2. Tietosuoja-asetusta sovelletaan
osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä
henkilörekistereihin.
GDPR EI koske seuraavia:
▪ Yksinomaan manuaalisesti käsiteltäviä
henkilötietoja, jotka eivät muodosta
rekisteriä.
▪ Henkilötietojen käsittelyä, jota
yksityishenkilöt tekevät yksinomaan
henkilökohtaisessa tai kotitalouttaan
koskevassa toiminnassa.
▪ Henkilötietojen käsittelyä journalistisen,
akateemisen, taiteellisen tai kirjallisen
ilmaisun tarkoituksia varten (ei sovelleta
useimpia GDPR:n vaatimuksia).
2
3. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
3
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste
4. Esimerkkejä käsiteltävistä henkilötiedoista
4
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
6. Informointi = rekisteröidyn oikeus saada
tietoa henkilötietojen käsittelystä
6
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste tai vastaava
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
8. Tietosuojan perusteet varhaiskasvatuksessa
8
▪ Tietoja käytetään vain nimettyihin tarkoituksiin.
▪ Tunnetaan rekisterit ja tietosuojaselosteet.
▪ Henkilötietoja ei kerrota sivullisille, julkaista tai
luovuteta ilman suostumusta tai lakiperustetta.
▪ Huomioidaan tietosuoja käytettävissä
sovelluksissa ja pilvipalveluissa.
▪ Tarvittaessa pyydetään suostumukset
ulkopuolisten palvelujen käyttöön.
▪ Palveluntarjoajien kanssa tehdään tarvittaessa
sopimukset henkilötietojen käsittelystä.
▪ Käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta.
▪ Neuvotaan esim. huoltajille sovellusten ja
käyttäjätunnusten turvallinen käyttö.
9. Salassa pidettäviä tietoja ja
asiakirjoja saa luovuttaa vain lain
perusteella tai henkilön (alaikäisillä
huoltajan) suostumuksella.
9
Varhaiskasvatuksesta vastaavilla
henkilöillä on kuitenkin oikeus saada
välttämättömät tiedot.
Lähde: Varhaiskasvatuslaki,
https://www.finlex.fi/fi/laki/alkup/2018/20180540
10. Kysymys: saako lasten nimiä kertoa?
10
▪ Etunimi ei yleensä yksinään riitä henkilön tunnistamiseen. Etunimi voi siten olla esimerkiksi
naulakossa.
▪ Tieto lapsen osallistumisesta päivähoitoon tai esiopetukseen on periaatteessa julkinen, mutta vaka-
järjestäjä päättää, mille perustein tietoja annetaan, mikäli niitä joku kysyy.
▪ Tieto siitä, että henkilö on koulun oppilas, on julkinen ellei tiedon antamisella paljastu muulla
perusteella salassa pidettävä seikka (sairaus, vammaisuus tms.)
▪ Jos henkilötiedot ovat julkisia, niitä voidaan antaa pyytäjälle suullisesti ja paikan päällä nähtäväksi ja
jäljennettäväksi. Sen sijaan henkilötietoja saa luovuttaa kopiona, tulosteena tai sähköisesti vain
sellaiselle, joka itsekin voisi tallettaa ja käyttää samoja henkilötietoja. (JulkiL 16 §)
▪ Oppilaiden henkilötietoja ei saa ilman suostumusta antaa sellaiselle taholle, jolla ei ole oikeutta
käsitellä kyseisiä tietoja (esim. yritysten markkinointikäyttöön).
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/sites/default/files/documents/julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
• Saako päiväkodin naulakossa olla oppilaiden nimiä? Entä kuvia?
• Saako esikoululaisten nimiä näkyä opetustiloissa?
• Ovatko koulun oppilaiden nimet ja luokka-asteet salassa pidettäviä?
11. Saman lapsi- tai
opetusryhmän kesken
Koko nimi: ok
Kuvat/videot: ok
Muut hlötiedot: lupa
Muille ryhmille toiminnan
yhteydessä
Koko nimi: ok
Kuvat/videot: lupa
Muut hlötiedot: lupa
Ulkopuolisille henkilöille ja
tahoille
Etunimi: ok
Koko nimi: ei sähk.
Kuvat/videot: lupa
Muut hlötiedot: lupa
Muille opettajille ja henkilöstölle tarvittaessa
Koko nimi: ok
Huoltajien nimet ja yhteystiedot: ok
Muut tarpeelliset/välttämättömät: ok
Henkilötiedot varhaiskasvatuksen ja esiopetuksen tiloissa ja tilanteissa
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne.
Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
11
Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.
13. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä
▪ Asiakkaat
▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja.
▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu.
▪ Työntekijät
▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot.
▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta, esim. tarve olla tavoitettavissa.
▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa.
▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta.
Voidaan sanoa, että henkilö ei ole paikalla.
▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai
irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio)
13
14. Kysymys: kuvat, videot ja lasten tuotokset
14
▪ Varhaiskasvatus- ja esiopetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä
pedagogisessa tarkoituksessa saman ryhmän kesken.
▪ Lasten tekemiä tuotoksia voidaan esittää saman ryhmän kesken. Tuotoksia voidaan myös valo- ja
videokuvata opetustarkoituksessa.
▪ Kuvia ja videoita voidaan tallentaa esimerkiksi lapsen henkilökohtaiseen portfolioon tai kasvun
kansioon. Tallenteiden turvallisesta säilytyksestä on huolehdittava.
▪ Mikäli lapsesta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti esim.
vanhempainillassa, julkisessa tilassa tai netissä, tulee siihen pyytää lupa lapselta ja hänen
huoltajaltaan. On hyvä sopia, näkyykö lapsen etu- ja/tai sukunimi tässä yhteydessä.
▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä informoida huoltajia.
• Saako varhaiskasvatuksen tai esiopetuksen tilanteissa ottaa valokuvia ja
videoita sekä esittää niitä opetustarkoituksessa?
• Saako varhaiskasvatus- tai esiopetusryhmän sisällä esittää lasten tekemiä
tuotoksia muille?
15. Henkilötietojen luovuttaminen ja julkaisu
15
▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan
suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.
▪ Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti
saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
▪ Netissä julkaistuja tietoja voitaisiin käyttää väärin.
▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan.
▪ Suostumus on käytännössä esimerkiksi:
▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
▪ Julkaisuluvat esimerkiksi kuviin ja videoihin
▪ Muilla tavoin kysytyt ja saadut suostumukset
16. Suostumuksen antaminen
16
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
▪ Suostumukset ja luvat tulee dokumentoida sekä tarkistaa esim. vuosittain.
▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
17. Valokuvat ja videot
17
▪ Tunnistettavan henkilökuvan julkaisuun on
yleensä syytä pyytää lupa.
▪ Jokaisen on katsottu omistavan persoonansa
ns. kaupalliset oikeudet.
▪ Valokuvan tai videon tekijänoikeudet tai
lähioikeudet ovat kuvaajalla. Kuvan julkaisulle
tarvitaan tekijän lupa.
▪ Kuvan julkaisun voi estää esim. kotirauha,
yksityisyyden suoja tai kuvassa näkyvän
teoksen tekijänoikeudet.
▪ Jonkun muun julkaiseman kuvan levittäminen
voi olla kiellettyä esim. tekijänoikeuksien tai
sen loukkaavuuden takia.
⬞ Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja kuvia ei saa
levittää.
18. Lasten kuvien jakaminen
päiväkodin nettisivuilla tai
some-kanavissa vaatii aina
suostumuksen!
18
Kuvakaappaus: Yle, 10.2.2017, https://yle.fi/uutiset/3-9451904
19. Julkaisulupa päiväkodeille
ja kouluille
19
▪ Tämä julkaisulupa on
vapaasti käytettävissä.
▪ Saatavina Google Drivessa:
https://docs.google.com/do
cument/d/1ObAtxeYjtp9KRe
gV0s0jI2L-
pfueGWVmbmv4paertSk/edi
t?usp=sharing
▪ PDF-versio:
https://drive.google.com/fil
e/d/1iHgvNR-VZq_-
4cIUuh4NR2FFz3PVa5g3/vie
w?usp=sharing
20. Julkaisuluvan voimassaolo ja peruminen
▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista.
▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan.
▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa
sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa.
▪ Jos julkaisulupa on sähköisessä asiointikanavassa oleva suostumus-valinta, niin sen
voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa.
▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa
perutaan/päättyy myöhemmin, ei aiemmin tehtyjä julkaisuja tarvitse automaattisesti
poistaa.
▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei
vaadi kohtuutonta työtä.
▪ Vaka-järjestäjä voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi
nettisivuilta ja some-kanavista tietyn ajan päästä.
20
21. Kysymys: tapahtumissa kuvaaminen
21
▪ Päiväkodin/koulun tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on yleensä sallittua.
▪ Jos kuvaaminen tapahtuu päiväkodin/koulun toimesta, tulee kuvien julkaisulle pyytää suostumus
niissä olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole opetuksen järjestämiseen liittyvää
henkilötietojen käsittelyä.
▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
▪ Päiväkoti/koulu ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien
julkaisusta, eikä sillä ole oikeutta kieltää sitä.
▪ Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien
kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim.
paikallislehdessä on sallittua.
• Saako päiväkodin tai koulun tapahtumissa ottaa kuvia ja videoita esimerkiksi
nettisivuilla julkaistavaksi?
• Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri?
• Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?
23. Työnantajan laitteet ja ohjelmat
23
▪ Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
▪ Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
▪ Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
▪ Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
▪ Työpuhelimeen ei tulisi tallentaa ulkopuolisten
henkilöiden tietoja.
▪ Työpuhelut hoidetaan niin, että sivulliset eivät
kuule niitä.
24. Henkilötiedot puheluissa
24
Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus
▪ Henkilö on tunnistettava puhelussa, jos
käsitellään hänen henkilötietojaan.
▪ Vahva tunnistaminen:
1) jotain mitä olet (nimi, HETU)
2) jotain mitä sinulla on (puh.nro, s.postiosoite)
3) jotain mitä tiedät (salasana, asiakastiedot)
▪ Puhelujen nauhoittaminen on sallittua, kun
rekisterinpitäjällä on käsittelyyn oikeusperuste,
esim. asiakassuhteessa rek. pit. oikeutettu etu.
▪ Henkilötietojen käsittelystä on informoitava.
Esimerkiksi nauhoituksesta on kerrottava.
▪ Puhelussa voidaan kertoa, mistä
tietosuojaseloste on luettavissa (nettisivut),
lukea se ääneen tai se voidaan lähettää
esimerkiksi sähköpostitse.
25. Yhteystietojen jakaminen koteihin
25
Listan teko huoltajien toimesta:
▪ Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden toiminnasta, ei päiväkodin/koulun.
Listan teko päiväkodin/koulun toimesta:
▪ Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot,
jotka he haluavat jakaa muille huoltajille.
Tietojen anto päiväkodin/koulun rekisteristä:
▪ Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voisi periaatteessa
antaa, jos ne ovat julkisia eli esimerkiksi puhelinnumero ei ole salainen.
- Huom. rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille.
▪ Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman suostumusta. Salassapito tai
turvakielto tulee merkitä asiakasrekisteriin.
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
26. Tietosuoja viestinnässä
26
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset/erityiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Huijauksia on tavallista enemmän liikenteessä.
→ Ohjeet, miten varmistaa viestien aitous?
27. Tietosuoja etäyhteyssovelluksissa
27
▪ Käytä vain rekisterinpitäjän sallimia sovelluksia.
▪ Tunnistettava videokuva on henkilötieto – pyydä
tarvittaessa lapsista kuvausluvat, jos aiot esittää
heitä etätilanteessa.
▪ Toimita kutsut henkilökohtaisesti osallistujille.
▪ Informoi osallistujia henkilötietojen käsittelystä.
▪ Varmista tarvittaessa osallistujien henkilöllisyys.
▪ Varmista esittäjien osaaminen etukäteen.
▪ Kerro etukäteen, jos etätilanne tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone.
▪ Suojaa tallenne ja huolehdi sen tietosuojasta.
28. Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa
▪ Tarkista rekisterinpitäjän ohjeistus:
▪ 1) mitä pilvipalveluita saa käyttää
▪ 2) mitä tietoja pilveen on sallittua tallentaa
▪ 3) saako tiedostoja synkronoida omille
laitteille
▪ Huolehdi työtehtävien mukaisista
käyttöoikeuksista/jakamisesta.
▪ Älä jaa henkilötietoja sisältäviä tiedostoja
ulkopuolisille ilman suostumusta tai muuta
perustetta.
Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista)
28
29. ▪ Todennäköisesti moni julkinen organisaatio
päätyy samaan ratkaisuun kuin Kela
Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/-
/asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa
(uutinen on sittemmin poistettu netistä)
29
31. Lasten/oppijoiden tiedot somepalveluissa
31
▪ Noudata aina rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia!
▪ Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
▪ Älä tallenna asiakkaiden henkilötietoja
yksityisessä käytössä olevaan kännykkään
ilman työnantajan lupaa.
▪ Jos somepalvelussa aiotaan käyttää
asiakkaiden henkilötietoja, tarkista työnantajan
linjaus. Tarvittaessa pyydä suostumukset ja
muista rekisteröityjen ja huoltajien informointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.
32. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
32
Jos puhelimessasi on asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
33. Henkilötietojen vuotaminen sovellusten kautta
33
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Sovelluksille annettu
pääsy kännykän tietoihin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
34. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
34
35. Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
35
▪ Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
▪ Jos mahdollista, linkitä
tietosuojaseloste
▪ Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
▪ Mitä muita (turvallisempia) tapoja
asiakkailla on yhteydenottoon?
36. Facebook-sivujen ja -ryhmien ylläpitäjän asema
▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä.
▪ Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta):
https://www.facebook.com/legal/terms/page_controller_addendum#
▪ Käytännön toimenpiteet:
▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos
organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen.
▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin
ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä.
36
38. Viestipalvelujen viikoittainen käyttö 2019-2022
▪ WhatsApp on yhä selvästi suosituin viestipalvelu. Nuorilla ykköspalvelu on Snapchat.
Datalähde: DNA, Digitaaliset elämäntavat -tutkimukset 2019, 2020, 2021 ja 2022, käyttö viikoittain, 16-74-vuotiaat, kuva: Harto Pönkä, 7.7.2022.
38
39. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf
39
40. WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä.
→ Tarkista työnantajan linjaus ja ohjeet ennen kuin käytät!
• Käyttöehdot kieltävät mm. spämmäämisen, automatisoidun viestinnän
ja yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
42. Mitä suostumuksia WhatsAppin käyttöön pitäisi pyytää?
▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen.
⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa.
→ Kerrotaan, miten sovellus käsittelee henkilötietoja.
→ Kerrotaan mahdollisista riskeistä.
▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta
Yhdysvaltoihin.
⬞ → Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin.
→ Kerrotaan mahdollisista riskeistä.
▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille.
⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille.
→ Kerrotaan mahdollisista riskeistä.
▪ Vaikka nämä suostumukset pyydettäisiin, on WhatsAppin käytön lainmukaisuus silti kyseenalainen.
▪ Tietojen poistopyyntöjen (esim. suostumuksen peruminen) toteuttaminen voi olla mahdotonta.
42
43. Signal työkäytössä
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen viestien välitystietojen osalta.
▪ Rekisteröidyiltä on syytä pyytää suostumus,
jos heille aiotaan viestiä Signalin kautta.
43
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)