪ Huom. Ota palvelukohtainen palautuskoodi
talteen, kun kytket varmistuksen päälle.
▪ Android-versio Google Playssä:
https://play.google.com/store/apps/detail
s?id=com.azure.authenticator
▪ iOS-versio AppStoressa:
https://apps.apple.com/us/app/microsoft
-authenticator/id983156458
Kuvakaappaukset: Microsoft Authenticatorin Google Play –kauppasivu (20.3.2023)
Lisätietoa: https://support.microsoft.com/fi-fi/account-billing/microsoft-authenticator-sovelluksen-lataaminen-ja-asentaminen-351498fc-850a-45da-b7b6-27e523b8702a
84

85. Tietosuojarikkomukseen reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden
havainnoista on hyötyä jatkotutkinnalle.
4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet,
yhteystiedot, arkaluontoiset ja salassa pidettävät jne.
Rekisterinpitäjä ja tietosuojavastaava:
▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.
▪ Anna ohjeita, miten välttää ikäviä seurauksia.
85

86. 86
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!