2. “
Perustuslain 10 §:
Jokaisen yksityiselämä, kunnia ja kotirauha
on turvattu. Henkilötietojen suojasta
säädetään tarkemmin lailla.
Kirjeen, puhelun ja muun luottamuksellisen
viestin salaisuus on loukkaamaton.
2
Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
4. Mikä on EU:n yleinen tietosuoja-asetus?
1. Suojaa ihmisten perusoikeuksia ja -vapauksia,
erityisesti henkilötietoja
2. Suojaa henkilötietojen vapaata liikkuvuutta ja
yhdenmukaista sääntelyä EU:n sisällä
3. Sovelletaan osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä henkilörekistereihin.
4
5. Mitä yleisen tietosuoja-asetuksen
vaatimukset eivät koske?
▪ Yksinomaan manuaalisesti
käsiteltäviä henkilötietoja, jotka eivät
muodosta rekisteriä
▪ Henkilötietojen käsittelyä, jota
yksityishenkilöt tekevät yksinomaan
henkilökohtaisessa tai kotitalouttaan
koskevassa toiminnassa
▪ Henkilötietojen käsittelyä
journalistisen, akateemisen,
taiteellisen tai kirjalliseen ilmaisun
tarkoituksia varten (ei sovelleta
useimpia GDPR:n vaatimuksia)
5
7. Henkilötunnus
Henkilötunnusta saa käsitellä:
▪ Rekisteröidyn suostumuksella
▪ Jos käsittelystä säädetään laissa
▪ Laissa säädetyn tehtävän suorittamiseksi
▪ Rekisteröidyn tai rekisterinpitäjän
oikeuksien ja velvollisuuksien
toteuttamiseksi, esim. työsuhteessa
▪ Historiallista tai tieteellistä tutkimusta tai
tilastointia varten
Henkilötunnusta ei tule merkitä
tarpeettomasti asiakirjoihin.
Henkilötunnusta ei ole tarkoitettu
henkilöllisyyden varmistamiseen.
7
Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet
010150-113X
8. Erityiset eli arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on
pääasiassa kielletty ilman henkilön
suostumusta tai laista tulevaa perustetta.
▪ rotu tai etninen alkuperä
▪ poliittiset mielipiteet
▪ uskonnollinen tai filosofinen vakaumus
▪ ammattiliiton jäsenyys
▪ terveyttä koskevat tiedot
▪ seksuaalinen suuntautuminen tai
käyttäytyminen
▪ geneettiset ja biometriset tunnistetiedot
8
10. Henkilötietojen käsittelylle tulee olla laillinen peruste
▪ Henkilön suostumus
▪ Sopimus, jossa rekisteröity on osapuolena
▪ Rekisterinpitäjän lakisääteinen velvoite
▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne)
▪ Julkisen tehtävän hoitaminen tai yleinen etu
▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
(esim. asiakassuhde tai työsuhde)
10
11. Suostumuksen antaminen
11
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
▪ Suostumukset ja luvat tulee dokumentoida sekä tarkistaa vuosittain.
▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
12. Kenellä on vastuu tietosuojasta?
12
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.
13. GDPR:n mukaiset selosteet
1. Seloste käsittelytoimista
▪ ”Rekisteriseloste”
▪ Organisaation sisäinen (ei-julkinen)
▪ Pakollinen yli 250 hengen
organisaatioissa ja mm. silloin, kun
henkilötietojen käsittely on jatkuvaa
▪ Kattaa kaiken henkilötietojen
käsittelyn organisaatiossa
▪ Henkilötietojen käsittelyn
osoitusvelvollisuuden perusta
▪ Yleensä tietosuojavastaava ylläpitää
2. Rekisteröityjen informointi
▪ ”Tietosuojaseloste”
▪ Julkinen / oltava saatavilla
tilanteessa, jossa henkilötietoja
saadaan, tai toimitettava
rekisteröidylle kk:n sisällä
▪ Tarkoittaa kaikkea rekisteröidyille
kerrottavaa tietoa h.t. käsittelystä
▪ Voi kattaa kaikki eri rekisterit tai olla
rekisterikohtainen
▪ Sisältää myös rekisteröityjen oikeudet
13
14. Informointivelvollisuus =
rekisteröidyn oikeus saada läpinäkyvää
tietoa henkilötietojen käsittelystä
14
Lisätietoa: TSV, Rekisteröidyn informointi, https://tietosuoja.fi/rekisteroidyn-informointi
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja ´sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
16. Tietosuojalaki 35 §: vaitiolovelvollisuus
16
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
17. Sopimus henkilötietojen käsittelystä
17
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
▪ Merkitys = käsittelijä toimii rekisterinpitäjän
lukuun JA tämän vastuulla(!)
▪ Sopimuksessa vahvistetaan:
▪ käsittelyn kohde, kesto, luonne ja tarkoitus,
▪ rekisteröityjen ryhmät ja tietojen tyypit,
▪ rekisterinpitäjän velvollisuudet ja oikeudet.
▪ Erityisesti tulee sopia, että käsittelijä:
▪ käsittelee tietoja ohjeiden mukaisesti,
▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset
turvallisuudesta,
▪ ei käytä toisia käsittelijöitä ilman lupaa,
▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet,
▪ lopuksi poistaa tai palauttaa tiedot,
▪ antaa tarvittavat tiedot osoitusvelvollisuudesta,
▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
19. Tietosuojaperiaatteet
19
▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
▪ Käyttötarkoitussidonnaisuus
▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
▪ Tietojen minimointi
▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
▪ Tietojen täsmällisyys
▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus
▪ Tietojen säilytyksen rajoittaminen
▪ Tietoja säilytetään vain tarvittavan ajan
▪ Tietojen eheys ja luottamuksellisuus
▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
▪ Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
20. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
20
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste
21. Esimerkkejä käsiteltävistä henkilötiedoista
21
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Hekilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
23. Ohjeita henkilötietojen käsittelyyn
23
▪ Tietoja ei saa käyttää mihin tahansa.
▪ Työntekijä saa käsitellä vain hänen
työtehtäviinsä liittyviä henkilötietoja.
▪ Henkilötietoja ei näytetä tai kerrota sivullisille.
▪ Henkilötietoja ei julkaista tai luovuteta ilman
suostumusta tai laista tulevaa perustetta.
▪ Tietojen säilytyksessä noudatetaan fyysistä
tietoturvaa: valvotaan tiloja ja laitteita.
▪ Tietojärjestelmissä käytetään henkilökohtaisia
tunnuksia sekä huolehditaan käyttöoikeuksista
ja seurannasta (lokit).
▪ Työnantaja huolehtii henkilötietojen käsittelyn
ohjeistuksesta, koulutuksesta ja
vaitiolovelvollisuudesta työntekijöille.
24. Salassa pidettävät asiakirjat etätyössä
▪ Vie salassa pidettävää paperiaineistoa kotiin vain, kun välttämätöntä.
▪ Säilytä salassa pidettäviä papereita/tietoja lukitussa tilassa, kaapissa tai muussa tilassa.
▪ Älä jätä salassa pidettävää paperiaineistoa tai henkilötietoja muiden nähtäville tai
saataville.
▪ Palauta salassa pidettävät paperit työpaikalle heti, kun niiden säilyttäminen
etätyöpisteessä ei ole enää välttämätöntä.
▪ Vältä salassa pidettävien tai luottamuksellisten tietojen tulostamista tai tallentamista
työpaikan ulkopuolella säilytettäville tietovälineille.
▪ Huolehdi tulosteiden ja tietojen asianmukaisesta käsittelystä sekä tarvittaessa
hävittämisestä.
Lähteen mm. OpiTietosuojaa.fi, 2020,
https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf
24
25. Henkilötiedot puheluissa
25
Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus
▪ Henkilö on tunnistettava puhelussa, jos
käsitellään hänen henkilötietojaan.
▪ Vahva tunnistaminen:
1) jotain mitä olet (nimi, HETU)
2) jotain mitä sinulla on (puh.nro, s.postiosoite)
3) jotain mitä tiedät (salasana, asiakastiedot)
▪ Puhelujen nauhoittaminen on sallittua, kun
rekisterinpitäjällä on käsittelyyn oikeusperuste,
esim. asiakassuhteessa rek. pit. oikeutettu etu.
▪ Henkilötietojen käsittelystä on informoitava.
Esimerkiksi nauhoituksesta on kerrottava.
▪ Puhelussa voidaan kertoa, mistä
tietosuojaseloste on luettavissa (nettisivut),
lukea se ääneen tai se voidaan lähettää
esimerkiksi sähköpostitse.
26. Tietosuoja viesteissä
26
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset
sähköpostilaatikot
ja tietoturva kunnossa
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Omien laitteiden ja niissä olevien sovellusten
käyttö työnantajan ohjeistuksen mukaan.
27. Viestinnän luottamuksellisuus
27
▪ Viestintä on perustuslain 10 §:n perusteella luottamuksellista.
▪ Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat luottamuksellisen viestinnän
piiriin.
▪ Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea.
▪ Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän
sähköpostiosoitteeseen edellyttää tämän suostumusta.
▪ Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän palveluista, 136 §):
▪ Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi
esim. kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun
yksityisyyttä.
▪ Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen
suostumuksella tai jos laissa niin säädetään.
▪ Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei
ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai
käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta
▪ Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka oikeudettomasti 1) avaa toiselle
osoitetun … taikka 2) hankkii tiedon..
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 18.6.2020,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja+2020-+Tietosuojavaltuutetun+toimisto.pdf
29. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa
29
▪ Käytä vain organisaation sallimia sovelluksia.
▪ Toimita kutsu henkilökohtaisesti osallistujille.
▪ Informoi osallistujia henkilötietojen käsittelystä.
▪ Varmista huoneessa olijoiden henkilöllisyys.
▪ Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä.
▪ Varmista esittäjien osaaminen etukäteen.
▪ Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone.
▪ Suojaa tallenne ja huolehdi sen tietosuojasta.
31. Tietoturva vaarantuu etätöissä
31
Lähde: Tessian, 2020,
https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa)
”Kyberturvayhtiö Tessianin tutkimuksen mukaan
52 prosenttia kotona työskentelevistä sanoo
syystä tai toisesta kiertävänsä yrityksen
tietoturvan käytäntöjä.”
Syitä:
▪ Etätyössä käytetään eri laitteita kuin
työpaikalla (50 %)
▪ Etätyössä ei koeta olevan IT-osaston
valvonnassa (48 %)
▪ Työhön tulee häiriöitä mm. perheenjäsenten
vuoksi (47 %)
▪ Työhön liittyvä aikataulupaine (39 %)
32. Kännyköiden tietoturva
• Päivittämätön laite tai sovellus on aina riski.
• Käytä PIN-koodia, salasanaa, sormenjälkeä tms.
• Asenna vain turvallisiksi tietämiäsi sovelluksia.
• App Storen sovellustarjontaa valvotaan
tarkemmin kuin Google Playn.
• Käytä vain turvallisiksi tietämiäsi WLAN-verkkoja.
• Käytä laitteen paikantamista häviämisen varalta.
• Käytä sovelluksissa kaksivaiheista kirjautumista,
jos sellainen on tarjolla.
• Jos säilytät työhön liittyviä tiedostoja
kännykässä, salaa tallennustila/muistikortti.
• Jos laitteeseen tai sovelluksen ei saa enää
päivityksiä, lopeta sen käyttö.
• Tyhjennä vanha kännykkä.
33. Työnantajan laitteet ja ohjelmat
33
▪ Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
▪ Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
▪ Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
▪ Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
▪ Työpuhelimeen ei tulisi tallentaa
henkilökohtaisen elämän tietoja.
▪ Työpuhelut hoidetaan niin, että sivulliset eivät
kuule niitä.
34. Hyvä salasana
▪ Mieluummin salalause kuin -sana!
▪ Vähintään 8, mielellään 15 merkkiä
▪ Sisältää kirjaimia, numeroita ja
erikoismerkkejä
▪ Ei ole nimi, sana tai päivämäärä
▪ Ei ole arvattavissa
▪ Ei ole käytössä muualla
▪ Käytä kaksivaiheista todennusta aina,
kun mahdollista!
34
35. Milloin on syytä epäillä haittaohjelmaa?
▪ Laite hidastuu ilman selvää syytä.
▪ Laitteelle ilmestyy yllättäen uusia ohjelmia.
▪ Laite alkaa näyttää mainoksia, nettiselaimen
aloitussivu vaihtuu tai muuta yllättävää.
▪ Tuttavasi saavat sinulta roskapostia.
▪ Verkkoyhteys siirtää dataa, vaikka et käytä
nettiä ja päivityksiä ei ole latautumassa.
▪ Windows 10: Asetukset → Verkko &
internet → Datan käyttö
▪ Applen tietokoneissa: Ohjelmat →
Lisäohjelmat → Järjestelmän valvonta ja
▪ Iphone ja iPad: Asetukset → Mobiiliverkko
▪ Muut kännykät: Asetukset → Datan käyttö
35
Lisätietoa: https://yle.fi/aihe/artikkeli/2019/06/02/digitreenit-kirotut-haittaohjelmat-kuinka-tunnistaa-onko-kone-saastunut
36. WLAN-tukiasemien turvallisuus
1. Käytä WPA2-salausta ja pitkää salasanaa.
▪ Päivitä tarvittaessa verkkokorttisi ajuri WPA2-yhteensopivaksi.
▪ Älä käytä vanhaa WEP- tai WPS-suojausta.
▪ Tukiaseman nimen piilottaminen ei paranna sen tietoturvaa.
2. Muuta WLAN-tukiasemasi hallintapaneelin asetuksia vain kaapeliyhteyden kautta. Voit
estää sen käytön langattoman verkon kautta.
3. Vaihda WLAN-tukiaseman hallintapaneelin käyttäjätunnus ja salasana. Hyökkääjä voi
saada tietoonsa tehdasasetuksena olevan tunnuksen ja siihen liitetyn salasanan.
4. Tee tukiaseman ohjelmiston päivitykset viipymättä.
5. Seuraa verkon käyttöä tuntemattomien käyttäjien (laitteiden) varalta.
36
37. VPN-yhteys salaa nettiliikenteen
▪ VPN-yhteydellä nettiliikenne kulkee salattuna
palveluntarjoajan palvelimen kautta.
▪ VPN estää oikean IP-osoitteen ja sijainnin
näkymisen verkkopalveluille.
▪ Käytä työasioissa vain työnantajan VPN-yhteyttä
ja hyväksyttyjä sovelluksia.
▪ Kuluttajille sopivia VPN-palveluita:
▪ ProtonVPN, https://protonvpn.com/
▪ Opera-nettiselain sisältää VPN:n,
http://www.opera.com/fi
▪ F-Secure Freedome, https://www.f-
secure.com/en/web/home_global/freedome
Lisätietoa ja kuva: https://www.cloudflare.com/learning/access-management/what-is-a-vpn/
37
38. Tietosuojarikkomukseen reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden
havainnoista on hyötyä jatkotutkinnalle.
4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet,
yhteystiedot, arkaluontoiset ja salassa pidettävät jne.
5. Ilmoita tietosuojavaltuutetun toimistolle:
https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
6. Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. Anna
ohjeita, miten välttää ikäviä seurauksia.
38
40. Kunnan viestinnän lakiperuste
▪ Kunnan viestintä perustuu kuntalain 29 §:ään. Joistakin asiakirjoista säädetään erikseen.
Lisäksi on huomioitava mm. julkisuuslaki, hallintolaki, tietosuojalaki ja tietenkin GDPR.
Lähde: Kuntalaki, https://www.finlex.fi/fi/laki/alkup/2015/20150410
40
41. Rekisterissä olevien henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä
▪ Asiakkaat
▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja.
▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu.
▪ Työntekijät
▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot.
▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta, esim. tarve olla tavoitettavissa.
▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa.
▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta.
Voidaan sanoa, että henkilö ei ole paikalla.
▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai
irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio)
41
42. Rekisteriä saa käyttää vain sen käyttötarkoituksiin!
42
▪ Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
43. Viranomaisen henkilötietorekisterin tietojen anto
▪ Vaikka rekisterissä olevat tiedot
olisivat julkisia, niitä ei voi antaa
kenelle tahansa.
▪ Rekisterinpitäjän on arvioitava
riskit, jos tietoja julkaistaan.
▪ Ei tietojen massajulkaisua
esimerkiksi nimi ja HETU.
▪ Viranomaisen rekisterissä olevia
henkilötietoja saa antaa, jos:
▪ 1) Kyse ei ole salassa pidettävistä
tiedoista tai jokin muu laki ei estä
luovutusta
▪ 2) Saajalla on oikeus käyttää kyseisiä
tietoja (esim. yksityishenkilö)
▪ Henkilötunnusta ei tule tällöinkään
merkitä tarpeettomasti.
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
43
44. Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn suostumusta
Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017,
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain
44
Taiteellinen, kirjallinen,
akateeminen tai
journalistinen sisältö
Julkinen
henkilötieto
Ei-julkinen
henkilötieto
(esim. salainen
puh.nro)
Erityiset ja
arkaluontoiset
henkilötiedot
Salassa pidettävät
tiedot ja asiakirjat
Suullisesti tai
paikanpäällä
näytettynä
Kyllä Kyllä
Ei ilman rekisteröidyn suostumusta tai
laista tulevaa nimenomaista perustetta.
Sähköisesti,
kopiona tai
tulosteena
Kyllä Kyllä, jos saajalla on
oikeus käsitellä
henkilötietoja
Suojattuna
sähköisesti
(turvasähköposti
tai turvallinen
asiointikanava)
Kyllä Kyllä, jos saajalla on
oikeus käsitellä
henkilötietoja
Julkisesti
(netti, some,
ilmoitustaulu)
Kyllä Ei.
Mahdollista
tapauskohtaisesti
tiedottamisessa,
esityslistoissa ja
pöytäkirjoissa.
45. Kunnan viestintävelvollisuus ja kokousasiakirjat
45
▪ Yksityiselämän suoja on perustuslain nojalla kuntalain viestintävelvollisuutta
painavampi. Tämä on huomioitava, kun julkaistaan henkilötietoja verkossa.
▪ Mitään salassa pidettäviä tai arkaluontoisia tietoja ei saa julkaista.
▪ Vaikka asiakirjat tai tiedot ovat julkisia, täytyy ne arvioida yksityisyyden suojan kannalta.
▪ Julkisiakaan henkilötietoja ei saa tarpeettomasti julkaista verkossa.
▪ Henkilörekisteritietojen sähköinen luovuttaminen edellyttää suostumusta tai
lakiperustetta.
▪ Kunnan viestintävelvollisuutta ja tietosuojaa arvioidaan tapauskohtaisesti.
▪ Yksityishenkilöiden tietoja ei yleensä ole syytä julkaista esityslistoissa, pöytäkirjoissa tai
muussa viestinnässä.
▪ Esimerkiksi kunnan keskeisiin virkoihin liittyy selvä tiedottamisintressi, jolloin hakijoiden
henkilötietoja (nimi, koulutus, aiempi kokemus ym.) voidaan julkaista.
▪ Kunnan ilmoituksissa (kuulutukset, vaaliasiat, kaavoituksen tiedoksiannot)
välttämättömät henkilötiedot voivat olla verkossa yleensä 14 vuorokautta.
Lähteet: Kuntaliitto, Kuntaviestinnän opas, 2016, http://shop.kuntaliitto.fi/download.php?filename=uploads/viestintaopas_ebook.pdf Kuntaliiton yleiskirje 15/2017:
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
46. Päätösten/pöytäkirjojen henkilötiedot pidetään verkossa vain muutoksenhakuajan
46
Lähde: Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain#henkilotiedot-ja-
verkkotiedottaminen
▪ Päätösten/pöytäkirjojen osana
julkaistaan verkossa vain
välttämättömät henkilötiedot.
▪ Pöytäkirjan henkilötiedot
voidaan julkaista verkossa
vasta tarkastamisen jälkeen.
▪ Kunnallisten toimielinten
pöytäkirjan sisältämät
henkilötiedot on yleensä
poistettava verkosta
oikaisuvaatimus- tai valitusajan
päättyessä.
▪ Henkilötietojen pito verkossa
pidempään voi perustua
kunnan tiedottamisintressiin
(yleinen merkittävyys).
▪ Henkilötietoja sisältävät
kokousasiakirjat on hyvä
poistaa verkosta viimeistään
vuoden kuluttua.
47. Valokuvat ja videot
47
▪ Tunnistettavan henkilökuvan julkaisuun on
yleensä syytä pyytää lupa.
▪ Jokaisen on katsottu omistavan persoonansa
ns. kaupalliset oikeudet.
▪ Valokuvan tai videon tekijänoikeudet tai
lähioikeudet ovat kuvaajalla. Kuvan julkaisulle
tarvitaan tekijän lupa.
▪ Kuvan julkaisun voi estää esim. kotirauha,
yksityisyyden suoja tai kuvassa näkyvän
teoksen tekijänoikeudet.
▪ Jonkun muun julkaiseman kuvan levittäminen
voi olla kiellettyä esim. tekijänoikeuksien tai
sen loukkaavuuden takia.
⬞ Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja kuvia ei saa
levittää.
48. Kysymys: kuvat ja videot tapahtumista
48
▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
▪ Esimerkiksi koulun tapahtuma tai julkisessa tilassa oleva esitys ei ole yksityinen tilaisuus, joten
kuvaaminen on lähtökohtaisesti sallittua.
▪ Jos alaikäisistä henkilöistä otetaan kuvia koulun/kunnan toimesta ja ne julkaistaan verkossa, on
tähän pyydettävä luvat huoltajilta.
▪ Kunta ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien
julkaisusta, eikä sillä ole oikeutta sitä kieltää.
▪ Kuvien julkaisua säätelee eri lait. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja
kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu toimituksellisessa
tarkoituksessa on sallittua.
• Miten kunnat saavat julkaista yksityishenkilöiden kuvia ja videoita omilla
nettisivuillaan ja somekanavissaan?
• Voiko julkisesta tilaisuudesta ottaa kuvaa?
• Pitääkö jokaiselta kuvassa olijalta pyytää kirjallinen kuvauslupa?
50. Kuntien käyttämät somepalvelut
Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa)
50
51. Somekanavien tietosuojan
koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin asiakasrekistereihin
somepalvelut liittyvät?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon
kanavina?
Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa,
https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020)
51
52. Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
52
▪ Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
▪ Jos mahdollista, linkitä
tietosuojaseloste
▪ Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
▪ Mitä muita (turvallisempia) tapoja
asiakkailla on yhteydenottoon?
53. Facebook-sivun ylläpitäjän asema
▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja
analytiikkatyökalujen yhteydessä.
▪ Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018.
▪ Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta):
https://www.facebook.com/legal/terms/page_controller_addendum#
▪ Käytännön toimenpiteet:
▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
53
54. Henkilötietojen käsittely somepalveluissa
54
▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen?
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Henkilötietoja ei saa julkaista tai luovuttaa
ilman suostumusta tai lakiperustetta.
▪ Muista informointi, jos somea käytetään
yhteydenpitoon tai tietojenkeruuseen.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Tarvittaessa ohjataan muihin asiointikanaviin.
▪ Miten rekisteröity tunnistetaan somessa?
▪ Suostumusten ja pyyntöjen dokumentointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto.
55. Erota oma ja ulkopuolinen rekisteri
55
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(toinen rekisterinpitäjä tai
henkilötietojen käsittelijä)
Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle
tai verkkopalvelulle vain, jos
1) on sopimus henkilötietojen käsittelystä
2) tai luovutukseen on saatu rekisteröidyn suostumus.
Ulkopuolista verkkopalvelua voidaan
käyttää viestintään rekisteröityjen
kanssa myös silloin, kun aloite tulee
rekisteröidyltä. Tätä voidaan pitää
suostumuksena ko. palvelun käyttöön.
Jos henkilötietoja kerätään
ulkopuolisen palvelun kautta, siihen
tulee olla oikeusperuste. Samalla
pitää hoitaa informointivelvollisuus.
56. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
56
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
57. Google on netin isoin datankerääjä
Kuva: DuckDuckGo, 15.3.2021,
https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw
57
58. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
58
60. Muista salassapito julkisessa someviestinnässä
60
Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017,
https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
▪ Vaikka rekisteröity itse kertoisi
henkilötietoja julkisesti, täytyy
organisaation ottaa huomioon
tietosuoja- ja
salassapitomääräykset.
62. Henkilötiedot verkko- ja pilvipalveluissa
62
Huom. taulukko on esimerkinomainen, tarkista aina organisaation tekemät linjaukset!
Organisaation omat
verkkosovellukset ja
asiointikanavat
(esim. Wilma)
Organisaation
hallinnoimat
pilvipalvelut
(0365/Teams, G Suite,
Howspace jne.)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot eivät näy
julkisesti (esim.
WhatsApp)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
näkyvät julkisesti
(esim. Padlet)
Käyttäjätunnukset Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Jokainen käyttäjä
rekisteröityy itse tai
pääsee jakolinkin kautta
Jokainen käyttäjä
rekisteröityy itse tai
käyttö ilman tunnusta
Mitä on huomioitava
henkilötietojen käsittelyssä?
Palvelun käyttö tulee
huomioida
rekisteröityjen
informoinnissa
Palvelun käyttö tulee
huomioida
rekisteröityjen
informoinnissa
Rekisteröityjen
informointi ja
suostumus palvelun
käyttöön, jos
tallennetaan
henkilötunnuksia
Rekisteröityjen
informointi ja
suostumus palvelun
käyttöön, jos
tallennetaan
henkilötunnuksia
Käyttö etätyöskentelyyn
(julkisten materiaalien jako,
keskustelu ym.)
Ok Ok Ok Vain julkisiksi
tarkoitetut materiaalit
Asiakkaiden toimittamat
materiaalit (ei henkilötietoja)
Ok Ok Ok Vain julkisiksi
tarkoitetut materiaalit
Tavall. henkilötietojen tallennus
(esim. spostiosoite tai puh.nro)
Ok Ok / tarkista
organisaation ohjeistus
Ei ilman rekisteröityjen
suostumusta
Ei
Muut salassa pidettävät tiedot
(esim. terveys ja erityinen tuki)
Vain jos nimenomaisesti
sallittu organisaatiossa
Ei Ei Ei
63. Organisaatioiden sisäisesti käyttämät viestintä-, some- ja pilvipalvelut
Lähde: North Patrol, Intranet ja digitaalinen työympäristö 2020 -selvitys,
https://www.slideshare.net/NorthPatrol/intranet-ja-digitaalinen-tyymprist-2020-selvityksen-tulokset/16 (N=111 vastaajaorganisaatiota, yli puolet kunnallisia tai julkisia organisaatioita)
63
Microsoft Teams Etäkokous ja työtilat 85 %
Microsoft O365 SharePoint Työtilat/intranet 52 %
Yammer Keskustelu ja tiedonjako 52 %
WhatsApp Keskustelu ja tiedonjako 37 %
Confluence Wikialusta 23 %
Zoom Etäkokous 22 %
Slack Keskustelu ja tiedonjako 21 %
Trello Projektinhallinta 20 %
Moodle Verkkokoulutus, tiedonjako 19 %
Google Drive Tiedostojen pilvitallennus 16 %
M-Files Tiedostojen pilvitallennus 15 %
Facebookin suljetut ryhmät Keskustelu ja tiedonjako 14 %
64. Kysymys: Teamsin käyttö hankkeissa
64
▪ Rekisterinpitäjän tulee suunnitella henkilötietojen käsittely etukäteen. Tähän sisältyy mm.
informointivelvollisuudesta huolehtiminen, esim. tietosuojaselosteen laatiminen.
▪ Selvitä, muodostaako Teamsiin luotava tiimi uuden rekisterin vai sisältyykö se johonkin
olemassa olevaan rekisteriin. Kysy tarvittaessa apua organisaation tietosuojavastaavalta.
▪ Teamsin sisäiset tiimit liittyvät organisaation henkilöstörekisteriin.
▪ Teamsin tiimit, joihin kutsutaan organisaation ulkopuolisia, ovat yleensä:
▪ Asiakasrekistereitä
▪ Yhteistyökumppaneiden rekistereitä
▪ Hankkeiden osallistujien rekistereitä
▪ Oikeusperusteena voi olla rekisterinpitäjän oikeutettu etu, sopimus tai suostumus.
▪ Linkitä tietosuojaseloste Teamsiin tai lähetä se etukäteen Teamsiin liittyville.
• Pitäisikö Teamsiin liittymisen yhteydessä pyytää suostumus, että henkilön nimi
ja yhteystiedot voidaan jakaa muiden tiimissä olevien kesken?
• Voidaanko lähteä siitä, että hankkeen Teamsiin ei voi liittyä anonyymisti?
65. Kysymys: kuvat, videot ja etätilanteiden tallenteet
65
▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä
näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.
▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.
▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee
siihen pyytää suostumus.
▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä
opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.
▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.
▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.
▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä tiedottaa opiskelijoille.
• Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää
niitä opetusryhmän kesken?
• Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista?
• Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
66. WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
→ Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
67. Kysymys: sijaisryhmä WhatsAppissa
67
▪ WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.
▪ Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota,
sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
▪ WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).
▪ Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.
▪ Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa
vaikutustenarviointi.
▪ Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä
yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.
▪ Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset
WhatsAppin käyttöön.
▪ Tarvittaessa oma rekisteri ja tietosuojaseloste.
Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
• Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi
sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
68. Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan
▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä?
▪ Mitkä ovat työvälineen oletusasetukset ja ominaisuudet?
▪ Minkälaista tietoa työvälineessä halutaan käsitellä?
▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia?
▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille?
▪ Luovuttaako työväline tietoja kolmansille osapuolille?
▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen tai julkisiin
tapahtumiin?
▪ Käytetäänkö työvälinettä organisaation sisäiseen työskentelyyn?
▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin?
▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä?
▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on?
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
68
69. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
69
70. Ryhmätyö- ja tiedostonjakopalvelujen ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
70
71. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
71
▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle,
jotta tietoja antavat henkilöt voivat tutustua siihen.
▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
oppijoiden henkilötietojen käsittelyssä.
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
72. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.a
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä henkilöiden tunnistetietoja, jolloin
siirrettävät tiedot eivät ole enää henkilötietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa!
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
▪ Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
72
74. “
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
74
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
75. Pitääkö Suomessa pyytää lupa evästeiden käytölle?
Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan, 3.9.2020,
https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/
75
• Monet verkkosivut käyttävät evästeitä, esim.:
– Kirjautuminen sivustolle ja valinnat sivustolla
– Google Analyticsin kävijäseurantakoodi
– Googlen AdWordsin sivustotagi/markkinointipikseli
– Facebook-mainonnan pikseli
– Facebookin tykkäysnappula tai kirjautuminen
– Chat-palvelujen evästeet
• EU:n sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjille 1) tulee kertoa evästeiden
käytön tarkoituksesta, 2) annettava mahdollisuus kieltäytyä ei-välttämättömistä evästeistä.
• Tietosuojavaltuutetun toimiston linjauksen mukaan ei-välttämättömille evästeille tarvitaan
GDPR:n mukainen suostumus tai muu oikeusperuste henkilötietojen käsittelylle (esim. sopimus).
• Lisäksi on huomioitava EU:n tietosuojaneuvoston ohjeet:
– Evästeiden käytöstä kieltäytyminen ei saa aiheuttaa käyttäjälle haittaa.
– Sivustoa on päästävä käyttämään normaalisti myös ilman evästeiden hyväksyntää.
– Kieltäytyminen tai suostumuksen peruminen tulee olla yhtä helppoa kuin sen anto.
– Suostumuksen peruminen tulee olla mahdollista rekisterinpitäjän omassa verkkopalvelussa.
76. Google Analytics -kävijäseuranta ja GDPR
Lähteet: Google Analyticsin käyttöehdot, https://marketingplatform.google.com/about/analytics/terms/fi/, Google analyticsin ohjeet, https://support.google.com/analytics/answer/6004245?hl=fi, Miten Google
käyttää dataa: https://policies.google.com/technologies/partner-sites, Lisätietoa: https://www.cpomagazine.com/data-privacy/the-case-against-google-analytics-for-organizations-collecting-personal-data/
76
▪ Google Analyticsin dataa käytetään mm. mainosten
kohdentamiseen.
▪ Käyttöehdot edellyttävät kertomaan seurannasta.
▪ Ehdot vaativat suostumuksen pyytämistä evästeille,
”kun laki edellyttää”.
▪ Google on Google Analyticsin datan käsittelijä.
Tämä on otettava huomioon tietosuojaselosteessa.
▪ Googlen datansiirroista on tehty useita valituksia.
77. Markkinointi ja asiakasviestintä GDPR:n kannalta
77
▪ Sähköinen suoramarkkinointi kuluttajille: suostumus (opt-in)
▪ Sähköinen suoramarkkinointi esim. sähköpostit, tekstiviestit ym.
▪ Suostumuksen pitää olla selvä etukäteen. Mahdollisuus kieltoon ei riitä.
▪ Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos
▪ markkinoinnissa käytetään automaattista profilointia
▪ tietoja luovutetaan muille tahoille (esim. Facebook tai Google)
▪ Perinteinen ja B2B-suoramarkkinointi: rekisterinpitäjän oikeutettu etu
▪ Perinteinen (”osoitteeton”) suoramarkkinointi puhelimitse ja postitse
▪ B2B-markkinointi esim. yritysten yhteyshenkilöille, mutta aseman oltava varma.
▪ Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus.
▪ Tiedotus: rekisterinpitäjän etu, lainmukaiset tehtävät tai muu peruste
▪ Asiakassuhteen aloittamiseen, lopettamiseen tai sopimukseen liittyvä viestintä
▪ Muut asiakkaan käyttämiin palveluihin ja tuotteisiin liittyvät asiat ja tiedotteet
▪ Mieti vastaanottajan näkökulmasta, onko kyse markkinoinnista vai muusta
▪ Mainitse markkinointiviestien yhteydessä tietosuojaseloste ja miten voi kieltäytyä viesteiltä.
▪ Tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat.
78. Monet organisaatiot vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalgoritmin avulla.
Voit tarkistaa tietosi
Facebookin asetusten
Mainokset-kohdasta:
https://www.facebook.com/d
s/preferences/?entry_product
=account_settings_menu&exp
and_ad_settings=1
78
79. Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa…
Lähde: Tietosuojavaltuutetun toimisto,
https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020)
79
80. 80
Facebookin
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
synt.aika, kaupunki, laitetunniste ym.
Googlen
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Markkinointi manuaalisesti
valituille kohderyhmille.
Markkinoinnissa käytetään profilointia ja autom. päätöksiä → suostumus! Ei profilointia
Twitterin
räätälöidyt yleisöt
Sähköposti, laitetunniste,
Twitter-tunnus, Twitter-ID
Datan
kerääjät,
hallinnoijat ja
myyjät
LinkedInin
vastaavat yleisöt
Nimi, sähköposti,
laitetunniste, yritys, ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
81. GDPR-muistilista somemainostajalle
▪ Rekisterinpitäjä on vastuussa, jos se luovuttaa
henkilötietoja mainosalustalle.
▪ Mainostaja on aina vastuussa, vaikka mainonta
annettaisiin toisen tahon tehtäväksi.
▪ Organisaatiolla pitää olla oikeusperuste, joka
mahdollistaa tietojen käytön sähk. markkinoinnissa.
▪ Yksityishenkilöt: suostumus tai sopimus
▪ B2B-yhteyshenkilöt: oikeutettu etu
▪ Tietosuojaselosteessa tulee kertoa, mille tahoille
henkilötietoja luovutetaan – ml. henkilötietojen
käsittelijät kuten mainospalvelujen tuottajat.
▪ Profiloinnin käytöstä tulee kertoa rekisteröidyille.
▪ Kerro, miten mainosviesteiltä voi kieltäytyä.
81
Kuva ja lisätietoa: Facebookin GDPR-sivusto, https://www.facebook.com/business/gdpr
Ks. myös Googlen tukimateriaalit mainostajille: https://support.google.com/google-ads/answer/9028179?hl=fi