Webinaari Lapin yliopistolle, 21.9.2017, Harto Pönkä, Innowise

1. Henkilötiedot,
tietosuoja ja
some-palveluiden
käyttöehdot
opetuksessa
Harto Pönkä
21.9.2017

2. Kuka: Harto Pönkä
• Yrittäjä 2001-, luokanopettaja/KM
2008, jatko-opintoja
• Bloggaaja 2006-, kolumnisti,
tietokirjailija, verkostoanalysoija
• Kouluttanut ja konsultoinut sosiaalista
mediaa 2008- mm. opettajille,
yrityksille, yhdistyksille, kaupungeille,
ministeriöille, toimittajille ja
tuomareille
• Aiemmin: Oulun yliopisto, Oppimisen
ja koulutusteknologian
tutkimusyksikkö, 2007-2009
• Tärkeimmät some-palvelut:
Twitter, blogi, SlideShare,
Facebook, WA
Blogi: harto.wordpress.com

3. Aloitetaan uutiskatsauksella…
Kuva: Roman Kraft @ Unsplash

4. Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9291141, https://yle.fi/uutiset/3-9686608, https://yle.fi/uutiset/3-9699803
Iltalehti, http://www.iltalehti.fi/kotimaa/201708292200357302_u0.shtml

5. Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9680945, https://yle.fi/uutiset/3-8002554, https://yle.fi/uutiset/3-9736915
Tivi: http://www.tivi.fi/Kaikki_uutiset/jattimainen-tietovuoto-paljasti-monen-suuren-sivuston-kayttajatiedot-vaihda-salasanasi-naissa-palveluissa-6627758

6. Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9684480, https://yle.fi/uutiset/3-7100385, https://yle.fi/uutiset/3-8596990,
HS: http://www.hs.fi/kotimaa/art-2000005327088.html

7. Yksityisyyden suoja on perusoikeus
Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu.
Henkilötietojen suojasta säädetään tarkemmin lailla.
PeL 10 §
Henkilötietojen luvaton käsittely sekä yksityisyyttä
loukkaavan tiedon levittäminen voivat olla rikoksia.
Kuva: Edvard Isto, 1899 , Hyökkäys

8. 4 artikla
Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen
henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään
luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti
tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen
taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen,
psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Mitä henkilötiedot ovat?

9. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

10. Arkaluontoiset henkilötiedot
9 artikla
Erityisiä henkilötietoryhmiä koskeva käsittely
1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia
mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä
geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja
suuntautumista koskevien tietojen käsittely on kiellettyä.
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN

11. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

12. 4 artikla
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai
henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai
manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä,
säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista
siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai
yhdistämistä, rajoittamista, poistamista tai tuhoamista,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittely

13. 4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri

15. 4 artikla
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisterinpitäjä

16. • Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste
ja se tulee olla jokaisen saatavilla.
• Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §):
– Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
– Henkilötietojen käsittelyn tarkoitus
– Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
– Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai
Euroopan talousalueen ulkopuolelle
– Kuvaus rekisterin suojauksen periaatteista
– Lisäksi rekisterissä mainitaan yleensä sen laatimispäivä sekä viimeisimmän muutoksen
päivämäärä
• Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista,
jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla
selosteella henkilötietolain/tietosuoja-asetuksen mukaisen
informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan.
• Yksityisen henkilön yksityiseen tarkoitukseen tekemä rekisteri kuten kännykän
kontaktilista ei vaadi rekisteriselostetta
Rekisteriseloste ja tietosuojaseloste
Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523

17. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html

18. 4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittelijä

19. Pilvipalveluissa vastuu jakaantuu
Tiedot asiakkaasta
Laskutustiedot
Tiedot käytettävistä palveluista
ja niiden käytöstä
Asiakkaan vastuulla olevien
muiden käyttäjien palveluun
tallentamat tiedot
Mahdolliset muut palvelun
tuottamiseen liittyvät tiedot
Asiakas on rekisterinpitäjä
Muut käyttäjät ovat rekisterinpitäjiä
mahdollisesti luomiinsa rekistereihin
Palveluntarjoaja on henkilötietojen
käsittelijä
Palveluntarjoaja on rekisterinpitäjä
Lisäksi voi olla muita henkilötietojen
käsittelijöitä
Mahdolliset muut rekisterinpitäjät
ja henkilötietojen käsittelijät sekä
valvovat viranomaistahot
Asiakkaan palveluun
tallentamat tiedot

20. • Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen
käsittelyn on oltava tietosuoja-asetuksen mukaista
• Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa
• Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat
rekisterinpitäjiä tai henkilötietojen käsittelijöitä
• Tietosuoja-asetusta sovelletaan automaattiseen henkilötietojen käsittelyyn sekä
henkilötietorekistereihin
• Asetuksessa henkilötiedot on määritelty samoin kuin henkilötietolaissa
• Uutta henkilötietolakiin verrattuna:
– Aiempaa yksityiskohtaisempi
– Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla
– Tietosuojavastaava (pakollinen julkisissa organisaatioissa)
– Pakollinen tietomurroista ilmoittaminen
– Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa)
– Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen
kanssa organisaation (pää-)toimipaikan mukaan
EU:n tietosuoja-asetus (GDPR)
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

21. • Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn
nykytilasta
• Arviointi sisältää esimerkiksi:
– Mitä henkilötietoja organisaation hallussa on
– Miten tietosuojaperiaatteet on otettu huomioon
– Toimintaan liittyvät henkilötietovirrat
– Henkilötietojen käsittelyn oikeusperusteet
– Miten tietoturvasta on huolehdittu
– Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu
• Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks.
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuoj
avaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.pdf
• Mitä muutoksia tietosuoja-asetus aiheuttaa?
• Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen
sisällöstä
Henkilötietojen käsittelyn arviointi
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

22. • Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste
• Henkilötietojen käsittely voi perustua esimerkiksi:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Lakiin
– Julkisen tehtävän hoitamiseen
– Rekisterinpitäjän oikeutettuun etuun (esim. asiakassuhde tai työsuhde)
• Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen
käsittely on lähtökohtaisesti kielletty.
– Mahdollista kuitenkin nimenomaisella suostumuksella
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

23. • Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen
olemassaolo
• Tietosuoja-asetuksen mukaan alle 16-vuotiaalta
tarvitaan huoltajan suostumus henkilötietojen
käsittelylle.
– Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta
– Suomessa ei ole vielä päätöstä ikärajasta, ehdotus 13 tai 15 v.
(Nykyisenä rajana on 15 vuotta.)
Suostumuksen antaminen
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

24. Läpinäkyvyys
tuottaa luottamusta
Kuva: Jack Kaminski @Unsplash

25. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
• Tietojen minimointi
• Tietojen täsmällisyys
• Tietojen säilytyksen rajoittaminen
• Tietojen eheys ja luottamuksellisuus
• Rekisterinpitäjän osoitusvelvollisuus
• Rekisterinpitäjän on…
– Arvioitava, mitä periaatteet tarkoittavat käytännössä
– Huolehdittava periaatteiden toteutumisesta kaikessa henkilötietojen käsittelyssä
– Osoitettava, että periaatteet toteutuvat
• Edellyttää aiempaa tarkempaa suunnittelua ja dokumentointia.
Tietosuojaperiaatteet
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

26. • Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen
kannalta tarpeellisia henkilötietoja
• Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta,
säilytysaikaa ja saatavilla oloa.
• Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei saateta
julkisesti saataville ilman luonnollisen henkilön myötävaikutusta
• Rekisterinpitäjän vastuulla on tehdä tietosuojan kannalta tarpeelliset
toimenpiteet organisaatiossaan. Esimerkiksi:
– Henkilöstön koulutus
– Ohjeistukset ja määräykset
– Salassapitositoumukset
– Tilojen ja tietojärjestelmien valvonta
– Tietojärjestelmien tietoturva
– Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset
– Auditoinnit, tietotilinpäätökset jne.
• Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet.
Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta.
Oletusarvoinen tietosuoja
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

27. Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen.
Tietoturvalla suojataan tietoja
laittomalta käytöltä.
Tietosuojan suojaamisen toimenpiteet
suhteutetaan riskiarvioon tietoturvauhista.

28. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet määräytyvät
riskiperusteisesti
• Se tarkoittaa, että henkilötietojen käsittelyn suojatoimet on suhteutettava
rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin
• Rekisterinpitäjän on aina tehtävä perusteellinen arviointi henkilötietojen
käsittelyyn liittyvistä riskeistä.
• Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti
aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. Esimerkiksi jos
henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen,
taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.
• Riski voi olla korkeampi esimerkiksi:
– Kun käsitellään heikossa asemassa olevien tietoja (esim. lapset)
– Käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti
– Kun käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi
• Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva
vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää
riskiä.
Riskiperusteinen lähestymistapa
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

29. • Tietosuoja-asetuksen myötä organisaatiolla on oltava kyky osoittaa, että
tietosuojaperiaatteita noudatetaan
• Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen
dokumentointia. Myös tietosuojaloukkaukset dokumentoidaan.
• Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla
tai käytännesäännöillä
• Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen
käsittelystä.
• Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava
valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi
tietosuojavirasto).
Osoitusvelvollisuus
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

30. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste)
– Helposti ymmärrettävässä ja saatavilla olevassa muodossa
– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa
enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
– Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä
– Oikeus saada jäljennös henkilötiedoista
– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi
• Oikeus tietojen oikaisemiseen
– Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi
– Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille,
joille se on luovuttanut kyseisiä tietoja
Rekisteröidyn oikeudet 1/2
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

31. • Oikeus käsittelyn rajoittamiseen
– Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu.
– Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta
– Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi
– Jos rekisteröity on vastustanut henkilötietojen käsittelyä
• Oikeus siirtää tiedot järjestelmästä toiseen
– Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa
– Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista
– Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja
jos käsittely tapahtuu automaattisesti.
• Vastustamisoikeus (kielto-oikeus)
– Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten
• Automatisoidut yksittäispäätökset ja profilointi
– Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee
luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös
Rekisteröidyn oikeudet 2/2
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

32. • Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen
käsittelyä organisaatiossa
• Ei vastaa henkilötietojen käsittelyn lainmukaisuudesta (vastuu on johdolla)
• Yhteyshenkilö rekisteröidyille ja valvontaviranomaisille
• Tietosuojavastaava on nimitettävä, kun
– Kyse julkisesta organisaatiosta (poislukien tuomioistuimet)
– Organisaation ydintehtävät muodostuvat henkilötietojen käsittelystä, jotka edellyttävät laajaa
järjestelmällistä seurantaa
– Organisaation ydintehtävät muodostuvat laajasta käsittelystä, joka kohdistuu erityisiin
henkilötietoryhmiin tai rikoksia koskeviin tietoihin
• Tietosuojavastaavan voi nimittää myös vapaaehtoisesti
• Tietosuojavastaava voi olla organisaation jäsen tai ulkopuolinen
• Tietosuojavastaavalta edellytetään riittävää pätevyyttä tietosuojasta, eikä hän
saa vastaanottaa ohjeita muilta tehtäviensä hoitoon.
• Tietosuojavastaavan yhteystiedot on julkaistava ja ilmoitettava
valvontaviranomaiselle
Tietosuojavastaava
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

33. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

34. • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle
• Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on
henkilötietojen
– vahingossa tapahtuva tai lainvastainen tuhoaminen
– häviäminen
– muuttaminen
– luvaton luovuttaminen tai
– pääsy tietoihin
• Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin
kuluessa siitä, kun loukkaus on havaittu
• Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei
todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen
tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

35. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Aiemmin EU-kansalaisten henkilötietojen siirtäminen EU-maista
yhdysvaltalaisiin verkkopalveluihin oli mahdollista, jos palvelun ylläpitäjä oli
sitoutunut Safe harbor -sopimusjärjestelmään, joka takasi henkilötietojen
suojan.
– Päättyi lokakuussa 2015, kun EU-tuomioistuin totesi pätemättömäksi (Schrems-tuomio)
• Neuvottelujen jälkeen luotiin uusi korvaava Privacy shield -järjestelmä
helmikuussa 2016.
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
• Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan
myöhemmin EU-tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut

36. Opetuksen henkilötietorekisterit

37. Koulutoimessa
muodostuvia
rekistereitä
Lähde: OPH, 2013, Julkisuus ja tietosuoja
opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja
_tietosuoja_opetustoimessa.pdf

38. • Henkilötietorekisterin tietojen julkaisu verkkosivuilla tai somepalveluissa
tarkoittaa henkilötietojen sähköistä luovuttamista
• Henkilötietoja (nimi, arvosanat jne.) voidaan julkaista netissä vain oppilaan tai
alaikäisen oppilaan huoltajan suostumuksella
– Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen.
Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen.
• Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun
tarvitaan myös asianomaisen lupa
• Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä.
– Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus
– Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä
– Henkilötunnusta ei pidä julkaista netissä
– Samannimisistä hakijoista voidaan ilmoittaa syntymäaika
• Oppilasta koskevia päätöksiä ja muita tietoja ei saa ilman lupaa:
– Julkaista verkkosivuilla, somepalveluissa tai esimerkiksi kunnan intranetissä
– Lähettää suojaamattomassa muodossa sähköpostilla
Oppilaiden tietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

39. • Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla
vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen
he suostuvat
• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi
antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää
hankkimaan yhteystiedot julkisesta lähteestä.
• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan
suostumusta. Salassapito tulee merkitä oppilasrekisteriin.
• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta
koulu ei ole vastuussa
Yhteystietojen jakaminen koteihin
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

40. Julkisuus ja tietosuoja opetustoimessa – Opas koulujen ja oppilaitosten käyttöön (2013):
http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa

41. Tietosuoja somen opetuskäytössä

42. Valokuvat ja videot
• Valokuvan tai videon
tekijänoikeudet ovat
kuvaajalla
• Tunnistettavien
henkilökuvien julkaisuun
millä tahansa tavalla on
syytä pyytää lupa
• Kuvan julkaisun voi estää
esim. kotirauha,
yksityisyyden suoja,
henkilötietolaki tai kuvassa
näkyvän teoksen
tekijänoikeudet
• Myös kuvan levittäminen
voi olla kiellettyä esim.
tekijänoikeuksien tai sen
loukkaavuuden takia

43. Lähde: https://harto.wordpress.com/2015/12/05/periscope-luokkahuoneessa-opetuksen-julkisuus-vs-yksityisyys-ja-tekijanoikeudet/
Case: Periscope luokkahuoneessa
Päättelyketju:
1. Opetus on julkista (POL)
2. Saat tehdä opetuksesta tallenteita omaan käyttöösi
3. Tallenteen julkistamisessa on otettava huomioon
henkilötietolaki ja tekijänoikeuslaki
4. Opettajan luentoesitys ja opiskelijoiden esitykset
ovat teoksia (Tekijänoik.neuv. lausunto 2006:11)
5. Opetuksessa syntyvän teoksen tallennus on sallittua
tilapäiseen opetuskäyttöön (TekijäL)
6. Teoksesta saa valmistaa kappaleen (kopion) yksityistä
käyttöä varten (TekijäL)
7. Kopioidun teoksen käyttö muuten kuin yksityisesti
vaatii tekijän luvan tai sopimuksen (TekijäL)
Lyhyesti: Oppilaiden koulussa kuvaamat Periscope-videot hyvin todennäköisesti
rikkovat Suomen lakia, jos niiden kuvaamiseen ja levittämiseen netissä ei ole
saatu etukäteen lupaa kaikilta videolähetyksissä esiintyviltä.

44. • Oppilaita opastetaan käyttäjätunnusten ja salasanojen
tekemisessä sekä yksityisyyden suojaamisessa.
• Noudatetaan some-palvelujen käyttöehtoja ja ikärajoja.
• Huolehditaan, että oppijoilla on riittävät tiedot
tekijänoikeuksista.
• Korostetaan hyvää käytöstä, yhteisöllisten toimintatapojen
omaksumista ja toisen kunnioittamista.
• Häiriökäyttäytymistä ja kiusaamista ei hyväksytä.
• Some-palvelujen opetuskäytölle tehdään malli, joka
mahdollistaa oppilaiden osaamisen ja taitojen kehittymisen
turvallisessa ympäristössä.
• Luottamuksellista tietoa ei viedä some-palveluihin.
• Tunnetaan henkilötietoja ja henkilötietorekisterien ylläpitoa
koskevat määräykset.
Somen turvallinen ja eettinen käyttö
Lähde: https://www.oph.fi/saadokset_ja_ohjeet/ohjeita_koulutuksen_jarjestamiseen/lukiokoulutuksen_
jarjestaminen/sosiaalisen_median_opetuskayton_suositukset, 30.3.2012

45. Yksityisyys ja verkkoidentiteetti

46. Rakenna verkkoidentiteettiä harkiten
Kaikki toimintasi netissä jää talteen. Älä julkaise, jos et ole varma.

47. • Nimi ja nimimerkki
• Profiilikuva
• Profiilisivu
• Lyhyt esittely
• Kuvat, tilapäivitykset, viestit
• Kaverit ja verkostot
• = kuva, joka sinusta välittyy
somessa
Verkkoidentiteetti

49. Lähde: ebrand Suomi Oy & Oulun kaupungin sivistys- ja kulttuuripalvelut, Some ja nuoret –kysely, 13-29 –vuotiaat suomalaisnuoret (2013, 2015 ja 2016),
http://www.ebrand.fi/somejanuoret2013/ (N=3214), http://www.ebrand.fi/somejanuoret2015/ (N=2618) ja http://www.ebrand.fi/somejanuoret2016/ (N=5520)

50. Lähde: https://harto.wordpress.com/2016/01/27/sosiaalisen-median-tilannekatsaus-ja-dunbarin-sosiaaliset-piirit/

51. Facebookin yksityisyysasetukset
Yksityisyyden hallinta somepalveluissa

52. • Anonyyminä esiintyminen voi liittyä mm.
heikkoon itsetuntoon, vääristyneeseen
minäkuvaan ja kavereiden puutteeseen
• Anonyymius ei kuitenkaan ole
epäsosiaalisuutta, vaan työkalu
kompensoida omia puutteita
• Anonyymius on myös keino turvata itseään,
henkilöllisyyttään ja toimintaansa verkossa
• Anonyymius mahdollistaa mm. omien
tavoitteiden ajamisen ja ”identiteetillä
leikkimisen”
• Anonyymiudesta voi olla haittaa:
– Epäreilu tilanne, jos toinen osapuoli on
anonyymi ja toinen ei
– Anonyymia ei välttämättä oteta totena
– Anonyymin sukupuolesta ei voi olla varma
– Mahdollisuus kiusata ja aiheuttaa haittaa
Lähde: T. Keipi, 2015, väitöskirja, Now You See Mee, Now You Don’t,
http://www.doria.fi/bitstream/handle/10024/113050/AnnalesB405KeipiDISS.pdf?sequence=2 ja sen artikkeli:
http://www.tandfonline.com/doi/abs/10.1080/1369118X.2014.991342

53. Lähde: Mediataitokoulu, http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti-
sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi (viitattu 14.12.2016)

54. • Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa
käytetään oppimisen välineenä ja miten se tehdään turvallisesti
• Koulun tehtävänä on kertoa oppilaille ja heidän vanhemmilleen internetin
luonteesta ja sen turvallisesta käytöstä
• On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan
ja mille tahoille henkilötietoja on turvallista luovuttaa
– Somepalveluihin rekisteröitymisessä
– Chat- ja pikaviestikeskusteluissa
• Neuvoja netin turvalliseen käyttöön (huomioi ikätaso)
– Älä kerro omia tai toisten henkilötietoja
– Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt.
– Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille.
– Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi.
– Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle.
– Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä.
– On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista.
– Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa.
– Mieti, millaisen kuvan annat itsestäsi
• Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus
• Yhteistyö kotien kanssa tärkeää. Alaikäisten vanhemmilta tarvittavat luvat.
Turvallisesti netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

55. Käyttöehdot ja ikärajat

56. https://play.google.com/intl/fi_fi/about/play-terms.html

57. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus

58. • Sopimuksen tekeminen kuten verkkopalvelun
käyttöehtojen hyväksyminen vaatii lain mukaan
18 vuoden ikää (oikeustoimikelpoisuuden)
riippumatta palvelun ikärajasta.
• Alaikäisten oppilaiden tuotosten julkaisuun
verkossa täytyy olla hänen oma lupansa sekä
huoltajan lupa.
Alaikäiset oppilaat

59. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger)
• YouTube: 13 vuotta (osa videoista 18 v.)
• Facebook: 13 vuotta
• WhatsApp: 13 vuotta (8/2016 lähtien, aiemmin 16 v.)
• Instagram: 13 vuotta
• Snapchat: 13 vuotta
• Twitter: 13 vuotta
• Steam: 13 vuotta
• Pinterest: 13 vuotta
• Twitch: 13 vuotta
• Ask.fm: 13 vuotta
• Kik Messenger: 13 vuotta (suositus 17 v.)
• WordPress.org: 13 vuotta
• We heart it: 13 vuotta
• Pokémon Go: 13 vuotta
Some-palvelujen ikäraja: 13 vuotta
Lisäksi alaikäinen
tarvitsee huoltajan
luvan sopimuksen
tekoon.

60. Miten some-palveluita opetukseen?
• Kaupalliset some-palvelut:
– Alaikäiset huoltajan suostumuksella
– Täysi-ikäiset omalla vastuullaan
• Koulu/kunta voi hankkia osto-/sopimuspalveluita
• Koulu/kunta voi asentaa ja ylläpitää omia some-
palveluita
• Muista myös oppilaiden oikeudet: jokainen
päättää itse esimerkiksi omien tuotostensa
julkaisemisesta

61. • Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja
ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat
rekisteröityvät niihin
– Nimen, koulun ja luokan kertominen somessa
– Käyttäjätunnuksen muodostamistapa
– Käytettävä sähköpostiosoite
– Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä
– Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita
kavereiksi vapaa-ajan somepalveluissa
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava
• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella
on mahdollista käyttää useita muidenkin tahojen ylläpitämiä
somepalveluilta
• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia
työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä
työtehtävän hoitamiselle
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin
Opettajan tunnus ja työprofiili

62. • Facebookin käyttöehdot
kieltävät kahden eri
käyttäjätunnuksen luomisen
• Erillistä opettaja-
/ohjaajatunnusta ei siis
pitäisi tehdä
• Voit toimia Facebook-
ryhmissä ja -sivuissa omalla
tunnuksellasi, eikä sinun
tarvitse ottaa ohjattavia
kavereiksesi
• Facebookin käyttöehdot:
https://www.facebook.com/le
gal/terms/update

63. • Ylläpitäjä ”omistaa” verkkoympäristön
• Ylläpitäjä päättää käyttäjistä ja määrää säännöt
• Arvioi, syntyykö käyttäjistä henkilötietorekisteri
ylläpitäjälle
• Verkkokeskusteluja tulee valvoa
– Roskapostit, asiattomuudet, mainokset yms. voi poistaa
– Yksityisyyttä loukkaavat tiedot ja henkilötiedot
– Häiriköivät käyttäjät voi estää (IP-numeron esto)
• Jos ylläpitäjätunnus varastetaan, koko
verkkoympäristö on mennyttä.
• Varmuuskopiointi kannattaa – jos ei muuten, niin
omien virheiden varalta.
Verkkoympäristön ylläpito

64. Kuva CC-BY

65. Keskustelu
&
kysymykset

66. • Tietosuojavaltuutetun toimisto: http://www.tietosuoja.fi/
• Tietosuojavaltuutetun toimiston oppaita tietosuojasta:
http://www.tietosuoja.fi/fi/index/materiaalia/oppaat.html
• Miten valmistautua EU:n tietosuoja-asetukseen? -opas:
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuoj
avaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-
asetukseen.pdf
• EU:n yleinen tietosuoja-asetus: http://eur-lex.europa.eu/legal-
content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119
:FULL
• Oikeusministeriön työryhmän (TATTI) mietintö ja ehdotus tietosuojalaiksi:
http://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/80098/OMML_35_2
017_EUn_yleinen_tietosuoja.pdf?sequence=1
• Arjen tietosuojaa –koulutuksen materiaalit ja nettitesti:
http://tietosuoja.vahtiohje.fi/fi/#/front
• OPH:n Julkisuus ja tietosuoja opetustoimessa -opas:
http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa
Linkkejä ja oppaita

67. Open somekirja
(Docendo, maaliskuu 2017)
• Sosiaalinen media koulussa ja
opetuksessa, uudet OPS:it
• Askelmerkit sosiaalisen median
opetuskäyttöön
• Pedagogiikka ja some
• Yhteisöllinen oppiminen, pedagogiset
mallit ja opetuksen skriptaaminen
• Yli 80:n some-palvelun esittely
• Laitteet, uudet trendit, opettajien
some-verkostot ja paljon muuta 
• Lue lisää:
https://www.docendo.fi/open-
somekirja-harto-ponka.html

68. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!