SlideShare une entreprise Scribd logo

2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa

Harto Pönkä
Harto Pönkä

Koulutus Otavan opistolla, 3.5.2018, Harto Pönkä, Innowise

Formation
1  sur  49
Télécharger pour lire hors ligne
2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa Harto Pönkä 3.5.2018
Profilointi ja oppimisanalytiikka
4 artikla 4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Profilointi
Milloin opetuksessa tehdään profilointia? • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf Oppijoiden tuloksia kuvaavat pisteet, %-luvut ja kuvaajat kertovat edistymisestä, mutta niissä ei tehdä automaattisia päätelmiä, joten kyse ei ole profiloinnista. Oppimisanalytiikkaa kyllä, profilointia ei
Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf Tehtävien pisterajoihin tai suorituksiin perustuvat merkit eivät ole profilointia, vaan tulosten esittämistä havainnollisesti suhteessa tavoitteisiin. Oppimisanalytiikkaa kyllä, profilointia ei
Edistynytkään oppimisanalytiikka ei aina ole profilointia Oppimisanalytiikka, jossa ei tehdä yksittäisiin oppijoihin kohdistuvia päätelmiä, ei ole profilointia. Datasta voidaan tunnistaa esimerkiksi oppimiseen liittyviä yleisiä malleja, syy-seuraussuhteita, ongelmakohtia ja erilaisia oppijoiden ryhmiä. Samalla tulee huolehtia oppijoiden tietosuojasta. Henkilötiedot voidaan poistaa (anonymisoida) tai peittää (pseudonymisoida) ja tekijöillä tulee olla vaitiolovelvollisuus.
Anonymisointi = tunnistetietojen poisto, ei henkilötietoa Pseudonymisointi = esim. numerot nimien sijasta, on henkilötietoa
Korrelaatio r=0,67 (p<0,001) Lähde: Pönkä, 2013, Luovan ongelmanratkaisun ja innovaatioiden analyysia Innolukiosta, https://harto.wordpress.com/2013/04/16/luovan-ongelmanratkaisun-ja-innovaatioiden-analyysia-innolukiosta/ Oppimisanalytiikkaa kyllä, profilointia ei Yhteenvedot, tilastot, kuvaajat ja tilastolliset analyysit eivät ole profilointia, vaikka niitä voitaisiin käyttää apuna ennustemallien rakentamisessa.
Oppimisanalytiikkaa ja tiedonlouhintaa kyllä, profilointia ei Oppimisesta kertyvän datan käyttö tiedonlouhintaan ei ole profilointia, kun sen tarkoituksena on kehittää yleisesti opetusta, eikä tehdä päätelmiä yksittäisistä oppijoista. Kuva: Äyrämö, 2006, Knowledge Mining Using Robust Clustering (väitösk.), Jyväskylän yliopisto, https://pdfs.semanticscholar.org/8374/0f3c02800468e939c3e887a8061eb336b729.pdf
Kun analysoidaan tai ennakoidaan automaattisesti yksilön ominaisuuksia, kyse on profiloinnista Oppimisanalytiika, jonka tavoitteena on tuottaa yksilöä koskevia automaattisia päätelmiä tai ehdotuksia oppijalle tai ohjaajalle, on GDPR:n tarkoittamaa profilointia. Oleellista ei ole, voitaisiinko dataa käyttää näin, vaan tilanne, jossa näin tehdään. Tyypillisesti kyse on oppijan luokitteluun perustuvista ehdotuksista, oppijan toimintaan perustuvista ennusteista tai oppijaa koskevien todennäköisyyksien esittämisestä.
Oppimisanalytiikkaa kyllä, profilointia kyllä Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf ViLLE-oppimisympäristö pyrkii tunnistamaan oppijoiden tuen tarpeen käyttämällä avuksi tietoa, miten tulokset ennustavat menestymistä MAKEKO-testissä.
Oikeusperusteet oppimisanalytiikassa Oppijoiden tiedot ja toiminta Kun ei analysoida automaattisesti oppijan ominaisuuksia Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Tiedonlouhinta, tilastot ja analyysit Kun analyysin tulokset eivät kohdistu yksittäisiin oppijoihin Oppijan ominaisuuksien autom. profilointi Yksilön ominaisuuksien analysointi, luokittelu ja näihin perustuvat toiminnot Rekisterinpitäjän oikeutettu etu voi riittää Suostumus tai sopimus
1. Oppimisanalytiikka, joka liittyy rekisterinpitäjän henkilötietojen käsittelyn tarkoitukseen, esimerkiksi opetuksen järjestämiseen ja sen kehittämiseen (pattern-finding) – Tietosuoja-asetuksen lupa käyttää henkilötietoja tilastointiin tai tutkimukseen voi riittää – Oikeutetussa edussa voidaan huomioida se, että opetuksen järjestäjä voi analyysin avulla kehittää opetusta ja palveluitaan opiskelijoille (asiakkaille) sekä tuottaa yleistä hyötyä. – Analyysin tulee olla sellaista, mihin rekisteröidyt voivat kohtuudella odottaa tietoja käytettävän. – Tämän tyyppisellä analyysilla voidaan löytää esimerkiksi koulutukseen liittyviä yleisiä trendejä ja kehitystarpeita sekä oppijoihin ja oppimiseen liittyviä yleisiä malleja, mekanismeja ja luokittelua – Rekisterinpitäjän tulee huolehtia riittävistä suojakeinoista kuten rekisteröityjen anonymisoinnista tai pseudonymisoinnista sekä analyysejä tekevän henkilöstön vaitiolovelvollisuudesta. 2. Oppimisanalytiikka, jonka tarkoitus on profiloinnin avulla tarjota esimerkiksi yksilöllistä ohjausta, ehdotuksia ja tehtäviä (pattern-matching) – Profilointiin ja automaattisiin päätöksiin/valintoihin tarvitaan suostumus tai sopimus – Suostumus kannattaa pyytää vasta silloin, kun profilointi halutaan ottaa käyttöön. – Oleellista rekisteröidyltä saatujen suostumusten (opt-in) ja kieltojen (opt-out) hallinta ja voimassaolo. – Suostumuksen antoon ei saa painostaa. Oppijalla tulee olla aito valinnanvapaus esimerkiksi valita perinteinen opetus automaattisesti räätälöidyn ohjauksen sijasta. – Jos profilointi aiheuttaa rekisteröityjen tiedoille korkean riskin, tee tietosuojan vaikutustenarviointi. Oppimisanalytiikan tietosuojakehikko Lähde: Andrew Cormack, 2016, Data Protection Framework for Learning Analytics, http://epress.lib.uts.edu.au/journals/index.php/JLA/article/view/4554
GDPR ja markkinointi
Suoramarkkinointi ja tietosuoja • Perinteinen suoramarkkinointi – Postitse tai puhelimitse – Saa tehdä, jos vastaanottaja ei ole kieltänyt – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Sähköinen suoramarkkinointi – Sähköpostiviestit, tekstiviestit, ääniviestit, kuvaviestit – Yksityishenkilöiltä tarvitaan suostumus etukäteen – Yrityksiltä ja niiden edustajilta ei tarvita suostumusta – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Ulkoistettu suoramarkkinointi – Esimerkiksi postitus- ja puhelinmyyntipalvelut – Henkilötietoja annetaan toiselle yritykselle markkinoinnin tekoa varten, joten tarvitaan sopimus henkilötietojen käsittelystä – Toimeksiantaja on vastuussa markkinoinnista Lähde: Suomen yrittäjät, 2018, Yrittäjän tietosuojaopas, https://www.yrittajat.fi/yrittajan-abc/yritystoiminnan-abc/yrittajan- tietosuojaopas/suoramarkkinointi-570917
• Suostumus (opt-in) – Sähköinen suoramarkkinointi (sähköposti, tekstiviesti ym.) – Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä. – Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos • markkinoinnissa käytetään automaattista profilointia • tietoja luovutetaan muille tahoille (esim. Facebook tai Google) • Rekisterinpitäjän oikeutettu etu – Perinteinen suoramarkkinointi (puhelimitse ja postitse) – Asiakassuhteeseen liittyvä viestintä: voit tiedottaa opiskelijoille opiskeluun liittyvistä asioista ja esimerkiksi tulevista kursseista, jotka liittyvät heidän koulutukseensa. – B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman etukäteissuostumusta. – Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus! • Mieti opiskelijan näkökulmasta, milloin kyse on suoramarkkinoinnista, ja erota se selvästi opiskeluun liittyvästä viestinnästä. • Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä ja mistä tietosuojaseloste on luettavissa. • Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat. Koulutusten markkinointi
Markkinointijärjestelmät ja profilointi Facebookiin viedyt asiakastiedostot Nimi, sähköposti, puhelinnumero, syntymäaika, kaupunki, laitetunniste ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Googleen viedyt asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Esimerkiksi sähköpostimarkkinointi manuaalisesti valituille kohderyhmille Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
Vinkki: Jos et halua saada profiiliisi kohdennettua markkinointia Facebookissa, voit estää sen helposti. Ohjeet: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi- kayton-muilta-yrityksilta/
• Kolmannen osapuolen eväste (cookie) on laitteelle tallennettava tiedosto, jonka avulla käyttäjää voidaan seurata netissä muiden palvelujen toimesta. • Esimerkkejä: – Google Analyticsin kävijäseurantakoodi – Googlen AdWordsin sivustotagi / uudelleenmarkkinointipikseli – Facebookin tykkäysnappula tai kirjautumistoiminto – Facebook-mainonnan pikseli – Chat-palvelujen evästeet • Laki (tietoyhteiskuntakaari 205 §) vaatii, että evästeistä kerrotaan käyttäjille. Jos evästeitä käytetään vain sivuston toimintoihin, niistä ei tarvitse kertoa. • Esimerkiksi näin: • Suomessa on tulkittu, että käyttäjän suostumukseksi riittää se, että evästeet on sallittu nettiselaimen asetuksissa. • GDPR ei puutu evästeisiin, mutta sitä koskeva asetus on odotettavissa myöhemmin (nk. sähköisen viestinnän tietosuoja-asetus, ePrivacy). Kolmansien osapuolten evästeet Sivustolla käytetään evästeitä kävijäseurantaan ja markkinointiin. Evästekäytäntö Hyväksy Lähde: Viestintävirasto, 2017, Evästeet, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet/palveluidenturvallinenkaytto/evasteet.html
Osoitusvelvollisuus ja tietojärjestelmät
• Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
• Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista suojatoimista määräytyvät riskiperusteisesti • Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin • Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. – Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. • Riski voi olla korkeampi, kun – käsitellään heikossa asemassa olevien tietoja (esim. lapset) – käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti – käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi • Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla). Riskiperusteinen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
• Henkilötietojen tietoturvaloukkauksella tarkoitetaan tilannetta, jossa henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai tietoihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. • Tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. – Ilmoitus pitää tehdä ilman aiheetonta viivytystä. – Ilmoituksen voi jättää tekemättä jossain tilanteissa: esimerkiksi jos vuotaneet tiedot on salattu vahvasti, tietojen väärinkäyttö on estetty tai jos ei voida selvittää, keitä vuoto on koskenut. • Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu, jos siitä voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. • Henkilötietojen käsittelijän on tehtävä ilmoitus rekisterinpitäjälle ilman aiheetonta viivytystä. • Rekisterinpitäjän on dokumentoitava henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto, 2017, Henkilötietojen tietoturvaloukkaukset, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
• Tietoturvarikkomuksen tyyppi – Esimerkiksi henkilötietojen vuoto ulkopuoliselle aiheuttaa suuremman riskin kuin tietojen häviäminen järjestelmän vian vuoksi. • Henkilötietojen luonne, arkaluonteisuus ja määrä – Arkaluontoisiin tietoihin ja eri tietotyyppien yhdistelmiin liittyy suurempi riski • Tunnistamisen helppous – Tunnistettavuus lisää riskiä. Salaus tai pseudonymisointi vähentää riskiä. • Rekisteröidyn ominaisuudet – Heikossa asemassa oleviin rekisteröityihin kuten lapsiin kohdistuu suurempi riski • Rekisterinpitäjän ominaisuudet – Esimerkiksi potilastietojen rekisterinpitäjään kohdistuu suurempi riski • Tietovuodon seurauksien vakavuus – Seuraukset voivat olla vakavia esimerkiksi silloin, kun siitä voi seurata identiteettivarkaus, petos, psyykkistä ahdistusta, nöyryytystä tai maineen menetys. – Riski on suurempi, jos henkilötiedot ovat päätyneet rikolliselle. Tietoturvaloukkauksen riskien arviointi Lähde: Tietosuojavaltuutetun toimisto, 2017, Henkilötietojen tietoturvaloukkaukset, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
Tietojärjestelmien GDPR-valmius?
Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
Pilvipalveluissa vastuu jakaantuu Tiedot asiakkaasta Laskutustiedot Tiedot käytettävistä palveluista ja niiden käytöstä Asiakkaan vastuulla olevien muiden käyttäjien palveluun tallentamat tiedot Mahdolliset muut palvelun tuottamiseen liittyvät tahot ja niiden tiedot Asiakas on rekisterinpitäjä Muut käyttäjät ovat rekisterinpitäjiä mahdollisesti luomiinsa rekistereihin Palveluntarjoaja on henkilötietojen käsittelijä Palveluntarjoaja on rekisterinpitäjä Lisäksi voi olla muita henkilötietojen käsittelijöitä Mahdolliset muut rekisterinpitäjät ja henkilötietojen käsittelijät sekä valvovat viranomaistahot Asiakkaan palveluun tallentamat tiedot ASIAKAS& KÄYTTÄJÄT PALVELUNTARJOAJA
• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
Somepalvelujen tietosuoja opetuksessa
Somepalvelut opetuksessa?
Miten somepalveluita opetukseen? • Monia somepalveluita voi käyttää ilman oppijoiden rekisteröitymistä tai henkilötietojen antamista • Kaupalliset somepalvelut, jotka edellyttävät käyttöehtojen hyväksyntää: – Alaikäiset huoltajan suostumuksella – Täysi-ikäiset omalla vastuullaan • Omassa hallinnassa olevat somepalvelut – Koulu/kunta voi hankkia osto-/sopimuspalveluita – Koulu/kunta voi asentaa ja ylläpitää omia somepalveluita – Tällöin koulu/kunta on rekisterinpitäjä ja voi monesti määrätä myös käyttösäännöistä.
Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
• Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Somepalvelujen ikärajat Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon.
• Sopimuksen tekeminen kuten verkkopalvelun käyttöehtojen hyväksyminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuuden) riippumatta palvelun ikärajasta. • Vähintään 16-vuotiaat voivat antaa itse luvan henkilötietojensa käsittelyyn (saattaa muuttua 13- tai 15-v.) • Alaikäisten oppilaiden tuotosten julkaisuun verkossa täytyy olla hänen oma lupansa sekä huoltajan lupa. Alaikäiset oppilaat
Huoltajan lupa? Lähde: Tampereen TVT-portaali, http://tvt.tampereenseutu.fi/@Bin/732920/Sosiaalisen+media n+opetusk%C3%A4yt%C3%B6n+kaavio.pdf (4.4.2018)  Mikäli tunnuksen luomisessa on hyväksyttävä palvelun käyttöehdot  Mikäli palvelussa julkaistaan teoksia opiskelijaryhmän ulkopuolisille
Mitä asioita yksityisyydestä ja tietosuojasta netissä on tarpeen ohjeistaa tai opettaa opiskelijoille?
Lähde: Some ja nuoret 2016, http://www.ebrand.fi/somejanuoret2016/5-harkinta-sosiaalisessa-mediassa/ (13-29-v.) Nuorten mielipide
• Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa käytetään oppimisen välineenä ja miten se tehdään turvallisesti • On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan ja mille tahoille henkilötietoja on turvallista luovuttaa – Somepalveluihin rekisteröitymisessä – Chat- ja pikaviestikeskusteluissa • Neuvoja netin turvalliseen käyttöön (huomioi ikätaso) – Älä kerro omia tai toisten henkilötietoja – Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt. – Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille. – Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi. – Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle. – Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä. – On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista. – Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa. – Mieti, millaisen kuvan annat itsestäsi • Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus • Yhteistyö ja avoimuus huoltajien kanssa tärkeää. Turvallisesti netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
Lähde: Mediataitokoulu, http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti- sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi (viitattu 14.12.2016)
• Oppilaita opastetaan käyttäjätunnusten ja salasanojen tekemisessä sekä yksityisyyden suojaamisessa. • Noudatetaan some-palvelujen käyttöehtoja ja ikärajoja. • Huolehditaan, että oppijoilla on riittävät tiedot tekijänoikeuksista. • Korostetaan hyvää käytöstä, yhteisöllisten toimintatapojen omaksumista ja toisen kunnioittamista. • Häiriökäyttäytymistä ja kiusaamista ei hyväksytä. • Some-palvelujen opetuskäytölle tehdään malli, joka mahdollistaa oppilaiden osaamisen ja taitojen kehittymisen turvallisessa ympäristössä. • Luottamuksellista tietoa ei viedä some-palveluihin. • Tunnetaan henkilötietoja ja henkilötietorekisterien ylläpitoa koskevat määräykset. Somen turvallinen ja eettinen käyttö Lähde: https://www.oph.fi/saadokset_ja_ohjeet/ohjeita_koulutuksen_jarjestamiseen/lukiokoulutuksen_ jarjestaminen/sosiaalisen_median_opetuskayton_suositukset, 30.3.2012
• Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat rekisteröityvät niihin – Nimen, koulun ja luokan kertominen somessa – Käyttäjätunnuksen muodostamistapa – Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite) – Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä – Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita kavereiksi vapaa-ajan somepalveluissa • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava • Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta • Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin Opettajan tunnus ja työprofiili
• Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä oppilas-, opettaja- tai ohjaajatunnusta ei pitäisi tehdä. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin esimerkiksi oppilaita ei tarvitse ottaa kavereiksi. • Facebookin käyttöehdot: https://www.facebook.com/legal/ terms/update
WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
Kommentit ja kysymykset
• Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta ja kehitystarpeista • Arviointi sisältää esimerkiksi: – Mitä henkilötietoja organisaation hallussa on – Miten tietosuojaperiaatteet on otettu huomioon – Toimintaan liittyvät henkilötietovirrat – Henkilötietojen käsittelyn oikeusperusteet – Miten tietoturvasta on huolehdittu – Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu • Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t ietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos. pdf • Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen sisällöstä, sillä se on viime kädessä vastuussa Henkilötietojen nykytilan arviointi Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
https://mm.tt/1086137801?t=EaIWm6QLmI
Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

Recommandé

GDPR-työkaluja
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
Harto Pönkä
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
Harto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessaHenkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Harto Pönkä
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Harto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä
 

Recommandé

GDPR-työkaluja
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
Harto Pönkä
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
Harto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessaHenkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Harto Pönkä
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Harto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
Harto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
Harto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Harto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
Harto Pönkä
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
Harto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdotEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot
Harto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
Harto Pönkä
 
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
Harto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä
 
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikkaOppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Harto Pönkä
 

Contenu connexe

Tendances

Tendances (20)

Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdotEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
 

Similaire à 2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa

Peter Ylén: Voisiko tekoäly yksinkertaistaa monimutkaisen?
Peter Ylén: Voisiko tekoäly yksinkertaistaa monimutkaisen? Peter Ylén: Voisiko tekoäly yksinkertaistaa monimutkaisen?
Peter Ylén: Voisiko tekoäly yksinkertaistaa monimutkaisen?
THL
 
startup_markkinatieto_business_intelligence
startup_markkinatieto_business_intelligencestartup_markkinatieto_business_intelligence
startup_markkinatieto_business_intelligence
Spinno Enterprise Center
 

Similaire à 2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa (20)

Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikkaOppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
 
Data analytiikkakoulutus pk-yrityksille
Data analytiikkakoulutus pk-yrityksilleData analytiikkakoulutus pk-yrityksille
Data analytiikkakoulutus pk-yrityksille
 
Data analytiikan opas pk-yrityksille 2.0
Data analytiikan opas pk-yrityksille 2.0Data analytiikan opas pk-yrityksille 2.0
Data analytiikan opas pk-yrityksille 2.0
 
Analytiikka suomalaisyritysten asiakasymmärryksen kasvattajana
Analytiikka suomalaisyritysten asiakasymmärryksen kasvattajanaAnalytiikka suomalaisyritysten asiakasymmärryksen kasvattajana
Analytiikka suomalaisyritysten asiakasymmärryksen kasvattajana
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
 
Peter Ylén: Voisiko tekoäly yksinkertaistaa monimutkaisen?
Peter Ylén: Voisiko tekoäly yksinkertaistaa monimutkaisen? Peter Ylén: Voisiko tekoäly yksinkertaistaa monimutkaisen?
Peter Ylén: Voisiko tekoäly yksinkertaistaa monimutkaisen?
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Tietosuoja etäopetuksessa
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessa
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Sosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttö
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
startup_markkinatieto_business_intelligence
startup_markkinatieto_business_intelligencestartup_markkinatieto_business_intelligence
startup_markkinatieto_business_intelligence
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
 
Kasvun mahdollisuudet
Kasvun mahdollisuudetKasvun mahdollisuudet
Kasvun mahdollisuudet
 
Laatu ja asiakkuuksien johtaminen palveluliiketoiminnassa 221113
Laatu ja asiakkuuksien johtaminen palveluliiketoiminnassa 221113Laatu ja asiakkuuksien johtaminen palveluliiketoiminnassa 221113
Laatu ja asiakkuuksien johtaminen palveluliiketoiminnassa 221113
 
Eväitä edistyneen analytiikan hyödyntämiseen
Eväitä edistyneen analytiikan hyödyntämiseenEväitä edistyneen analytiikan hyödyntämiseen
Eväitä edistyneen analytiikan hyödyntämiseen
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 

Plus de Harto Pönkä

Plus de Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 

2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa

  • 1. 2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen tietosuoja opetuksessa Harto Pönkä 3.5.2018
  • 3. 4 artikla 4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Profilointi
  • 4. Milloin opetuksessa tehdään profilointia? • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
  • 5. Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf Oppijoiden tuloksia kuvaavat pisteet, %-luvut ja kuvaajat kertovat edistymisestä, mutta niissä ei tehdä automaattisia päätelmiä, joten kyse ei ole profiloinnista. Oppimisanalytiikkaa kyllä, profilointia ei
  • 6. Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf Tehtävien pisterajoihin tai suorituksiin perustuvat merkit eivät ole profilointia, vaan tulosten esittämistä havainnollisesti suhteessa tavoitteisiin. Oppimisanalytiikkaa kyllä, profilointia ei
  • 7. Edistynytkään oppimisanalytiikka ei aina ole profilointia Oppimisanalytiikka, jossa ei tehdä yksittäisiin oppijoihin kohdistuvia päätelmiä, ei ole profilointia. Datasta voidaan tunnistaa esimerkiksi oppimiseen liittyviä yleisiä malleja, syy-seuraussuhteita, ongelmakohtia ja erilaisia oppijoiden ryhmiä. Samalla tulee huolehtia oppijoiden tietosuojasta. Henkilötiedot voidaan poistaa (anonymisoida) tai peittää (pseudonymisoida) ja tekijöillä tulee olla vaitiolovelvollisuus.
  • 8. Anonymisointi = tunnistetietojen poisto, ei henkilötietoa Pseudonymisointi = esim. numerot nimien sijasta, on henkilötietoa
  • 9. Korrelaatio r=0,67 (p<0,001) Lähde: Pönkä, 2013, Luovan ongelmanratkaisun ja innovaatioiden analyysia Innolukiosta, https://harto.wordpress.com/2013/04/16/luovan-ongelmanratkaisun-ja-innovaatioiden-analyysia-innolukiosta/ Oppimisanalytiikkaa kyllä, profilointia ei Yhteenvedot, tilastot, kuvaajat ja tilastolliset analyysit eivät ole profilointia, vaikka niitä voitaisiin käyttää apuna ennustemallien rakentamisessa.
  • 10. Oppimisanalytiikkaa ja tiedonlouhintaa kyllä, profilointia ei Oppimisesta kertyvän datan käyttö tiedonlouhintaan ei ole profilointia, kun sen tarkoituksena on kehittää yleisesti opetusta, eikä tehdä päätelmiä yksittäisistä oppijoista. Kuva: Äyrämö, 2006, Knowledge Mining Using Robust Clustering (väitösk.), Jyväskylän yliopisto, https://pdfs.semanticscholar.org/8374/0f3c02800468e939c3e887a8061eb336b729.pdf
  • 11. Kun analysoidaan tai ennakoidaan automaattisesti yksilön ominaisuuksia, kyse on profiloinnista Oppimisanalytiika, jonka tavoitteena on tuottaa yksilöä koskevia automaattisia päätelmiä tai ehdotuksia oppijalle tai ohjaajalle, on GDPR:n tarkoittamaa profilointia. Oleellista ei ole, voitaisiinko dataa käyttää näin, vaan tilanne, jossa näin tehdään. Tyypillisesti kyse on oppijan luokitteluun perustuvista ehdotuksista, oppijan toimintaan perustuvista ennusteista tai oppijaa koskevien todennäköisyyksien esittämisestä.
  • 12. Oppimisanalytiikkaa kyllä, profilointia kyllä Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf ViLLE-oppimisympäristö pyrkii tunnistamaan oppijoiden tuen tarpeen käyttämällä avuksi tietoa, miten tulokset ennustavat menestymistä MAKEKO-testissä.
  • 13. Oikeusperusteet oppimisanalytiikassa Oppijoiden tiedot ja toiminta Kun ei analysoida automaattisesti oppijan ominaisuuksia Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Tiedonlouhinta, tilastot ja analyysit Kun analyysin tulokset eivät kohdistu yksittäisiin oppijoihin Oppijan ominaisuuksien autom. profilointi Yksilön ominaisuuksien analysointi, luokittelu ja näihin perustuvat toiminnot Rekisterinpitäjän oikeutettu etu voi riittää Suostumus tai sopimus
  • 14. 1. Oppimisanalytiikka, joka liittyy rekisterinpitäjän henkilötietojen käsittelyn tarkoitukseen, esimerkiksi opetuksen järjestämiseen ja sen kehittämiseen (pattern-finding) – Tietosuoja-asetuksen lupa käyttää henkilötietoja tilastointiin tai tutkimukseen voi riittää – Oikeutetussa edussa voidaan huomioida se, että opetuksen järjestäjä voi analyysin avulla kehittää opetusta ja palveluitaan opiskelijoille (asiakkaille) sekä tuottaa yleistä hyötyä. – Analyysin tulee olla sellaista, mihin rekisteröidyt voivat kohtuudella odottaa tietoja käytettävän. – Tämän tyyppisellä analyysilla voidaan löytää esimerkiksi koulutukseen liittyviä yleisiä trendejä ja kehitystarpeita sekä oppijoihin ja oppimiseen liittyviä yleisiä malleja, mekanismeja ja luokittelua – Rekisterinpitäjän tulee huolehtia riittävistä suojakeinoista kuten rekisteröityjen anonymisoinnista tai pseudonymisoinnista sekä analyysejä tekevän henkilöstön vaitiolovelvollisuudesta. 2. Oppimisanalytiikka, jonka tarkoitus on profiloinnin avulla tarjota esimerkiksi yksilöllistä ohjausta, ehdotuksia ja tehtäviä (pattern-matching) – Profilointiin ja automaattisiin päätöksiin/valintoihin tarvitaan suostumus tai sopimus – Suostumus kannattaa pyytää vasta silloin, kun profilointi halutaan ottaa käyttöön. – Oleellista rekisteröidyltä saatujen suostumusten (opt-in) ja kieltojen (opt-out) hallinta ja voimassaolo. – Suostumuksen antoon ei saa painostaa. Oppijalla tulee olla aito valinnanvapaus esimerkiksi valita perinteinen opetus automaattisesti räätälöidyn ohjauksen sijasta. – Jos profilointi aiheuttaa rekisteröityjen tiedoille korkean riskin, tee tietosuojan vaikutustenarviointi. Oppimisanalytiikan tietosuojakehikko Lähde: Andrew Cormack, 2016, Data Protection Framework for Learning Analytics, http://epress.lib.uts.edu.au/journals/index.php/JLA/article/view/4554
  • 16. Suoramarkkinointi ja tietosuoja • Perinteinen suoramarkkinointi – Postitse tai puhelimitse – Saa tehdä, jos vastaanottaja ei ole kieltänyt – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Sähköinen suoramarkkinointi – Sähköpostiviestit, tekstiviestit, ääniviestit, kuvaviestit – Yksityishenkilöiltä tarvitaan suostumus etukäteen – Yrityksiltä ja niiden edustajilta ei tarvita suostumusta – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Ulkoistettu suoramarkkinointi – Esimerkiksi postitus- ja puhelinmyyntipalvelut – Henkilötietoja annetaan toiselle yritykselle markkinoinnin tekoa varten, joten tarvitaan sopimus henkilötietojen käsittelystä – Toimeksiantaja on vastuussa markkinoinnista Lähde: Suomen yrittäjät, 2018, Yrittäjän tietosuojaopas, https://www.yrittajat.fi/yrittajan-abc/yritystoiminnan-abc/yrittajan- tietosuojaopas/suoramarkkinointi-570917
  • 17. • Suostumus (opt-in) – Sähköinen suoramarkkinointi (sähköposti, tekstiviesti ym.) – Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä. – Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos • markkinoinnissa käytetään automaattista profilointia • tietoja luovutetaan muille tahoille (esim. Facebook tai Google) • Rekisterinpitäjän oikeutettu etu – Perinteinen suoramarkkinointi (puhelimitse ja postitse) – Asiakassuhteeseen liittyvä viestintä: voit tiedottaa opiskelijoille opiskeluun liittyvistä asioista ja esimerkiksi tulevista kursseista, jotka liittyvät heidän koulutukseensa. – B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman etukäteissuostumusta. – Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus! • Mieti opiskelijan näkökulmasta, milloin kyse on suoramarkkinoinnista, ja erota se selvästi opiskeluun liittyvästä viestinnästä. • Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä ja mistä tietosuojaseloste on luettavissa. • Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat. Koulutusten markkinointi
  • 18. Markkinointijärjestelmät ja profilointi Facebookiin viedyt asiakastiedostot Nimi, sähköposti, puhelinnumero, syntymäaika, kaupunki, laitetunniste ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Googleen viedyt asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Esimerkiksi sähköpostimarkkinointi manuaalisesti valituille kohderyhmille Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
  • 19. Vinkki: Jos et halua saada profiiliisi kohdennettua markkinointia Facebookissa, voit estää sen helposti. Ohjeet: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi- kayton-muilta-yrityksilta/
  • 20. • Kolmannen osapuolen eväste (cookie) on laitteelle tallennettava tiedosto, jonka avulla käyttäjää voidaan seurata netissä muiden palvelujen toimesta. • Esimerkkejä: – Google Analyticsin kävijäseurantakoodi – Googlen AdWordsin sivustotagi / uudelleenmarkkinointipikseli – Facebookin tykkäysnappula tai kirjautumistoiminto – Facebook-mainonnan pikseli – Chat-palvelujen evästeet • Laki (tietoyhteiskuntakaari 205 §) vaatii, että evästeistä kerrotaan käyttäjille. Jos evästeitä käytetään vain sivuston toimintoihin, niistä ei tarvitse kertoa. • Esimerkiksi näin: • Suomessa on tulkittu, että käyttäjän suostumukseksi riittää se, että evästeet on sallittu nettiselaimen asetuksissa. • GDPR ei puutu evästeisiin, mutta sitä koskeva asetus on odotettavissa myöhemmin (nk. sähköisen viestinnän tietosuoja-asetus, ePrivacy). Kolmansien osapuolten evästeet Sivustolla käytetään evästeitä kävijäseurantaan ja markkinointiin. Evästekäytäntö Hyväksy Lähde: Viestintävirasto, 2017, Evästeet, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet/palveluidenturvallinenkaytto/evasteet.html
  • 22. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 23. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista suojatoimista määräytyvät riskiperusteisesti • Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin • Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. – Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. • Riski voi olla korkeampi, kun – käsitellään heikossa asemassa olevien tietoja (esim. lapset) – käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti – käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi • Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla). Riskiperusteinen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 24. • Henkilötietojen tietoturvaloukkauksella tarkoitetaan tilannetta, jossa henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai tietoihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. • Tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. – Ilmoitus pitää tehdä ilman aiheetonta viivytystä. – Ilmoituksen voi jättää tekemättä jossain tilanteissa: esimerkiksi jos vuotaneet tiedot on salattu vahvasti, tietojen väärinkäyttö on estetty tai jos ei voida selvittää, keitä vuoto on koskenut. • Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu, jos siitä voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. • Henkilötietojen käsittelijän on tehtävä ilmoitus rekisterinpitäjälle ilman aiheetonta viivytystä. • Rekisterinpitäjän on dokumentoitava henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto, 2017, Henkilötietojen tietoturvaloukkaukset, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
  • 25. • Tietoturvarikkomuksen tyyppi – Esimerkiksi henkilötietojen vuoto ulkopuoliselle aiheuttaa suuremman riskin kuin tietojen häviäminen järjestelmän vian vuoksi. • Henkilötietojen luonne, arkaluonteisuus ja määrä – Arkaluontoisiin tietoihin ja eri tietotyyppien yhdistelmiin liittyy suurempi riski • Tunnistamisen helppous – Tunnistettavuus lisää riskiä. Salaus tai pseudonymisointi vähentää riskiä. • Rekisteröidyn ominaisuudet – Heikossa asemassa oleviin rekisteröityihin kuten lapsiin kohdistuu suurempi riski • Rekisterinpitäjän ominaisuudet – Esimerkiksi potilastietojen rekisterinpitäjään kohdistuu suurempi riski • Tietovuodon seurauksien vakavuus – Seuraukset voivat olla vakavia esimerkiksi silloin, kun siitä voi seurata identiteettivarkaus, petos, psyykkistä ahdistusta, nöyryytystä tai maineen menetys. – Riski on suurempi, jos henkilötiedot ovat päätyneet rikolliselle. Tietoturvaloukkauksen riskien arviointi Lähde: Tietosuojavaltuutetun toimisto, 2017, Henkilötietojen tietoturvaloukkaukset, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
  • 27. Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
  • 28. Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
  • 29. Pilvipalveluissa vastuu jakaantuu Tiedot asiakkaasta Laskutustiedot Tiedot käytettävistä palveluista ja niiden käytöstä Asiakkaan vastuulla olevien muiden käyttäjien palveluun tallentamat tiedot Mahdolliset muut palvelun tuottamiseen liittyvät tahot ja niiden tiedot Asiakas on rekisterinpitäjä Muut käyttäjät ovat rekisterinpitäjiä mahdollisesti luomiinsa rekistereihin Palveluntarjoaja on henkilötietojen käsittelijä Palveluntarjoaja on rekisterinpitäjä Lisäksi voi olla muita henkilötietojen käsittelijöitä Mahdolliset muut rekisterinpitäjät ja henkilötietojen käsittelijät sekä valvovat viranomaistahot Asiakkaan palveluun tallentamat tiedot ASIAKAS& KÄYTTÄJÄT PALVELUNTARJOAJA
  • 30. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  • 33. Miten somepalveluita opetukseen? • Monia somepalveluita voi käyttää ilman oppijoiden rekisteröitymistä tai henkilötietojen antamista • Kaupalliset somepalvelut, jotka edellyttävät käyttöehtojen hyväksyntää: – Alaikäiset huoltajan suostumuksella – Täysi-ikäiset omalla vastuullaan • Omassa hallinnassa olevat somepalvelut – Koulu/kunta voi hankkia osto-/sopimuspalveluita – Koulu/kunta voi asentaa ja ylläpitää omia somepalveluita – Tällöin koulu/kunta on rekisterinpitäjä ja voi monesti määrätä myös käyttösäännöistä.
  • 34. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  • 35. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Somepalvelujen ikärajat Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon.
  • 36. • Sopimuksen tekeminen kuten verkkopalvelun käyttöehtojen hyväksyminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuuden) riippumatta palvelun ikärajasta. • Vähintään 16-vuotiaat voivat antaa itse luvan henkilötietojensa käsittelyyn (saattaa muuttua 13- tai 15-v.) • Alaikäisten oppilaiden tuotosten julkaisuun verkossa täytyy olla hänen oma lupansa sekä huoltajan lupa. Alaikäiset oppilaat
  • 37. Huoltajan lupa? Lähde: Tampereen TVT-portaali, http://tvt.tampereenseutu.fi/@Bin/732920/Sosiaalisen+media n+opetusk%C3%A4yt%C3%B6n+kaavio.pdf (4.4.2018)  Mikäli tunnuksen luomisessa on hyväksyttävä palvelun käyttöehdot  Mikäli palvelussa julkaistaan teoksia opiskelijaryhmän ulkopuolisille
  • 38. Mitä asioita yksityisyydestä ja tietosuojasta netissä on tarpeen ohjeistaa tai opettaa opiskelijoille?
  • 39. Lähde: Some ja nuoret 2016, http://www.ebrand.fi/somejanuoret2016/5-harkinta-sosiaalisessa-mediassa/ (13-29-v.) Nuorten mielipide
  • 40. • Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa käytetään oppimisen välineenä ja miten se tehdään turvallisesti • On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan ja mille tahoille henkilötietoja on turvallista luovuttaa – Somepalveluihin rekisteröitymisessä – Chat- ja pikaviestikeskusteluissa • Neuvoja netin turvalliseen käyttöön (huomioi ikätaso) – Älä kerro omia tai toisten henkilötietoja – Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt. – Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille. – Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi. – Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle. – Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä. – On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista. – Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa. – Mieti, millaisen kuvan annat itsestäsi • Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus • Yhteistyö ja avoimuus huoltajien kanssa tärkeää. Turvallisesti netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 42. • Oppilaita opastetaan käyttäjätunnusten ja salasanojen tekemisessä sekä yksityisyyden suojaamisessa. • Noudatetaan some-palvelujen käyttöehtoja ja ikärajoja. • Huolehditaan, että oppijoilla on riittävät tiedot tekijänoikeuksista. • Korostetaan hyvää käytöstä, yhteisöllisten toimintatapojen omaksumista ja toisen kunnioittamista. • Häiriökäyttäytymistä ja kiusaamista ei hyväksytä. • Some-palvelujen opetuskäytölle tehdään malli, joka mahdollistaa oppilaiden osaamisen ja taitojen kehittymisen turvallisessa ympäristössä. • Luottamuksellista tietoa ei viedä some-palveluihin. • Tunnetaan henkilötietoja ja henkilötietorekisterien ylläpitoa koskevat määräykset. Somen turvallinen ja eettinen käyttö Lähde: https://www.oph.fi/saadokset_ja_ohjeet/ohjeita_koulutuksen_jarjestamiseen/lukiokoulutuksen_ jarjestaminen/sosiaalisen_median_opetuskayton_suositukset, 30.3.2012
  • 43. • Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat rekisteröityvät niihin – Nimen, koulun ja luokan kertominen somessa – Käyttäjätunnuksen muodostamistapa – Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite) – Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä – Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita kavereiksi vapaa-ajan somepalveluissa • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava • Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta • Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin Opettajan tunnus ja työprofiili
  • 44. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä oppilas-, opettaja- tai ohjaajatunnusta ei pitäisi tehdä. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin esimerkiksi oppilaita ei tarvitse ottaa kavereiksi. • Facebookin käyttöehdot: https://www.facebook.com/legal/ terms/update
  • 45. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
  • 47. • Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta ja kehitystarpeista • Arviointi sisältää esimerkiksi: – Mitä henkilötietoja organisaation hallussa on – Miten tietosuojaperiaatteet on otettu huomioon – Toimintaan liittyvät henkilötietovirrat – Henkilötietojen käsittelyn oikeusperusteet – Miten tietoturvasta on huolehdittu – Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu • Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t ietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos. pdf • Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen sisällöstä, sillä se on viime kädessä vastuussa Henkilötietojen nykytilan arviointi Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf