3. 0,7 M
(17 %)
0,7 M
(16 %)
1,0 M
(25 %)
2,9 M
(72 %)
3,3 M
(81 %)
3,1 M
(77 %)
1,9 M
(48 %)
0,9 M
(22 %)
Datalähde: DNA, Digitaaliset elämäntavat, 2020, https://www.sttinfo.fi/data/attachments/00513/ceded4cb-ddeb-4441-9081-46990b8e41ac.pdf
(n=1036, 16-74-vuotiaat), käyttö vähintään viikottain, SVT:n väestötiedot 2019 (stat.fi), kuva: Harto Pönkä, 18.5.2020.
0,5 M
(12 %)
0,4 M
(10 %)
0,4 M
(9 %)
Suosituimmat somepalvelut Suomessa
5. Facebookin käytön muutos edel. 12 kk
Lähde: DNA, Digitaaliset elämäntavat, 2020,
https://www.sttinfo.fi/data/attachments/00513/ceded4cb-ddeb-4441-9081-46990b8e41ac.pdf (n=1036, 16-74-vuotiaat)
7. Etätyö tuo käyttöön uusia sovelluksia
Lähde: Lakimiesliitto, 20.04.2020, kysely 2.–13.4.2020, (N=797 liiton jäsentä),
https://www.lakimiesliitto.fi/uutiset/lakimiesliiton-kysely-koronaepidemia-on-muuttanut-juristien-tyota-ja-lisannyt-tyomarkkina-
asemaan-liittyvaa-epavarmuutta/
Lakimiesliiton kyselyn vastaajien mukaan eniten oli otettu käyttöön
uusia videoneuvottelusovelluksia (32 %).
9. EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia aina, kun
käsitellään henkilötietorekistereiden tietoja. Ja se pitää pystyä osoittamaan.
10. Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Suojaustoimenpiteet suhteutetaan
riskiarvioon tietoturvauhista.
11. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017,
http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Henkilötieto mahdollistaa henkilön tunnistamisen
– joko rekisterinpitäjän tai jonkun muun tahon toimesta.
12. Erityisten henkilötietoryhmien käsittely on pääasiassa
kielletty ilman suostumusta tai laista tulevaa perustetta.
• rotu tai etninen alkuperä
• poliittiset mielipiteet
• uskonnollinen tai filosofinen vakaumus
• ammattiliiton jäsenyys
• terveyttä koskevat tiedot
• seksuaalinen suuntautuminen tai käyttäytyminen
• geneettiset ja biometriset tunnistetiedot
Lain mukaan salassa pidettäviä tietoja voi luovuttaa vain
sellaiselle, jolla on laillinen peruste saada niitä.
• Esim. terveystiedot, luottotiedot, sanalliset arvioinnit
henkilön ominaisuuksista, salainen puhelinnumero,
tietosuojavastaavan saamat tiedot
• Salassa pidettävät asiakirjat
Henkilötunnusta saa käsitellä rekisteröidyn
suostumuksella tai jos käsittelystä säädetään laissa, sekä:
• Laissa säädetyn tehtävän suorittamiseksi.
• Rekisteröidyn tai rekisterinpitäjän oikeuksien ja
velvollisuuksien toteuttamiseksi.
• Historiallista tai tieteellistä tutkimusta taikka
tilastointia varten.
Henkilötunnusta ei tule laittaa tarpeettomasti esille.
Erityiset ja salaiset henkilötiedot
13.
14. 4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri ja rekisterinpitäjä
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
15. 4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittelijä
16. • Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan
koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia.
– Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa.
– Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan.
• Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai
kirjalliseen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n
vaatimuksia.
• GDPR:ää ei sovelleta yksinomaan manuaalisesti käsiteltäviin henkilötietoihin,
jotka eivät muodosta rekisteriä.
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä katsottu
yksinään muodostavan henkilörekisteriä.
– Yleensä tiedot nämä henkilötiedot sisältyvät jo kunnan muihin henkilörekistereihin.
– Arviointi tapauskohtaisesti, mitä henkilötietoja voidaan julkaista asiakirjan mukana.
Mihin GDPR:ää ei sovelleta?
Lähteet: GDPR, Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017:
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-
kuntalain#henkilotiedot-ja-verkkotiedottaminen
17. Rekisterinpitäjä tarkoitukset h.tiedot
Tarkoitukset ja
keinot
Rekisteriin
kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot
Rekisterinpitäjän tulee
käsitellä vain tarkoituksiin
tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo)
Oikeus-
peruste
Tietosuojavastaava neuvoo,
kouluttaa, seuraa ja raportoi
Rekisterinpitäjä päättää ja
toimeenpanee, tarvit. kysyy
18. • Henkilötietojen käsittely voi perustua:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Rekisterinpitäjän lakisääteiseen velvoitteeseen
– Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
– Julkisen tehtävän hoitamiseen tai yleiseen etuun
– Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun
(esim. asiakassuhde tai työsuhde)
• Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn
nimenomaisella suostumuksella ja lainmukaisissa erityistapauksissa.
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
19. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen
ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Alaikäisen kohdalla suostumuksen antaa huoltaja.
• Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja
mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia.
• Suostumukset tulee dokumentoida sekä tarkistaa säännöllisesti.
• Lakisääteisiä tai yleisen edun mukaisia tehtäviä hoitavan viranomaisen
tulisi suhtautua pidättyvästi suostumuksiin oikeusperusteena.
– Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa.
– Suostumusta ei voida edellyttää, vaan kyse tulee olla aidosta valinnan mahdollisuudesta.
Suostumuksen antaminen
Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017,
https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa
20. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
21. - Mistä tietää, mikä on olennaista tietoa kerätä ja mikä ei?
- Mitä voi kertoa ennen suostumuksen saamista nuoresta
organisaatioiden välillä?
Henkilötietojen käsittely nuorisotyössä
• Henkilötietojen käsittelystä vastaa rekisterinpitäjänä kunta.
• Nuorisolain (12 §) mukaan etsivässä nuorisotyössä voidaan yhdistää
tehtävässä saadut tiedot tai muutoin käsitellä niitä tuen tarpeessa olevien
nuorten yksilöimiseksi ja etsivän nuorisotyön tehtävien hoitamiseksi.
• Nuoresta tallennetaan yhteys- ja yksilöintitietojen ilmoittaja, päätetyt
jatkotoimenpiteet, nuoresta annetut tiedot ja kenelle tietoja on luovutettu.
• Nuorta koskevia tietoja saadaan luovuttaa edelleen toiselle viranomaiselle
nuoren sekä alaikäisen huoltajan suostumuksella. Alaikäinen nuori voi
kehitystään vastaavasti päättää itseään koskevien tietojen luovuttamisesta.
• Etsivän nuorisotyön tehtäviä hoitava ei saa ilman nuoren ja alaikäisen huoltajan
suostumusta ilmaista sivullisille, mitä hän saa tietää nuoren henkilökohtaisista
oloista, terveydentilasta, etuuksista, tukitoimista tai taloudellisesta asemasta.
• Ilman suostumusta ei siten saa paljastaa muille tahoille nuoren henkilöllisyyttä.
Lähde: Nuorisolaki, https://www.finlex.fi/fi/laki/alkup/2016/20161285
22. Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
Seloste käsittelytoimista ja rek. ryhmät
• Yli 250 työntekijän organisaatio seloste on pakollinen
• Alle 250 työntekijän organisaatio seloste on tehtävä, jos
• henkilötietojen käsittely ei ole satunnaista
• toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille
• tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja
• Selosteen ei ole pakko olla taulukko (kyseessä Tietosuojavaltuutetun malli)
• Selosteen teko voi olla osa tietosuojavastaavan tehtäviä
GDPR ohjaa käsittelemään
rekisteröityjä ryhminä eri
käsittelytarkoitusten mukaan, ei
erillisinä rekistereinä.
23. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (esim. tietosuojaseloste)
– Helposti ymmärrettävässä ja saatavilla olevassa muodossa
– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa
enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
– Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä
– Oikeus saada jäljennös henkilötiedoista
– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi
• Oikeus tietojen oikaisemiseen
– Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä
• Vastustamisoikeus (kielto-oikeus)
– Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten
Rekisteröidyn oikeudet 1/3
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06-
6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
24. • Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi)
– Rekisterinpitäjän täytyy poistaa henkilötiedot näissä tapauksissa:
• Rekisterinpitäjä ei enää tarvitse tietoja alkuperäiseen tarkoitukseen.
• Rekisteröity peruuttaa antamansa suostumuksen, eikä tietojen käsittelylle ole muuta laillista perustetta.
• Rekisteröity vastustaa tietojen käsittelyä, joka on perustunut yleiseen etuun tai rekisterinpitäjän
oikeutettuun etuun, eikä käsittelylle ole muuta perustetta.
• Rekisteröity vastustaa tietojen käsittelyä suoramarkkinointiin.
• Tietoja on käsitelty lainvastaisesti.
• Tiedot on poistettava lainsäädännön perusteella.
• Tiedot on kerätty huoltajan suostumuksen perusteella tietoyhteiskunnan palvelujen tarjoamisen
yhteydessä (esim. verkkokaupat ja sosiaalinen media).
– Rekisterinpitäjän ei kuitenkaan ole pakko poistaa henkilötietoja, jos ne ovat perustellusti
tarpeellisia seuraavia tarkoituksia varten:
• sananvapaus ja tiedon välittäminen
• lain noudattaminen
• rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen
• yleinen etu – esimerkiksi arkistointi, tutkimus tai tilastointi
• oikeusvaateen laatiminen, esittäminen tai puolustaminen.
– Rekisterinpitäjällä on velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille, joille se
on luovuttanut kyseisiä tietoja.
Rekisteröidyn oikeudet 2/3
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06-
6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
25. • Oikeus käsittelyn rajoittamiseen
– Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu.
– Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta
– Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi
– Jos rekisteröity on vastustanut henkilötietojen käsittelyä
• Oikeus siirtää tiedot järjestelmästä toiseen
– Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja
jos käsittely tapahtuu automaattisesti ja tiedot on saatu rekisteröidyltä itseltään.
– Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa
– Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista
• Automatisoidut yksittäispäätökset ja profilointi
– Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee
luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös
Rekisteröidyn oikeudet 3/3
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06-
6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
29. Kuntien käyttämät somepalvelut
Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf
(N=181 kuntaa)
30. Somen käyttö kuntien toimialoilla
Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf
(N=181 kuntaa)
31. Onko sosiaalisen
median kanavat
huomioitu
tietosuojaselosteissa
mm. henkilötietojen
saannin lähteinä ja
tarvittaessa
yhteydenpidon
kanavina?
Kuvakaappaus: Helsingin kaupunki
sosiaalisessa mediassa,
https://www.hel.fi/helsinki/fi/kaupun
ki-ja-hallinto/osallistu-ja-vaikuta/some
(18.5.2020)
32. • Rekisteröidyllä on oikeus tietää henkilötietojen käsittelystä: kuka, miksi, mitä,
miten, kuinka kauan, mitä oikeuksia jne.
• Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos
henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä
viimeistään kuukauden kuluessa.
• Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi:
– Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
– Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia.
• Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa.
Rekisteröidyn pyynnöstä voidaan informoida myös puheella.
• Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan
linkittää eri viestintäkanaviin ja tietojenkeruulomakkeille
• Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen
lukemista. Rekisterinpitäjän on kuitenkin syytä dokumentoida, miten
informointi on toteutettu.
Informointi (tietosuojaseloste)
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja
https://tietosuoja.fi/rekisteroidyn-informointi
33. Tietosuojaselosteen sisältö
Lähde: Tietosuojavaltuutetun toimisto, 2018,
https://tietosuoja.fi/documents/6927448/8214536/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot/419957bd-fd5a-4090-
9c64-cf4769b10570/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot.pdf
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaava yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja siinä käytettävät suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
35. - Jos etsivään nuorisotyöhön ilmoitetaan nuoren henkilötiedot
(nimi, puh.nro) esimerkiksi whatsappilla tai snäpissä tai vaikka
ihan sähköpostissakin, niin vastuu on lähettäjällä, eikö?
Henkilötietojen saanti nuorisotyössä
• Etsivä nuorisotyö aloitetaan ensisijaisesti perustuen nuoren itsensä antamiin
tietoihin ja hänen omaan arvioonsa tuen tarpeesta.
• GDPR ei estä yksityishenkilöä antamasta toisen henkilön (nuoren/huoltajan)
tietoja nuorisotyöntekijälle, jos ko. tietojen käyttö on perusteltua nuorisotyössä.
• Nuorisolain (11 §) mukaan tietojen luovuttamisen edellytyksenä etsivää
nuorisotyötä varten on nuoren suostumus. Salassapitosäännösten estämättä…
– 1) opetuksen järjestäjän on luovutettava tiedot perusopetuksen päättäneestä nuoresta, joka ei ole sijoittunut
perusopetuksen jälkeisiin opintoihin;
– 2) koulutuksen järjestäjän on luovutettava tiedot nuoresta, joka keskeyttää opinnot ammatillisessa koulutuksessa
tai lukiokoulutuksessa;
– 3) puolustusvoimien ja siviilipalveluskeskuksen on luovutettava tiedot nuoresta, joka vapautetaan varusmies- tai
siviilipalveluksesta palveluskelpoisuuden puuttumisen takia tai joka keskeyttää palveluksen.
• Nuorten kanssa toimivat yhdistykset ja muut yhteisöt voivat nuoren tai
alaikäisen huoltajan suostumuksella ilmoittaa nuoren tiedot nuorisotyölle.
• Nuorille ja huoltajille tulee etukäteen kertoa, että nuorten tietoja voidaan ilman
suostumusta luovuttaa etsivälle nuorisotyölle.
Lähde: Nuorisolaki, https://www.finlex.fi/fi/laki/alkup/2016/20161285
37. Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
ilman suostumusta
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
38. Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.
39. • Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta
tai tavoilla, joita rekisteröity ei voi odottaa.
• Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä
henkilötietoja, jotka liittyvät hänen työtehtäviinsä.
• Henkilötietoja käsitellään niin, että sivulliset eivät näe niitä.
• Henkilötietoja ei julkaista tai luovuteta ilman, että
rekisteröidyltä on siihen suostumus.
• Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim.
valvotaan tiloja ja laitteita sekä lukitaan ovet.
• Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta (lokit).
• Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta,
koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
Henkilötietojen käsittelyn perusteita
40. Vaitiolovelvollisuus henkilötiedoista
• Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri
työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
• Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa
saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja
taloudellisesta asemasta.
• Laissa on lukuisia erityistapauksia, joissa säädetään erikseen
salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot,
tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.).
– Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla
rikoslain mukainen salassapitorikos.
• Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee
varmistua näiden vaitiolovelvollisuudesta sopimuksella.
Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120,
Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38
41. • Noudata aina työnantajan ohjeita, miten työlaitteita, henkilötietoja ja
salassa pidettäviä tietoja tulee käsitellä.
• Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa
ulkopuolisille tai säilyttää siten, että muut saavat ne tietoonsa.
• Työntekijän tulee varmistaa, että sivulliset, kuten perheenjäsenet, eivät
käytä työnantajan laitteita tai saa otettua yhteyttä työnantajan
tietojärjestelmiin.
• Työnantajan laitteistoa tai järjestelmiä ei saa käyttää toimintaan, joka
vaarantaa laitteiston tai tietojärjestelmien turvallisuuden.
– Tällaisia voivat olla esim. tietokonepelit, epäluotettavien internet-sivujen selaaminen
ja netistä ladattavien ohjelmien asentaminen tai käyttö.
• Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämän tietoja.
• Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa
henkilökohtaisille tallennusvälineille.
• Työpuhelut hoidetaan niin, että perheenjäsenet eivät kuule niitä.
Pidä työnantajan laitteet suojattuina
Lähteen mm. OpiTietosuojaa.fi, 2020,
https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf
42. Kännyköiden tietosuoja
• Käytä työpuhelinta aina, kun mahdollista.
• Päivittämätön laite tai sovellus on aina tietoturvariski!
• Asenna sovelluksia vain virallisista sovelluskaupoista
• IPhonet ovat yleensä Android-laitteita turvallisempia.
• App Storen sovellustarjontaa valvotaan
tarkemmin kuin Google Playn.
• Androidille tehdään enemmän haittaohjelmia ja
viruksia
• Käytä aina PIN-koodia, salasanaa, sormenjälkeä tms.
• Jos tallennat työhön liittyviä yhteystietoja kännykkään,
varmista, että ne eivät tallennu ulkopuolisiin
verkkopalveluihin ilman suostumusta tai etukäteistä
informointia.
• Esim. Google ja pikaviestimet kuten WhatsApp
• Jos säilytät työhön liittyviä tiedostoja kännykässä, salaa
tallennustila/muistikortti
• Käytä laitteen paikantamista sen häviämisen varalta.
• Tarkista sovellusten pyytämät käyttöoikeudet.
• Käytä sovelluksissa kaksivaiheista kirjautumista.
• Tyhjennä vanha kännykkä
44. Kuvakaappaus: https://twitter.com/valtioneuvosto/status/1126065410242117632 (22.5.2019)
Jos somejulkaisun tarkoitus on
ainoastaan journalistinen,
kirjallinen tai taiteellinen,
siihen ei sovelleta useimpia
GDPR:n velvoitteita. Näin ei
kuitenkaan voida julkaista
muuhun tarkoitukseen
kerättyjä henkilötietoja.
Käyttäjät ovat hyväksyneet
somepalvelujen käyttöehdot,
joiden puitteissa julkaisuja
voidaan esimerkiksi jakaa ja
upottaa muualle. Myös
lainaaminen on yleensä
mahdollista.
Somepalvelujen tunnukset
ovat henkilötietoja, jos ne
mahdollistavat tunnistamisen.
Tämä on huomioitava, jos niitä
tallennetaan palvelun
ulkopuolelle.
Huomaa, että somejulkaisun
upottaminen sisältää yleensä
somepalvelun seurannan ja
evästeen. Tämä on syytä
huomioida esim. kotisivujen
evästeistä kerrottaessa.
47. Lähde: Facebookin käyttöehdot,
”Meille antamasi luvat ja oikeudet”,
https://www.facebook.com/legal/terms
(22.5.2019)
Somepalvelujen
käyttöehdot antavat
ison vastuun käyttäjille,
mutta vaativat laajat
oikeudet näiden
tietoihin – myös
kaupalliset oikeudet
käyttäjien nimiin.
48. • Facebookin käyttöehdot kieltävät
kahden eri käyttäjätunnuksen
luomisen.
• Erillistä työntekijätunnusta ei
pitäisi tehdä.
• Henkilökohtaisen tunnuksen
käyttö työssä voi perustua vain
vapaaehtoisuuteen.
• Facebook-ryhmissä ja -sivuilla voi
toimia henkilökohtaisella
tunnuksella, jolloin asiakkaita ei
tarvitse ottaa kavereiksi.
• Nykyään Facebook-sivut voivat
osallistua myös ryhmien
keskusteluihin.
49. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Onko palvelussa ikärajaa tai suositeltua ikää?
• Mitä henkilötietoja vaaditaan rekisteröitymisessä?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Voiko palvelua käyttää opetuksessa ilman, että siihen
tallennetaan henkilötietoja?
• Onko palvelussa organisaatioille tarkoitettu sopimus
henkilötietojen käsittelystä?
• Voidaanko tietoja luovuttaa muille tai käyttää markkinointiin?
• Mitä oikeuksia palvelu saa tallennettuihin sisältöihin kuten
teksteihin ja kuviin? Voidaanko niitä käyttää muualla?
• Mitä sisällöille ja henkilötiedoille tapahtuu, kun palvelun käyttö
lopetetaan?
Palvelun käyttöehdot = sopimus
50. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä tulee
olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Yhdysvaltalaisia palveluita voidaan käyttää myös rekisteröityjen tai alaikäisten
huoltajien suostumuksella tai mikäli niiden käyttö ei edellytä henkilötietojen
antamista
Yhdysvaltalaiset verkkopalvelut
51. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
- Voiko Google Driven lomakekyselyitä käyttää henkilötietojen
keräämisessä?
• Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille
tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.
– Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus.
– Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU-
komission mallisopimuslausekkeiden perusteella.
• Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on
määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien
henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
Kysymys: henkilötiedot pilvipalveluissa
52. Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava ja siitä
vastaava organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät organisaation omassa hallinnassa
Henkilötietoja päätyy ulkop.
rekisterinpitäjälle suostumus
Palvelua käyttävä
organisaatio
53. Erota oma ja ulkopuolinen rekisteri
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(jonka kanssa ei ole sopimusta
henkilötietojen käsittelystä)
Henkilötietoja ei saa luovuttaa
toiselle rekisterinpitäjälle, jos siitä
ei ole kerrottu alun perin
rekisteröidylle tai saatu siihen
suostumusta.
Jos henkilötietoja kerätään
organisaation rekisteriin
ulkopuolisen palvelun kautta,
tulee siihen olla oikeusperuste
sekä huolehtia rekisterinpitäjän
informointivelvollisuudesta.
Ulkopuolista verkkopalvelua
voidaan käyttää viestintään
rekisteröityjen kanssa myös
silloin, kun aloite siihen tulee
heiltä. Tämä on syytä huomioida
selosteessa.
54. Pitääkö Facebook-ryhmästä tehdä tietosuojaseloste?
Kuvakaappaus: https://www.facebook.com/groups/PuskaradioJyvaskyla/ (29.10.2018)
55. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa
yhteisrekisterinpitäjäksi Facebookin kanssa.
• Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos-
ja analytiikkatyökalujen yhteydessä.
• Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat
voimaan 28.9.2018.
– Katso ”Sivun kävijätietojen hallinnoija -lisäys”:
https://www.facebook.com/legal/terms/page_controller_addendum#
• Käytännön toimenpiteet:
– Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste.
Ilmoita sivun tiedoissa siitä vastaava organisaatio.
– Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
– Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä
ne viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
Facebook-sivun ylläpitäjän asema
58. • Viestintä on perustuslain 10 §:n perusteella luottamuksellista.
• Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat
luottamuksellisen viestinnän piiriin.
– Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea.
– Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän
sähköpostiosoitteeseen edellyttää tämän suostumusta.
• Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän
palveluista, 136 §):
– Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim.
kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä.
– Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen
suostumuksella tai jos laissa niin säädetään.
– Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei
ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai
käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta
• Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka
oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon..
Viestinnän luottamuksellisuus
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
59. GDPR vs. viestintäsalaisuus?
• Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin
• Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä
• On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat
työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa
• Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset
rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
60. WhatsApp
vahva salaus automaattisesti
Facebook Messenger
salaus pitää kytkeä päälle
Skype
salattu, mutta viestejä on
periaatteessa mahdollista seurata
Pikaviestipalvelut yhteydenpidossa
62. WhatsAppin käyttö
työhön liittyvässä viestinnässä
• WhatsAppin kuluttajaversion käyttöehdot sallivat
ainoastaan palvelun henkilökohtaisen käytön.
• Henkilökohtainen käyttö tarkoittaa, että käyttäjätunnus
on sen rekisteröineen käyttäjän käytössä.
• Käyttöehdot eivät kiellä WhatsAppin käyttöä
henkilökohtaiseen työhön liittyvään viestintään.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia
käyttää työssä, ja miten se tulee tehdä.
• WhatsAppin käyttö on tarvittaessa huomioitava
organisaation henkilötietojen käsittelyssä, esim.
mainittava tietosuojaselosteessa tai pyydettävät
suostumukset asiakkaiden kanssa viestintään.
• Työnantajalla ei ole oikeutta lukea työntekijän
WhatsApp-viestejä edes poikkeustapauksessa.
• WhatsAppia ei saa käyttää esim. spämmäämiseen,
automatisoituun viestintään tai luvattomaan
yhteystietojen keräämiseen.
• Yritys-/organisaatioprofiilin luominen on mahdollista
WhatsApp Business -sovelluksessa.
• Automatisoitua viestintää ja chatbotteja varten on
WhatsApp Business API -rajapinta.
WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?category=5245250
63. WhatsApp Business -sovellus
• Android-versio tammikuussa 2018,
iOS-versio huhtikuussa 2019
• Kuten WhatsApp-sovellus, mutta voi
luoda profiilin
yritykselle/organisaatiolle
• Keskustelun aloitus linkin kautta
• Automaattiset aloitusviestit,
pikavastaukset, tilastot
• Sisältää GDPR:n mukaisen sopimuksen
henkilötietojen käsittelystä:
– https://www.whatsapp.com/legal/business-
data-processing-terms
• Mukana Privacy Shield -järjestelyssä:
– https://www.whatsapp.com/legal/privacy-
shield-addendum
64. - Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa
esimerkiksi sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja
sitä kautta?
Kysymys: sijaisryhmä WhatsAppissa
• Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business
-versiota, sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
• Tehkää WhatsAppin käytöstä riskiarvio ja tarvittaessa vaikutustenarviointi
• WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä
– Mainitse WhatsApp tietosuojaselosteessa henkilötietojen käsittelijänä
• Rekisteröidyille tulee informoida etukäteen WhatsAppin käytöstä
yhteydenpidossa ja käytön tulee olla kyseisen rekisterin henkilötietojen
käyttötarkoituksen mukaista
– Mikäli WhatsAppin käytöstä ei ole informoitu, pyydä suostumukset WhatsAppin käyttöön
– Tarvittaessa oma rekisteri ja tietosuojaseloste
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin, ja sen turvallinen
käyttö työtehtävissä on syytä ohjeistaa.
65. • Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella
tai jos siitä on nimenomaisesti säädetty.
• Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä
tietoja sähköisesti saajalla on oikeus käyttää niitä (JulkL 16 §).
– Vaikka tiedot olisivat julkisia, ei niitä voida luovuttaa kenelle tahansa.
– Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
• Suostumus on käytännössä esimerkiksi:
– Sopimuksen/käyttöehtojen hyväksyntä, jos ehdoissa on mainittu, että henkilötietoja
tullaan julkaisemaan
– Julkaisuluvat esimerkiksi kuviin ja videoihin
– Suostumus haku-/ilmoittautumislomakkeessa
– Muilla tavoin kysytyt ja saadut suostumukset
• Työntekijöiden nimet ja työhön liittyvät yhteystiedot voi julkaista.
– Kuvan julkaisusta on syytä sopia erikseen.
Henkilötietojen julkaisu netissä
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/usein-kysyttya-internet
66. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
67. Henkilötietorekisteriä saa käyttää vain sen tarkoituksiin.
Vaikka tiedot olisivat julkisuuslain perusteella julkisia, organisaation työntekijät saavat
käyttää rekisteriä vain tehtäviinsä liittyviin tarkoituksiin annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Tampereen yliopiston professori
käytti opiskelijarekisteristä
saatavia tietoja someväittelyssä...
Yliopisto puuttui asiaan.
68. Henkilötietojen julkaisu netissä:
• Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille
yksityishenkilöiden henkilötietoja
• Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista
Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Edellytys: henkilökohtaiset sähköpostilaatikot
ja tietoturva kunnossa
Lähetä suojatussa sähköpostissa tai muussa turvallisessa
viestintäkanavassa esim. suojatussa extranetissä:
• Arkaluontoisia henkilötietoja
• Lain mukaan salassa pidettäviä tietoja ja asiakirjoja
Yksityiset laitteet ja sosiaalisen median palvelut:
• Tehkää linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä
• Ohjeistus somepalvelujen käytöstä työhön liittyvässä yhteydenpidossa
Henkilötiedot digitaalisessa viestinnässä
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
69. Zoom-etäkokouspalvelun
tietosuoja
• Zoomin tietosuojaa on kritisoitu runsaasti – aiheesta.
• Zoomista on kaksi versiota: ilmaisversio sekä organisaatioille
tarkoitettu versio. Jälkimmäinen on turvallisempi.
• Zoomin iPhone-versiosta ilmeni tietojen lähetys Facebookille
maaliskuussa, josta se ei kertonut tietosuojaselosteessa. Zoom
korjasi tämän päivässä. Sovellus kannattaa päivittää.
• Zoomin salaus ei suojaa palveluntarjoajan omalta valvonnalta.
• Zoomissa on ollut kokouksen ylläpitäjän käytössä toiminto, jolla
voi ”vakoilla”, ovatko osallistujat katsomassa lähetystä.
• Zoombombing-ilmiö: osallistujat ovat voineet häiriköidä.
• Zoom julkaisi huhtikuussa päivityksen, jossa ylläpitäjä voi mm.
• Lukita huoneen, jolloin siihen ei voi liittyä
• Aktivoida odotushuoneen, jolloin ylläpitäjä hyväksyy
osallistujat
• Poistaa osallistujia
• Estää osallistujia jakamasta ruutua, keskustelemasta
chatissa, vaihtaa nimeä
• Vverkossa on kaupiteltu Zoom-käyttäjien tietoja. Kyse on
tunnuksista, jotka on saatu selville kokeilemalla muista
palveluista vuotaneita tunnuksia ja salasanoja.
Lisää aiheesta Zoomin blogissa:
https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-
new-security-toolbar-icon-for-hosts-meeting-id-hidden/
70. Tietosuoja etäkokouksissa
• Käytä vain organisaation sallimia sovelluksia
• Toimita kutsu henkilökohtaisesti osallistujille
• Informoi tarvittaessa osallistujien
henkilötietojen käsittelystä
• Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä
• Varmista tarvittaessa kokoushuoneessa
olijoiden henkilöllisyys ja työtehtävät
• Varmista esittäjien osaaminen etukäteen
• Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet
• Huomioi kotoa osallistuvat:
• Rauhallinen paikka, ei sivullisia kuulolla
• Videon ja mikrofonin käyttö kotirauhan
alueella perustuu vapaaehtoisuuteen
• Huolehdi jälkihoidosta:
• Tyhjennä chat ja poista materiaalit
• Sulje huone/päätä kokous
• Suojaa tallenne sivullisilta ja huolehdi
sen käytön tietosuojasta
71. Valokuvat ja videot
• Valokuvan tai videon
tekijänoikeudet tai lähioikeudet
ovat kuvaajalla.
• Tunnistettavan henkilökuvan
julkaisuun on syytä pyytää lupa.
• Jokaisen on katsottu omistavan
persoonansa ns. kaupalliset
oikeudet.
• Kuvan julkaisun voi estää esim.
kotirauha, yksityisyyden suoja
tai kuvassa näkyvän teoksen
tekijänoikeudet.
• Jonkun muun julkaiseman kuvan
levittäminen voi olla kiellettyä
esim. tekijänoikeuksien tai sen
loukkaavuuden takia.
• Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja
kuvia ei saa levittää.
72. - Miten kunnat saavat julkaista yksityishenkilöiden kuvia/videoita
omilla somekanavillaan?
- Voiko julkisesta tilaisuudesta ottaa kuvaa?
- Pitääkö jokaiselta kuvassa olijalta pyytää kirjallinen kuvauslupa?
Kysymys: tapahtumissa kuvaaminen
• Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen
tehdään vain journalistisia tai taiteellisia tarkoituksia varten.
• Esimerkiksi oppilaitoksen tapahtuma ei ole yksityinen tilaisuus, joten
kuvaaminen on lähtökohtaisesti sallittua.
• Jos kuvaaminen tulee kuvattaville yllätyksenä, tai sen tarkoitus ei ole selvä,
kannattaa kertoa, miksi kuvataan, ja pyytää kuvien julkaisuun suostumus.
• Kunta ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai
kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää.
• Kuvien julkaisua säätelee eri lait. Esimerkiksi yksityiselämää loukkaavia kuvia ei
saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien
julkaisu toimitukselliseen tarkoitukseen on ok.
73. - Jos kunta tilaa yksityiseltä henkilöltä taikka yritykseltä vaikkapa
markkinointikäyttöön suunnatun videon, niin pitääkö jokaiselta
videolla näkyvältä pyytää kirjallinen kuvauslupa?
Kysymys: videot markkinoinnissa
• Video ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
• Esimerkiksi julkisesta tapahtumasta tiedotusta varten tehty video ei yleensä
edellytä kuvauslupia kaikilta videossa näkyviltä henkilöiltä.
– Jos tilanne on osallistujien kannalta yllättävä, kannattaa kuvaamisesta tiedottaa etukäteen ja/tai
pyytää kuvausluvat videossa selvästi tunnistettavissa olevilta henkilöiltä.
• Markkinointivideon tekijällä on oltava lupa käyttää videossa olevaa materiaalia
markkinointitarkoituksiin sekä tarvittaessa kuvausluvat henkilöiltä.
• Jos kunta tilaa markkinointivideon teon ulkopuoliselta, on vastuu videolla
olevasta materiaalista ensisijaisesti videon tekijällä.
• Vastuukysymyksistä on hyvä sopia etukäteen videon tekijän kanssa.
74. • Kun viestinnässä käytetään ulkopuolisia verkko- ja somepalveluita, on syytä
ohjeistaa yhteiset toimintamallit.
– Miten rekisteröityjen informoinnista huolehditaan? Onko mahdollista linkittää
tietosuojaseloste profiiliin?
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Saako henkilötietoja viedä palveluun ja mitä silloin on huomioitava?
• Muista varovaisuus henkilötietojen viennissä ulkopuolisiin palveluihin.
– Tarvitaan: 1) informointi ko. palvelun käytöstä tietosuojaselosteessa, 2) rekisteröidyn
suostumus tai 3) sopimus henkilötietojen käsittelystä ko. palvelun kanssa.
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava.
• Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa
selvät ohjeet: mitä saa ja ei saa tehdä.
– Työntekijää ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se
ei ole ollut edellytyksenä työtehtävän hoitamiselle.
– WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin, koska puhelimen
kontaktitiedot lähetetään WhatsAppille.
Yhteenveto: somepalvelut ja tietosuoja
76. • Sähköinen suoramarkkinointi kuluttajille: suostumus (opt-in)
– Sähköinen suoramarkkinointi esim. sähköpostit, tekstiviestit ym.
– Suostumuksen pitää olla selvä etukäteen. Mahdollisuus kieltoon ei riitä.
– Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos
• markkinoinnissa käytetään automaattista profilointia
• tietoja luovutetaan muille tahoille (esim. Facebook tai Google)
• Perinteinen ja B2B-suoramarkkinointi: rekisterinpitäjän oikeutettu etu
– Perinteinen suoramarkkinointi puhelimitse ja postitse
– B2B-markkinointi esim. yritysten yhteyshenkilöille
– Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus.
• Tiedotus: rekisterinpitäjän etu, suostumus, lainmukaiset tehtävät
– Asiakassuhteen aloittamiseen, lopettamiseen tai sopimukseen liittyvä viestintä
– Muut asiakkaan käyttämiin palveluihin ja tuotteisiin liittyvät asiat ja tiedotteet
• Mieti vastaanottajan näkökulmasta, onko kyse markkinoinnista vai muusta
• Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä
ja mistä tietosuojaseloste on luettavissa.
• Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista
markkinointia he saavat.
Markkinointi, asiakasviestintä ja GDPR
77. GDPR:n tarkoittama profilointi
• Yksittäiset tiedot, esim. pisteet ja edistyminen
• Yhteenvedot ja tilastot, lokitiedot
• Manuaaliset arvioinnit rekisteröidystä
• Yhdistelmänäkymät tiedoista ja toiminnasta
• Tiedonlouhinta big datasta
• Muut analyysit, joita ei käytetä yksilöitä
koskeviin toimenpiteisiin
EI GDPR:N TARKOITTAMAA
PROFILOINTIA
GDPR:N TARKOITTAMAA
PROFILOINTIA
• Rekisteröidyn tietoihin perustuvat
automaattiset luokittelut, jotka liittyvät
tämän ominaisuuksiin, kiinnostuksen
kohteisiin ja todennäköisyyksiin
• Automaattiset arvioinnit, ehdotukset,
valinnat, tulkinnat, johtopäätökset jne.
• Tietojen yhdistelystä johdetut ennusteet
Lisätietoa: https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi
GDPR edellyttää profiloinnille 1) selkeää informointia etukäteen,
2) sopimuksesta tulevaa välttämättömyyttä tai 3) suostumusta
78. Käytätkö profilointia markkinoinnissa?
Facebookin
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
synt.aika, kaupunki,
laitetunniste ym.
Googlen
asiakasluettelot
Nimi, sähköposti,
puhelinnumero, postinumero,
laitetunniste ym.
Manuaalinen
kohdentaminen
Markkinointi manuaalisesti
valituille kohderyhmille.
Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
Twitterin
räätälöidyt yleisöt
Sähköposti, laitetunniste,
Twitter-tunnus,
Twitter-ID
Datan kerääjät,
hallinnoijat ja
myyjät
LinkedInin
vastaavat yleisöt
Nimi, sähköposti,
laitetunniste, yritys, ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
79. Miten voit rajoittaa Facebook-tietojesi käyttöä mainontaan?
Löydät nämä Facebookin ylävalikon kohdasta: ▼ Asetukset Mainokset
Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja
https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/
Lista kymmenistä yrityksistä, jotka
ovat tuoneet tietojasi Facebookiin
Katso, miten monella eri tavalla
Facebook on profiloinut sinut
81. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen
82. - Miten uudet viestintävälineet tulisi arvioida tietosuojan kannalta?
- Voidaanko terveydenhuollossa ottaa käyttöön uusia välineitä
koronapandemian ajaksi?
- Onko Teams turvallinen potilasasioiden käsittelyssä?
Kysymys: uudet viestintävälineet
• Viestintävälineissä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta
voidaan estää tietojen päätyminen sivullisille.
– GDPR:n 32 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa
tietoturvan varmistamiseen tähtäävät toimenpiteet, jotka vastaavat henkilöiden oikeuksiin ja
vapauksiin kohdistuvia riskejä.
• Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi.
• Tietosuoja tulee huomioida myös poikkeustilanteessa kuten pandemian aikana.
• Toimenpiteet ja ratkaisut on syytä dokumentoida (osoitusvelvollisuus).
• Esimerkiksi HUS ja monet kunnat ovat ottaneet Microsoft Teams -sovelluksen
käyttöön etävastaanottoon koronapandemian myötä.
– Katso esim. HUS:in Teams-ohje:
https://www.hus.fi/potilaalle/sahkoiset-
palvelut/Documents/Potilasohje%20Teamsin%20k%C3%A4ytt%C3%B6%20et%C3%A4vastaanottoihin.pdf
Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä koronaviruksesta ja tietosuojasta, https://tietosuoja.fi/koronavirus
83. • Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun
siihen saattaa kohdistua korkea riski. Tavoitteena on vähentää riskiä.
– Tee vaikutustenarviointi, jos henkilötietoihin liittyy vähintään kaksi riskialtista
käsittelytoimea (ks. ao. ohje).
• Vaikutustenarviointi tulee tehdä erityisesti, kun:
– otetaan käyttöön uutta teknologiaa
– käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten
terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, vakaumusta tai seksuaalista suuntautumista
– on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista
– on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.
• Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaik.arviointi:
– Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät
• Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee
rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen).
• Vaikutustenarviointia tulisi tarkistaa ja päivittää säännöllisesti.
• Ohje vaikutustenarvioinnista:
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
Milloin on tehtävä vaikutustenarviointi?
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja
https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista
85. Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
86. Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja käsittelyn
tarkoituksista +
tietosuojavastaavan neuvot
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä +
rekisteröityjen näkemykset
4. Suunnitellut toimenpiteet
riskeihin puuttumiseksi sekä
sen osoittamiseksi, että
tietosuoja-asetusta on
noudatettu
5. Dokumentointi
(GDPR:n 35 artikla ja johdanto-osan 84 ja
90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020
87. Hallinto ja
toimintakulttuuri
•Tietosuoja ja sen
läpinäkyvyys on
keskeinen osa
toimintaperiaatteita
•Tietoturvapolitiikka ja
sen käytännöt on
määritelty
•Seloste käsittelytoimista
ja informointi
rekisteröidyille tehty
•Rekisteröityjen
pyyntöihin on
varauduttu
Henkilöstön
toimintamallit
•Henkilöstön roolit ja
vastuut on määritelty
•Salassapitovelvollisuus
•Koulutukset ja uusien
työntekijöiden
perehdytys
•Työsuhteiden
päättymiselle on
toimintamalli
•Tietoturvaloukkausten
raportointiin on
toimintamalli
Henkilötietojen käyttö
ja hallinta
•Henkilötietojen
käsittelylle on selvät
ohjeistukset
•Suostumukset ja kiellot
huomioitu toiminnassa
•Tietosuoja on huomioitu
mm. netin, sähköpostin
ja somen käyttöohjeissa
•Rekisteröidyt voivat
hallita itse tietojaan
•Tietojen tuhoaminen
tehdään turvallisesti
Tilojen valvonta
•Tiloihin pääsy on
valvottua ja avaimista
pidetään kirjaa
•Ulkopuolisten pääsy
henkilöstön työpisteisiin
on estetty
•Mahdollisesta
kameravalvonnasta on
rekisteri ja siitä
ilmoitetaan
•Tarvittaessa tilojen
turvaluokitukset
Rekisteröityjen
tunnistaminen
•Rekisteröidyt
tunnistetaan, kun tietoja
kerätään
•Rekisteröidyt
tunnistetaan, kun he
käyttävät oikeuksiaan
•Asiointi tapahtuu
ennalta nimettyjen
henkilöiden kanssa
Käyttäjätunnukset ja
oikeudet
•Henkilökohtaiset
käyttäjätunnukset
•Roolien mukaiset
käyttöoikeudet ja niiden
tarkistaminen
työtehtävien
muuttuessa
•Salasanoille ja
vastaaville on
laatuvaatimukset
•Järjestelmien
oletussalasanat on
vaihdettu
Ulkopuoliset toimijat
•Ulkopuolisista
toimijoista pidetään
kirjaa
•Sopimus ja ohjeet
henkilötietojen
käsittelystä
•Ulkopuolisten
palveluntarjoajien
vastuut on määritelty
•Ulkopuoliset toimijat
tuntevat
rekisterinpitäjän
toimintamallit ja ohjeet
Laitteet ja
tallennusvälineet
•Tietokoneista ja
mobiililaitteista
pidetään kirjaa
•Tietoturva- ja muut
päivitykset kunnossa
•Virustorjunnasta ja
palomuureista on
huolehdittu
•Siirrettävien
tallennusvälineiden
(muistitikut, ym.) ja
henkilökohtaisten
laitteiden käytöstä on
tehty ohjeistus
Palvelimet ja
verkkoyhteydet
•Palvelintiloissa on
pääsynvalvonta
•Langattomien verkkojen
liikenne on salattu
•Erilliset vierasverkot
•Palvelimien
ohjelmistopäivitykset
kunnossa
•Palvelimien
varmuuskopiointi on
kunnossa
•Palvelinohjelmistojen
lokitiedot on suojattu
Pilvipalvelut
•Pilvipalvelujen käyttö
henkilötietojen
käsittelyssä on
ohjeistettu
•Informointi ja
suostumukset kunnossa
•Sopimuksissa on
määritelty palvelutaso ja
palveluntarjoajan
vastuut
•Palveluntarjoajat ovat
sitoutuneet
noudattamaan GDPR:n
vaatimuksia
Tekniset ja organisatoriset suojatoimet
88. Tietosuojan tarkistuslista
1. Organisaation rekisterit ja niiden selosteet
2. Henkilötietojen käsittely eri työtehtävissä
• Käsittelytarkoitukset ja oikeusperusteet
• Salassa pidettävät tiedot ja asiakirjat
3. Henkilötietojen turvallinen säilytys
4. Mitkä ovat organisaation omassa
hallinnassa olevia tietojärjestelmiä ja
pilvipalveluita?
5. Miten tietosuojasta huolehditaan
ulkopuolisissa pilvipalveluissa?
6. Saako työssä käyttää ulkopuolisia
sovelluksia kuten WhatsAppia tai
Facebookia, ja mitä on huomioitava?
7. Saako työssä käyttää henkilökohtaisia
laitteita, ja mitä silloin on huomioitava?
8. Uusien rekistereiden teossa huomioitavat
asiat ja yhteinen toimintamalli
9. Ongelmista ilmoittaminen, mahdollinen
tietosuojavastaava
89. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Yksityisyyden suoja on perusoikeus.