Sosiaalinen media tietosuojan näkökulmasta

Harto Pönkä
Harto PönkäCEO at Innowise à Innowise
Sosiaalinen media
tietosuojan
näkökulmasta
24.3.2021
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018
Tämän koulutuksen aiheita
2
Taustaa Someaspan tietosuoja
Sisäiset viestintä-,
some- ja pilvipalvelut
Henkilötietojen siirto
Yhdysvaltoihin
Huomioitavaa
somemarkkinoinnissa
Taustaa: somen käyttö ja etätyöt
Suosituimmat somepalvelut Suomessa syksyllä 2020
Lähde: AudienceProject, 17.9.2020, Insights 2020: Apps & social media usage,
https://www.audienceproject.com/wp-content/uploads/AudienceProject_Study_App_and_Social_Media_Usage_2020_pdf.pdf (n. 2000 vastaajaa Suomessa, 15-75-vuotiaat)
4
Kuntien käyttämät somepalvelut
Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa)
5
Tietoturva vaarantuu etätöissä
6
Lähde: Tessian, 2020,
https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa)
”Kyberturvayhtiö Tessianin tutkimuksen mukaan
52 prosenttia kotona työskentelevistä sanoo
syystä tai toisesta kiertävänsä yrityksen
tietoturvan käytäntöjä.”
Syitä:
▪ Etätyössä käytetään eri laitteita kuin
työpaikalla (50 %)
▪ Etätyössä ei koeta olevan IT-osaston
valvonnassa (48 %)
▪ Työhön tulee häiriöitä mm. perheenjäsenten
vuoksi (47 %)
▪ Työhön liittyvä aikataulupaine (39 %)
Someaspan tietosuoja
7
Somekanavien tietosuojan
koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin asiakasrekistereihin
somepalvelut liittyvät?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon
kanavina?
Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa,
https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020)
8
Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
9
 Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
 Jos mahdollista, linkitä
tietosuojaseloste
 Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
 Mitä muita (turvallisempia) tapoja
asiakkailla on yhteydenottoon?
Facebook-sivun ylläpitäjän asema
 Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
 Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja
analytiikkatyökalujen yhteydessä.
 Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018.
 Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta):
https://www.facebook.com/legal/terms/page_controller_addendum#
 Käytännön toimenpiteet:
 Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
 Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
 Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
10
Henkilötietojen käsittely somepalveluissa
11
▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen?
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Henkilötietoja ei saa julkaista tai luovuttaa
ilman suostumusta tai lakiperustetta.
▪ Muista informointi, jos somea käytetään
yhteydenpitoon tai tietojenkeruuseen.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Tarvittaessa ohjataan muihin asiointikanaviin.
▪ Miten rekisteröity tunnistetaan somessa?
▪ Suostumusten ja pyyntöjen dokumentointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto.
Erota oma ja ulkopuolinen rekisteri
12
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(toinen rekisterinpitäjä tai
henkilötietojen käsittelijä)
Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle
tai verkkopalvelulle vain, jos
1) on sopimus henkilötietojen käsittelystä
2) tai luovutukseen on saatu rekisteröidyn suostumus.
Ulkopuolista verkkopalvelua voidaan
käyttää viestintään rekisteröityjen
kanssa myös silloin, kun aloite tulee
rekisteröidyltä. Tätä voidaan pitää
suostumuksena ko. palvelun käyttöön.
Jos henkilötietoja kerätään
ulkopuolisen palvelun kautta, siihen
tulee olla oikeusperuste. Samalla
pitää hoitaa informointivelvollisuus.
Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
13
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
Google on netin isoin datankerääjä
Kuva: DuckDuckGo, 15.3.2021,
https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw
14
Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
15
Vähiten kolmansille osapuolille tietoja jakavat sovellukset
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
16
Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä
▪ Asiakkaat
▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja.
▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu.
▪ Työntekijät
▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot.
▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta, esim. tarve olla tavoitettavissa.
▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa.
▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta.
Voidaan sanoa, että henkilö ei ole paikalla.
▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai
irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio)
17
Rekisteriä saa käyttää vain sen käyttötarkoituksiin!
18
 Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Muista salassapito julkisessa someviestinnässä
19
Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017,
https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
 Vaikka rekisteröity itse kertoisi
henkilötietoja julkisesti, täytyy
organisaation ottaa huomioon
tietosuoja- ja
salassapitomääräykset.
Sisäiset viestintä-, some- ja pilvipalvelut
20
Organisaatioiden sisäisesti käyttämät viestintä-, some- ja pilvipalvelut
Lähde: North Patrol, Intranet ja digitaalinen työympäristö 2020 -selvitys,
https://www.slideshare.net/NorthPatrol/intranet-ja-digitaalinen-tyymprist-2020-selvityksen-tulokset/16 (N=111 vastaajaorganisaatiota, yli puolet kunnallisia tai julkisia organisaatioita)
21
Microsoft Teams Etäkokous ja työtilat 85 %
Microsoft O365 SharePoint Työtilat/intranet 52 %
Yammer Keskustelu ja tiedonjako 52 %
WhatsApp Keskustelu ja tiedonjako 37 %
Confluence Wikialusta 23 %
Zoom Etäkokous 22 %
Slack Keskustelu ja tiedonjako 21 %
Trello Projektinhallinta 20 %
Moodle Verkkokoulutus, tiedonjako 19 %
Google Drive Tiedostojen pilvitallennus 16 %
M-Files Tiedostojen pilvitallennus 15 %
Facebookin suljetut ryhmät Keskustelu ja tiedonjako 14 %
Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa
22
 Käytä vain organisaation sallimia sovelluksia.
 Toimita kutsu henkilökohtaisesti osallistujille.
 Informoi osallistujia henkilötietojen käsittelystä.
 Varmista huoneessa olijoiden henkilöllisyys.
 Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä.
 Varmista esittäjien osaaminen etukäteen.
 Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
 Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
 Lopuksi: päätä kokous, tyhjennä tai sulje huone.
 Suojaa tallenne ja huolehdi sen tietosuojasta.
WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
 Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
 Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
 Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
Kysymys: sijaisryhmä WhatsAppissa
24
 WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.
 Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota,
sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
 WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).
 Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.
 Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa
vaikutustenarviointi.
 Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä
yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.
 Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset
WhatsAppin käyttöön.
 Tarvittaessa oma rekisteri ja tietosuojaseloste.
Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
• Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi
sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan
▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä?
▪ Mitkä ovat työvälineen oletusasetukset ja ominaisuudet?
▪ Minkälaista tietoa työvälineessä halutaan käsitellä?
▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia?
▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille?
▪ Luovuttaako työväline tietoja kolmansille osapuolille?
▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen tai julkisiin
tapahtumiin?
▪ Käytetäänkö työvälinettä organisaation sisäiseen työskentelyyn?
▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin?
▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä?
▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on?
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
25
Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
26
Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
27
 Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
 Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
 Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
 Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
 Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle,
jotta tietoja antavat henkilöt voivat tutustua siihen.
 Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
oppijoiden henkilötietojen käsittelyssä.
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä henkilöiden tunnistetietoja, jolloin
siirrettävät tiedot eivät ole enää henkilötietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa!
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
▪ Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
28
Huomioitavaa somemarkkinoinnissa
29
“
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
30
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
Monet organisaatiot vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalgoritmin avulla.
Voit tarkistaa tietosi
Facebookin asetusten
Mainokset-kohdasta:
https://www.facebook.com/d
s/preferences/?entry_product
=account_settings_menu&exp
and_ad_settings=1
31
Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa…
Lähde: Tietosuojavaltuutetun toimisto,
https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020)
32
33
Facebookin
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
synt.aika, kaupunki, laitetunniste ym.
Googlen
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Markkinointi manuaalisesti
valituille kohderyhmille.
Markkinoinnissa käytetään profilointia ja autom. päätöksiä  suostumus! Ei profilointia
Twitterin
räätälöidyt yleisöt
Sähköposti, laitetunniste,
Twitter-tunnus, Twitter-ID
Datan
kerääjät,
hallinnoijat ja
myyjät
LinkedInin
vastaavat yleisöt
Nimi, sähköposti,
laitetunniste, yritys, ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
GDPR-muistilista somemainostajalle
▪ Rekisterinpitäjä on vastuussa, jos se luovuttaa
henkilötietoja mainosalustalle.
▪ Mainostaja on aina vastuussa, vaikka mainonta
annettaisiin toisen tahon tehtäväksi.
▪ Organisaatiolla pitää olla oikeusperuste, joka
mahdollistaa tietojen käytön sähk. markkinoinnissa.
▪ Yksityishenkilöt: suostumus tai sopimus
▪ B2B-yhteyshenkilöt: oikeutettu etu
▪ Tietosuojaselosteessa tulee kertoa, mille tahoille
henkilötietoja luovutetaan – ml. henkilötietojen
käsittelijät kuten mainospalvelujen tuottajat.
▪ Profiloinnin käytöstä tulee kertoa rekisteröidyille.
▪ Kerro, miten mainosviesteiltä voi kieltäytyä.
34
Kuva ja lisätietoa: Facebookin GDPR-sivusto, https://www.facebook.com/business/gdpr
Ks. myös Googlen tukimateriaalit mainostajille: https://support.google.com/google-ads/answer/9028179?hl=fi
35
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!
1 sur 35

Recommandé

Tietosuoja ja sosiaalinen media par
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
1.2K vues75 diapositives
Evästystä evästeiden käyttöön par
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
645 vues31 diapositives
Tietosuoja ja digitaalinen turvallisuus koulussa par
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
179 vues52 diapositives
Tietosuojavaatimukset markkinointiviestinnässä par
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
121 vues32 diapositives
Tietosuoja ja sosiaalinen media par
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
862 vues84 diapositives
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta par
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
561 vues51 diapositives

Contenu connexe

Tendances

Opetuksen tietosuoja - mikä muuttui? par
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
78 vues40 diapositives
Tietosuoja opetuksessa par
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
851 vues73 diapositives
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset par
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
136 vues64 diapositives
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin par
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
157 vues51 diapositives
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet par
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
240 vues53 diapositives
Sosiaalinen media tietosuojan näkökulmasta par
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
628 vues38 diapositives

Tendances(20)

Opetuksen tietosuoja - mikä muuttui? par Harto Pönkä
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä78 vues
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset par Harto Pönkä
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä136 vues
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin par Harto Pönkä
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä157 vues
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet par Harto Pönkä
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä240 vues
Sosiaalinen media tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä628 vues
Verkkopalvelujen datankeruu ja opetuksen tietosuoja par Harto Pönkä
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Harto Pönkä75 vues
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki par Harto Pönkä
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Harto Pönkä1.8K vues
Tietoturva ja tietosuoja Office 365 -palveluissa par Harto Pönkä
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä112 vues
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Harto Pönkä145 vues
Some- ja pikaviestisovellusten tietosuoja par Harto Pönkä
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
Harto Pönkä193 vues
Tietosuoja koulussa käytännössä par Harto Pönkä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
Harto Pönkä606 vues
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta par Harto Pönkä
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä429 vues
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta par Harto Pönkä
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Harto Pönkä105 vues
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua? par Harto Pönkä
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Harto Pönkä5K vues
Case: jauhojengi-kohu Twitterissä kesällä 2022 par Harto Pönkä
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä1.8K vues
Teknologian ja somen trendit 2021 par Harto Pönkä
Teknologian ja somen trendit 2021Teknologian ja somen trendit 2021
Teknologian ja somen trendit 2021
Harto Pönkä443 vues
Tietosuoja varhaiskasvatuksessa par Harto Pönkä
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä6.6K vues
Tietosuoja varhaiskasvatuksessa par Harto Pönkä
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä262 vues
Informaatiovaikuttamisen tunnistaminen somessa par Harto Pönkä
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
Harto Pönkä4K vues

Similaire à Sosiaalinen media tietosuojan näkökulmasta

Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa par
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
640 vues19 diapositives
Tietosuoja etäopetuksessa par
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessaHarto Pönkä
708 vues17 diapositives
Sosiaalisen median opetuskäyttö par
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöHarto Pönkä
1.6K vues39 diapositives
Työntekijöiden tietosuoja etätyössä par
Työntekijöiden tietosuoja etätyössäTyöntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössäHarto Pönkä
3.4K vues15 diapositives
Sosiaalisen median ohjeistukset par
Sosiaalisen median ohjeistuksetSosiaalisen median ohjeistukset
Sosiaalisen median ohjeistuksetHarto Pönkä
3.7K vues15 diapositives
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö par
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
4.5K vues60 diapositives

Similaire à Sosiaalinen media tietosuojan näkökulmasta(20)

Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa par Harto Pönkä
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Harto Pönkä640 vues
Sosiaalisen median opetuskäyttö par Harto Pönkä
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttö
Harto Pönkä1.6K vues
Työntekijöiden tietosuoja etätyössä par Harto Pönkä
Työntekijöiden tietosuoja etätyössäTyöntekijöiden tietosuoja etätyössä
Työntekijöiden tietosuoja etätyössä
Harto Pönkä3.4K vues
Sosiaalisen median ohjeistukset par Harto Pönkä
Sosiaalisen median ohjeistuksetSosiaalisen median ohjeistukset
Sosiaalisen median ohjeistukset
Harto Pönkä3.7K vues
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö par Harto Pönkä
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Harto Pönkä4.5K vues
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa par Harto Pönkä
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Harto Pönkä107 vues
Sosiaalisen median käyttöönotto, par Harto Pönkä
Sosiaalisen median käyttöönotto, Sosiaalisen median käyttöönotto,
Sosiaalisen median käyttöönotto,
Harto Pönkä3.1K vues
Tietosuoja perusopetuksessa ja toisella asteella par Harto Pönkä
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä190 vues
Somepalvelut musiikkiopiston opetuksessa par Harto Pönkä
Somepalvelut musiikkiopiston opetuksessaSomepalvelut musiikkiopiston opetuksessa
Somepalvelut musiikkiopiston opetuksessa
Harto Pönkä4.4K vues
Tietosuoja sosiaalisessa mediassa par Harto Pönkä
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
Harto Pönkä491 vues
Tietosuoja sosiaalisessa mediassa par Harto Pönkä
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
Harto Pönkä1.4K vues
Tietosuoja ja sosiaalinen media par Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä732 vues
Yritys ja yrittäjä verkostoissa ja verkkoyhteisöissä par Harto Pönkä
Yritys ja yrittäjä verkostoissa ja verkkoyhteisöissäYritys ja yrittäjä verkostoissa ja verkkoyhteisöissä
Yritys ja yrittäjä verkostoissa ja verkkoyhteisöissä
Harto Pönkä376 vues
Some opetuksessa - aktivoi ja ymmärrä paremmin par Harto Pönkä
Some opetuksessa - aktivoi ja ymmärrä paremminSome opetuksessa - aktivoi ja ymmärrä paremmin
Some opetuksessa - aktivoi ja ymmärrä paremmin
Harto Pönkä852 vues
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ... par Jan Lindberg
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Jan Lindberg138 vues
Tietosuoja verkko- ja etäopetuksessa par Harto Pönkä
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
Harto Pönkä2.6K vues

Plus de Harto Pönkä

Sosiaalinen media, pelit ja ruutuaika par
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
88 vues47 diapositives
Juuri nyt: Somen trendit ja algoritmit par
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
285 vues40 diapositives
Henkilötietojen ja yksityisyyden suojaaminen par
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
115 vues25 diapositives
Toiminta tietoturvaloukkaustapauksissa par
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
44 vues17 diapositives
Informaatiovaikuttamisen tunnistaminen somessa par
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
55 vues48 diapositives
Twitter taitekohdassa par
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
122 vues34 diapositives

Plus de Harto Pönkä(15)

Sosiaalinen media, pelit ja ruutuaika par Harto Pönkä
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
Harto Pönkä88 vues
Juuri nyt: Somen trendit ja algoritmit par Harto Pönkä
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
Harto Pönkä285 vues
Henkilötietojen ja yksityisyyden suojaaminen par Harto Pönkä
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
Harto Pönkä115 vues
Toiminta tietoturvaloukkaustapauksissa par Harto Pönkä
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
Harto Pönkä44 vues
Informaatiovaikuttamisen tunnistaminen somessa par Harto Pönkä
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
Harto Pönkä55 vues
Sosiaalinen media, koulu ja opetus par Harto Pönkä
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
Harto Pönkä63 vues
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset par Harto Pönkä
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Harto Pönkä102 vues
Informaatiovaikuttamisen tunnistaminen par Harto Pönkä
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminen
Harto Pönkä87 vues
LinkedInin käyttö rekrytoinnissa par Harto Pönkä
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissa
Harto Pönkä202 vues
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalulla par Harto Pönkä
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalullaTwitter-bottien tunnistaminen Tweeps.net-analyysityökalulla
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalulla
Harto Pönkä93 vues

Sosiaalinen media tietosuojan näkökulmasta

  • 2. Tämän koulutuksen aiheita 2 Taustaa Someaspan tietosuoja Sisäiset viestintä-, some- ja pilvipalvelut Henkilötietojen siirto Yhdysvaltoihin Huomioitavaa somemarkkinoinnissa
  • 3. Taustaa: somen käyttö ja etätyöt
  • 4. Suosituimmat somepalvelut Suomessa syksyllä 2020 Lähde: AudienceProject, 17.9.2020, Insights 2020: Apps & social media usage, https://www.audienceproject.com/wp-content/uploads/AudienceProject_Study_App_and_Social_Media_Usage_2020_pdf.pdf (n. 2000 vastaajaa Suomessa, 15-75-vuotiaat) 4
  • 5. Kuntien käyttämät somepalvelut Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa) 5
  • 6. Tietoturva vaarantuu etätöissä 6 Lähde: Tessian, 2020, https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa) ”Kyberturvayhtiö Tessianin tutkimuksen mukaan 52 prosenttia kotona työskentelevistä sanoo syystä tai toisesta kiertävänsä yrityksen tietoturvan käytäntöjä.” Syitä: ▪ Etätyössä käytetään eri laitteita kuin työpaikalla (50 %) ▪ Etätyössä ei koeta olevan IT-osaston valvonnassa (48 %) ▪ Työhön tulee häiriöitä mm. perheenjäsenten vuoksi (47 %) ▪ Työhön liittyvä aikataulupaine (39 %)
  • 8. Somekanavien tietosuojan koordinointi 1. Selvittäkää, mitä somepalveluita käytetään ja mihin tarkoituksiin? 2. Mihin asiakasrekistereihin somepalvelut liittyvät? 3. Onko somepalvelut huomioitu tietosuojaselosteissa mm. henkilötietojen saannin lähteinä ja tarvittaessa yhteydenpidon kanavina? Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa, https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020) 8
  • 9. Tietosuojan huomiointi sosiaalisen median profiileissa Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020) 9  Kerro someprofiilissa siitä vastaava organisaatio eli rekisterinpitäjä  Jos mahdollista, linkitä tietosuojaseloste  Voivatko asiakkaat ottaa yhteyttä esim. yksityisviestillä?  Mitä muita (turvallisempia) tapoja asiakkailla on yhteydenottoon?
  • 10. Facebook-sivun ylläpitäjän asema  Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.  Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä.  Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018.  Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta): https://www.facebook.com/legal/terms/page_controller_addendum#  Käytännön toimenpiteet:  Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio.  Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.  Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 10
  • 11. Henkilötietojen käsittely somepalveluissa 11 ▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen? ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Henkilötietoja ei saa julkaista tai luovuttaa ilman suostumusta tai lakiperustetta. ▪ Muista informointi, jos somea käytetään yhteydenpitoon tai tietojenkeruuseen. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Tarvittaessa ohjataan muihin asiointikanaviin. ▪ Miten rekisteröity tunnistetaan somessa? ▪ Suostumusten ja pyyntöjen dokumentointi. ▪ Jälkihoito: henkilötietojen ja viestien poisto.
  • 12. Erota oma ja ulkopuolinen rekisteri 12 Rekisteriin kerätyt henkilötiedot (organisaatio rekisterinpitäjänä) Ulkopuolinen verkkopalvelu (toinen rekisterinpitäjä tai henkilötietojen käsittelijä) Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle tai verkkopalvelulle vain, jos 1) on sopimus henkilötietojen käsittelystä 2) tai luovutukseen on saatu rekisteröidyn suostumus. Ulkopuolista verkkopalvelua voidaan käyttää viestintään rekisteröityjen kanssa myös silloin, kun aloite tulee rekisteröidyltä. Tätä voidaan pitää suostumuksena ko. palvelun käyttöön. Jos henkilötietoja kerätään ulkopuolisen palvelun kautta, siihen tulee olla oikeusperuste. Samalla pitää hoitaa informointivelvollisuus.
  • 13. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 13 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 14. Google on netin isoin datankerääjä Kuva: DuckDuckGo, 15.3.2021, https://twitter.com/DuckDuckGo/status/1371509053613084679?ref_src=twsrc%5Etfw 14
  • 15. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 15
  • 16. Vähiten kolmansille osapuolille tietoja jakavat sovellukset Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 16
  • 17. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä ▪ Asiakkaat ▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja. ▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu. ▪ Työntekijät ▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot. ▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta, esim. tarve olla tavoitettavissa. ▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa. ▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. ▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio) 17
  • 18. Rekisteriä saa käyttää vain sen käyttötarkoituksiin! 18  Vaikka tiedot olisivat julkisuuslain perusteella julkisia, niitä saa käyttää vain työtehtäviin liittyviin tarkoituksiin annettujen ohjeiden mukaan. Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
  • 19. Muista salassapito julkisessa someviestinnässä 19 Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017  Vaikka rekisteröity itse kertoisi henkilötietoja julkisesti, täytyy organisaation ottaa huomioon tietosuoja- ja salassapitomääräykset.
  • 20. Sisäiset viestintä-, some- ja pilvipalvelut 20
  • 21. Organisaatioiden sisäisesti käyttämät viestintä-, some- ja pilvipalvelut Lähde: North Patrol, Intranet ja digitaalinen työympäristö 2020 -selvitys, https://www.slideshare.net/NorthPatrol/intranet-ja-digitaalinen-tyymprist-2020-selvityksen-tulokset/16 (N=111 vastaajaorganisaatiota, yli puolet kunnallisia tai julkisia organisaatioita) 21 Microsoft Teams Etäkokous ja työtilat 85 % Microsoft O365 SharePoint Työtilat/intranet 52 % Yammer Keskustelu ja tiedonjako 52 % WhatsApp Keskustelu ja tiedonjako 37 % Confluence Wikialusta 23 % Zoom Etäkokous 22 % Slack Keskustelu ja tiedonjako 21 % Trello Projektinhallinta 20 % Moodle Verkkokoulutus, tiedonjako 19 % Google Drive Tiedostojen pilvitallennus 16 % M-Files Tiedostojen pilvitallennus 15 % Facebookin suljetut ryhmät Keskustelu ja tiedonjako 14 %
  • 22. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa 22  Käytä vain organisaation sallimia sovelluksia.  Toimita kutsu henkilökohtaisesti osallistujille.  Informoi osallistujia henkilötietojen käsittelystä.  Varmista huoneessa olijoiden henkilöllisyys.  Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä.  Varmista esittäjien osaaminen etukäteen.  Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat.  Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen.  Lopuksi: päätä kokous, tyhjennä tai sulje huone.  Suojaa tallenne ja huolehdi sen tietosuojasta.
  • 23. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.  Tunnus on aina sen rekisteröineen henkilön, ei organisaation.  Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida.  Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor
  • 24. Kysymys: sijaisryhmä WhatsAppissa 24  WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.  Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota, sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.  WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).  Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.  Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa vaikutustenarviointi.  Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.  Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset WhatsAppin käyttöön.  Tarvittaessa oma rekisteri ja tietosuojaseloste. Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa • Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
  • 25. Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan ▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä? ▪ Mitkä ovat työvälineen oletusasetukset ja ominaisuudet? ▪ Minkälaista tietoa työvälineessä halutaan käsitellä? ▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia? ▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille? ▪ Luovuttaako työväline tietoja kolmansille osapuolille? ▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen tai julkisiin tapahtumiin? ▪ Käytetäänkö työvälinettä organisaation sisäiseen työskentelyyn? ▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin? ▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä? ▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on? Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 25
  • 26. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf 26
  • 27. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 27  Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.  Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.  Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.  Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.  Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.  Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä oppijoiden henkilötietojen käsittelyssä. • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  • 28. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin ▪ Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns. Schrems II –päätös). ▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja tallennuksessa. ▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä henkilöiden tunnistetietoja, jolloin siirrettävät tiedot eivät ole enää henkilötietoja. ▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa! ▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella. ▪ Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi. Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf 28
  • 30. “ Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat käyttää tietosuojaoikeuksiaan. Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman manipulointia. 30 Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019, https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
  • 31. Monet organisaatiot vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalgoritmin avulla. Voit tarkistaa tietosi Facebookin asetusten Mainokset-kohdasta: https://www.facebook.com/d s/preferences/?entry_product =account_settings_menu&exp and_ad_settings=1 31
  • 32. Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa… Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020) 32
  • 33. 33 Facebookin asiakastiedostot Nimi, sähköposti, puhelinnumero, synt.aika, kaupunki, laitetunniste ym. Googlen asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Markkinointi manuaalisesti valituille kohderyhmille. Markkinoinnissa käytetään profilointia ja autom. päätöksiä  suostumus! Ei profilointia Twitterin räätälöidyt yleisöt Sähköposti, laitetunniste, Twitter-tunnus, Twitter-ID Datan kerääjät, hallinnoijat ja myyjät LinkedInin vastaavat yleisöt Nimi, sähköposti, laitetunniste, yritys, ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät
  • 34. GDPR-muistilista somemainostajalle ▪ Rekisterinpitäjä on vastuussa, jos se luovuttaa henkilötietoja mainosalustalle. ▪ Mainostaja on aina vastuussa, vaikka mainonta annettaisiin toisen tahon tehtäväksi. ▪ Organisaatiolla pitää olla oikeusperuste, joka mahdollistaa tietojen käytön sähk. markkinoinnissa. ▪ Yksityishenkilöt: suostumus tai sopimus ▪ B2B-yhteyshenkilöt: oikeutettu etu ▪ Tietosuojaselosteessa tulee kertoa, mille tahoille henkilötietoja luovutetaan – ml. henkilötietojen käsittelijät kuten mainospalvelujen tuottajat. ▪ Profiloinnin käytöstä tulee kertoa rekisteröidyille. ▪ Kerro, miten mainosviesteiltä voi kieltäytyä. 34 Kuva ja lisätietoa: Facebookin GDPR-sivusto, https://www.facebook.com/business/gdpr Ks. myös Googlen tukimateriaalit mainostajille: https://support.google.com/google-ads/answer/9028179?hl=fi

Notes de l'éditeur

  1. Useimmilta organisaatioiden sivuilta puuttuu tietosuojaseloste, vaikka Facebook ohjeistaa sen laittamaan Esimerkiksi HSL:n sivulla on nappula linkki ”Ota meihin yhteyttä”, joka ohjaa heidän kotisivuilleen
  2. 68 prosenttia kyselyn vastaajista ilmoitti, että he ovat ottaneet viimeisen vuoden aikana uusia vuorovaikutus- ja tiedonjakovälineitä käyttöön. Maininnat Teams: 54 kpl (edellisenä vuonna sitä käytti 30 %) Zoom: 9 kpl O365 intra ja sovellukset: 8 kpl Yammer: 7 kpl Miro: 2 kpl
  3. WhatsAppille tavallista: ryhmien luonti, vahingossa ulkopuolisten liittäminen ryhmiin, vahingossa väärille vastaanottajille tai ryhmille lähetetyt viestit, vapaa-ajalla tapahtuva ei-työhön liittyvä käyttö jne. WhatsApp ei ole ”virallinen” työhön tarkoitettu viestintäväline, joten sen käyttöön voidaan suhtautua vähemmän varovaisesti kuin esimerkiksi työsähköpostiin.
  4. EU-tuomioistuimen päätöksessä todettiin Privacy shield –järjestely pätemättömäksi. Se on yleisimmin käytetty peruste henkilötietojen siirrolle EU:sta Yhdysvaltoihin. Ongelmana on, ettei henkilötietojen suojaa voida taata USA:ssa mm. viranomaisten tekemän valvonnan vuoksi. Päätöksen mukaan henkilötietoja voidaan edelleen siirtää Yhdysvaltoihin 1) rekisteröidyn nimenomaisella suostumuksella tai 2) käyttämällä EU:n mallisopimuslausekkeita ja tietosuojan takaavia lisäsuojakeinoja, joka tarkoittaa salausta.