Some- ja pikaviestisovellusten tietosuoja

1. Kuva: Aman Pal @paman0744, Unsplash Some- ja pikaviestisovellusten tietosuoja 15.5.2023 Harto Pönkä Innowise

2. Suosituimmat sosiaalisen median palvelut Suomessa 2022 Datalähde: DNA, Digitaaliset elämäntavat 2022 -tutkimus, https://corporate.dna.fi/tutkimukset-digitaaliset-elamantavat-22 (n=1000, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2021 (stat.fi), kuva: Harto Pönkä, 5.7.2022. 2

3. Jokainen klikkaus ja kommentti sosiaalisen median uutisvirrassa on kuin vastaus psykologisessa testissä – osa profilointia. 3 Kuva: Pixabay “

4. Eniten henkilötietoja kerääviä yrityksiä Useimmin kerättyjä tietoja: ▪ Sähköpostiosoite ▪ Nimi ▪ Syntymäaika/ikä ▪ Sukupuoli ▪ Kielet ▪ Reaaliaikainen sijainti ▪ Kotiosoite ▪ Työtilanne ▪ Puhelinnumerot ▪ Puhelimen ja muiden laitteiden mallit ▪ Kiinnostuksenkohteet ▪ Pankkikortin tiedot ▪ Sosiaalinen profiili ja verkostot ▪ Kännykän kontaktilista ▪ Kännykän kuvagalleria ▪ Kasvojen, paikkojen ja tuotteiden tunnistus kuvista Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022, https://clario.co/blog/which-company-uses-most-data/ 4

5. Sijaintitiedot Käyttäjien sijainti on yksi perustiedoista sisältöjen ja mainosten kohdennuksessa. ”Jos käyt usein hiihtokeskuksissa, voit nähdä suksimainoksen YouTube-videossa.” Sijaintia seuraavat mm. ▪ Google/YouTube ▪ Facebook ▪ Instagram ▪ WhatsApp ▪ Twitter ▪ Snapchat ▪ Jodel ▪ Useat mediayhtiöt 5 Kuvakaappaukset: Google kartan sijaintihistoria, Snapchat: Cyber SafeTrick, 2019, http://cybersafetrick.com/snapchat-tracker/, Secret service agent: New York Times, 20.12.2019, https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html

6. Pimeä some (dark social) Jopa 80 % linkkien jaoista tapahtuu ns. pimeässä somessa: WhatsAppissa, Snapchatissa, Instagramissa, Slackissa, sähköpostilla jne. Pimeää somea seurataan linkkeihin liitetyillä käyttäjäkohtaisilla seurantakoodeilla ja linkkien lyhentäjillä. Esimerkkejä: ...?fbclid=IwAR1YMey9Pojq8... …?gclid=Cj0KCQjw1Iv0BRDa… ....#gs.1s5zvw https://t.co/4L9Mp0iTU3 https://mtvgo.fi/l/AmVeISLR 6 Kuvat/lähde: GetSocial/What’s new in publishing, 2019, https://whatsnewinpublishing.com/77-5-of-shares-are-on-dark-social-only-7-5-on-facebook-and-other-trends-publishers-are-in-the-dark-about/

7. Evästeettömät seurantatekniikat: esimerkkinä TikTok ▪ TikTok-videopalvelu seuraa käyttäjiä mm. selainkohtaisten kuva- ja äänitunnisteiden avulla. ▪ Kun käyttäjä jakaa videon linkillä, se sisältää tiedon tämän käyttäjätunnuksesta. ▪ TikTokin palvelimet ovat Yhdysvalloissa, mutta se on kiinalainen yritys. Lähde: Matthias Eberl, 5.12.2019, https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/ 7

8. TikTokin käyttökielto työpuhelimissa leviää nyt vauhdilla IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023, https://www.is.fi/digitoday/art-2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 28.2.2023, https://yle.fi/a/74-20020252 (lainattu tekstikappale) 8

9. Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne? Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663 9

10. Snapchatin My AI -tekoälykaveri ▪ Snapchat kertoo, että My AI:n kanssa käytyjä keskusteluja ei poisteta automaattisesti kuten tavalliset snäpit. ▪ Snapchat käyttää My AI:n keräämää tietoa mainosten kohdentamiseen. ▪ My AI:lle välittyy käyttäjän sijainti, jos Snapchatille on annettu sijainnin käyttöoikeus. ▪ My AI perustuu OpenAI:n ChatGPT:hen, mutta OpenAI:ta ei mainita Snapchatin käyttämissä palveluntarjoajissa tai henkilötietojen käsittelijöissä. Lähde: Yle, 5.5.2023, https://yle.fi/a/74-20030399 10

11. Käyttöehtojen arviointeja: Terms of Service; Didn’t Read Kuvakaappaus: https://tosdr.org/en/service/219 11

12. Somepalvelujen arviointeja 12 Luokitukset: https://tosdr.org/ (8.5.2023) Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus ToS;DR –sivustolla Facebook Meta, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/182 Instagram Meta, Yhdysvallat Henkilökohtainen tai ammattilais- /organisaatiotili Luokka E https://tosdr.org/en/service/219 Twitter X Corp., Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka E https://tosdr.org/en/service/195 YouTube Google/Alphabet, Yhdysvallat Henkilökohtainen kanava tai bränditiliin yhdistetty kanava Luokka E https://tosdr.org/en/service/274 TikTok ByteDance, Kiina Henkilökohtainen tai yritystili Luokka E https://tosdr.org/en/service/1448 LinkedIn Microsoft, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/193 WhatsApp Meta, Yhdysvallat Henkilökohtainen (Erillinen WA Business-sovellus) Luokka C https://tosdr.org/en/service/198 Signal Signal Foundation, Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka B https://tosdr.org/en/service/528

13. Tietosuojan huomiointi somepalveluissa 13

14. Lähde: Kuntaliitto, Kuntien verkkoviestinnän ja sosiaalisen median käytön selvitys 2022, kyselyyn vastasi 181 kuntaa, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestinn%C3%A4n%20ja%20sosiaalisen%20median%20k%C3%A4yt%C3%B6n%20kysely%202022.pdf 14

15. Lähde: Kuntaliitto, Kuntien verkkoviestinnän ja sosiaalisen median käytön selvitys 2022, kyselyyn vastasi 181 kuntaa, https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestinn%C3%A4n%20ja%20sosiaalisen%20median%20k%C3%A4yt%C3%B6n%20kysely%202022.pdf 15

16. Henkilötietojen käsittely somepalveluissa 16 ▪ Noudata rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia. ▪ Älä asenna työpuhelimeen sosiaalisen median sovelluksia ilman työnantajan lupaa. ▪ Älä tallenna työhön liittyviä henkilötietoja yksityisessä käytössä olevaan kännykkään. ▪ Tarvittaessa pyydä suostumukset henkilötietojen käytölle ulkoisissa somepalveluissa ja muista informointi. ▪ Työtehtävät vaikuttavat: someaspa tuskin voi käsitellä esim. arkaluonteisia tietoja. ▪ Älä julkaise henkilötietoja somessa luvatta. ▪ Jälkihoito: henkilötietojen ja viestien poisto sovelluksista ja kännyköistä.

17. Tietosuojan huomiointi sosiaalisen median profiileissa Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020) 17 ▪ Kerro someprofiilissa siitä vastaava organisaatio eli rekisterinpitäjä ▪ Jos mahdollista, linkitä tietosuojaseloste ▪ Voivatko asiakkaat ottaa yhteyttä esim. yksityisviestillä? ▪ Ohjataanko asiakkaat käyttämään muita turvallisempia kanavia yhteydenottoon?

18. Facebook-sivujen ja -ryhmien ylläpitäjän asema ▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa. ▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. ▪ Huolehdi näistä: ▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. ▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. ▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 ▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua. ▪ Jos liität organisaation toiminnassa FB-ryhmään jäseniä, pyydä siihen suostumukset, koska tällöin rekisterissä olevia henkilötietoja käytetään uuteen tarkoitukseen. ▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä. Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum 18

19. Siirrätkö henkilötietoja somepalveluihin?

20. Somepalvelut kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 20 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!

21. Henkilötietojen vuotaminen sovellusten kautta 21 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Jos sovelluksille on annettu pääsy kännykän yhteystietoihin… Henkilötietoja voi päätyä ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus Ei käy ilman suostumusta!

22. Metan keräämät tiedot ei-käyttäjistä ▪ ”Kun käyttäjä käyttää yhteystietojen lataamista ja myöntää meille pääsyn laitteensa osoitekirjaan, käytämme ja lataamme osoitekirjan nimet, puhelinnumerot ja sähköpostiosoitteet päivittäin palvelimillemme, mukaan lukien sekä Facebook-, Messenger- ja Instagram-käyttäjät että muut yhteystiedot, jotka eivät ole käyttäjiämme tai joilla ei ole tiliä (eli muut kuin käyttäjät), Facebook kuvailee toimintoa.” ▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt tiedot USA:han, Argentiinaan, Israeliin, Uuteen- Seelantiin, Sveitsiin ja mahdollisesti Kanadaan. ▪ Meta ei ole informoinut ei-käyttäjiä heidän tietojensa käsittelystä Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html 22

23. Monet yritykset vievät asiakkaidensa tietoja Facebookiin, jotta heille voidaan kohdistaa mainontaa Facebookin mainosalustan kautta. Voit tarkistaa tietosi Facebookin mainosasetusten ”Kohderyhmään perustuva mainonta” -kohdasta: https://www.facebook.com/a dpreferences/ad_settings 23 Ei käy ilman sähköisen suoramarkkinoinnin ja profiloinnin suostumuksia!

24. Pikaviestisovellusten tietosuoja 24

25. Viestipalvelujen viikoittainen käyttö 2019-2022 ▪ WhatsApp on yhä selvästi suosituin viestipalvelu. Nuorilla ykköspalvelu on Snapchat. Datalähde: DNA, Digitaaliset elämäntavat -tutkimukset 2019, 2020, 2021 ja 2022, käyttö viikoittain, 16-74-vuotiaat, kuva: Harto Pönkä, 7.7.2022. 25

26. Organisaatioiden sisäisesti käyttämät viestintäsovellukset Lähde: North Patrol, Digitaaliset työympäristöt 2022 -selvitys, https://intranet-ostajanopas.fi/2022/08/22/suomalaisten-organisaatioiden-digityon-valineet-2022/ (N=64 vastaajaorganisaatiota) 26

27. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, miten ja mihin, ja mitä silloin tulee huomioida. → Tarkista työnantajan linjaus ja ohje ennen kuin käytät! • WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda WhatsApp Business –sovelluksessa, joka tarjoaa myös DPA-sopimuksen henkilötietojen käsittelyyn. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor

28. 28 Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022) Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9

29. Kysymys ja ennakkotapaus: pikaviestipalvelu työntekijöiden käytössä 29 ▪ Työnantaja ei voi edellyttää työntekijöiltä tavallisten pikaviestisovellusten käyttöä, koska niiden käyttö perustuu käyttöehtojen hyväksyntään yksityishenkilönä. ▪ TSV:n päätös 8.12.2021 WhatsAppin käytöstä toi esiin useita ongelmia: ▪ Ongelmana oli asiakkaiden tietojen lähetys työntekijöille WhatsApp-ryhmän kautta. ▪ Rekisterinpitäjällä ei ole keinoja valvoa, miten henkilötietoja käytetään WA:ssa. ▪ WhatsAppin käyttö perustui yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei voi vedota sen sopimusehtoihin esim. vastuukysymyksissä. ▪ Rekisterinpitäjä ei ollut varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä ja sen varmuuskopiot esimerkiksi työsuhteen päättyessä poistettu. ▪ WA:n käyttö johtaa henkilötietojen siirtoon kolmansiin maihin (EU-US & Schrems II). ▪ Rekisterinpitäjä ei ollut informoinut asiakkaita WhatsAppin käytöstä. ▪ Jos WhatsAppia silti päätetään käyttää, rekisterinpitäjän tulee tehdä riskiarviointi, tarvittaessa vaikutustenarviointi ja ohjeistus sekä informoida henkilötietojen käsittelystä. TSV:n päätös eräästä tapauksesta ja lisätietoa: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys-kaytannossa/ • Saako työnantaja lähettää esimerkiksi asiakkaiden tietoja työntekijöilleen WhatsAppin tai jonkun muun yleisen pikaviestipalvelun välityksellä?

30. Mitä suostumuksia esimerkiksi WhatsAppin käyttöön pitäisi pyytää? ▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen. ⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa. → Kerrotaan, miten sovellus käsittelee henkilötietoja. → Kerrotaan mahdollisista riskeistä. ▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta Yhdysvaltoihin. ⬞ → GDPR:n 49 artikla mahdollistaa suostumuksen käytön henkilötietojen siirtoperusteena. → Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin. → Kerrotaan mahdollisista riskeistä, jotka johtuvat suojatoimien puuttumisesta. ▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille. ⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille. → Kerrotaan mahdollisista riskeistä. ▪ Vaikka nämä kolme suostumusta pyydettäisiin, on tietojen siirron lainmukaisuus silti epävarma. ▪ Tietojen poistopyyntöjen ja suostumuksen perumisen toteuttaminen voi olla mahdotonta. 30

31. Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta 31 Asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta esimerkiksi yksityisviestillä → Aktiivinen toimi voidaan tulkita suostumukseksi ko. palvelun käyttöön viestinnässä Henkilötietoja päätyy some- tai pikaviestipalvelun välityksellä rekisterinpitäjälle Asiakas tulee yrityksen someprofiiliin tai verkkosivuille, jossa on toiminto viestin lähetykseen ja informointi henkilötietojen käsittelystä

32. Signal työkäytössä ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen (yleisesti saatavilla olevien viestintäpalvelujen välitystiedot). 32 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)

33. Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf 33

34. Tule tietosuojavastaavien jatkokurssille! Aiheina mm. tietotilinpäätös, tietosuoja pilvipalveluissa ja vaikutustenarviointi https://snellmanedu.fi/tuote/tietosuojavastaavan-jatkokoulutus-2-op/ 34

35. 35 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

Some- ja pikaviestisovellusten tietosuoja

Some- ja pikaviestisovellusten tietosuoja

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados(20)

Similar a Some- ja pikaviestisovellusten tietosuoja

Similar a Some- ja pikaviestisovellusten tietosuoja(20)

Mais de Harto Pönkä

Mais de Harto Pönkä(12)

Some- ja pikaviestisovellusten tietosuoja