Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Tietosuoja kunnan
viestinnässä ja
asiakaspalvelussa
Harto Pönkä
14.3.2019
Kuva: Pixabay
Henkilötietojen käsittelyn lähtökohtia
EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa
tilanteissa, joissa henkilötietoja käsitell...
• Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.)
• Tietosuojaperiaatteiden sisäänrakenn...
• Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan
koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia...
• Henkilötietojen käsittely voi perustua:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Rekis...
Lähde: Kuntalaki, https://www.finlex.fi/fi/laki/alkup/2015/20150410
Kunnan viestintä perustuu kuntalain 29§:ään. Joistakin...
• Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemall...
Rekisterinpitäjä  tarkoitukset  tiedot
Tarkoitukset ja
keinot
Rekisteriin
kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Reki...
Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun muka...
• Informointi rekisteröidyille (vrt. tietosuojaseloste)
– Mitä tietoja, mihin tarkoituksiin, säilytysaika, kenelle luovute...
Oulun kaupungin tietosuojasivusto: https://www.ouka.fi/tietosuoja (17.9.2018)
Espoon kaupungin tietosuojaselosteet: https://www.espoo.fi/fi-FI/Asioi_verkossa/Tietosuoja/Tietosuojaselosteet (17.9.2018)
• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain ...
Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/491...
Tietosuoja kunnan viestinnässä
Kuntien viestinnän välineet
Lähde: Kuntaliitto, Kuntien viestintäkysely 2017,
https://www.kuntaliitto.fi/sites/default/fil...
Kuntien viestintä tiedotusvälineille
Lähde: Kuntaliitto, Kuntien viestintäkysely 2017,
https://www.kuntaliitto.fi/sites/de...
Lähde: Kuntaliitto, Kuntien markkinointitutkimus 2018,
https://www.kuntaliitto.fi/sites/default/files/media/file/190109_Ku...
Kuntien asiakaspalvelukanavat
Sähköposti 100 %
Fyysinen asiakaspalvelupiste ~ 100 %
Puhelinpalvelu ~ 100 %
Verkkosivut ~ 1...
Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Henkilötunnus, jos rekist...
GDPR vs. viestintäsalaisuus?
• Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin.
• Työnantajalla ...
• Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella
tai jos siitä on nimenomaisesti säädetty.
• Viran...
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
Taiteellinen,
kirjallinen,
akateeminen tai
journalistinen sisältö
Julkinen
henkilötieto
Ei-julkinen
henkilötieto (esim.
tu...
• Yksityiselämän suoja on perustuslain nojalla kuntalain viestintävelvollisuutta
painavampi. Tämä on huomioitava, kun julk...
Päätösten/pöytäkirjojen henkilötiedot pidetään
verkossa vain muutoksenhakuajan
Lähde: Kuntaliiton yleiskirje 15/2017: http...
Kuvat ja videot viestinnässä
Valokuvat ja videot
• Valokuvan tai videon
tekijänoikeudet tai lähioikeudet
ovat kuvaajalla.
• Tunnistettavan henkilökuvan...
- Jos kunta tilaa yksityiseltä henkilöltä taikka yritykseltä vaikkapa
markkinointikäyttöön suunnatun videon, niin pitääkö ...
- Miten kunnat saavat julkaista yksityishenkilöiden kuvia/videoita
omilla somekanavillaan?
- Voiko julkisesta tilaisuudest...
Henkilötietojen ja teosten julkaisussa on syytä muistaa, että julkaisun
jälkeen myös muut voivat jakaa ja lainata niitä – ...
Tietosuoja pilvipalveluissa ja somessa
Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoi...
Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulko...
Organisaatioiden käyttöön
tehdyissä pilvipalveluissa
organisaatio on yleensä
rekisterinpitäjä käyttäjilleen ja
palvelun yl...
- Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. kunnan G Suitessa tai 0ffice 365:ssa?
- Voiko Google...
Somepalvelut viestinnässä ja asiakaspalvelussa
Pitääkö organisaation
someprofiileista olla
rekisteriselosteet?
Kuvakaappaus: Helsingin kaupunki
sosiaalisessa mediassa,
h...
Facebook-sivu kunnan viestinnässä
Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
• Facebookin käyttöehdot kieltävät
kahden eri käyttäjätunnuksen
luomisen.
• Erillistä työntekijätunnusta ei
pitäisi tehdä....
• Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa
yhteisrekisterinpitäjäksi Facebookin kanssa.
• Facebook o...
Facebookin lisäehdot sivujen ylläpitäjille (28.9.2018)
Lähde: https://www.facebook.com/legal/terms/page_controller_addendu...
WhatsApp
vahva salaus automaattisesti
Facebook Messenger
salaus pitää kytkeä päälle
Skype
salattu, mutta viestejä on
peria...
Pikaviestipalvelujen tietosuoja
Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4...
Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-en...
Tiedotus
(kirjallinen,
taiteellinen,
akateeminen ja
journalistinen sisältö)
Yhteydenpito
rekisteröityihin
Henkilötietojen
...
• Kun viestinnässä käytetään ulkopuolisia somepalveluita, on syytä sopia
ja ohjeistaa yhteiset toimintamallit
– Miten reki...
Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötiet...
• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten ...
Markkinointirekisterit
Suoramarkkinointi ja tietosuoja
• Perinteinen suoramarkkinointi
– Postitse tai puhelimitse
– Saa tehdä, jos vastaanottaja ...
• Suostumus (opt-in)
– Sähköinen suoramarkkinointi (sähköposti, tekstiviesti ym.)
– Suostumuksen pitää olla selvä. Mahdoll...
• Kolmannen osapuolen eväste (cookie) on laitteelle tallennettava tiedosto,
jonka avulla käyttäjää voidaan seurata netissä...
Profilointi ja analytiikka
4 artikla
4) ’profiloinnilla’ mitä tahansa henkilötietojen
automaattista käsittelyä, jossa henkilötietoja
käyttämällä arvi...
Milloin analytiikka on profilointia?
• Yksittäiset tiedot, esim. pisteet ja edistyminen
• Yhteenvedot ja tilastot, lokitie...
Pyydä suostumus, jos käytät profilointia
Facebookiin viedyt
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
syntymäaika,...
Riskien arviointi ja vastuu tietosuojasta
Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos ri...
Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista...
Hallinto ja
toimintakulttuuri
•Tietosuoja ja sen
läpinäkyvyys on
keskeinen osa
toimintaperiaatteita
•Tietoturvapolitiikka ...
• Tietoturvaloukkauksella tarkoitetaan henkilötietojen…
– vahingossa tapahtuvaa tai lainvastaista tuhoamista
– häviämistä
...
Henkilökohtainen tietosuoja
Yksittäiset käyttäjät
Lähde: Viestintävirasto, Tietoturvan vuosi 2017,
https://www.viestintavirasto.fi/attachments/cert/ti...
Älä koskaan avaa epäilyttävää liitetiedostoa tai linkkiä.
• Suositus vähintään 8,
mielellään 15 merkkiä
• Ei ole yksittäinen sana. Lause
tai lorun pätkä ovat hyviä.
• Sisältää:
– I...
Lähde: https://www.viestintavirasto.fi/attachments/cert/certtiedostot/Nain_meita_huijataan.pdf
Facebookin tietosuojakohun vaikutukset
Datalähde: DNA:n Digitaalisen elämäntavan tutkimus, 03/2018, 15-74-vuotiaat, N=457 ...
Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan taval...
Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan.
Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainoks...
Facebookin kirjautumisen asetukset
Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook...
Googlen kaksivaiheinen tunnistautuminen
1. Kirjaudu Google-tunnuksellasi
ja mene osoitteeseen:
https://myaccount.google.co...
1. Hyökkääjät etsivät haavoittuvia
verkkopalveluita, joita voidaan
käyttää esim. mainostamiseen tai
virusten ja haittaohje...
Selaimen yksityinen tila
Firefox
Internet Explorer
Chrome
Yksityisessä tilassa nettiselain ei
tallenna laitteen muistiin:
...
• Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä.
• Asenna sovelluksia vain virallisista sovelluskaupoista.
...
5 neuvoa mobiilisovellusten arviointiin
1. Asenna sovelluksia vain luotetuista sovelluskaupoista.
– Suhtaudu varauksella s...
Keskustelu
&
kysymykset
Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Ki...
Prochain SlideShare
Chargement dans…5
×

Tietosuoja kunnan viestinnässä ja asiakaspalvelussa

1 680 vues

Publié le

Koulutus 14.3.2019, Harto Pönkä, Innowise (järjestänä FCG Koulutukset)

  • Soyez le premier à commenter

Tietosuoja kunnan viestinnässä ja asiakaspalvelussa

  1. 1. Tietosuoja kunnan viestinnässä ja asiakaspalvelussa Harto Pönkä 14.3.2019 Kuva: Pixabay
  2. 2. Henkilötietojen käsittelyn lähtökohtia
  3. 3. EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa tilanteissa, joissa henkilötietoja käsitellään. Ja se pitää pystyä osoittamaan. GDPR
  4. 4. • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.) • Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.) • Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.) • Informointikäytännöt (12-14 art.) • Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.) – Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.) – Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.) • Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.) – Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet – Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille – Sisäiset tarkastukset ja auditoinnit • Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio • Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi • Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.) • Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla) • Yhteisrekisterinpitäjien vastuualueet (29 art.) • Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.) • Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku) Rekisterinpitäjän osoitettavat asiat Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä, https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)
  5. 5. • Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia. – Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa. – Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan. • Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n vaatimuksia. • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä katsottu yksinään muodostavan henkilörekisteriä. – Tavallisesti esityslistojen ja pöytäkirjojen sisältämät henkilötiedot sisältyvät jo kunnan muihin henkilörekistereihin. – On arvioitava tapauskohtaisesti, mitä henkilötietoja voidaan julkaista verkossa osana esityslistaa tai pöytäkirjaa. Tavallisia poikkeuksia Lähteet: Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus- kuntalain#henkilotiedot-ja-verkkotiedottaminen
  6. 6. • Henkilötietojen käsittely voi perustua: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Rekisterinpitäjän lakisääteiseen velvoitteeseen – Elintärkeiden etujen suojaamiseen (esim. hätätilanne) – Julkisen tehtävän hoitamiseen tai yleiseen etuun – Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde) • Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn nimenomaisella suostumuksella ja lain mukaisissa poikkeustapauksissa. – Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveyttä koskevat tiedot, seksuaalinen suuntautuminen tai käyttäytyminen, geneettiset ja biometriset tunnisteet • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Henkilötietojen käsittelyn oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
  7. 7. Lähde: Kuntalaki, https://www.finlex.fi/fi/laki/alkup/2015/20150410 Kunnan viestintä perustuu kuntalain 29§:ään. Joistakin asiakirjoista säädetään erikseen. Lisäksi on huomioitava mm. julkisuuslaki, hallintolaki, tietosuojalaki ja tietenkin GDPR. Kunnan viestinnän lakiperuste
  8. 8. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • Tietosuoja-asetuksen mukaan alle 16-vuotiaalta tarvitaan huoltajan suostumus henkilötietojen käsittelylle. – Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta – Suomessa ei ole vielä päätöstä ikärajasta, lakiesityksessä 13 v. Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  9. 9. Rekisterinpitäjä  tarkoitukset  tiedot Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee käsitellä vain tarkoituksiin tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja henkilötiedot tulee ilmetä rekisteröityjen informoinnista. Oikeus- peruste
  10. 10. Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
  11. 11. • Informointi rekisteröidyille (vrt. tietosuojaseloste) – Mitä tietoja, mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne. • Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ – Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. – Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: • Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. • Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. – Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. Tiedot on annettava maksutta. – Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille – Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista Rekisteröityjen informointi Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
  12. 12. Oulun kaupungin tietosuojasivusto: https://www.ouka.fi/tietosuoja (17.9.2018)
  13. 13. Espoon kaupungin tietosuojaselosteet: https://www.espoo.fi/fi-FI/Asioi_verkossa/Tietosuoja/Tietosuojaselosteet (17.9.2018)
  14. 14. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  15. 15. Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
  16. 16. Tietosuoja kunnan viestinnässä
  17. 17. Kuntien viestinnän välineet Lähde: Kuntaliitto, Kuntien viestintäkysely 2017, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20viestint%C3%A4kysely%202017%20tulosdiat.pdf (N=177 kuntaa)
  18. 18. Kuntien viestintä tiedotusvälineille Lähde: Kuntaliitto, Kuntien viestintäkysely 2017, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20viestint%C3%A4kysely%202017%20tulosdiat.pdf (N=177 kuntaa)
  19. 19. Lähde: Kuntaliitto, Kuntien markkinointitutkimus 2018, https://www.kuntaliitto.fi/sites/default/files/media/file/190109_Kuntien%20markkinointitutkimus%202018_0.pdf (N=85) Kuntien markkinointiviestinnän keinot
  20. 20. Kuntien asiakaspalvelukanavat Sähköposti 100 % Fyysinen asiakaspalvelupiste ~ 100 % Puhelinpalvelu ~ 100 % Verkkosivut ~ 100 % Sosiaalisen median palvelut (Facebook, lisäksi joissakin kunnissa Twitter tai Instagram) 73 % Sähköinen asiointi, verkkolomakkeet 70 % Etäyhteys tai videoneuvottelu 35 % Pikaviestisovellukset (esim. Skype) 33 % Chat-palvelu 30 % Asiakkuudenhallintajärjestelmä (CRM) 6 % Lähde: Kuntaliitto, Kuntien asiakaspalvelukysely 2018, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20asiakaspalvelu%202018%20-kysely.pdf (N=119 kuntaa)
  21. 21. Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Henkilötunnus, jos rekisteröity on hyväksynyt tämän • Valintatulokset, koearvosanat • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai vastaavassa: • Arkaluontoisia henkilötietoja • Lain mukaan salassa pidettäviä tietoja ja asiakirjoja – Terveyteen ja sosiaalihuoltoon liittyvät tiedot – Henkilökohtaisten ominaisuuksien sanalliset arvioinnit – Tiedot psykologisesta testistä ja soveltuvuuskokeesta sekä niiden tuloksista – Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot – Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten elinoloista ja taloudellisesta asemasta Henkilötietojen lähetys sähköpostilla Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  22. 22. GDPR vs. viestintäsalaisuus? • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin. • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä. • On epäselvää, koskevatko GDPR:n tarkistusoikeus niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa. • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä.
  23. 23. • Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti säädetty. • Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti saajalla on oikeus käyttää niitä (JulkL 16 §). – Vaikka tiedot olisivat julkisia, ei niitä voida luovuttaa kenelle tahansa. – Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. • Suostumus on käytännössä esimerkiksi: – Sopimuksen/käyttöehtojen hyväksyntä, jos ehdoissa on mainittu, että henkilötietoja tullaan julkaisemaan – Julkaisuluvat varhaiskasvatuksessa ja opetuksessa – Suostumus opiskelupaikan haun tulosten julkaisuun hakulomakkeessa – Muilla tavoin kysytyt ja saadut suostumukset • Työntekijöiden nimet ja työhön liittyvät yhteystiedot voi julkaista. – Kuvan julkaisusta on syytä sopia erikseen. Henkilötietojen julkaisu netissä Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/usein-kysyttya-internet
  24. 24. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
  25. 25. Taiteellinen, kirjallinen, akateeminen tai journalistinen sisältö Julkinen henkilötieto Ei-julkinen henkilötieto (esim. turvakielto, salainen puh.nro) Arkaluonteiset henkilötiedot/ erityiset henkilötietoryhmät Salassapidettävät tiedot ja asiakirjat Suullisesti tai paikanpäällä näytettynä Kyllä Kyllä Ei Ei Ei Sähköisesti, kopiona tai tulosteena Kyllä Kyllä, jos saajalla on oikeus käsitellä henkilötietoja Ei Ei Ei Suojattuna sähköisesti (sähköposti tai verkkopalvelun yksityisviesti) Kyllä Kyllä, jos saajalla on oikeus käsitellä henkilötietoja Ei Ei Ei Julkisesti (netti, some tai ilmoitustaulu) Kyllä Ei. Mahdollista tapauskohtaisesti tiedottamisessa, esityslistoissa ja pöytäkirjoissa. Ei Ei Ei Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn suostumusta tai nimenomaista luovuttamisen mahdollistavaa lakipykälää. Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017, https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain
  26. 26. • Yksityiselämän suoja on perustuslain nojalla kuntalain viestintävelvollisuutta painavampi. Tämä on huomioitava, kun julkaistaan henkilötietoja verkossa. – Mitään salassa pidettäviä tai arkaluontoisia tietoja ei saa julkaista. – Vaikka asiakirjat tai tiedot ovat julkisia, täytyy ne lisäksi arvioida yksityisyyden suojan kannalta. – Julkisiakaan henkilötietoja ei saa tarpeettomasti julkaista verkossa. – Henkilörekisteritietojen sähköinen luovuttaminen edellyttää suostumusta tai lakiperustetta. • Kunnan viestintävelvollisuutta ja tietosuojaa arvioidaan tapauskohtaisesti. – Yksityishenkilöiden tietoja ei yleensä ole syytä julkaista esityslistoissa, pöytäkirjoissa tai muussa viestinnässä. – Esimerkiksi keskeisiin virkavalintoihin liittyy selvä tiedottamisintressi, jolloin henkilötiedot voidaan julkaista. • Kunnan päätösten/pöytäkirjojen mukana julkaistaan verkkoon vain tiedonsaannin kannalta välttämättömät henkilötiedot. – Pöytäkirjan henkilötiedot voidaan julkaista verkossa vasta pöytäkirjan tarkastamisen jälkeen. – Kunnallisten toimielinten pöytäkirjan sisältämät henkilötiedot on yleensä poistettava verkosta oikaisuvaatimus- tai valitusajan päättyessä. Henkilötietojen pitäminen verkossa tämän jälkeen tulee perustua kunnan tiedottamisintressiin (yleistä mielenkiintoa herättävät asiat). – Henkilötietoja sisältävät kokousasiakirjat on hyvä poistaa verkosta viimeistään vuoden kuluttua. • Kunnan ilmoitusten henkilötiedot voivat olla verkossa 14 vuorokautta. Viestintävelvollisuus ja kokousasiakirjat Lähteet: Kuntaliitto, Kuntaviestinnän opas, 2016, http://shop.kuntaliitto.fi/download.php?filename=uploads/viestintaopas_ebook.pdf Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja- julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
  27. 27. Päätösten/pöytäkirjojen henkilötiedot pidetään verkossa vain muutoksenhakuajan Lähde: Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen- kasittely-ja-julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
  28. 28. Kuvat ja videot viestinnässä
  29. 29. Valokuvat ja videot • Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. • Tunnistettavan henkilökuvan julkaisuun on syytä pyytää lupa. • Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. • Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. • Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. • Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
  30. 30. - Jos kunta tilaa yksityiseltä henkilöltä taikka yritykseltä vaikkapa markkinointikäyttöön suunnatun videon, niin pitääkö jokaiselta videolla näkyvältä pyytää kirjallinen kuvauslupa? Kysymys: videot markkinoinnissa • Video ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Esimerkiksi julkisesta tapahtumasta tiedotusta varten tehty video ei yleensä edellytä kuvauslupia kaikilta videossa näkyviltä henkilöiltä. – Jos tilanne on osallistujien kannalta yllättävä, kannattaa kuvaamisesta tiedottaa etukäteen ja/tai pyytää kuvausluvat videossa selvästi tunnistettavissa olevilta henkilöiltä. • Markkinointivideon tekijällä on oltava lupa käyttää videossa olevaa materiaalia markkinointitarkoituksiin sekä tarvittaessa kuvausluvat henkilöiltä. • Jos kunta tilaa markkinointivideon teon ulkopuoliselta, on vastuu videolla olevasta materiaalista ensisijaisesti videon tekijällä. • Vastuukysymyksistä on hyvä sopia etukäteen videon tekijän kanssa.
  31. 31. - Miten kunnat saavat julkaista yksityishenkilöiden kuvia/videoita omilla somekanavillaan? - Voiko julkisesta tilaisuudesta ottaa kuvaa? - Pitääkö jokaiselta kuvassa olijalta pyytää kirjallinen kuvauslupa? Kysymys: tapahtumissa kuvaaminen • Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Esimerkiksi koulun tapahtuma tai julkisessa tilassa oleva esitys ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. • Jos koulun oppilaista otetaan kuvia koulun/kunnan toimesta ja ne julkaistaan verkossa, on tähän pyydettävä luvat huoltajilta. • Kunta ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää. • Kuvien julkaisua säätelee eri lait. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu toimitukselliseen tarkoitukseen on ok.
  32. 32. Henkilötietojen ja teosten julkaisussa on syytä muistaa, että julkaisun jälkeen myös muut voivat jakaa ja lainata niitä – joskus yllättävillä tavoilla. Huhtasaari & oppilasjuliste -tapaus tarkemmin: https://harto.wordpress.com/2018/10/03/huhtasaaren-jakaman-oppilastyon-tekijanoikeudet-ja-tietosuoja/
  33. 33. Tietosuoja pilvipalveluissa ja somessa
  34. 34. Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
  35. 35. Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
  36. 36. Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
  37. 37. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. kunnan G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? Kysymys: henkilötiedot pilvipalveluissa • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU- komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
  38. 38. Somepalvelut viestinnässä ja asiakaspalvelussa
  39. 39. Pitääkö organisaation someprofiileista olla rekisteriselosteet? Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa, https://www.hel.fi/helsinki/fi/kaupun ki-ja-hallinto/osallistu-ja-vaikuta/some (18.11.2018)
  40. 40. Facebook-sivu kunnan viestinnässä
  41. 41. Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
  42. 42. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä työntekijätunnusta ei pitäisi tehdä. • Henkilökohtaisen tunnuksen käyttö työssä voi perustua vain vapaaehtoisuuteen. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin asiakkaita ei tarvitse ottaa kavereiksi. • Nykyään Facebook-sivut voivat osallistua myös ryhmien keskusteluihin. • Facebookin käyttöehdot: https://www.facebook.com/legal/t erms/update
  43. 43. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
  44. 44. Facebookin lisäehdot sivujen ylläpitäjille (28.9.2018) Lähde: https://www.facebook.com/legal/terms/page_controller_addendum#
  45. 45. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestipalvelut yhteydenpidossa
  46. 46. Pikaviestipalvelujen tietosuoja Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
  47. 47. Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958
  48. 48. Tiedotus (kirjallinen, taiteellinen, akateeminen ja journalistinen sisältö) Yhteydenpito rekisteröityihin Henkilötietojen säilytys Rekisteröityjen sähköinen asiointi Kunnan omat verkkopalvelut (kotisivut, intra) Ok Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Kunnan hallinnoimat verkkopalvelut (pilvipalvelut ja muut sopimuspalvelut) Ok Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Kunnan hallinnoimat profiilit julkisissa somepalveluissa Ok Ok, jos käyttöoikeudet ovat oikein, ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Kunnan työntekijöiden henkilökohtaiset profiilit julkisissa somepalveluissa Ok Ok, jos ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen). Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.
  49. 49. • Kun viestinnässä käytetään ulkopuolisia somepalveluita, on syytä sopia ja ohjeistaa yhteiset toimintamallit – Miten rekisteröityjen informointi tehdään somessa? Onko mahdollista linkittää tietosuojaseloste profiiliin? – Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa? – Millä edellytyksin henkilötietoja voidaan viedä palveluun? – Miten huolehditaan, ettei henkilötietoja ”unohdu” palveluun? • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava. • Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa selvät ohjeet: mitä saa ja ei saa tehdä. • Työntekijää ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle. • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin. • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin. Somepalvelut ja tietosuoja
  50. 50. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  51. 51. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Yhdysvaltalaisia palveluita voidaan käyttää myös rekisteröityjen tai alaikäisten huoltajien suostumuksella tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  52. 52. Markkinointirekisterit
  53. 53. Suoramarkkinointi ja tietosuoja • Perinteinen suoramarkkinointi – Postitse tai puhelimitse – Saa tehdä, jos vastaanottaja ei ole kieltänyt – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Sähköinen suoramarkkinointi – Sähköpostiviestit, tekstiviestit, ääniviestit, kuvaviestit – Yksityishenkilöiltä tarvitaan suostumus etukäteen – Yrityksiltä ja niiden edustajilta ei tarvita suostumusta – Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja tietosuojaselosteessa • Ulkoistettu suoramarkkinointi – Esimerkiksi postitus- ja puhelinmyyntipalvelut – Henkilötietoja annetaan toiselle yritykselle markkinoinnin tekoa varten, joten tarvitaan sopimus henkilötietojen käsittelystä – Toimeksiantaja on vastuussa markkinoinnista Lähde: Suomen yrittäjät, 2018, Yrittäjän tietosuojaopas, https://www.yrittajat.fi/yrittajan-abc/yritystoiminnan-abc/yrittajan- tietosuojaopas/suoramarkkinointi-570917
  54. 54. • Suostumus (opt-in) – Sähköinen suoramarkkinointi (sähköposti, tekstiviesti ym.) – Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä. – Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos • markkinoinnissa käytetään automaattista profilointia • tietoja luovutetaan muille tahoille (esim. Facebook tai Google) • Rekisterinpitäjän oikeutettu etu – Perinteinen suoramarkkinointi (puhelimitse ja postitse) – Asiakassuhteeseen liittyvä viestintä: voit tiedottaa asiakassuhteeseen liittyvistä asioista ja esimerkiksi siihen liittyvistä tulevista tapahtumista. – B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman etukäteissuostumusta. – Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus! • Mieti rekisteröidyn näkökulmasta, milloin kyse on suoramarkkinoinnista, ja erota se selvästi muusta viestinnästä. • Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä ja mistä tietosuojaseloste on luettavissa. • Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat. Markkinointi ja GDPR
  55. 55. • Kolmannen osapuolen eväste (cookie) on laitteelle tallennettava tiedosto, jonka avulla käyttäjää voidaan seurata netissä muiden palvelujen toimesta. • Esimerkkejä: – Google Analyticsin kävijäseurantakoodi – Googlen AdWordsin sivustotagi / uudelleenmarkkinointipikseli – Facebookin tykkäysnappula tai kirjautumistoiminto – Facebook-mainonnan pikseli – Chat-palvelujen evästeet • Laki (tietoyhteiskuntakaari 205 §) vaatii, että evästeistä kerrotaan käyttäjille. Jos evästeitä käytetään vain sivuston toimintoihin, niistä ei tarvitse kertoa. • Esimerkiksi näin: • Suomessa on tulkittu, että käyttäjän suostumukseksi riittää se, että evästeet on sallittu nettiselaimen asetuksissa. • GDPR ei puutu evästeisiin, mutta sitä koskeva asetus on odotettavissa myöhemmin (nk. sähköisen viestinnän tietosuoja-asetus, ePrivacy). Kolmansien osapuolten evästeet Sivustolla käytetään evästeitä kävijäseurantaan ja markkinointiin. Evästekäytäntö Hyväksy Lisätietoa: Evästeet nettisivuilla ja GDPR - miten pitää ilmoittaa?, https://www.innowise.fi/fi/evasteet-eli-cookiet-nettisivuilla-ja-gdpr/
  56. 56. Profilointi ja analytiikka
  57. 57. 4 artikla 4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN GDPR:n tarkoittama profilointi Profilointiin tarvitaan suostumus tai sopimus!
  58. 58. Milloin analytiikka on profilointia? • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
  59. 59. Pyydä suostumus, jos käytät profilointia Facebookiin viedyt asiakastiedostot Nimi, sähköposti, puhelinnumero, syntymäaika, kaupunki, laitetunniste ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Googleen viedyt asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Esimerkiksi sähköpostimarkkinointi manuaalisesti valituille kohderyhmille Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
  60. 60. Riskien arviointi ja vastuu tietosuojasta
  61. 61. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  62. 62. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  63. 63. Tietosuojaa koskeva vaikutustenarviointi Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu. (GDPR:n 35 artiklan 7 kohta ja johdanto-osan 84 ja 90 kappale) Lähde: Tietosuojatyöryhmä, 2017, http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa _koskevasta_vaikutustenarvioinnista.pdf
  64. 64. Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
  65. 65. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  66. 66. Henkilökohtainen tietosuoja
  67. 67. Yksittäiset käyttäjät Lähde: Viestintävirasto, Tietoturvan vuosi 2017, https://www.viestintavirasto.fi/attachments/cert/tietoturvakatsaukset/Tietoturvan-vuosi-2017.pdf
  68. 68. Älä koskaan avaa epäilyttävää liitetiedostoa tai linkkiä.
  69. 69. • Suositus vähintään 8, mielellään 15 merkkiä • Ei ole yksittäinen sana. Lause tai lorun pätkä ovat hyviä. • Sisältää: – Isoja ja pieniä kirjaimia – Numeroita – Erikoismerkkejä • Ei ole arvattavissa • Ei ole käytössä muualla Hyvä salasana tai salalause Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html
  70. 70. Lähde: https://www.viestintavirasto.fi/attachments/cert/certtiedostot/Nain_meita_huijataan.pdf
  71. 71. Facebookin tietosuojakohun vaikutukset Datalähde: DNA:n Digitaalisen elämäntavan tutkimus, 03/2018, 15-74-vuotiaat, N=457 (ne 90 % vastaajista, jotka olivat kuulleet kohusta) Facebookin käyttöä oli muuttanut 54 % kohusta kuulleista.
  72. 72. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla. Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/
  73. 73. Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan. Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainokset Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/ Lista kymmenistä yrityksistä, jotka ovat tuoneet tietojasi Facebookiin Katso, miten monella eri tavalla Facebook on profiloinut sinut
  74. 74. Facebookin kirjautumisen asetukset Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)
  75. 75. Googlen kaksivaiheinen tunnistautuminen 1. Kirjaudu Google-tunnuksellasi ja mene osoitteeseen: https://myaccount.google.com/ 2. Valitse ”Googleen kirjautuminen” Kuvakaappaus ja lisätietoa: https://www.google.com/landing/2step/ 3. Ota käyttöön ”2-vaiheinen vahvistus”
  76. 76. 1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
  77. 77. Selaimen yksityinen tila Firefox Internet Explorer Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja • Evästeitä (engl. cookie) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät toimintasi normaalisti.
  78. 78. • Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä. • Asenna sovelluksia vain virallisista sovelluskaupoista. • Noudata omien laitteiden käytössä työnantajan ohjeistusta. • IPhonet ja iPadit ovat Android-laitteita turvallisempia. – App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. – Androidille tehdään enemmän haittaohjelmia ja viruksia • Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille – varovaisuus ja maalaisjärki riittävät pitkälle. • Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin. • Älä käytä suojaamattomia langattomia verkkoja (WLAN). • Käytä VPN-nettiyhteyttä mobiililaitteissa, jos mahdollista. Mobiililaitteiden tietoturva
  79. 79. 5 neuvoa mobiilisovellusten arviointiin 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. – Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja Applen sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet aika ajoin. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän mobiililaitteiden käytöstä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
  80. 80. Keskustelu & kysymykset
  81. 81. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

×