2. Tämän koulutuksen aiheita
2
Taustaa Someaspan tietosuoja
Sisäiset viestintä-,
some- ja pilvipalvelut
Henkilötietojen siirto
Yhdysvaltoihin
Huomioitavaa
somemarkkinoinnissa
4. Suosituimmat somepalvelut Suomessa syksyllä 2020
Lähde: AudienceProject, 17.9.2020, Insights 2020: Apps & social media usage,
https://www.audienceproject.com/wp-content/uploads/AudienceProject_Study_App_and_Social_Media_Usage_2020_pdf.pdf (n. 2000 vastaajaa Suomessa, 15-75-vuotiaat)
4
5. Kuntien käyttämät somepalvelut
Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa)
5
6. Tietoturva vaarantuu etätöissä
6
Lähde: Tessian, 2020,
https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa)
”Kyberturvayhtiö Tessianin tutkimuksen mukaan
52 prosenttia kotona työskentelevistä sanoo
syystä tai toisesta kiertävänsä yrityksen
tietoturvan käytäntöjä.”
Syitä:
▪ Etätyössä käytetään eri laitteita kuin
työpaikalla (50 %)
▪ Etätyössä ei koeta olevan IT-osaston
valvonnassa (48 %)
▪ Työhön tulee häiriöitä mm. perheenjäsenten
vuoksi (47 %)
▪ Työhön liittyvä aikataulupaine (39 %)
8. Somekanavien tietosuojan
koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin asiakasrekistereihin
somepalvelut liittyvät?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon
kanavina?
Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa,
https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020)
8
9. Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
9
Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
Jos mahdollista, linkitä
tietosuojaseloste
Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
Mitä muita (turvallisempia) tapoja
asiakkailla on yhteydenottoon?
10. Facebook-sivun ylläpitäjän asema
Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja
analytiikkatyökalujen yhteydessä.
Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018.
Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta):
https://www.facebook.com/legal/terms/page_controller_addendum#
Käytännön toimenpiteet:
Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
10
11. Henkilötietojen käsittely somepalveluissa
11
▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen?
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Henkilötietoja ei saa julkaista tai luovuttaa
ilman suostumusta tai lakiperustetta.
▪ Muista informointi, jos somea käytetään
yhteydenpitoon tai tietojenkeruuseen.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Tarvittaessa ohjataan muihin asiointikanaviin.
▪ Miten rekisteröity tunnistetaan somessa?
▪ Suostumusten ja pyyntöjen dokumentointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto.
12. Erota oma ja ulkopuolinen rekisteri
12
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(toinen rekisterinpitäjä tai
henkilötietojen käsittelijä)
Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle
tai verkkopalvelulle vain, jos
1) on sopimus henkilötietojen käsittelystä
2) tai luovutukseen on saatu rekisteröidyn suostumus.
Ulkopuolista verkkopalvelua voidaan
käyttää viestintään rekisteröityjen
kanssa myös silloin, kun aloite tulee
rekisteröidyltä. Tätä voidaan pitää
suostumuksena ko. palvelun käyttöön.
Jos henkilötietoja kerätään
ulkopuolisen palvelun kautta, siihen
tulee olla oikeusperuste. Samalla
pitää hoitaa informointivelvollisuus.
13. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
13
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
14. Google on netin isoin datankerääjä
Kuva: DuckDuckGo, 15.3.2021,
https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw
14
15. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
15
17. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä
▪ Asiakkaat
▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja.
▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu.
▪ Työntekijät
▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot.
▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta, esim. tarve olla tavoitettavissa.
▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa.
▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta.
Voidaan sanoa, että henkilö ei ole paikalla.
▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai
irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio)
17
18. Rekisteriä saa käyttää vain sen käyttötarkoituksiin!
18
Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
19. Muista salassapito julkisessa someviestinnässä
19
Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017,
https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
Vaikka rekisteröity itse kertoisi
henkilötietoja julkisesti, täytyy
organisaation ottaa huomioon
tietosuoja- ja
salassapitomääräykset.
21. Organisaatioiden sisäisesti käyttämät viestintä-, some- ja pilvipalvelut
Lähde: North Patrol, Intranet ja digitaalinen työympäristö 2020 -selvitys,
https://www.slideshare.net/NorthPatrol/intranet-ja-digitaalinen-tyymprist-2020-selvityksen-tulokset/16 (N=111 vastaajaorganisaatiota, yli puolet kunnallisia tai julkisia organisaatioita)
21
Microsoft Teams Etäkokous ja työtilat 85 %
Microsoft O365 SharePoint Työtilat/intranet 52 %
Yammer Keskustelu ja tiedonjako 52 %
WhatsApp Keskustelu ja tiedonjako 37 %
Confluence Wikialusta 23 %
Zoom Etäkokous 22 %
Slack Keskustelu ja tiedonjako 21 %
Trello Projektinhallinta 20 %
Moodle Verkkokoulutus, tiedonjako 19 %
Google Drive Tiedostojen pilvitallennus 16 %
M-Files Tiedostojen pilvitallennus 15 %
Facebookin suljetut ryhmät Keskustelu ja tiedonjako 14 %
22. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa
22
Käytä vain organisaation sallimia sovelluksia.
Toimita kutsu henkilökohtaisesti osallistujille.
Informoi osallistujia henkilötietojen käsittelystä.
Varmista huoneessa olijoiden henkilöllisyys.
Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä.
Varmista esittäjien osaaminen etukäteen.
Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
Lopuksi: päätä kokous, tyhjennä tai sulje huone.
Suojaa tallenne ja huolehdi sen tietosuojasta.
23. WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
24. Kysymys: sijaisryhmä WhatsAppissa
24
WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.
Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota,
sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).
Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.
Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa
vaikutustenarviointi.
Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä
yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.
Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset
WhatsAppin käyttöön.
Tarvittaessa oma rekisteri ja tietosuojaseloste.
Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
• Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi
sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
25. Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan
▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä?
▪ Mitkä ovat työvälineen oletusasetukset ja ominaisuudet?
▪ Minkälaista tietoa työvälineessä halutaan käsitellä?
▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia?
▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille?
▪ Luovuttaako työväline tietoja kolmansille osapuolille?
▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen tai julkisiin
tapahtumiin?
▪ Käytetäänkö työvälinettä organisaation sisäiseen työskentelyyn?
▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin?
▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä?
▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on?
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
25
26. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
26
27. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
27
Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle,
jotta tietoja antavat henkilöt voivat tutustua siihen.
Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
oppijoiden henkilötietojen käsittelyssä.
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
28. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä henkilöiden tunnistetietoja, jolloin
siirrettävät tiedot eivät ole enää henkilötietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa!
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
▪ Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
28
30. “
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
30
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
31. Monet organisaatiot vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalgoritmin avulla.
Voit tarkistaa tietosi
Facebookin asetusten
Mainokset-kohdasta:
https://www.facebook.com/d
s/preferences/?entry_product
=account_settings_menu&exp
and_ad_settings=1
31
32. Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa…
Lähde: Tietosuojavaltuutetun toimisto,
https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020)
32
33. 33
Facebookin
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
synt.aika, kaupunki, laitetunniste ym.
Googlen
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Markkinointi manuaalisesti
valituille kohderyhmille.
Markkinoinnissa käytetään profilointia ja autom. päätöksiä suostumus! Ei profilointia
Twitterin
räätälöidyt yleisöt
Sähköposti, laitetunniste,
Twitter-tunnus, Twitter-ID
Datan
kerääjät,
hallinnoijat ja
myyjät
LinkedInin
vastaavat yleisöt
Nimi, sähköposti,
laitetunniste, yritys, ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
34. GDPR-muistilista somemainostajalle
▪ Rekisterinpitäjä on vastuussa, jos se luovuttaa
henkilötietoja mainosalustalle.
▪ Mainostaja on aina vastuussa, vaikka mainonta
annettaisiin toisen tahon tehtäväksi.
▪ Organisaatiolla pitää olla oikeusperuste, joka
mahdollistaa tietojen käytön sähk. markkinoinnissa.
▪ Yksityishenkilöt: suostumus tai sopimus
▪ B2B-yhteyshenkilöt: oikeutettu etu
▪ Tietosuojaselosteessa tulee kertoa, mille tahoille
henkilötietoja luovutetaan – ml. henkilötietojen
käsittelijät kuten mainospalvelujen tuottajat.
▪ Profiloinnin käytöstä tulee kertoa rekisteröidyille.
▪ Kerro, miten mainosviesteiltä voi kieltäytyä.
34
Kuva ja lisätietoa: Facebookin GDPR-sivusto, https://www.facebook.com/business/gdpr
Ks. myös Googlen tukimateriaalit mainostajille: https://support.google.com/google-ads/answer/9028179?hl=fi
Useimmilta organisaatioiden sivuilta puuttuu tietosuojaseloste, vaikka Facebook ohjeistaa sen laittamaan
Esimerkiksi HSL:n sivulla on nappula linkki ”Ota meihin yhteyttä”, joka ohjaa heidän kotisivuilleen
68 prosenttia kyselyn vastaajista ilmoitti, että he ovat ottaneet viimeisen vuoden aikana uusia vuorovaikutus- ja tiedonjakovälineitä käyttöön.
Maininnat Teams: 54 kpl (edellisenä vuonna sitä käytti 30 %) Zoom: 9 kpl O365 intra ja sovellukset: 8 kpl Yammer: 7 kpl Miro: 2 kpl
WhatsAppille tavallista: ryhmien luonti, vahingossa ulkopuolisten liittäminen ryhmiin, vahingossa väärille vastaanottajille tai ryhmille lähetetyt viestit, vapaa-ajalla tapahtuva ei-työhön liittyvä käyttö jne.
WhatsApp ei ole ”virallinen” työhön tarkoitettu viestintäväline, joten sen käyttöön voidaan suhtautua vähemmän varovaisesti kuin esimerkiksi työsähköpostiin.
EU-tuomioistuimen päätöksessä todettiin Privacy shield –järjestely pätemättömäksi. Se on yleisimmin käytetty peruste henkilötietojen siirrolle EU:sta Yhdysvaltoihin.
Ongelmana on, ettei henkilötietojen suojaa voida taata USA:ssa mm. viranomaisten tekemän valvonnan vuoksi.
Päätöksen mukaan henkilötietoja voidaan edelleen siirtää Yhdysvaltoihin 1) rekisteröidyn nimenomaisella suostumuksella tai 2) käyttämällä EU:n mallisopimuslausekkeita ja tietosuojan takaavia lisäsuojakeinoja, joka tarkoittaa salausta.